با رواج خرید آنلاین و پرداختهای اینترنتی، سرقت از اطلاعات شخصی و حسابهای بانکی هم افزایش چشمگیری یافت، تا جایی که سارقان با تکیه بر اطلاعات کم کاربران آنها را دچار ضررهای هنگفتی کردند. در این میان، تقریباً 35% از برداشتهای غیرمجاز به خاطر ناآگاهی مردم رخ داد که با استفاده از رمز یکبار مصرف به 5% کاهش خواهد داشت. به همین خاطر از خرداد 98 بانکها استفاده از رمز یکبار مصرف را فعال کردند.
درحالحاضر برای خرید اینترنتی بالای صد هزار تومان کاربران باید از رمز یکبار مصرف یا همان رمز OTP استفاده کنند که در این مقاله مفصل دربارهاش صحبت خواهیم کرد.
فیشینگ چیست؟
همین اول بیایید با مفهوم مهم فیشینگ آشنا شویم. پیشتر گفتم که در حال حاضر خرید آنلاین بیش از صد هزار تومان به رمز یکبار مصرف نیاز دارد. البته کاربر برای خرید آنلاین باید اطلاعات دیگری مانند شماره کارت و تاریخ انقضا را هم وارد کند. متاسفانه کلاهبرداران سایبری از این موقعیت سواستفاده میکنند، یعنی صفحات جعلی را شبیه صفحات واقعی پرداختهای بانکی طراحی کردند تا کاربران را فریب دهند و وارد این صفحات جعلی کنند. حتی آدرس این صفحات هم تقریباً مطابق آدرس واقعیست.
حالا کاربران با دانش کمی که دارند، اطلاعات کامل خود را در این صفحات وارد میکنند و از حسابشان سرقت میشود. این روش را فیشینگ میگویند. اما نقش رمز یکبار مصرف در این میان چیست؟
هنگامی که کاربر درخواست رمز پویا بدهد، پیامکی برایش ارسال میشود که حاوی نام سایت و مبلغ پرداختی است. لطفاً در این مرحله، تمام ورودیها را چک کنید. اگر به درستی اطلاعات اطمینان داشتید، روی گزینه پرداخت کلیک کنید تا پرداخت انجام شود. این روش توانسته تا حد زیادی از کلاهبرداری آنلاین کم کند.
حالا بیایید با رمز یکبار مصرف یا همان OTP آشنا شویم.
رمز یکبار مصرف یا otp چیست؟
در همان اوایل رواج پرداخت آنلاین، روشهایی مانند کیبورد مجازی پیشنهاد شد، ولی خیلی هم این روش مورد تائید نیست. عکسبرداری از صفحه باعث میشود تا سارق همزمان با کاربر اطلاعات را بردارد. این مورد، امنیت کیبورد مجازی را زیر سوال میبرد.
بعد از مدتی استفاده از رمز دوم پیشنهاد شد. با رمز دوم ثابت باز هم حساب افراد قابل دسترسیست. برای همین اگر سارق به اطلاعات دسترسی پیدا کند، حسابتان خالی میشود. با رمز یکبار مصرف، عملاً سرقت اطلاعات بانکی غیرممکن میشود. حالا این رمز OTP یا همان One Time Password چیست؟
موقع خرید یا انتقال وجه بهصورت اینترنتی باید درخواست بدهید. بعد درخواست، بانک موردنظرتان رمز پویا برایتان میفرستد. رمز پویا فقط تا دو دقیقه معتبر است.
رمز OTP فعالیت کیلاگرها (نرمافزارهای ذخیرۀ کلیدهای مجازی) را متوقف میکند. در این حالت، کیلاگر پسوردها را ذخیره و به سازندهاش ارسال میکند. برای همین رمز فقط یکبار معتبر است. تا چند سال پیش سختافزار مخصوص تولید این رمزها با استفاده از توکن در اختیار بانکها قرار میگرفت. حالا با توسعۀ فناوری، این کار درحالحاضر توسط اپهای مختلف انجام میشود.
رمز عبور پویا چگونه عمل میکند؟
رمزعبور پویا فقط برای یک بار ورود، تراکنش در کامپیوتر یا دیگر دستگاههای دیجیتال معتبر استفاده میشود. احراز هویت سنتی (استاتیک) بر اساس رمز عبور عمل میکند. رمز یکبار مصرف در مقابل حمله سایبری بهتر عمل میکند. از طرف دیگر اگر کاربر از یک کلمه یکسان برای چندین سیستم استفاده کند و همزمان رمز عبور یکی از دستگاهها توسط مهاجم هک شود، امکان دسترسی به بقیه رمزها دیگر مقدور نیست.
روش های مختلف تولید رمز یکبار مصرف OTP
الگوریتم ساخت رمز OTP بهسختی قابل شناساییست. این ساختار از الگوهای شبهتصادفی، تصادفی یا تابع هش (hash) استفاده میکند. توابع هش بهراحتی قابل تولید هستند ولی بازخوانی آنها بدون کلید تقریباً امری ناممکن است. در ضمن، الگوریتمهای OTP در جزئیات باهم بسیار متفاوت هستند.
تولید رمز بر اساس هماهنگسازی
در روش هماهنگسازی بین سرور احراز هویت و مشتری، در زمان ارائه رمز عبور از یک قطعه سختافزاری بهعنوان نشانه امنیتی استفاده میشود، مثلاً هر کاربر یک نشان شخصی ایجاد میکند تا رمز عبور یک بارمصرف بگیرد. این رمز مانند یک ماشین حساب کوچک با یک LCD است که نشانش هر چند وقت یکبار تغییر میکند.
در نشانه یک ساعت دقیق است که با سرور تأیید هویت اختصاصی هماهنگ شده است. در سیستمهای OTP، زمان بخش مهمی از الگوریتم رمز عبور است. تولید گذرواژههای جدید بر اساس زمان فعلی، به جای رمز قبلی مینشیند یا به آن اضافه میشود.
این نشانه ممکن است دستگاه اختصاصی یا تلفن همراه باشد که نرم افزاری اختصاصی، رایگان یا منبع باز را اجرا میکند.
الگوریتمهای ریاضی
الگوریتم بعدی در اصل الگوریتم ریاضی برای ایجاد رمز عبور جدید است. رمز عبور جدید بر اساس رمز عبور قبلی ساخته میشود. این روش در واقع مثل حلقههای یک زنجیره عمل میکند.
الگوریتم ریاضی دوم هم رمز عبور جدید را بر اساس یک روش تصادفی تعیین میکند. این روش تصادفی اول توسط سرور تأیید هویت میشود. در مرحله دوم هم با شمارنده تولید و ارسال میشود.
با استفاده از توابع هش (hash) رمزها بهسختی رمزگشایی میشوند. چون برای شکستن این رمزها، نیاز به داده اولیه برای محاسبه کلمات عبور احتمالی دارید. برای دریافت گذرواژه بعدی با استفاده ازگذرواژههای قبلی، باید یک روش محاسبه معکوس از مقصد به مبدا انجام داد. این کار تقریباً محاسباتی غیرقابلانجام است. در نتیجه رمز یکبار مصرف با توابع هش تقریباً دست نیافتنیست.
روشهای ارائه رمز یکبار مصرف OTP
راههای مختلفی برای آگاهی کاربر از رمز یکبار مصرف وجود دارد. بعضی از سیستمها از نشانههای امنیت الکترونیکی ویژه استفاده میکنند. بعضی دیگر نرم افزارهایی دارند که روی تلفن همراه کاربر اجرا میشود. با این حال، سیستمهایی هستند که OTP ها را در سمت سرور تولید میکنند. با استفاده از یک کانال بیسیم مانند پیامهای SMS آن را برای کاربر میفرستند.
در ادامه دستگاههایی که رمز یکبار مصرف را دریافت کنند، معرفی میکنیم:
گوشی موبایل
در حال حاضر رایجترین راه برای رمز یکبار مصرف، پیام متنی به عنوان کانال ارتباط همگانی است. این پیامها در تمام گوشیها از طریق تبدیل متن به گفتار با هزینۀ کم مستقیماً به همه ارسال میشود.
در گوشیهای هوشمند، کلمه عبور به طور مستقیم از طریق برنامههایی از جمله تأیید اعتبار اختصاصی مثل Google Authenticator به مشتری ارسال میشود. این سیستمها آسیبپذیریهای امنیتی ندارند، بر اساس اینترنت نیستند و لزوماً هم نیازی به اتصال به شبکه تلفن همراه ندارند.
روشهای آنلاین
رمز یکبار مصرف بهصورت آنلاین و بدون استفاده از نشانهها هم ارسال میشود. در این روش، با استفاده از دسته دادههای تصادفی مانند عکسها، اعداد یا مخلوطی از نوشتهها رمز یکبار مصرف تعریف میشود.
رمز دوم موقت در ایران
اما رمز یکبار مصرف در ایران چگونه است؟
در ایران با استفاده از الگوریتمهای ریاضی و وابسته به زمان رمز یکبار مصرف ارسال میشود. البته روش دوم دیگری هم هست. در این روش الگوریتمهای ریاضی روی توکن رمز (سختافزار مخصوص ایجاد رمز یکبار مصرف) رمز ایجاد میشود. استفاده از رمز یکبار مصرف با توکن در ایران تقریباً مرسوم است. عملکرد این سیستم به شرح زیر است:
- کاربر اطلاعات خود را در صفحه مالی وارد میکند.
- توکن را مقابل مانیتور نمایش داده و توکن اطلاعات صفحه را اسکن میکند.
- توکن اطلاعات را جهت صحت اطلاعات مجدد به کاربر نشان میدهد.
- با کلیک کاربر روی توکن، امضای دیجتال تولیدشده ارائه می شود.
- امضای الکترونیک دریافتی از توکن، کاربر به داخل پرتال وارد می کند.
- بانک این چرخه مالی را تایید کرده و در صورت یکی بودن، عملیات انجام میشود.
مزایای استفاده از رمز یکبار مصرف
اما رمز یکبار مصرف چه مزایایی دارد؟
استفاده از OTP مانع دسترسی افراد غیرمجاز به حساب بانکی مشتری میشود و شهروندان را به استفاده از خدمات بانکداری اینترنتی تشویق میکند. از طرف دیگر، این سیستم امنیت بالایی دارد و کارکردن با آن خیلی سخت نیست. امنیت بالای OTP باعث حفظ اطلاعات و ایمنی رمز در تراکنشهای مالی آنلاین میشود.
برنامهنویسان هر اندازه که نکات امنیتی را لحاظ کنند، روی امنیت کاربر تسلط و کنترل کاملی ندارند. چون مرورگر دسترسی محدودی به آنها میدهند. اگرچه OTP ها ظاهراً امن هستند، اماهنوز هم آسیبپذیرند. بنابراین OTP نباید به اشخاص ثالث داده شوند، بسیاری از فناوریهای رمز یکبار مصرف قبلاً توسط افراد یا شرکتها اختراع شدند. این امر باعث می شود، استانداردسازی در این زمینه مشکلتر باشد. در ضمن هر شرکت تلاش میکند تا تکنولوژی خودش را برتر نشان دهد.
معایب استفاده از OTP
البته این سیستم خیلی هم بدون عیب و ایراد نیست، مثلاً استفاده از OTP هزینه زیادی دارد. سختافزارها، توکنها، ارسال کدها از طریق تلفن یا موبایل هزینههای اضافی به کاربران تحمیل میکند.
استفاده از نرم افزارهای ویژه روی گوشی همراه، هزینه کمتری نسبت به سختافزارهای مخصوص دارد. اما ارسال کد از طریق موبایل و تلفن امنیت کمتری نسبت به سخت افزار دارد. بنابراین این کاربر است که بر اساس نیاز و هزینه باید روش بهتر را انتخاب کند.
مشکل دیگر OTP این است که استفاده از آن، میتواند مشکلساز شود، مثلاً در صورت عدم دسترسی به موبایل یا سختافزار موردنظر، قادر به ورود سیستم نیستید.
جمعبندی
رمزهای یکبار مصرف نقص رمزهای ثابت را پوشش میدهد. مثلاً عدم آسیبپذیری در کلاهبرداری سایبری، اعتبار کوتاه و منقضی شدن سریع از مزایای استفاده از این رمزهای پویا برای تراکنش مالی در فضای آنلاین است.
از طرف دیگر، با رمز یکبار مصرف خیلی نیازی به حفظ کردن رمز عبور ندارید، با خیال راحت هم میتوانید در محل عمومی مثل کافینت وارد اینترنت بانک یا ایمیل شود و نگران سرقت اطلاعات خود نباشید.
در صورتی که در این مورد تجربهای دارید، با ما و مخاطبان ملی پیامک در میان بگذارید. همچنین اگر در گرفتن رمز دچار مشکل شدید، برایمان در انتهای متن بنویسید تا به سوالتان سریعاٌ پاسخ دهیم.
سینا احمدی
سلام وقت بخیر
میشه به بلک لیست هم رمز یکبار مصرف ارسال کرد؟
من خیلی به این موضوع برخوردم
مونا هادی
سلام وقت شما هم بخیر
بله میشه به بلک لیست هم رمز یکبار مصرف ارسال کرد. برای راهنمایی با بخش فنی 02163404 تماس بگیرید.
یسنا سلیمانی
واقعا روی هر لینکی نباید کلیک کرد
بعضیاش مخرب هستن و خود به خود برنامه نصب میکنن و داغون میکنن سیستم رو
مخصوصا تبلیغات این اپ ها
نمیدونم چطور میکنن اینکارو ولی جالب نیست درکل
عیسی زارع
سلام من جدیدا فروشگاه آنلاین رو راه اندازی کردم و برای رمز یکبار مصرف و … میخوام از پنل های شما استفاده کنم
راهنمایی میکنید که تنظیمات رو چجوری انجام بدم؟
امکانش هست خودتون انجام بدید
نیلوفر اکبریان
سلام روزتون بخیر، ای کاش توضیحات بیشتری میفرمودین! زبان برنامهنویسی یا CMS وبسایتتون؟ پیشنهاد میکنم با بخش فنی 02163404 در ارتباط باشید.
علی
من یک اپلیکیشن طراحی کردم از کجا میتونم نمونه کد هاروبه صورت کامل ببینم اگر آدرس صفحه رو برای من ارسال کنید توی ایمیل ممنون میشم
نیلوفر اکبریان
سلام دوست عزیز،
لینک نمونه کدهای جاوا رُ براتون ایمیل کردم و لینک کنسول ملی پیامک رُ براتون قرار میدم!
محسن چرمیان
من مقالهتون رو خوندم ولی خیلی فنی توضیح داده بود که دقیق نفهمیدم. یه سایت دادم برام درست کردن، ولی میگن که باید برای ثبت نام از شما پنل بگیریم که مشتری میاد تو سایت با شماره موبایل ثبت نام کنه. چجوری میشه این؟ شما راه اندازی میکنین اگر هزینهش رو پرداخت کنم؟ کدوم پنل رو بگیرم؟ تجاری خوبه برای این کار ؟
مونا هادی
سلام دوست عزیز، بله امکان ارسال OTP وجود داره! پنل تجاری برای این کار مناسبه! برای تنظیمات فنی هم آموزشهای لازم وجود داره اما خُب میتونین از بخش پشتیبانی فنی توضیحات فنی رُ دریافت بفرمایید. 02163404
حسین خیری
من برای سایتم استفاده میکنم ولی برای همه شماره ها ارسال نمیشه مشکل کجاست؟
و اینکه شما پشتیبانی میکنید از بوکلی؟
ممنون میشم راهنمایی بفرمایید سردرگم شدم
مونا هادی
بله از بوکلی هم پشتیبانی میکنیم. برای ارسال پیامکهای اطلاعرسانی و نوبتدهی به مراجعین دکترکه حتی به لیست سیاه مخابرات هم ارسال بشه، لطفاً با پشتیبانی فنی در ارتباط باشید. 02163404
محمدی پور
چجوری میشه برای otp به لیست سیاه فرستاد؟
انصافا این که دیگه تبلیغاتی نیست!!!!؟؟؟
نیلوفر اکبریان
دوست عزیز باید از خدمات وبسرویس یا ارسال از خطوط خدماتی استفاده کنید
صامعی
سلام وقتتون بخیر
مقالتونو خوندم و واقعا مفید بود و به اطلاعاتمون اضافه شد فقط یه سوال کدهای امنیتی که برای ورود اکثر سایتها برای امنیت بیشتر ازش استفاده میشه جز همین گروه otp محسوب میشه؟
ممنون دانسته هاتونو با ما به اشتراک میزارید.
نیلوفر اکبریان
دوست عزیز رمز otp همون رمز یکبار مصرفه