اوایل امسال بود که بخشنامه بانک مرکزی به بانکها درباره جایگزین کردن رمز یکبار مصرف یا پویا ابلاغ شد؛ رمزی که قرار بود با طول عمر کوتاه خود از حسابهای بانکیمان در برابر حملات فیشینگ و دیگر سوءاستفادهها، محافظت کند. بانکها هم دستبهکار شدند و هر کدام به روش خود، تلاش کردند تا امنیت کاربران را تأمین کنند. اپلیکیشنهای جدیدی معرفی شدند و سؤالهای جدیدی برای کاربران ایجاد کردند.
با اینکه تعداد محدودی از بانکها، علاوه بر اپلیکیشنهایی که برای سیستم عاملهای اندروید و IOS طراحی شدهاند، به فکر سیستم عاملهای قدیمیتری مانند جاوا بودند، اما صاحبان موبایلهای ساده در این طرح فراموش شدند. علاوه بر این، برخی افراد تمایلی به نصب برنامههای جدید روی موبایل خود ندارند و متقاضی استفاده از راهکارهای دیگری مانند پیامک برای دریافت رمز دوم هستند.
رمز پویا در انتظار سامانه پیامکی
بانک مرکزی که پیش از این نیز با انتقادات مشابهی مواجه بود، تنها چند روز مانده به پایان مهلت استفاده از رمز دوم ایستا، اعلام کرد این رمزها همچنان معتبر هستند و بهمرور و تا اواسط دیماه، تمام بانکها برای ارسال پیامکی رمز دوم پویا، به سامانه یکپارچهای که به این منظور تهیه شده، متصل خواهند شد.
با وجود حرکت نظام بانکی و نظام پرداخت در این مسیر پر پیچ و خم، یک کارشناس حوزه پرداخت الکترونیک از راهحل سادهتری میگوید که میتواند این مسیر را هموار کند. قانونگذاری در زمینه کیف پولهای الکترونیکی که چندین سال است در انتظار ساماندهی به سر میبرند، توصیه این کارشناس به بانک مرکزی برای کاهش فیشینگ، سوءاستفادههای مالی و همچنین فشار زیادی است که بر شبکه پرداخت کشور وارد شده.
علیرضا بزرگمهری، کارشناس حوزه پرداخت الکترونیک درباره فعالسازی رمز دوم پویا به خبرنگار ایرناپلاس گفت: بهتر است بانکها برای تأثیرگذاری بیشتر در زمینه سوءاستفاده از تراکنشهای مالی، بهجای اپلیکیشن رمز پویا، در خود اپلیکیشنها، ارسال پیامک و تأیید دو مرحلهای را فعال کنند.
مسیر انجام تراکنش و دریافت رمز باید جدا باشد
وی درباره تعداد زیاد اپلیکیشنهایی که بعد از معرفی رمز دوم پویا ناچار به نصب آنها شدهایم، گفت: از نظر فنی باید مسیر انجام تراکنش و مسیر دریافت رمز از یکدیگر جدا شوند. با این حال، بانکها میتوانستند کار سادهای انجام دهند؛ بهعنوان مثال زمانی که به مرحله تراکنش میرسیم دکمه ارسال کد را انتخاب میکنیم و رمز دوم به همین راحتی ارسال میشد. در این روش، پیچیدگی خاصی ایجاد نمیشد، اما بانکها راهکارهای پیچیدهای مانند نصب دو اپلیکیشن را انتخاب کردند که منطق کافی را ندارد.
وی تأکید کرد: جداسازی دو کانال انجام تراکنش و دریافت رمز از یکدیگر، درست و منطقی است، اما باید توجه کرد استفاده از دو اپلیکیشن مجزا، لزوماً به معنای جداسازی این دو کانال نیست؛ چرا که اگر فردی به تلفن همراه ما دسترسی پیدا کند، در واقع به هر دو اپلیکیشن دسترسی پیدا کرده است.
رمز ایستا در هر صورت ناامن است
انتقاد دیگری که به طرح فعلی رمز دوم پویا وارد است، حذف رمزهای ایستاست. برخی میگویند بانکها میتوانستند رمز دوم ایستا را نگه دارند و در کنار آن در هر تراکنش بدون کارت، کدی را برای احراز هویت دو مرحلهای پیامک کنند.
بزرگمهری با اشاره به اینکه رمز دوم پویا در هر صورت ناامن است، درباره این انتقاد توضیح داد: در همه روشهای احراز هویت دو مرحلهای، از تلفن همراه استفاده میشود. با این حال، رمز دوم پویا احراز هویت دو مرحلهای نیست، چرا که لزوماً رمز دوم بهصورت پیامک ارسال نمیشود و از طریق اپلیکیشن هم بهدست مخاطب میرسد. بهطور کلی، رمز دوم ایستا قابل قبول نیست، زیرا امکان سوءاستفاده از آن در پرداختهای بدون کارت وجود دارد و به هر حال باید کنار گذاشته میشد.
سؤال دیگری که درباره رمز دوم پویا وجود دارد، منحصربهفرد بودن آن برای یک تراکنش خاص است. این کارشناس حوزه پرداخت الکترونیک در این باره گفت: از آنجایی که طول عمر رمزهای پویا بسیار کوتاه تعیین شده، تنها کاری که میتوان انجام داد ایجاد فاصله بین تراکنشها بهاندازه طول عمر این رمز است. در حال حاضر روشی وجود ندارد که مشخص کند این رمز، بهطور ویژه برای یک تراکنش خاص، تولید شده و این رمز، برای هر تراکنشی که در مدت زمان اعتبار آن انجام میشود، قابل استفاده است.
اشکال از کارت به کارت بهصورت پرداخت آنی است
با وجود فعال شدن رمز دوم پویا در ماههای اخیر، باز هم سوءاستفادههای مالی و کلاهبرداری از تراکنش کارت به کارت اتفاق افتاده است. کلاهبرداران با تماس تلفنی و به بهانه واریز وجه، شماره کارت قربانی را گرفتند و اعلام کردند برای تأیید پرداخت از طرف بانک، کدی را که برایتان پیامک شده را بخوانید. در نتیجه حساب قربانی با کدی که از سوی خود وی در اختیار کلاهبردار گذاشته شده، خالی شده است.
بزرگمهری ضمن تأکید بر اینکه امنیت، امری ۱۰۰ درصدی نیست، با انتقاد از روش فعلی تراکنشهای کارت به کارت گفت: کارت به کارت بهصورت واریز آنی در دنیای امروز متداول نیست و راهکارهای جایگزین آن، استفاده از کیف پول و روشهای احراز هویت دو مرحلهای هستند. ما شیوه ناامن و غیررایج کارت به کارت با پرداخت آنی را رواج دادیم و برای حل مشکلات آن، بهدنبال راهکار هستیم.
وی افزود: این در صورتی است که اگر از پایه به موضوع نگاه کنیم، کارت به کارتی که منجر به تسویه آنی میشود، تراکنش بسیار پر ریسکی است، ولی اگر همین فرآیند با استفاده از کیف پول الکترونیکی و تأیید دو مرحلهای انجام شود، ریسک آن کاهش مییابد.
وی ادامه داد: باید بهخاطر داشته باشیم امنیت، موضوع ۱۰۰ درصدی نیست و همواره در هر روشی، مخاطرات امنیتی وجود دارد. نکتهای که وجود دارد، پیچیدهتر کردن و سختتر کردن عبور از سدهای امنیتی است. هکرها برای سوءاستفاده از رمز ایستا یک عمر وقت دارند، ولی در رمز پویای دو مرحلهای امکان سوءاستفاده فقط در بازه زمانی طول عمر رمز پویا وجود دارد. بنابراین میزان سوءاستفاده تا حد قابل توجهی کاهش مییابد.
اگر سیمکارتمان را عوض کنیم، رمز دوم کارتمان چه میشود؟
نگرانی دیگر افراد در استفاده از رمز دوم پویا، جابهجایی و انتقال سیمکارت است. اگر سیمکارت خود را تغییر دهیم، چه اتفاقی برای رمز دوم و حساب بانکیمان میافتد؟
بزرگمهری درباره تغییر و تعویض سیمکارت توضیح داد: اگر فردی سیمکارت خود را بسوزاند و دوباره همان شماره را دریافت کند، خطری برای حساب بانکیاش به وجود نخواهد آمد، اما اگر سیمکارت را به فرد دیگری واگذار کنیم، مسائلی بهوجود خواهد آمد. باید این فرهنگسازی انجام شود که شهروندان در چنین مواقعی تغییرات را بلافاصله در مراکزی که قبلاً این شماره تلفن ثبتشده، اعلام کنند. البته فرآیند اعلام تغییر در حال حاضر پیچیده است. بخش زیادی از نظام بانکی ما پشتیبانی پرقدرتی ندارد و اگر این جابهجایی و واگذاری پس از ساعات کاری بانک انجام شود، مالک جدید تا روز کاری بعد امکان سوءاستفاده دارد.
گفتوگو از مریمالسادات علمالهدی
نظر شما