این روزها کلاه‌برداری سایبری با برداشت‌های غیر مجاز از حسابهای بانکی به روشهای مختلف همه‌گیر شده و سارقان با تکیه بر اطلاعات کم کاربران آنها را دچار ضررهای هنگفتی می‌کنند. بر اساس گفته پلیس فتا، چندین هزار پرونده برداشت غیرمجاز به خاطر نا اگاهی مردم رخ داده که می تواند با استفاده از رمز یکبار مصرف از 35 درصد به 5 درصد کاهش یابد. به همین خاطر بانکها مکلف به استفاده اجباری از رمز دوم موقت تا خرداد 98 شده اند.

در حال حاضر برای خرید اینترنتی کاربر مکلف به استفاده و ورود رمز دوم ثابت یا حداکثر استفاده از صفحه مجازی می‌باشد که البته اطلاعات دیگری مانند شماره کارت و تاریخ انقضا نیز مورد نیاز است.سارقان، صفحات جعلی کاملاً شبیه صفحات واقعی پرداخت های بانکی طراحی کرده و با روش‌هایی کاربران را فریب داده و وارد این صفحات جعلی می‌کنند.

حتی آدرس این صفحات هم تقریبا مطابق باآدرس واقعی است. کاربر با دانش کمی که دارد اطلاعات کامل خود را در این صفحات وارد کرده و حتی رمز ثابت خود را وارد می کند بدون توجه به اینکه همه اطلاعات درحال سرقت است .این روش را کلاهبرداری فیشینگ گویند.

رمز یکبار مصرف یا otp چیست و چه کاربردی دارد؟

روشهایی مانند کیبورد مجازی در حال حاضر مورد استفاده است .اما عکس برداری از صفحه که از روش های نوین جاسوسی است مهاجم را قادر می سازد ،همزمان با کاربر،اقدام به سرقت مشخصات کرده که این ،خود امنیت کیبورد مجازی را زیر سوال می‌برد.

با کمک رمز دوم ثابت، براحتی حساب افراد قابل دسترسی است. به همین دلیل رمزدوم موقت می تواند کمک بزرگی باشد.به این شکل که حتی اگر سارق دسترسی به اطلاعات پیدا کرده باشد رمز او فقط یک بار مصرف است و عملا سرقت را غیر ممکن می کند. اما رمز دوم چطور استفاده می شود؟

موقع خرید یا انتقال اینترنتی ،اپلیکیشن موبایل ویژه هر بانکی رای شما فعال کرده و رمز موقت را برایتان می فرستد. این رمز تنها برای همان فعالیت یا همان یکبار معتبر است.

این رمز دوم در مقابل رمز ثابت، رمز یکبارمصرف One Time Password یا OTP است. با استفاده از این رمز، فعالیت کیلاگر‌ها (یا نرم‌افزار‌هایی که کلیدهای مجازی را درحافظه ذخیره می‌کند) را هم می‌توان متوقف کرد. در این حالت کی‌لاگری که پسوردها را ذخیره و به سازنده‌اش ارسال می‌کند، بی‌اثر می‌شود چون پسورد ذخیره شده توسط کی‌لاگر، فقط یکبار معتبر بوده است وبرای بار دوم بی اثر است.

تا چند سال پیش سخت افزار مخصوص تولید این رمز ها با استفاده از توکن در اختیار بانکها . اما با توسعه فن اوری موبایل این کار در حال حاضرتوسط اپ های مختلف موبایل صورت می گیرد.

اما رمز عبور پویا چیست و چگونه عمل می کند؟

one-time password (OTP)، یا رمزعبور پویا، یک رمز عبور است که تنها برای یک بار ورود یا تراکنش، در یک سیستم کامپیوتری یا دیگر دستگاه دیجیتال معتبر است. احراز هویت سنتی (استاتیک) بر اساس پسوردعمل میکند که این باعث مشکلاتی می شود .مهمترین مزیتی که OTP رامورد توجه قرار داده این است که، در مقایسه با کلمات عبور استاتیک، بسیار کمتردر مقابل حملات آسیب پذیر هستند. این بدان معنی است که یک مزاحم بالقوه که قادر به ضبط یک OTP است و قبلا می توانست از طریق سرقت پسورد به سیستم نفوذ کند دیگر قادر به سوء استفاده از Otp نخواهد بود، زیرا اعتبار نخواهد داشت. مزیت دوم این است که اگریک کاربر که از یک کلمه یکسان (یا مشابه) برای چندین سیستم استفاده می کند، و رمز عبور یکی از دستگاه‌ها توسط یک مهاجم هک شود، امکان دسترسی به بقیه رمز ها مقدور نمی‌باشد.

رمز یکبار مصرف یا otp چیست و چه کاربردی دارد؟

تعدادی از سیستم های OTP نیز بر این اساس بنا شده اند که مطمئن هستندکه بخش جلسه (session)نمی‌تواند براحتی ازداده های غیر قابل پیش بینی ایجاد شده در طول جلسه قبلی سو استفاده کند در نتیجه سطح حمله را بسیارکاهش می‌دهد.otp به عنوان یک جایگزین احتمالی برای کلمه عبور سنتی است و چون دستکاری ان برای انسان دشوار است بنابراین، برای استفاده نیاز به تکنولوژی اضافی دارند.

الگوریتم های تولید این رمز برای پیش بینی OTP هایی که توسط مهاجم به سختی قابل شکستن می شونداز الگوهای شبه تصادفی یا تصادفی ویا تابع هش(hash) استفاده می کنند. توابع هش براحتی قابل تولیدهستند. اما برعکس، برای بازخوانی آن بدون کلید امری ناممکن است.الگوریتم های OTP در جزئیات باهم بسیار متفاوت هستند.

روش های مختلف تولید رمز یکبار مصرف OTP

  • بر اساس زمان هماهنگ سازی بین سرور احراز هویت و مشتری در زمان ارائه رمز عبور

دراین روش معمولا از یک قطعه سخت افزاری به نام یک نشانه امنیتی استفاده می شود (به عنوان مثال، هر کاربر یک نشان شخصی ایجاد می کند که یک رمز عبور یک بارمصرف ایجاد می کند).مانند یک ماشین حساب کوچک با یک LCD است که دارای یک نشانه است که هر چند وقت یک بارتغییر می کند. در داخل نشانه یک ساعت دقیق است که با ساعت سرور تأیید هویت اختصاصی، هماهنگ شده است. در این سیستم های OTP، زمان، بخش مهمی از الگوریتم رمز عبور است، زیرا تولید گذرواژه‌های جدید بر اساس زمان فعلی، به جای رمز قبلی می نشیند یا به آن اضافه میشود. این نشانه ممکن است یک دستگاه اختصاصی یا یک تلفن همراه یا یک دستگاه تلفن همراه باشد که نرم افزاری اختصاصی، نرم افزار رایگان یا منبع باز را اجرا می کند.

  • با استفاده از یک الگوریتم ریاضی برای ایجاد رمز عبور جدید بر اساس رمز عبور قبلی (OTP ها مانند حلقه هایی یک زنجیره هستند).
  • با استفاده از یک الگوریتم ریاضی که رمز عبور جدید،را بر اساس یک روش تصادفی ،توسط سرور تأیید هویت ویا یک شمارنده تولید می کند .

با استفاده از توابع هش(hash) رمز ها بسختی رمز گشایی می شوند. چون برای شکستن ، نیاز به دانستن داده اولیه برای محاسبه کلمات عبور احتمالی است،برای دریافت گذرواژه بعدی با استفاده ازگذرواژه‌های قبلی، باید یک روش محاسبه معکوس از مقصد به مبدا انجام داد که این کار محاسباتی غیر قابل انجام است.

روش های ارائه رمز یکبار مصرف OTP

راه های مختلفی برای ایجاد آگاهی کاربر از OTP بعدی وجود دارد. بعضی از سیستم ها از نشانه های امنیت الکترونیکی ویژه ای استفاده می کنند که کاربر حمل می کند و OTP تولید می کند و آنها را با استفاده از یک صفحه نمایش کوچک نشان می دهد. سیستم های دیگر شامل نرم افزار هایی هستند که بر روی تلفن همراه کاربر اجرا می شوند. با این حال، سیستم های دیگر OTP ها را در سمت سرور تولید می کنند و با استفاده از یک کانال بی سیمی مانند پیام های SMS به کاربر می فرستند. و برخی دیگر OTP هارا بر روی کاغذ چاپ می‌کنند که کاربر به آن نیاز دارد.

1- گوشی ها

یک تکنولوژی رایج برای تحویل OTP ها، پیام متنی است. از آنجا که پیام های متنی یک کانال ارتباطی همگانی هستند،تقریبا درتمام گوشی های تلفن همراه و یااز طریق تبدیل متن به گفتار به طور مستقیم به همه مصرف کنندگان با هزینه کم قابل پیاده سازی اند. با این حال، هزینه پیام های متنی برای هر OTP ممکن است برای برخی از کاربران قابل قبول نباشد. OTP ممکن است با استفاده از یک استاندارد A5 / x رمزگذاری شده باشد که یک هکر می توانددر عرض چند دقیقه یا چند ثانیه رمزگشایی کند.علاوه بر این، یک هکر می تواند با استفاده از پیام های متنی ونقص امنیتی که در پروتکل مسیریابی موجود استبه دستگاه نفوذ کند. در سال 2017، چندین مشتری در آلمان با همین تکنیک به منظور دسترسی به حسابهای بانکی تلفن همراه خود هک شدند .

در گوشی های هوشمند، کلمه عبور می تواند به طور مستقیم از طریق برنامه های تلفن همراه از جمله برنامه های تأیید اعتبار اختصاصی مثل Google Authenticator به مشتری تحویل داده شود . این سیستم ها آسیب پذیری های امنیتی مشابه را ندارند.بدلیل اینکه بر اساس اینترنت نیستند لزوما نیاز به اتصال به یک شبکه تلفن همراه را ندارند.

2- نشانه های اختصاصی

به تازگی، امکان تبدیل قطعات الکترونیکی همراه با نشانه های عادی به یک کارت اعتباری فراهم شده است.اما وجود باتری در این کارت عمر ان را کاهش می دهد.پس با استفاده یک USB وسیله ای فراهم کردند که وقتی یک کلید فشار داده می شود یک OTP ایجاد می شود و یک صفحه کلید را برای تسهیل ورود به یک رمز عبور طولانی شبیه سازی می کند.نسخه هایی از این تکنولوژی وارد بازار شده است که دارای یک صفحه کلید، صفحه نمایش، حافظه است.

3- روش های مبتنی بر وب

ارائه دهندگان تأیید هویت می توانندازیک سرویس مبتنی بر وب استفاده کنند.و با اینکار یک کلمه عبور یک بار مصرف را با روش های بدون نیاز به نشانه ها ارائه دهند. یکی از این روش ها استفاده از دسته داده‌های تصادفی مانند عکسها یا اعداد یا مخلوطی از نوشته‌ها است که توانایی کاربررا شناسایی آنها را محک می زند، که با هر بار وارد شدن تکرار می شود. در آلمان و بسیاری از کشورهای دیگر مانند اتریش و برزیل، OTP ها بانام TAN ویا mTAN (برای TAN های تلفن همراه) شناخته می شود.

اما رمز دوم موقت در ایران می تواند:

با استفاده از الگوریتم‌های ریاضی و وابسته به زمان روی موبایل شما، پس از ثبت در سیستم و سنجش اعتبار آن ،تولید شود.یا با استفاده از تلفن یا پیامک به گوشی شما ارسال شود.

یا با استفاده از الگوریتم‌های ریاضی روی توکن رمز( سخت‌افزاری کوچک مخصوص ایجاد رمز یک‌بار مصرف ) ایجاد شود. ویا می‌توان به تعداد لازم برای یک دوره زمانی (مثلا یک ماه) تولیدرمزکرد تا کاربر آن را یادداشت/پرینت کند و هر بار یکی از آنها را استفاده کند.

روش otp می‌تواند مانع دسترسی افراد غیرمجاز به حساب بانکی مشتری شود.می‌تواندباعث جلب توجه مشتریان به استفاده از خدمات بانکداری اینترنتی به دلیل افزایش امنیت و سهولت دراستفاده از سخت افزار شود . همچنین امنیت درتراکنش‌های مالی آنلاین ، جلوگیری از بروز مخاطرات امنیتی و افزایش ایمنی رمزرا تضمین می کند. برنامه نویسان هر اندازه که نکات امنیتی را در برنامه نویسی و سمت سرور لحاظ کنند، روی امنیت سمت کاربر تسلط و کنترل کاملی ندارند. چون مرورگر دسترسی‌های محدودی به آنها می‌دهد.

اگر چه OTP ها ظاهرا امن هستند اماهنوز به حملات انسان آسیب پذیر هستند. بنابراین OTP ها نباید به اشخاص ثالث داده شوند.بسیاری از فناوری‌های OTP قبلا توسط افراد یا شرکت‌ها اختراع شده اند. این امر باعث می شود استاندارد سازی در این زمینه مشکل‌تر باشد، زیرا هر شرکت تلاش می‌کند تا تکنولوژی خود را برتر نشان دهد. اما استانداردهایی هم وجود دارد .به عنوان مثال،استاندارد RFC 1760 .

نحوه عملکرد رمز با استفاده از توکن:

  1. کاربر اطلاعات خود را در صفحه مالی وارد می کند .
  2. توکن را  مقابل مانیتور نمایش داده و توکن اطلاعات صفحه رااسکن می کند
  3. توکن اطلاعات را جهت صحت اطلاعات مجدد به کاربر نشان می دهد
  4. با کلیک کاربرروی توکن ،امضای دیجتال تولید شده ارائه می شود.
  5. امضای الکترونیک دریافتی از توکن را کاربر به داخل پورتال وارد می کند.
  6. بانک این چرخه مالی را تایید کرده و در صورت یکی بودن، عملیات انجام می شود.

معایب OTP

استفاده ازOTP افزایش هزینه دارد. سخت‌افزار یا توکن و یا ارسال کدها از طریق تلفن یا موبایل نیز هزینه‌های اضافی به کاربران تحمیل می کند.استفاده از نرم‌افزارهای ویژه روی گوشی همراه، هزینه کمتری نسبت به سخت‌افزارهای مخصوص دارد اما ارسال کد از طریق موبایل و تلفن هم امنیت کمتری نسبت به سخت افزار دارد.بنابراین این کاربر است که بر اساس نیاز و هزینه باید روش بهتر را انتخاب کند .مشکل دیگر OTP این است که روش های پیشنهادی ،خود می توانند مشکل ساز شوند .مثلا در صورت عدم دسترسی به موبایل یا سخت‌افزار مورد نظر، قادر نخواهید بود وارد سیستم شوید.اما برای رفع این مشکل هم روش‌های جایگزین اضطراری برای ورود به سیستم پیش بینی می شود.

نتیجه گیری

رمزهای یکبار مصرف، نقص‌های رمزهای ثابت را پوشش می دهد مثلا مهم‌ترین نقصی که توسط آن جبران می شود ، عدم آسیب‌پذیر بودن در تکرار حملات است. یک مهاجم که به نحوی موفق شده به رمزی دسترسی پیدا کند که با ان عملیاتی انجام شده و یا ورود به سیستمی رخ داده،دیگر قادر نخواهد بود تا از آن استفاده کند، چرا که این رمز دیگر معتبر نیست .

اشکال دیگر روشهای قدیمی این است که، به‌خاطرسپاری آنها توسط انسان دشوار است و به همین دلیل ، اغلب افراد رمزهای آسان و قابل حدس زدن برای خود انتخاب می‌کنند. به همین دلیل استفاده از رمز یکبار مصرف الزامی است .با استفاده از رمزهای یک بار مصرف، می‌توانید با خیال راحت در محل‌های عمومی مثل کافی‌نت ها، وارد اینترنت بانک یا ایمیل خود شوید و دیگر نگران سرقت اطلاعات خود نباشید.

با استفاده از ملی پیامک می توانید علاوه بر تمام مزایا و خدمات بی شماره ارسال پیامک، رمز های یک بار مصرف خود را با اطمینان از ایمنی‌تان دریافت کنید. ما مشتاقانه منتظر نظرات و پیشنهادات شما در بخش نظرات سایت هستیم. به منظور دریافت مشاوره رایگان در خصوص خدمات ارسال پیامک از طریق اینترنت می‌توانید با شماره تلفن 63404-021 تماس بگیرید.

به دنبال رشد کسب و کارتان هستید؟ ملی‌پیامک به شما امکان جذب، نگهداری و تعامل با مشتری را می دهد.
مشاهده تعرفه‌ها 3 روز تست رایگان
بحث درباره این مقاله را شما آغاز کنید! ارسال دیدگاه

تیم تحریریه ملی پیامک

هر آنچه در ملی پیامک می خوانید، حاصل یک کوشش تیمی است؛ کوششی در جهت یافتن درست‌ترین پاسخ به مسائل و انتقال آن به شما. ما امیدواریم تلاش‌های مجموعه ما بتواند تاثیری هر چند کوچک در بهبود کیفیت فضای دیجیتال ایران داشته باشد.
درباره تیم ما بیشتر بدانید