چالش‌های بانکداری الکترونیک در دنیا/ سپری به اسم رمز یک‌بار مصرف

24 خرداد 1401

به گزارش بانک اول به نقل از گلوباب بانکینگ اند فایننس، موسسات مالی به طور روزافزون در حال استفاده از پلت‌فرم‌های بانکداری اینترنتی و الکترونیک هستند که به مشتریان کمک می‌کند هرزمان و هرجا بتوانند مبادلات بانکی خود را انجام دهند. با این‌حال با توسعه همزمان بدافزارها و تهدیدهایی که بانکداری الکترونیکی و موبایلی را در معرض خطر قرار داده است، محافظت کاربران دربرابر تهدیدهای امنیتی به رویکردی جدی برای تاییدیه امنیتی نیاز است.

بسیاری از بانک‌ها در دنیا سیستم‌های قوی سخت‌افزاری را برای مشتریان تجاری خود به کار می‌گیرند، اما برای کاربران عادی اجرای این تصمیم دشوار است و اجرای آن بسیار پرهزینه و پیچیده می‌شود. با این حال این دغدغه هم با ظهور سیستم‌های جدیدتر امنیتی بانکداری الکترونیک که تجربه انجام مبادلات راحت بانکی را فراهم می‌کند، برطرف شده است.

روش پایه در تاییدیه بانکداری الکترونیک استفاده از رمزهای یک‌بار مصرف است. کاربر درخواستی را برای بانک ثبت می‌کند که رمز یک‌بار مصرف به تلفن همراه او ارسال شود. پس از دریافت پیام حاوی رمز یکبار مصرف، وی این رمز را درج کرده و فرایند بانکی خود را تکمیل می‌کند. هرچند ارسال رمزهای یک‌بار مصرف به صورت پیامک با چالش‌هایی هم روبروست.

اول این‌که اگر قرار باشد مشتری هزینه پیامک‌های ارسال حاوی رمز را پرداخت کند، هزینه های وی بالا خواهد رفت. دوم این‌که ممکن است مشکل آنتن‌دهی یا تاییدیه دریافت پیامک فرایند بانکی را با اختلال همراه کند. سومین چالش هم این است که رمزی که از طرف بانک ارسال شده تا قبل از این که به دست کاربر برسد، امکان این را نداشته باشد که به دست سوءاستفاده‌کنندگان برسد.

روش جایگزین برای این مساله این است که گوشی تلفن همراه می‌تواند با نصب نرم‌افزاری که به صورت خودکار رمز یک‌بار مصرف تولید می‌کند تبدیل به یک توکن شود و برای این منظور می‌توان از الگوریتم‌های مربوط به آن استفاده کرد که امنیت این روش را بالاتر می‌برد. هرچند هنوز این نکته پاربرجاست که نرم‌افزارهای ایجادکننده رمز یک‌بار مصرف موبایلی نیز در صورتی که به خوبی طراحی نشده باشند در معرض خطر قرار خواهند داشت.

بنابراین تضمین اینکه رمزهای یک‌بار مصرفی که در اختیار کاربر قرار می‌گیرد از مسیر امنی گذشته و فقط در اختیار کاربر نهایی قرار دارد در معرض تهدیدهایی مثل فیشینگ و سایر روش های کلاهبرداری است که ضرورت دقت در طراحی نرم‌افزارهای تولید رمز یک‌بار مصرف را دوچندان می‌کند. تمام روش های تاییدیه هویت کاربران باید در یک استراتژی بزرگ‌تر و چندلایه به اجرا درآید. به طور ایده‌آل لازم است که پنج لایه امنیتی به کار گرفته شود تا دسترسی ایمن به اطلاعات را تضمین کند.

لایه اول ربط دادن هویت کاربر با رمزعبور اوست، در مرحله دوم باید شرایط به‌گونه ای باشد که گوشی همراهی که کاربر از آن استفاده می‌کند در سیستم شناخته شده باشد. لایه سوم تایید نرم‌افزار یا مرورگری است که کاربر از آن استفاده می‌کند. در لایه چهارم باید برای تراکنش‌های مالی بزرگ‌تر تاییدیه سقف تراکنش در نظر گرفته شود و در لایه پنجم نیز تضمین امنیت نرم‌افزار تولید رمز است که بسیار برای بانکداری موبایلی مورد نیاز است و دزدی اطلاعات را برای هکرها بسیار سخت می‌کند.