۰ نفر

رمز پویا؛ دردسر‌هایی بانکی با هزینه‌های گزاف

۱۹ بهمن ۱۳۹۸، ۱۳:۱۸
کد خبر: 415577

رمز پویا؛ راه‌حلی برای مقابله با فیشینگ و حملات مربوط به رمز بانکی است که به واسطه‌ عدم سیاستگذاری مناسب و طراحی سازوکاری مطابق استانداردهای تجربه کاربری و امنیتی باعث تحمیل دردسرهایی به مشتریان و هزینه‌هایی گزاف به نظام بانکی شده است.

رمز پویا (Dynamic Password) یا یکبار مصرف(OTP/One Time Password) با فاکتور دو عاملی(2FA) راه حلی امنیتی، برای مقابله با هک سایت‌ها و سرویس های اینترنتی، سال‌های سال هست که مورد توجه و استفاده قرار میگیرد؛ بدین ترتیب که علاوه بر ورود رمز، نام کاربری و فیلد مقابله با ربات، بسته به تنظیمات امنیتی نیاز به ورود کد فرستاده شده به ایمیل، شماره همراه و یا تولید شده به وسیله‌ی نرم افزارهای تولید رمز(Authenticator) می‌باشد.

شکی نیست، در نظام بانکی هم که 60 درصد جرایم سایبری مربوط به رمز دوم کارت میشود؛ استفاده از رمز پویا راهی مناسب برای مقابله با فیشینگ، هک و پیشگیری از بروز خسارت و کلاه برداری محسوب می‌شود؛ اما نه با ساز‌ و کار معیوب که هزینه هایی را متحمل و بار سیستم بانکی و دردسرهای ذکر شده در ادامه را برای مشتریان بانکی ایجاد کند.

غیر فعال سازی رمز ثابت و پویا کردن آن  مخالفانی دارد، مخالفت آنها مثل مردم عادی از سر بی اطلاعی و یا مثل فروشگاه‌ها، درگاه‌های واسط پرداخت و... از سر منافع محوری می‌باشد که با دلایلی بی منطق و بیان نمونه‌ اشتباه از دنیا، درصدد توجیه آن می‌باشند؛ در صورتی که در سایر کشورها از امنیت سه طرفه و پویا کردن CVV2 به مقابله‌ی با فیشینگ  و... می‌روند.

پرداخت:

دیوار کج، پر هزینه و پر دردسر با بخشنامه بانک مرکزی در اردیبهشت98 شروع و پرتاپ توپ فیشینگ را متوجه تک تک بانکها دانست که مسائل و دردسرهایی را متوجه مشتریان و سیستم بانکی کرده است. در ادامه موارد مطرح و پیشنهاداتی مطابق استانداردهای تجربه کاربری(UX)، امنیتی و مدیریت هزینه مطرح می‌شود.

از جمله مشکلات و مسائل مشتریان و نظام بانکی:

۱. طراحی‌ اختصاصی هر بانک برای اپلیکیشن‌ رمز ساز؛

۲. افزایش سرقت گوشی؛

۳. عدم امنیت رمز، با استفاده از ارسال پیامکی؛

۴. خرید سخت و وقت گیر از طریق کد دستوری USSD؛

۵. عدم پیستِ رمز کپی شده در درگاه‌های پرداخت درون برنامه‌ای و بعضی درگاه‌های شاپرک و طولانی شدن زمان خرید؛

۶. فعال سازی پردردسرِ تک تک رمز سازهای هوشمند و پیامکی، با مراجعه حضوری یا از طریق خودپرداز و همچنین امکان تولید رمز، فقط از طریق همراه بانک در بعضی بانک‌ها؛

۷. عدم طراحی و تست نرم‌افزارِ تولید رمز، مناسب همه‌ مدلهای گوشی موجود در بازار و عدم طراحی درگاه‌های پرداخت و انتقال وجه مناسب؛

۸. مسدود شدن کارتهای تعدادی از مشتریان بانک‌ها به دلیل عدم آموزش کافی و مشکلات موجود در برخی رمزسازها؛

۹. عدم توان استفاده کاربران اپل از رمزساز با توجه به تحریم ها.

 

و اما راه حل، مدل و سازوکار متناسب برای عبور از موارد مطرح شده چیست؟

بُعد تجربه کاربری:

۱. طراحی سامانه پیامکی و اپلیکیشن رمز ساز واحد؛

هر کاربر از چندین بانک خدمات می‌گیرد؛ بنابراین

 الف. نصب چندین برنامک رمزساز و همراه بانک موجب اشغال فضای رام و رم گوشی خواهد شد این مورد دردسرش بیشتر گریبانگیر کسانی هست که حافظه  داخلی و رم گوشی آنها پایین می‌باشد.

ب. سازوکار فعال سازی حضوری هر کدام از آنها، وقت گیر و آزار دهنده هست.

ج. هزینه‌هایی بی خود و بی جهت و گزاف را متحمل نظام بانکی کرده است.

د. پروسه‌ اجرایی کردن طرح را با توجه به زیرساخت بانک‌ها طولانی کرده است.

۲. پیاده سازی روش غیر حضوری برای فعال سازی رمزساز از طریق اینترنت و همراه بانک برای همه‌ بانک‌ها؛

استاندارد این است که مراجعه حضوری به شعبه فقط یکبار، آن هم برای احراز هویت و فعال سازی همراه بانک و اینترنت بانک صورت پذیرد از آن پس، هر خدمتی که ممکن باشد باید انجام آن از طریق همراه بانک و اینترنت بانک بدون دردسر فراهم باشد.

۳. فعال ماندن رمز ثابت در استفاده از کد دستوری(USSD

وقتی خرید از طریق خدمات دستوری، منوط به استفاده از همان شماره‌ی موبایلی که بر روی حساب بانکی ثبت شده است، باشد؛ نیازی به رمز پویا در خریدهای از طریق کد دستوری نیست و همان رمز ثابت کفایت میکند.

۴. حذف اطلاعات درخواستی اضافه از درگاه‌های پرداخت و انتفال وجه؛

اطلاعاتی مثل تاریخ انقضای کارت، CVV2، که اضافه و واقعا کاربرد آنها مشخص نیست و هیچ امنیتی را نیز حاصل نخواهد کرد قابل حذف می‌باشد.

 ۵. اضافه کردن فیلد ورود شماره موبایل در عوض فیلد شماره‌ [طولانی] کارت و ظاهر شدن و انتخاب کارت‌های متصل به شماره‌ همراه؛

۶. ارسال خودکار شماره موبایل در کنار اطلاعاتی مثل قیمت و... از سمت کسب و کارها به درگاه بانکی؛

در این صورت که منجر به کم شدن مراحل و بالا رفتن سرعت خرید میشود، احتیاجی به ورود شماره موبایل هم نیست؛ فقط باید شماره کارتهایی که ظاهر می‌شوند، یکی را انتخاب کرد.

۷. اضافه کردن امکان پشتیبان گیری آنلاین  از اطلاعات رمز ساز؛

در صورتی که گوشی گم یا خراب شود از ابتدا باید مراحل فعال سازی رمز پویا انجام شود؛ با این امکان نیازی به طی تک تک مراحل برای بانک‌های مربوطه نیست.

بُعد امنیتی:

مخالفان رمز پویای بانکی با بهانه‌ی کُند شدن زمان خرید، خواستار حذف رمز پویا و در عوض آن، از عدم امکان انتقال کارت به کارت و عدم تسویه آنی صحبت میکنند که نه تنها مشکلی را حل نخواهد کرد، بلکه نیازهای کاربر بانکی را در دنیای سرعت مجازی در نظر نمی‌گیرد؛ بنابراین عوض حل مسئله و ارتقای طرح، صورت مسئله را پاک می‌کنند.

راه این هست که با توجه به نیاز کاربری و تجربه کاربری امکانات انتقال و تسویه آنی حفظ اما فاکتورهای امنیتی‌ در الگوریتم سه سطحی رعایت شوند.

سطح اول:

 ایجاد سامانه‌ی احراز هویت و اتصال تدریجی تمامی فروشگاهها و کسب و کارهای اینترنتی به آن از طریق واسط نرم افزاری(API) و اجبار کاربر به ثبت‌نام در فروشگاه و نرم‌افزار و همچنین منوط کردن خرید یا انتقال پول به هویت یکسان اطلاعات صاحب کارت با اطلاعات احراز هویت کاربر ثبت‌نام شده.

سطح دوم:

۱. سازوکار ایجادی برای امنیت خرید از درگاه اینترنتی با اضافه کردن فاکتورهای دو عاملی(دو رمزی)؛

بدین منظور، نیاز به اضافه کردن فیلد رمز ثابت(اختیاری) در کنار فیلد رمز پویا(اجباری) به درگاه می‌باشد که در صورت تنظیم هر دو بوسیله‌ی کاربر فیشینگ  و دزدی گوشی[بدین دلیل] صفر می‌شود.

۲. سازوکار امنیت در خرید از طریق درگاه USSD؛

منوط کردن خرید از طریق کد دستوری به شماره‌گیری آن از طریق شماره موبایل ثبت شده بر روی حساب بانکی، با امکان استفاده از رمز ثابت و همچنین امکان اضافه کردن اختیاری رمز پویا که روش ارسال رمز پویا برای کسانی که آن را برای خرید از طریق خدمات دستوری فعال کرده‌اند، بصورت اعمال خودکار یا نمایش کد در بالای فیلد ورود رمز پویا بدون هیچ کار اضافه‌ای می‌باشد؛ در ابن مورد نیازی به ارسال پیامکی یا تولید رمز بوسیله‌ی رمزساز نیست؛ بنابراین این سازوکار هم امنبت را برقرار و هم اینکه از به دردسر افتادن کاربر جلوگیری میکند.

۳. امکان نصب رمز ساز فقط بر روی یک دستگاه و همچنین امکان نمایش و هشدار نشست های فعال و ساعت، تاریخ و اطلاعات همه‌ی دستگاه ها و آی پی‌های متصل شده به رمز ساز؛

۴. تولید رمز با ترکیبی از کاراکتر های حروفی، عددی و خاص (به انتخاب کاربر)؛

۵. امکان اسفاده از همین رمز ساز واحد برای تولید رمز جهت ورود دو مرحله‌ای و امن به همراه بانک‌ها در کنار ارسال پیامکی رمز(به انتخاب کاربر)؛

۶. کارکرد رمز‌های پویای ارسالی به شماره‌ی همراه، فقط بر روی شناسه و قیمت همان محصول؛

این سازوکار ایجادی برای امنیت رمزهای فرستاده شده با پیامک در برابر نرم افزارهای کی‌لاگر و خوانش گرهای پیامک و کلیپ بورد که قبلاً به وسیله کارشناسان بیان شده است؛ اگر پیاده سازی شود، یک گام امنیتی محسوب میشود که برداشت را محدود می‌کند؛ البته در صورت پیاده سازی بند یک که مربوط به پیاده سازی فاکتور چند عاملی می‌باشد، برداشت غیرقانونی از حساب صفر می‌شود.

۷. امکان انتخاب دلخواه زمان کارکرد رمز پویا از ۵ ۱ تا ۰ ۲ ۱ ثانیه.

در صورتی که موارد مربوطه مخصوصاً امکان استفاده از رمز ایستا در خرید از طریق کد USSD با همان مدلی که بیان شد، باشد؛ نگارنده ترجیح میدهد، زمان پانزده ثانیه را برای زمان کارکرد رمز انتخاب کند؛ این زمان با آموزشی که در قسمت دوم این یادداشت ارائه خواهد شد، کافیست.

سطح سوم:

 ایجاد سامانه گزارش برداشت غیرمجاز از طریق پیامک، کد دستوری و سایت اینترنتی، سپس پیگیری، تطابق و برگشت پول بصورت هوشمند و خودکار و ارسال پیام به کسب و کار مربوطه برای لغو خرید.

امنیت کارت بانکی:

برای جلوگیری از دزدی یا کپی کارت بانکی و همچنین حذف هزینه تولید و دردسر مشتریان بانکی برای تعویض آن، پس از تاریخ[بی منطق] انقضا، بصورت تدریجی نیاز به  تعویض خودپردازها و کارتخوان های فعلی با دستگاه‌های متناسب احراز هویت بیومتریک و حذف  کامل کارت بانکی می‌باشد.

جمع بندی

ساختار و سازوکار معیوب فعلی، برای امنیت خریدهای اینترنتی واضح می‌باشد؛ میتوان بصورت قدم به قدم طرح را ارتقا و تجربه‌ی خوشایندی را با رعایت موارد مطرح شده، مخصوصاً بخش تجربه کاربری و بخش امنیتی -سطح دوم، به کاربران شخصی و سازمانی نظام بانکی هدیه داد. نتیجتاً با پیشگیری، خیل پرونده‌های مربوطه در پلیس فتا و... به صفر خواهد رسید، امنیت روانی و نظام مالی حفظ، تجارت الکترونیک افزایش و با مسائلی مثل مسدود سازی حساب کسب و کارها بدلیل خرید از کارت غیر مجاز روبرو نخواهیم شد.

* پژوهشگر اقتصادی