رازهای یک «رمز»

اما و اگرهای رمز یک‌‌بار مصرف؛ از جهان تا ایران

 می‌‌گويند «امنیت، از نان شب واجب‌‌تر است» این عبارت، بیش از هر چیز ذهن را به سمت مفاهیمی مانند مرزبانی، جنگ و مسايل نظامی سوق می‌‌دهد، این در حالی است که با افزایش جرایم اینترنتی، «امنیت سایبری»، مفهوم ویژه‌‌ای پیدا کرده است؛ به‌خصوص زمانی که پای پول و حساب بانکی در میان باشد.

وقتی سردار وحید مجید، ريیس‌پلیس فتا، آبان ماه امسال، با اعلام پنج جرم رایج سایبری در ایران تاکید کرد که بیش از ۶۰ درصد این جرايم مربوط به برداشت غیرمجاز اینترنتی یا همان فیشینگ و کلاهبرداری در فضای مجازی است و این موضوع، رتبه اول را در میان جرايم اینترنتی در کشور دارد، با توجه به اين مساله به‌‌روزرسانی استانداردهای امنیتی برنامه‌‌های مبتنی بر وب، به‌خصوص پرداخت‌‌های آنلاین بار دیگر در کانون توجه قرار گرفت. از آنجا كه ضریب نفوذ اینترنت در ایران حدود 90 درصد است و حجم تراکنش‌‌های اینترنتی بالاست، مراقبت از حساب بانکی یک ضرورت ملی به شمار مي‌آيد. فعال‌‌سازی رمز یک‌‌بار مصرف، از مهم‌‌ترین راهکارهای ارتقای امنیت حساب‌‌های بانکی برای پرداخت‌‌های اینترنتی در سیستم بانکداری جهان است که از یک سال پیش زمزمه‌‌های اجرایی شدن آن در کشور ما نیز به گوش ‌رسید.

 

سریال تاخیر یک‌‌بار مصرف

بالاخره بعد از تاخیر حدود یک سال، رمز پویا یا همان رمز یک‌بار مصرف (OTP) که مخفف (One Time Password)  است، به صورت تدریجی، وارد فاز اجرایی شد. اگرچه بانک‌‌ها بعد از چندین بار اعلام از جانب بانک مرکزی و پلیس فتا، نهایتا از ابتدای خرداد ماه سال جاری، موظف به ایجاد زیرساخت لازم و خدمات مناسب به مشتریان از طریق رمز یک‌بار مصرف و جایگزینی آن با رمز ثابت اینترنتی شده بودند، اما این اقدام تا دی ماه به تعویق افتاد و در روزهای منتهی به آن، پیامک‌‌های متعدد بانکی به مشتریان با مضمون فعال کردن رمز یک‌بار مصرف و غیرفعال شدن رمز دوم ایستا ارسال شد.

با این حال، هم به دلیل آماده نبودن زیرساخت‌‌های لازم توسط بانک‌‌ها و هم به دلیل عدم اطلاع‌‌رسانی و آگاهی لازم مشتریان، این اقدام از سوی اغلب دریافت‌‌کنندگان این پیامک‌‌های موبایلی، جدی گرفته نشد و تعداد محدودی تا اوایل دی‌‌ماه نسبت به فعال کردن رمز پویا اقدام کردند. از این رو، مهلت فعال‌‌سازی رمز دوم یک‌بار مصرف تا اول بهمن ‌‌ماه تمدید شد. اطلاع‌‌رسانی ضعیف درخصوص رمز پویا تا آنجا بود که حتی برخی از مشتریان بانکی تصور می‌‌کردند که با جایگزینی رمز پویا، برای خریدهای حضوری روزانه از فروشگاه‌‌ها نیز باید هر لحظه منتظر یک رمز جدید باشند.

این مشکلات و عدم استقبال از فعال‌‌سازی رمز یک‌بار مصرف، موجب شد تا بانک‌‌ها شیوه فعال‌‌سازی رمز پویا از طریق پیامک را در دستورکار خود قرار دهند؛ به این معنی که مشتریان بانکی با مراجعه به دستگاه خودپرداز، و گزینه فعال‌‌سازی رمز یک‌بار مصرف، از این پس می‌‌توانند از طریق پیامک نسبت به رمز جدید اطلاع پیدا کنند. همچنین ارسال کد یک‌بار مصرف از طریق USSD یا همان پیام از طریق کد دستوری و به تعبیر عامیانه‌‌تر ستاره‌مربع‌‌ها، توسط بانک‌‌ها نیز از دیگر روش‌‌هایی است که توانسته مشتریان بانکی را که چندان با گوشی هوشمند و اینترنت سروکار ندارند، با رمز یک‌بار مصرف آشتی دهد.

در مجموع، می‌‌توان رمز پویا را براساس روش اعلام‌‌شده از طرف بانک صادرکننده کارت، به روش‌های زیر دریافت کرد:

- دریافت از طریق برنامه‌های کاربردی بانک، اینترنت‌بانک یا موبایل‌بانک

- دریافت از طریق کد USSD بانک صادرکننده کارت شما

- دریافت از طریق زدن دکمه «درخواست رمز پویا» در درگاه پرداخت اینترنتی

 

یک قرن با OTP

اگرچه امروز اصطلاح OTP به مفهوم رمز یک¬بار مصرف و به عنوان مخفف (One-Time Password)  در حوزه بانکداری الکترونیک برای ارتقای امنیت حساب¬های بانکی به کار برده می¬شود، اما پیشینه ابداع رمزنگاری یک¬بار مصرف که اتفاقا آن هم به OTP معروف است، به بیش از 100 سال پیش توسط گیلبرت وِرنام، مهندس آزمایشگاه¬های بل برمی¬گردد. این روش که با هدف رمزگذاری و رمزگشایی خودکار پیام‌های تلگراف به نام پد یک¬بار مصرف (One- Time Pad) شناخته می¬شود، به دلیل ماهیت رمزنگار آن، رمز یک¬بار مصرف ورنام نیز نامیده شد. یکی از روش¬های بسیار ایمن رمزنگاری اطلاعات، همین پد یکبار مصرف است که اگر به درستی انجام شود، شکستن رمز آن، غیرممکن است. بعدها رمز پد یک‌بار مصرف به عنوان تنها سیستم رمز با امنیت مطلق شناخته شد.

اکنون بعد از گذشت یک قرن و تحولات فناورانه، خصوصا در عرصه بانکداری، الگوریتم¬های رمز عبور که بر اساس رمزنگاری متقارن و زمان، ایجاد شده¬ و مدت زمان محدودی، اعتبار دارند، با عنوان (TOTP) Time-based One Time Password یا همان OTP یا رمز یک¬بار مصرف مطرح شده¬اند تا امنیت حساب مشتریان بانکی در سیستم پرداخت آنلاین را تضمین کنند؛ یک تحول تکنولوژیک رمزنگارانه از تلگراف تا بانکداری!

در حال حاضر رمز پویا تنها ۶۰ ثانیه برای بانک، اعتبار دارد. این موضوع خصوصا برای افرادی که کارت‌‌های بانکی متعدد دارند و غالبا از یک رمز برای کارت‌‌های خود استفاده می‌‌کنند، بسیار مهم است. همچنین با توجه به سرقت حساب‌‌های بانکی در بستر فضای مجازی و با استفاده از رمز دوم، که طی ماه‌‌های اخیر با هشدارهای زیادی از سوی پلیس فتا و شکایت‌‌های بسیاری از سوی مشتریان بانکی همراه بوده، استفاده از رمز یک‌بار مصرف، می‌‌تواند بخش عمده‌‌ای از این مشکلات را مرتفع و امنیت حساب بانکی کاربران را تضمین كند.

اگرچه گزارش‌‌های متعددی در رسانه‌‌ها طی ماه‌‌های اخیر درباره اجرایی شدن رمز یک‌‌بار مصرف در کشور منتشر شده اما کمتر به تجربیات سایر کشورها و سیستم بانکی آنها درباره خریدهای اینترنتی و امنیت حساب بانکی در قالب سوالات زیر پرداخته شده است:

- آیا رمز پویا یا یک‌‌بار مصرف در کشورهای دیگر نیز رایج و اجباری است؟

- تامین امنیت تراکنش‌‌های اینترنتی و حساب کاربری شهروندان دیگر نقاط جهان هنگام خرید آنلاین چگونه است؟

- چه سرنوشتی در انتظار رمزهای یک‌‌بار مصرف در آینده است؟

این‌ها پرسش‌‌هایی است که بسیاری از آنها همچنان بی‌‌پاسخ مانده. ضمن آنكه برخی گزارش‌‌ها به شبهاتی درخصوص اینکه اصولا رمز یک‌‌بار مصرف در سایر کشورها رایج نیست، دامن زده است.

 

تجربیات جهانی

وب‌‌سایت soprano در مطلبی با عنوان «چگونه رمز پویا ایمن است؟» به این نکته اشاره کرده که رمز یک‌بار مصرف، به گونه‌‌ای بیانگر احراز هویت چندعاملی است که در خدمات مربوط به ایمیل‌‌ها و پیام‌‌رسان‌‌ها مشاهده می‌‌شود و با توجه به تایید چندمرحله‌‌ای، کاربران را در برابر 99.9 مشکلات ناشی از فیشینگ محافظت می‌‌کند.

همچنین وب‌‌سایت Freecodecamp در یادداشتی به قلم Prakash Sharma با عنوان «رمز پویا چگونه کار می‌کند و چرا بهتر است از آن در اپ‌‌های خود استفاده کنیم؟» آورده است: امروزه بسیاری از برنامه‌‌های وب آنلاین از کاربران می‌خواهند تا یک لایه امنیتی اضافی برای حساب خود اضافه کنند. آنها این کار را با فعال کردن تایید هویت دوعاملی انجام می‌دهند.

روش‌‌های مختلفی برای اجرای احراز هویت دوعاملی وجود دارد و احراز هویت TOTP الگوریتم رمز پویا، یکی از آنهاست. احراز هویت دوعاملی (یا تایید هویت چندعاملی) فقط یک لایه امنیتی اضافی برای حساب کاربر است. این به آن معنی است که کاربر پس از فعال کردن تایید هویت دوعاملی، باید یک مرحله دیگر را برای موفقیت در سیستم وارد کند؛ این روش ایمن‌‌تر است، زیرا یک مجرم (برای اقدام به فیشینگ) نمی‌‌تواند به حساب کاربر دسترسی پیدا کند مگر اینکه به رمز عبور معمولی و رمز عبور پویا دسترسی داشته باشد.

در این رابطه، فیشینگ نوعی از حملات مهندسی اجتماعی است که برای سرقت داده‌های کاربر مانند رمز عبور و اطلاعات حساب بانکی یا نظایر آن استفاده می‌شود. در این حالت، مهاجم با نشان دادن خود به عنوان یک نهاد معتبر، فرد را به وب‌سایت‌های جعلی هدایت می‌کند. تشویق افراد به خرید شارژ ارزان، بازکردن یک ایمیل از طرف شخصی مهم یا کلیک روی لینک و هدایت او به صفحه جعلی یک وب‌سایت مانند درگاه‌های بانک جعلی، نصب بدافزار روی سیستم فرد و انجام خریدهای آنلاین از طریق لینک‌‌های پرداخت جعلی در کانال‌های تلگرامی و سایر شبکه‌های اجتماعی از جمله رایج‌‌ترین روش‌‌های سرقت اطلاعات از این طریق است.

در ادامه مقاله یادشده آمده است: در حال حاضر، دو روش استفاده گسترده برای به‌‌دست آوردن رمز عبور پویا وجود دارد:

اول روش مبتنی بر پیام کوتاه: در این روش، هر بار که کاربر وارد سیستم می‌‌شود، یک پیام متنی را از طريق شماره تلفن ثبت شده خود دریافت می‌‌کند که شامل یک رمز عبور پویا است.

دوم روش مبتنی برTOTP: در این روش، ضمن آنكه امکان تایید هویت دوعاملی را فراهم می‌‌کند، از کاربر خواسته می‌شود تا یک تصویر QR را با استفاده از یک برنامه خاص تلفن هوشمند اسکن کند. سپس این برنامه به‌طور مداوم برای کاربر رمز عبور یک‌بار مصرف ایجاد می‌‌کند.

روش مبتنی بر پیام کوتاه نیازی به توضیح ندارد. این کار، آسان است اما مشکلات خاص خود را دارد مانند انتظار برای هر پیام ورود به سیستم، مشکلات امنیتی و موارد دیگر. اما روش مبتنی بر TOTP به دلیل مزایای آن از محبوبیت بيشتري برخوردار است.

با این حال، برخی از کارشناسان حوزه پرداخت آنلاین معتقدند در دنیا برای جلوگیری از کلاهبرداری‌های اینترنتی، رمزهای دوم ایستا به دلیل اینکه شخصی است و افراد آن را به خاطر می‌سپارند، می توانست به صورت همزمان با رمز دوم پویا برای امن تر کردن مسیر استفاده ‌‌شود. همچنين برخی دیگر از کارشناسان این حوزه، اظهار کرده‌‌اند رمز دوم کارت فقط مختص به ایران است و راهکار بین‌المللی برای پویاسازی اطلاعات تراکنش، استفاده از cvv2 است نه رمز دوم پویا.

 

از اجبار تا اختیار

با همه این‌ها، اما اخبار منتشرشده از سوی آرتی‌ای، نشان می‌‌دهد كه «استفاده از رمز یک‌بار مصرف اینترنتی در اروپا اجباری می‌شود» بر این اساس، شهروندان اروپایی نیز از اواسط سال 2019، در حال تشویق برای استفاده از شیوه‌های جدید پرداخت و خرید اینترنتی بودند. قوانین و تدابیر جدید در اروپا، گامي تازه برای بانکداری الکترونیکی است که شامل رمز جدید و یک‌بار مصرف بوده و توسط پیامک به مشتری ارسال می‌شود. ضمن آنكه اتحادیه بانکداری اروپا در حال ایجاد زیرساخت برای آگاهی بیشتر مشتریان در اتحادیه اروپاست. البته ممکن است سیستم رمز یک‌بار مصرف یک بانک با دیگری متفاوت باشد اما سازوکار نهایی، یکسان است.

از سوی دیگر، بیشتر بانک‌های بزرگ و معتبر جهان مانند بنک‌آو آمریکا، خدمات ارسال رمز دوم پویا را از طریق پیامک به مشتریان ارايه می‌دهند با این تفاوت که سیاست اجبار برای استفاده از این روش‌ها هنگام خرید آنلاین در بانک‌ها متفاوت است. برای مثال بنک‌آو آمریکا، استفاده از رمز یک‌بار مصرف را که SafePass نامیده می‌‌شود، از سال ۲۰۱۸ از حالت اجباری خارج کرده است.

 

وضعیت رمز یک‌بار مصرف در دنیا

استفاده از رمز یک‌بار مصرف برای ارتقای امنیت تراکنش‌‌ها‌‌ از طریق ویزاکارت و مسترکارت به عنوان قدرتمندترین ابزار تسهیلات تبادلات مالی در بانک‌‌های دنیا نیز رایج است. مثلا مشتریان بانک‌‌های بین‌‌المللی سانتاندر و BBVA در اسپانیا، که دارای کارت‌‌های ویزا یا مستر هستند، هنگام تراکنش‌‌های اینترنتی از OTP یا همان رمز یک‌بار مصرف استفاده می‌‌کنند. هنگام خرید اینترنتی، با ارسال پیامک برای مشتری، خرید انجام می‌‌شود. البته ویزاکارت و مسترکارت علاوه بر کارت‌‌ نقدی (Debit Card)، کارت‌‌های‌‌ اعتباری (Credit Card)، و کارت‌‌های‌‌ پیش‌‌پرداخت (Prepaid Card) را نیز شامل می‌‌شوند.

یکی از ایرانیان ساکن اسپانیا، در گفت‌‌وگو با خبرنگار «عصر ارتباط» درخصوص سیستم بانکداری این کشور و تامین امنیت حساب مشتریان گفته است: در سیستم‌‌ بانکداری اروپایی، به خاطر کسر مالیات به ازای هر حساب بانکی، به صورت ماهانه یا سالانه، معمولا افراد ترجیح می‌‌دهند چندین حساب یا کارت بانکی نداشته باشند. به گفته وی، این کسر مالیات در حال حاضر سالانه 60 یورو است.

او که دارای ویزاکارت نقدی از بانک BBVA است، به امنیت تراکنش‌‌های آنلاین در اسپانیا اشاره و تصریح كرد: برای خرید اینترنتی، انتقال پول به حساب دیگران و اقداماتی از این قبیل، یک رمز یک‌‌بار مصرف هنگام خرید به شماره تماسی که هنگام افتتاح حساب در بانک ارايه شده، ارسال می‌‌شود تا خرید صورت گیرد.

با این توصیف، تفاوت سیستم پرداخت آنلاین با ویزاکارت یا مسترکارت در سایر کشورها با مثلا کارت‌‌های عضو شبکه شتاب در ایران این است که کارت‌‌های ما بدون اتصال به شبکه جهانی پرداخت، فقط در شبکه ملی شتاب و شاپرک معتبر است در حالی که کارت‌‌های صادرشده در این کشورها، عضو شبکه بین‌‌المللی پرداخت مانند ویزاکارت و مسترکارت هستند. علاوه بر آن در کشورهای دنیا که دارای شبکه‌ ملی پرداخت نیز هستند، برخی بانک‌‌ها کارت‌‌هایی صادر می‌‌کنند که فقط در شبکه محلی پذیرفته می‌‌شود و مشتریانش اغلب یا اقشار کم‌‌درآمدی هستند که تمایلی به پرداخت هزینه‌های مالیاتی ویزاکارت و مسترکارت ندارند، یا افرادی هستند که حداقل یک کارت نقدی یا اعتباری از این شرکت‌‌ها دارند.

 

چالش‌های رمز پویا

با همه این اوصاف، همچنان ابهامات و تحلیل‌‌های متفاوتی درباره رمز یک‌بار مصرف و نحوه اطلاع‌‌رسانی آن به مشتریان بانکی، برای ارتقای امنیت سیستم پرداخت آنلاین منتشر می‌‌شود. مثلا بسیاری از بانک‌ها مانند ING ارسال رمز یک‌بار مصرف از طریق پیامک را کنار گذاشته‌اند. به اعتقاد برخی منتقدان، نمی‌توان به استفاده از رمز دوم پویا، به‌خصوص انواعی که از طریق پیام کوتاه ارسال می‌شوند، به‌عنوان ضامن قطعی تامین امنیت کاربران نگاه کرد. در این خصوص، سوالات زیر همچنان به عنوان یک چالش در امنیت سیستم پرداخت آنلاین با استفاده از رمز پویای مبتنی بر پیامک مطرح می‌‌شوند:

- اگر موبایلم گم شود، چگونه رمز پویا را دریافت کنم؟

- اگر رمز پویا را در لحظه فراموش کنم چه کنم؟

- چگونه رمز پویا را روی موبایل دیگر دایورت کنم؟

- اگر هک شوم چه کنم؟

از سوی دیگر، کلیت استفاده از رمز یک‌‌بار مصرف در بسیاری از سیستم‌‌های پرداخت الکترونیکی، ولو با تفاوت‌‌هایی در نحوه اجرا پذیرفته شده است اما هنوز درباره چگونگی کاربرد و اجرای آن، با توجه به وابستگی شدید به گوشی همراه و مشکلاتی که ممکن است برای موبایل‌‌ افراد ایجاد شود و نیز عدم آشنایی برخی اقشار جامعه با فناوری‌‌های موبایلی، به‌رغم دسترسی به اینترنت و گوشی‌‌های هوشمند، اختلاف‌‌نظر وجود دارد. از همین رو، بعضا مقاومت‌‌هایی در برابر این امر مشاهده می‌‌شود. نکته دیگر، به‌خصوص درباره ایمن‌‌سازی پرداخت‌‌های الکترونیکي در ایران، چالش‌‌هایی درخصوص اعتماد به سیستم بانکی کشور، از جمله تاخیر در ارسال یا دریافت داده‌‌ها و پیامک‌‌ها، عدم پاسخگویی مناسب در هنگام بروز مشکل مانند صف‌‌های طویل معترضان سرقت از حساب بانکی در ماه‌‌های اخیر، زیرساخت‌‌های فنی و تجهیزاتی و نیز عدم اتصال سیستم بانکی کشور به شبکه‌‌های بین‌‌المللی پرداخت وجود دارد.

اگرچه هنوز آمار امیدوارکننده‌‌ای درخصوص میزان فعال کردن رمز پویا در کشور وجود ندارد، اما حالا که بعد از ماه‌‌ها تاخیر، بنا به اعلام بانک مرکزی، قطع رمزهای دوم ایستای بانک‌‌ها و موسسات مالی اعتباری و استفاده اجباری رمزهای دوم پویا با جدیت آغاز و ظاهرا جوانب مختلف برای امنیت سیستم پرداخت اینترنتی و خرید آنلاین لحاظ شده، شایسته است از هم اکنون سیستم مدیریت بحران در حوزه پرداخت الکترونیکی به منظور پیشگیری از مشکلات احتمالی، از سیستم‌‌های پیامکی تا مسایل امنیتی نیز فعال شود.

به اعتقاد برخی از متولیان کسب‌‌وکارهای آنلاین، رمز دوم پویا، طرح خوبی است که خیلی بد در حال اجراست و اگر زیرساخت‌‌های لازم به درستی فراهم نشود، ناگزیر بعد از مدتی، دوران بازگشت به رمز ایستا یا حداقل اختیاری بودن رمز یک‌‌بار مصرف را شاهد خواهیم بود. یادمان باشد به همان اندازه که امنیت سیستم‌‌های پرداخت الکترونیکي ارتقا می‌‌یابد، هکرها هم به‌‌روزتر می‌‌شوند!