رمز یکبار مصرف (OTP): امنیت بی‌نهایت در تراکنش‌های آنلاین

با افزایش استقبال افراد از خریدهای آنلاین، تراکنش‌های اینترنتی و استفاده از شبکه‌های مجازی مختلف، سرقت اطلاعات شخصی و کلاهبرداری‌های اینترنتی هم افزایش پیدا کرد. برای جلوگیری از این دست تخلفات و ضرر و زیان کاربران، رمز یکبار مصرف یا OTP (One Time Password) رواج پیدا کرد، تا جایی که در حال حاضر هیچ تراکنش مالی آنلاینی بدون رمز دوم یکبار مصرف (رمز دوم پویا) امکان‌پذیر نیست. این مقاله شما را با گذرواژه یکبار مصرف، احراز هویت دو مرحله‌ای با کمک OTPها و مزایا و معایب آن آشنا می‌کند.

رمز یکبار مصرف (OTP) چیست؟

به زبان ساده، رمز یکبار مصرف (One-Time Password) یک کد عددی یا حروفی است که به صورت تصادفی تولید شده، قابل‌حدس نیست و فقط برای یک بار استفاده اعتبار دارد. این کد معمولاً برای تایید هویت شما در هنگام انجام تراکنش‌های آنلاین، ورود به حساب‌های کاربری و هنگام ثبت‌نام و ورود به بعضی وب‌سایت‌ها استفاده می‌شود. رمز یکبار مصرف عموماً از طریق پیامک یا نرم‌افزارهایی مانند Google Authenticator یا سایر اپلیکیشن‌های رمزساز در اختیار شما قرار می‌گیرد.

بسیاری از وب‌سایت‌ها برای ورود افراد یک کد احراز هویت یا کد تایید ارسال می‌کنند. ارسال پیامک کد تایید از طریق پنل پیامکی و با استفاده از وب‌سرویس ارسال پیامک انجام می‌شود.

نقش OTP در تراکنش‌های آنلاین

OTPها به عنوان یکی از مهم‌ترین ابزارهای امنیتی در دنیای دیجیتال امروز، نقشی بسیار حیاتی در محافظت از تراکنش‌های آنلاین ایفا می‌کنند. این رمزها که برای هر تراکنش و در همان لحظه تولید می‌شوند، یک لایه امنیتی اضافی را به فرایند احراز هویت کاربران اضافه می‌کنند و از این طریق، احتمال وقوع کلاهبرداری‌های اینترنتی را به شدت کاهش می‌دهند.

در واقع، پیش از استفاده از رمزهای یکبار مصرف، چه برای ورود به حساب‌های کاربری و چه برای انجام تراکنش‌های آنلاین، نیاز به تعریف یک رمز ثابت داشتیم. گاهی اوقات حدس زدن این رمز ثابت با توجه به اطلاعات شخصی ما مانند شماره تماس، تاریخ تولد یا تاریخ‌های مهم زندگی‌مان کار چندان دشواری نبود. به علاوه در تراکنش‌های آنلاین، اگر شخصی به اطلاعات حساب بانکی ما مانند شماره کارت، تاریخ انقضا و CVV2 دسترسی پیدا می‌کرد، تنها به رمز دوم ثابت ما احتیاج داشت تا حساب بانکی را خالی کند! لزوم استفاده از رمز یکبار مصرف، کار سارقین را بسیار پیچیده کرده و احتمال فیشینگ و کلاهبرداری اینترنتی را بسیار کاهش داده است.

اهمیت OTP در امنیت بانکی

OTP به عنوان یک ابزار امنیتی قدرتمند، نقش بسیار مهمی در محافظت از حساب‌های بانکی کاربران ایفا می‌کند. با استفاده از OTP، بانک‌ها می‌توانند اطمینان حاصل کنند که فقط افراد مجاز به حساب‌های کاربران دسترسی دارند و خطر کلاهبرداری‌های مالی و فیشینگ‌ها به حداقل می‌رسد. امنیت بالا، کاربری آسان و امکان ارسال پیامک رمز برای میلیون‌ها کاربر به صورت همزمان، از مزایای استفاده از این روش در عملیات‌ بانکی محسوب می‌شوند. از مهم‌ترین نقش‌های OTP به افزایش امنیت بانکی می‌توان به جلوگیری از فیشینگ اشاره کرد:

فیشینگ و رمز یکبار مصرف

فیشینگ نوعی کلاهبرداری اینترنتی است که در آن کلاهبرداران سعی می‌کنند با ارسال یک پیامک یا ایمیل جعلی از وب‌سایت‌ها یا افراد معتبر، اطلاعات شخصی شما را مانند رمز عبور، شماره کارت اعتباری یا اطلاعات حساب بانکی را به دست آورند.

برای مثال، فرض کنید ایمیلی دریافت می‌کنید که ادعا می‌کند از بانک شما است و از شما می‌خواهد برای تایید هویت، اطلاعات حساب خود را وارد کنید. اگر روی لینک موجود در ایمیل کلیک کنید و اطلاعات خود را وارد کنید، خود را درگیر فیشینگ خواهید کرد.

اما استفاده از رمز یکبار مصرف، به چند روش از بروز حملات فیشینگ پیامکی، ایمیلی و... جلوگیری می‌کند:

• احراز هویت دو مرحله‌ای: با استفاده از OTP، احراز هویت شما در دو مرحله انجام می‌شود. مرحله اول وارد کردن نام کاربری و رمز عبور است و مرحله دوم وارد کردن رمز یکبار مصرف. این کار باعث می‌شود حتی اگر کسی رمز عبور شما را به دست آورد، بدون داشتن رمز موقت نتواند وارد حساب شما شود.
• بی‌اعتباری سریع رمز: رمز یکبار مصرف تنها برای مدت زمان کوتاهی معتبر است. یعنی حتی اگر کلاهبردار بتواند رمز موقت شما را به دست آورد، قبل از اینکه بتواند از آن استفاده کند، بی‌اعتبار شده است.
• کاهش اعتماد به لینک‌ها و پیامک‌ها: با استفاده از OTP، شما به اطلاعاتی که از طریق ایمیل یا پیامک دریافت می‌کنید کمتر اعتماد می‌کنید. چرا که می‌دانید که برای تایید هویت، به یک کد یکبار مصرف نیاز دارید.

اگر به دنبال نمونه پیامک‌هایی هستید که برای کلاهبرداری ارسال می‌شوند، مقاله «فریب این اس ام اس ها را نخورید!» را بخوانید.

روش‌های تولید رمز یکبار مصرف

الگوریتم ساخت OTP به‌سختی قابل شناسایی‌ست. ساختار رمزهای یکبار مصرف از الگوهای شبه‌تصادفی، تصادفی یا تابع هش (hash) استفاده می‌کند. توابع هش به‌راحتی قابل تولید هستند ولی بازخوانی آن‌ها بدون کلید تقریباً امری ناممکن است. در ضمن، الگوریتم‌های OTP در جزئیات با هم بسیار متفاوت هستند. این الگوریتم‌ها عبارت‌اند از:

تولید رمز بر اساس هماهنگ‌سازی (TOTP: Time Based One Time Password)

الگوریتم TOTP یکی از رایج‌ترین روش‌های تولید رمز یکبار مصرف است که در آن، رمز تولید شده بر اساس زمان و یک کلید مخفی مشترک بین سرور و دستگاه کاربر ایجاد می‌شود. این روش باعث می‌شود که رمز تولید شده در هر لحظه منحصر به فرد باشد و احتمال حدس زدن آن بسیار دشوار شود. در سیستم‌های OTP، زمان بخش مهمی از الگوریتم رمز عبور است. هنگام تولید گذرواژه‌های جدید بر اساس زمان فعلی، رمز جدید به جای رمز قبلی می‌نشیند یا به آن اضافه می‌شود.

الگوریتم‌های ریاضی

الگوریتم‌های ریاضی در ساخت رمزهای یکبار مصرف، مانند یک زنجیره عمل می‌کنند. در این الگوریتم، هر رمز بر اساس رمز عبور قبلی اما به یک روش تصادفی تولید می‌شود.با استفاده از توابع هش (hash) رمز‌ها به‌سختی رمز‌گشایی می‌شوند. چون برای شکستن این رمزها، نیاز به داده اولیه برای محاسبه کلمات عبور احتمالی دارید. برای دریافت گذرواژه بعدی با استفاده ازگذرواژه‌های قبلی، باید یک روش محاسبه معکوس از مقصد به مبدا انجام داد. این کار تقریباً یک محاسبه غیرقابل‌انجام است. در نتیجه رمز یکبار مصرف با توابع هش تقریباً دست‌نیافتنی‌ست.

نرم‌افزارهای تولید OTP

استفاده از این روش، نیازمند نصب یک نرم‌افزار مخصوص رمزساز بر روی گوشی موبایل است. بسیاری از بانک‌ها، ابتدای مسیر استفاده از رمز دوم پویا و پیش از رواج آن، نرم‌افزارهای مخصوصی برای تولید رمز دوم یکبار مصرف برای مشتریان معرفی می‌کردند.

فرض کنید می‌خواهید از یک نرم‌افزار OTP برای محافظت از حساب بانکی خود استفاده کنید. ابتدا نرم‌افزار را بر روی گوشی هوشمند خود نصب می‌کنید. سپس، به بانک یا دستگاه خودپرداز مراجعه کرده و هنگام فعال‌سازی رمز پویا، QR Code مخصوص حساب خود را از بانک دریافت می‌کنید. با اسکن این کد و فعال‌سازی نرم‌افزار، هر زمان که بخواهید یک تراکنش بانکی انجام دهید، از این نرم‌افزار استفاده می‌کنید. نرم‌افزار با استفاده از کلید مخفی و الگوریتم رمزنگاری، یک رمز یکبار مصرف جدید تولید کرده و آن را بر روی صفحه نمایش نشان می‌دهد.

برخی نرم‌افزارهای اندروید و iOS مخصوص تولید OPT که برای تایید دو مرحله‌ای حساب‌های کاربری در اپلیکیشن‌های مختلف استفاده می‌شوند، عبارت‌اند از:

• Google Authenticator
• Microsoft Authenticator
• Twilio Authy
• TOTP Authenticator
• 1Password

رمز دوم در ایران

در ایران، تراکنش‌های آنلاین پیش از رواج استفاده از رمز دوم یکبار مصرف یا پویا، با استفاده از رمز دوم ایستا یا ثابت انجام می‌شدند. امنیت پایین این روش در برابر کیلاگرها و انواع کلاهبرداری اینترنتی، باعث شد تا رمز دوم پویا یا همان رمز دوم یکبار مصرف جای خود را در تمام تراکنش‌های آنلاین باز کند. از سال 1398، استفاده از رمز دوم یکبار مصرف یا همان فعال‌سازی رمز پویا الزامی شد. ابتدا، برخی بانک‌ها از روش‌های مختلفی مثل پیامک، کد USSD و نرم‌افزارهای رمزساز برای تولید و ارسال رمز پویا به مشتریان استفاده می‌کردند. اما کمی بعد، تمام درگاه‌های پرداخت و اپلیکیشن‌های پرداخت آنلاین به گزینه «دریافت رمز پویا» مجهز شدند و تمام رمزهای پویا با انتخاب این گزینه و به آسانی برای مشتریان ارسال می‌شوند.

مزایای استفاده از OTP

رمز یکبار مصرف، چه در تراکنش‌های مالی و چه در ورود به حساب کاربری گوگل یا اپلیکیشن‌های مختلف، مزایایی از جمله حفاظت از داده‌های شخصی، امنیت و کاربری آسان را دارد. مهم‌ترین مزیت‌هایی که استفاده از OTP در اختیار شما قرار می‌دهد به شرح زیر هستند:

افزایش امنیت تراکنش‌ها با استفاده از رمز یکبار مصرف

محدودیت زمانی اعتبار رمزهای یکبار مصرف، تصادفی بودن رمزها و ایجاد امکان احراز هویت دو مرحله‌ای باعث افزایش امنیت تراکنش‌های مالی می‌شوند. البته که برای امنیت بیشتر، بهتر است این نکات را رعایت کنید:

• از رمز عبور قوی برای قفل موبایل خود استفاده کنید و از نصب اپلیکیشن‌های ناشناخته خودداری کنید تا افراد دیگر به رمزهای یکبار مصرف ارسال‌شده دسترسی نداشته باشند.
• OTP خود را با هیچ‌کس به اشتراک نگذارید.
• همیشه نرم‌افزارهای بانکداری و سیستم عامل خود را به آخرین نسخه بروزرسانی کنید.
• مراقب پیام‌های فیشینگ باشید و به پیامک‌ها و ایمیل‌هایی که حاوی لینک‌های مشکوک هستند، اعتماد نکنید.

محافظت در برابر کیلاگرها

کیلاگرها (Keylogger) نرم‌افزارهای مخربی هستند که با نصب مخفیانه روی دستگاه شما و با ثبت تمام کلیدهایی که روی کیبورد فشرده می‌شوند، تمام اطلاعات مانند رمزهای عبور و… را جمع‌آوری کنند. استفاده از رمز یکبار مصرف و تغییر مداوم رمز، زمان اعتبار کوتاه‌مدت آن و عدم دسترسی کلاهبرداران اینترنتی به کانال‌های دریافت OTP، باعث شکست افرادی می‌شود که از کیلاگر استفاده می‌کنند.

معایب استفاده از OTP

مشکلات شبکه

تفاوتی ندارد که درخواست دریافت رمز یکبار مصرف را از طریق اپلیکیشن‌های پرداخت آنلاین ارسال کرده باشید، یا از طریق کد USSD. گاهی ممکن است آنتن‌دهی ضعیف یا بسیاری از مشکلات دیگر باعث شوند تا پیامک رمز با تاخیر برای شما ارسال شوند، یا در برخی مواقع اصلاً ارسال نشوند! با وجود این‌که اکثر مواقع هیچ مشکلی در ارسال رمزها به وجود نمی‌آید، مشکلات شبکه ممکن است در زمان‌هایی که نیاز به پرداخت سریع داشته باشید، شما را غافلگیر کند.

پیچیدگی برای برخی کاربران

استفاده از تلفن‌های همراه و سر و کار داشتن با اینترنت، هنوز هم برای برخی افراد، به خصوص افراد مسن کمی پیچیده است. این مسئله و لزوم استفاده از رمز پویا می‌تواند این افراد را هنگام نیاز به انجام پرداخت آنلاین با چالش بیشتری روبه‌رو کند. با این وجود، امنیتی که رمز یکبار مصرف برای همه کاربران ایجاد می‌کند، ارزش این پیچیدگی احتمالی را دارد!

نتیجه‌گیری

رمزهای یکبار مصرف نقص‌ رمزهای ثابت را پوشش می‌دهد و با مزایای متعددی که دارد، از انواع کلاهبرداری اینترنتی جلوگیری می‌کند. از طرف دیگر، با رمز یکبار مصرف خیلی نیازی به حفظ کردن رمز عبور ندارید، با خیال راحت هم می‌توانید در محل‌ عمومی مثل کافی‌نت وارد اینترنت بانک یا ایمیل شوید و نگران سرقت اطلاعات خود نباشید!

در صورتی که در این مورد تجربه‌ای دارید، با ما و مخاطبان ملی پیامک در میان بگذارید. همچنین اگر در فعالسازی یا دریافت رمز دچار مشکل شدید، می‌توانید سوالات خود را کامنت بگذارید.