با رمز یکبار مصرف آشنا شوید

موبنا – بانک مرکزی الزامات رمزهای پویا برای افزایش امنیت تراکنش‌های بانکی را به سیستم بانکی کشور ابلاغ کرده و در همین راستا قصد داریم تا در این مطلب نگاهی به رمزهای یکبار مصرف و چگونگی کارکرد آن‌ به منظور آشنایی بیشتر بپردازیم.
گسترش شیوه‌های پرداخت و گسترش سوء استفاده از سیستم‌های بانکی توسط مجرمان سایبری باعث شده تا تامین امنیت تراکنش‌های بانکی برای نظام بانکی به یک چالش بزرگ تبدیل شود و در عین حال کاربران برای تراکنش‌های بانکی نگرانی و دغدغه حفظ امنیت اطلاعات خود را داشته باشند.
یکی از اساسی ترین روش‌های موجود جهت ایجاد امنیت الکترونیکی استفاده از رمز عبور است که اغلب به عنوان یک راه‌حل رایج جهت دسترسی به منابع و داده های الکترونیکی به کار گرفته می شود که در این میان استفاده از رمزهای عبور یکبار مصرف یا OTP برای انجام تراکنش های بانکی و استفاده از خحدمات بر بستر بانکداری الکترونیک به شدت احساس می شود تا ضریب امنیتی بالایی برای مشتریان و کاربران در انجام تراکنش‌های بانکی ایجاد شود.
رمز عبور یکبار مصرف یا OTP (One Time Password) روش محافظت از اطلاعات برای جلوگیری از سرقت رمز عبور است که رمز عبور با استفاده از روش های رمزنگاری تولید می شود و تنها برای یکبار ورود به سیستم معتبر است، مهم ترین مزیت استفاده از OTP و یا رمز یکبار مصرف این است، که سرقت اطلاعات با دانستن رمز عبور غیر ممکن می‌شود که به این معناست تا اگر مجرم سایبری رمز عبور قبلی شما را داشته باشد با توجه به این که رمز باطل شده نمی‌تواند وارد سیستم شود که گسترش استفاده از آن کاهش بسیار زیاد جرایم سایبری مالی به خصوص در بحث برداشت‌های غیر مجاز را به دنبال دارد.
در تکنولوژی OTP برای برای انجام هر تراکنشی یک رمز تصادفی تولید و صرفا برای یک تراکنش اعتبار دارد؛ در این تکنولوژی با توجه به استفاده از امکانات رمزنگاری بسیار قدرتمند امنیت تولید رمز بسیار بالا است و رمز یکبار مصرف بر اساس الگوریتم ریاضی تعریف شده در ابزار کاربر و در سرور مرتبط تولید می شود.
مهم ترین نکته‌ای که باعث شده تا این تکنولوژی به فرآیند سیستم بانکی برای استفاده وارد شود آن است که برنامه نویسان و مهندسان شبکه قابلیت آن را دارند تا امنیت در حوزه سرویس دهنده ( مبدا خدمت) را افزایش دهند اما در سمت کلاینت یا سرویس گیرنده (مقصد خدمت) توان افزایش امنیت بسیار محدود است چرا که بسیاری از خدمات بانکی بر بستر مرورگرها انجام می‌شود؛ یکی از رایج‌ترین ضعف‌های سمت سرویس گیرنده که قربانیان زیادی را نیز داشته است و قابلیت آن را دارد تا اطلاعات و پسوردهای بانکی کاربران را حتی با وجود وارد کردن اطلاعات با کیبوردهای ایمن در درگاه پرداخت سرقت کند، برنامه‌های کی لاگر هستند که به صورت نرم افزاری و سخت افزاری توسط مجرمان سایبری ایجاد می‌شوند.
بهترین راهکار مقابله با مجرمان سایبری و کی لاگرها استفاده از رمزهای عبور یک بار مصرف است چرا که رمز عبور پویا صرفا یک بار قابل استفاده است و دفعه بعد نمی‌توان از این گذر واژه استفاده کرد و ورود به سیستم نیازمند رمز عبور جدیدی است که تکرار حملات را غیر ممکن می‌سازد.
رمزهای یکبار مصرف معمولا با سه روش رایج به دست کاربران می‌رسد که از جمله آنها باید به ارسال یک پیامک کوتاه توسط بانک به کاربر به منظور ارائه رمز جدید اشاره داشت که در مقابل سایر روش‌ها رایج‌تر است و در ایران نیز از این روش استفاده می‌شود؛ روش بعدی تولید و نمایش رمز جدید برای یک بازده زمانی مشخص از طریق پرینت است و در نهایت آخرین روش مربوط ارائه رمز عبور یک بار مصرف توسط سخت افزاری مخصوص و مستقل از شبکه اینترنت با عنوان رمز یاب است.

الزامات رمزهای پویا در تراکنش های مبتنی بر کارت را اینجا بخوانید

لازم به ذکر است؛ بانک مرکزی جمهوری اسلامی ایران طی ابلاغیه‌ای الزامات رمزهای پویا یا همان رمزهای یکبار مصرف که در دنیای فناوری OTP شناخته می‌شوند را با همکاری شرکت کاشف تدوین و به بانک‌ها و موسسات مالی و اعتباری کشور ابلاغ کرده تا مخاطرات رمزهای ایستا در تراکنش‌های بر پایه کارت در سیستم بانکی کاهش پیدا کند؛ از جمله مشخصات لازم برای رمزهای پویا که توسط بانک مرکزی اعلام شده است، باید به موارد ذیل اشاره داشت:
ماده ۱۲_حداقل طول رمز پویای جایگزین رمز اول کارت باید چهار رقم باشد.
ماده ۱۳_حداقل طول رمز پویای جایگزین رمز دوم کارت باید هفت رقم باشد.
ماده ۱۴_طول عمر رمزهای پویا باید حداکثر شصت ثانیه بوده و پس ار این زمان رمز تولید شده منقضی و غیر قابل استفاده شود.
ماده ۱۵_ رمزهای پویا در طول عمر خود باید تنها یک بار توسط موسسه اعتباری پذیرفته شوند.
ماده ۱۶_ رمزهای پویا در طول عمر خود صرفا برای استفاده از خدمات مبتنی بر یک کارت مشخص از بین کارت های صادرشده توسط موسسه اعتباری قابل استفاده باشند.

 منبع: ایبِنا