همراه ما باشید
هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور

چالش احراز هويت در بستر پيشخوان بانك آینده

بانك آينده با كمك شركت ارتباط فردا سرويس جديد و جذابي با عنوان Ayandeh+ ‌(پيشخوان خدمات بانكي) ارايه كرده است كه در آن خدمات كانال شعبه و كانال نوين (بانكداري اينترنتي و موبايلي) بانك آينده به صورت مجازي و بر بستر اينترنت و تلفن همراه به مشتريان ارايه شده است. از نظر كسب‌وكار و سرويس ارايه اين خدمت بسيار ارزشمند است، زيرا خدمات شعب بانك آينده را به صورت 24*7 به مشتري ارايه مي‌كند و حتي در ازاي سرويس‌هايي كه نياز به ردوبدل كردن فيزيكي اسناد و وجوه نقد باشد، مامور شعبه بانك با حضور در محل مشتري، خدمات را به مشتريان ارايه مي‌كند.

زاويه ديد ما در بررسي‌ پيرامون سرويس آينده‌پلاس، مساله اساسي و پيچيده احراز هويت مشتري در هنگام استفاده از اين سرويس است؛ نقطه حساسي كه اگر به‌درستي مديريت نشود مي‌تواند يك سرويس جذاب و پر زرق و برق را زمين‌گیر کند و برای مشتریان این بانک مساله‌ساز شود.

نکته‌ای که در موضوع احراز هویت از راه دور در این سرویس وجود دارد و مي‌توان بر آن ایراد گرفت، این است که اگر فردی به هر دليلي بتواند به رمز ورود و كد يك مشتري ديگر دسترسي داشته باشد (براي مثال به ايميل، موبايل و بسترهايي اين‌چنيني كه پيشخوان براي ارسال كد تاييد از آن استفاده مي‌كند)، تمامی خدمات بانكي مشتري در اختيار ‌فرد نفوذي قرار مي‌گيرد.

در حال حاضر برخی مشتریان بانک آینده یا از وجود چنین سرویسی و امکان فعال‌سازی آن بدون مراجعه حضوری به بانک مطلع نیستند، یا اگر هم بدانند نیازی به استفاده از آن ندارند. در چنین شرایطی اگر فردی بتواند با استفاده از اطلاعات شخصي مانند شماره شناسنامه، كد ملي و... که توسط کاربر مرکز تماس شرکت ارتباط فردا قبل از ارسال نام کاربری و رمز عبور پرسیده می‌شود پاسخ درست بدهد و از طريقي به موبايل صاحب حساب دسترسي پيدا كند، سرويس پيشخوان اجازه سوءاستفاده از حساب مشتري را براي عامل نفوذي تسهيل می‌کند. در اين حالت خطر بزرگي متوجه مشتري و دارنده حساب نزد بانك آينده است، این در حالی است که باید دید بانک در چنین شرایطی قبول مسوولیت می‌کند یا خیر.

اکنون بانك آينده حدود یک درصد از سهم بازار را در اختيار دارد. اين به معناي نيم ميليون مشتري است كه اگر متوسط مبلغ مانده در حساب اين مشتريان را تنها يك ميليون تومان در نظر بگيريم، با حجم پولي معادل 500 ميليارد تومان مواجه هستيم كه به‌طور بالقوه تحت ريسك است، بنابراين با يك تحليل هزينه- فايده مي‌توان به اين نتيجه رسيد كه مجريان اين طرح مي‌بايست از فناوري‌هاي نوين و امن در فرايند احراز هويت بهره ببرند نه اینکه هزینه ریسک را به گردن مشتری بيندازند. لذا در اين يادداشت مساله احراز هويت و روش‌هاي مدرن آن كه لازم است بانك‌ها در ارايه خدمات خود به آن توجه داشته باشند، بررسي شده است.

شناسايي هويت مشتريان همواره يكي از چالش‌هاي پايه‌اي در ارايه خدمات در صنعت بانكداري بوده است. روش‌هاي كلاسيك مورد استفاده در شعب فيزيكي هنوز براساس رويت و تطابق كارت شناسايي (چيزي كه داريد + كسي كه هستيد) و تطابق امضاي كاغذي (چيزي كه مي‌دانيد + كسي كه هستيد) و در مواردي نيز با تطابق اثر انگشت (كسي كه هستيد) كار مي‌كند. در كانال‌هاي ديجيتالي و مدرن، مهم‌ترين روش‌هاي متداول همچنان استفاده از گذرواژه (چيزي كه مي‌دانيد)، و كارت و توكن فيزيكي (چيزي كه داريد) است. در كانال‌هاي غيرحضوري مبتني بر صدا، بيشتر از روش‌هاي ورود پين و پرسيدن سوال در خصوص اطلاعات شخصي يا بانكي مشتري (چيزي كه مي‌دانيد) استفاده مي‌شود و روشي مانند كنترل كالرآيدي (جايي كه هستيد) آن را تقويت مي‌كند. بنابراين براي شناسايي و احراز هويت مشتري در كانال‌هاي فيزيكي و ديجيتالي موجود، بانك‌ها معمولا از روش‌هاي تطابق كارت شناسايي، امضا، كليد يا كارت فيزيكي، كلمه عبور يا پين و رمز يك‌بار مصرف و توكن استفاده مي‌كنند. در كنار اين روش‌هاي كلاسيك، ابزارهاي نوين و مبتني بر فناوري به عنوان روش‌هاي جايگزين يا مكمل بيش از پيش مورد توجه و استفاده قرار مي‌گيرند. مهم‌ترين اين ابزارها به اين شرح است:

روش‌هاي بيومتريك: در اين روش‌ها از عواملي چون حسگرهاي اثرانگشت و اسكنرهاي عنبيه و... استفاده مي‌شود. شواهد بيومتريك ممكن است تنها براي احراز هويت استفاده شوند1‌، يا همزمان براي شناسايي و احراز هويت به كار روند 2. در حالت دوم، هنگامي كه اسكن عامل بيومتريك انجام شد، بايد نتايج با ديتابيس قبلي مقايسه شود و بهترين نتيجه نزديك به آن شناسايي شود. در اين حالت علاوه بر صرف زمان بيشتر، نرخ خطا در نتيجه به هر دو شكل نرخ پذيرش اشتباه 3 و نرخ رد اشتباه 4 افزايش مي‌يابد. به‌طور كلي دو دسته اصلي از روش‌هاي بيومتريك در شناسايي و احراز هويت مورد استفاده قرار مي‌گيرند:‌

روش‌هاي مبتني بر رمزنگاري: در اين دسته از روش‌ها، از الگوريتم‌هاي رمزنگاري براي اطمينان از هويت كاربر استفاده مي‌شود. مزيت مهم اين دسته از روش‌ها در توانايي تاييد اصالت و يكپارچگي كل پيام (همزمان با شناسايي و احراز هويت كاربر) و ويژگي عدم انكار قوي‌تر آنهاست. از سوي ديگر اين دسته از روش‌هاي احراز هويت، قابليت استفاده در ابزارهاي خودكار متصل به اينترنت چیزها را نيز به‌خوبي فراهم مي‌كنند. مهم‌ترين روش‌هاي مورد استفاده در اين خانواده عبارتند از امضاي ديجيتال و استفاده از فناوري ‌blockchain‌.

روش‌هاي مبتني بر شبكه‌ اجتماعي: با توجه به گسترش و همه‌گيري شبكه‌هاي اجتماعي، مي‌توان از ظرفيت و اعتماد متقابل ميان افراد در اين شبكه براي مقاصدي چون اعتبارسنجي يا احراز هويت كاربران استفاده كرد. در اين روش، ادعاي يك كاربر ناشناخته براي تعدادي از كاربران شناخته‌شده در شبكه‌ اجتماعي ارسال مي‌شود و با تاييد اكثريت اين درخواست‌ها، درخواست اصلي نيز معتبر تلقي خواهد شد. اين روش به‌خصوص زماني كارآمد و مفيد است كه موضوع احراز هويت يك كاربر براي بار نخست در ميان باشد. استفاده از اعتماد و تاييد متقابل كاربران شناخته‌شده ديگر براي تاييد هويت كاربر جديد، مي‌تواند نقش عامل مكمل را ايفا كند و اعتماد كافي براي برخي از انواع تعاملات با كاربر را ايجاد كند. اين مكانيزم روندي مشابه استشهاد محلي در برخي دعاوي يا امضاي تضامني اسناد توسط ضامن‌ها دارد.

بنابراين مي‌توان اين‌گونه جمع‌بندي كرد که مساله احراز هويت، به‌خصوص با افزودن كانال‌هاي جديد مانند پيشخوان، كه در كنار شعب فيزيكي و 5‌VTM ‌هاي بانك آينده، خدمات شعبه را ارايه كرده و به نوعي با مفاهيم omnichannel نيز گره خورده‌اند، در بخش احراز هويت هنوز راه درازي در پيش دارند و نمي‌توان با روش‌هاي ساده و ابتدايي كه در اينترنت‌بانك و موبايل‌بانك استفاده مي‌شدند، اين مساله را كانال حساسي همچون پيشخوان به پيش برد و بانك ناگزير به استفاده از روش‌هاي جديدي است كه به برخي از آنها در اين يادداشت اشاره شد.

Verification1.

Recognition2.

FAR3.

FRR4.

Virtual teller machine5.

درج دیدگاه

بررسی بازی