با رواج خرید آنلاین و پرداختهای اینترنتی، سرقت از اطلاعات شخصی و حسابهای بانکی هم افزایش چشمگیری یافت، تا جایی که سارقان با تکیه بر اطلاعات کم کاربران آنها را دچار ضررهای هنگفتی کردند. در این میان، تقریباً 35% از برداشتهای غیرمجاز به خاطر ناآگاهی مردم رخ داد که با استفاده از رمز یکبار مصرف به 5% کاهش خواهد داشت. به همین خاطر از خرداد 98 بانکها استفاده از رمز یکبار مصرف را فعال کردند.
درحالحاضر برای خرید اینترنتی بالای صد هزار تومان کاربران باید از رمز یکبار مصرف یا همان رمز OTP استفاده کنند که در این مقاله مفصل دربارهاش صحبت خواهیم کرد.
فیشینگ چیست؟
همین اول بیایید با مفهوم مهم فیشینگ آشنا شویم. پیشتر گفتم که در حال حاضر خرید آنلاین بیش از صد هزار تومان به رمز یکبار مصرف نیاز دارد. البته کاربر برای خرید آنلاین باید اطلاعات دیگری مانند شماره کارت و تاریخ انقضا را هم وارد کند. متاسفانه کلاهبرداران سایبری از این موقعیت سواستفاده میکنند، یعنی صفحات جعلی را شبیه صفحات واقعی پرداختهای بانکی طراحی کردند تا کاربران را فریب دهند و وارد این صفحات جعلی کنند. حتی آدرس این صفحات هم تقریباً مطابق آدرس واقعیست.
حالا کاربران با دانش کمی که دارند، اطلاعات کامل خود را در این صفحات وارد میکنند و از حسابشان سرقت میشود. این روش را فیشینگ میگویند. اما نقش رمز یکبار مصرف در این میان چیست؟
هنگامی که کاربر درخواست رمز پویا بدهد، پیامکی برایش ارسال میشود که حاوی نام سایت و مبلغ پرداختی است. لطفاً در این مرحله، تمام ورودیها را چک کنید. اگر به درستی اطلاعات اطمینان داشتید، روی گزینه پرداخت کلیک کنید تا پرداخت انجام شود. این روش توانسته تا حد زیادی از کلاهبرداری آنلاین کم کند.
حالا بیایید با رمز یکبار مصرف یا همان OTP آشنا شویم.
رمز یکبار مصرف یا otp چیست؟
در همان اوایل رواج پرداخت آنلاین، روشهایی مانند کیبورد مجازی پیشنهاد شد، ولی خیلی هم این روش مورد تائید نیست. عکسبرداری از صفحه باعث میشود تا سارق همزمان با کاربر اطلاعات را بردارد. این مورد، امنیت کیبورد مجازی را زیر سوال میبرد.
بعد از مدتی استفاده از رمز دوم پیشنهاد شد. با رمز دوم ثابت باز هم حساب افراد قابل دسترسیست. برای همین اگر سارق به اطلاعات دسترسی پیدا کند، حسابتان خالی میشود. با رمز یکبار مصرف، عملاً سرقت اطلاعات بانکی غیرممکن میشود. حالا این رمز OTP یا همان One Time Password چیست؟
موقع خرید یا انتقال وجه بهصورت اینترنتی باید درخواست بدهید. بعد درخواست، بانک موردنظرتان رمز پویا برایتان میفرستد. رمز پویا فقط تا دو دقیقه معتبر است.
رمز OTP فعالیت کیلاگرها (نرمافزارهای ذخیرۀ کلیدهای مجازی) را متوقف میکند. در این حالت، کیلاگر پسوردها را ذخیره و به سازندهاش ارسال میکند. برای همین رمز فقط یکبار معتبر است. تا چند سال پیش سختافزار مخصوص تولید این رمزها با استفاده از توکن در اختیار بانکها قرار میگرفت. حالا با توسعۀ فناوری، این کار درحالحاضر توسط اپهای مختلف انجام میشود.
رمز عبور پویا چگونه عمل میکند؟
رمزعبور پویا فقط برای یک بار ورود، تراکنش در کامپیوتر یا دیگر دستگاههای دیجیتال معتبر استفاده میشود. احراز هویت سنتی (استاتیک) بر اساس رمز عبور عمل میکند. رمز یکبار مصرف در مقابل حمله سایبری بهتر عمل میکند. از طرف دیگر اگر کاربر از یک کلمه یکسان برای چندین سیستم استفاده کند و همزمان رمز عبور یکی از دستگاهها توسط مهاجم هک شود، امکان دسترسی به بقیه رمزها دیگر مقدور نیست.
روش های مختلف تولید رمز یکبار مصرف OTP
الگوریتم ساخت رمز OTP بهسختی قابل شناساییست. این ساختار از الگوهای شبهتصادفی، تصادفی یا تابع هش (hash) استفاده میکند. توابع هش بهراحتی قابل تولید هستند ولی بازخوانی آنها بدون کلید تقریباً امری ناممکن است. در ضمن، الگوریتمهای OTP در جزئیات باهم بسیار متفاوت هستند.
تولید رمز بر اساس هماهنگسازی
در روش هماهنگسازی بین سرور احراز هویت و مشتری، در زمان ارائه رمز عبور از یک قطعه سختافزاری بهعنوان نشانه امنیتی استفاده میشود، مثلاً هر کاربر یک نشان شخصی ایجاد میکند تا رمز عبور یک بارمصرف بگیرد. این رمز مانند یک ماشین حساب کوچک با یک LCD است که نشانش هر چند وقت یکبار تغییر میکند.
در نشانه یک ساعت دقیق است که با سرور تأیید هویت اختصاصی هماهنگ شده است. در سیستمهای OTP، زمان بخش مهمی از الگوریتم رمز عبور است. تولید گذرواژههای جدید بر اساس زمان فعلی، به جای رمز قبلی مینشیند یا به آن اضافه میشود.
این نشانه ممکن است دستگاه اختصاصی یا تلفن همراه باشد که نرم افزاری اختصاصی، رایگان یا منبع باز را اجرا میکند.
حتما بخوانید: ارسال پیامک، فرصتی برای جذب مشتری در میاندوابالگوریتمهای ریاضی
الگوریتم بعدی در اصل الگوریتم ریاضی برای ایجاد رمز عبور جدید است. رمز عبور جدید بر اساس رمز عبور قبلی ساخته میشود. این روش در واقع مثل حلقههای یک زنجیره عمل میکند.
الگوریتم ریاضی دوم هم رمز عبور جدید را بر اساس یک روش تصادفی تعیین میکند. این روش تصادفی اول توسط سرور تأیید هویت میشود. در مرحله دوم هم با شمارنده تولید و ارسال میشود.
با استفاده از توابع هش (hash) رمزها بهسختی رمزگشایی میشوند. چون برای شکستن این رمزها، نیاز به داده اولیه برای محاسبه کلمات عبور احتمالی دارید. برای دریافت گذرواژه بعدی با استفاده ازگذرواژههای قبلی، باید یک روش محاسبه معکوس از مقصد به مبدا انجام داد. این کار تقریباً محاسباتی غیرقابلانجام است. در نتیجه رمز یکبار مصرف با توابع هش تقریباً دست نیافتنیست.
روشهای ارائه رمز یکبار مصرف OTP
راههای مختلفی برای آگاهی کاربر از رمز یکبار مصرف وجود دارد. بعضی از سیستمها از نشانههای امنیت الکترونیکی ویژه استفاده میکنند. بعضی دیگر نرم افزارهایی دارند که روی تلفن همراه کاربر اجرا میشود. با این حال، سیستمهایی هستند که OTP ها را در سمت سرور تولید میکنند. با استفاده از یک کانال بیسیم مانند پیامهای SMS آن را برای کاربر میفرستند.
در ادامه دستگاههایی که رمز یکبار مصرف را دریافت کنند، معرفی میکنیم:
گوشی موبایل
در حال حاضر رایجترین راه برای رمز یکبار مصرف، پیام متنی به عنوان کانال ارتباط همگانی است. این پیامها در تمام گوشیها از طریق تبدیل متن به گفتار با هزینۀ کم مستقیماً به همه ارسال میشود.
در گوشیهای هوشمند، کلمه عبور به طور مستقیم از طریق برنامههایی از جمله تأیید اعتبار اختصاصی مثل Google Authenticator به مشتری ارسال میشود. این سیستمها آسیبپذیریهای امنیتی ندارند، بر اساس اینترنت نیستند و لزوماً هم نیازی به اتصال به شبکه تلفن همراه ندارند.
روشهای آنلاین
رمز یکبار مصرف بهصورت آنلاین و بدون استفاده از نشانهها هم ارسال میشود. در این روش، با استفاده از دسته دادههای تصادفی مانند عکسها، اعداد یا مخلوطی از نوشتهها رمز یکبار مصرف تعریف میشود.
رمز دوم موقت در ایران
اما رمز یکبار مصرف در ایران چگونه است؟
در ایران با استفاده از الگوریتمهای ریاضی و وابسته به زمان رمز یکبار مصرف ارسال میشود. البته روش دوم دیگری هم هست. در این روش الگوریتمهای ریاضی روی توکن رمز (سختافزار مخصوص ایجاد رمز یکبار مصرف) رمز ایجاد میشود. استفاده از رمز یکبار مصرف با توکن در ایران تقریباً مرسوم است. عملکرد این سیستم به شرح زیر است:
- کاربر اطلاعات خود را در صفحه مالی وارد میکند.
- توکن را مقابل مانیتور نمایش داده و توکن اطلاعات صفحه را اسکن میکند.
- توکن اطلاعات را جهت صحت اطلاعات مجدد به کاربر نشان میدهد.
- با کلیک کاربر روی توکن، امضای دیجتال تولیدشده ارائه می شود.
- امضای الکترونیک دریافتی از توکن، کاربر به داخل پرتال وارد می کند.
- بانک این چرخه مالی را تایید کرده و در صورت یکی بودن، عملیات انجام میشود.
مزایای استفاده از رمز یکبار مصرف
اما رمز یکبار مصرف چه مزایایی دارد؟
استفاده از OTP مانع دسترسی افراد غیرمجاز به حساب بانکی مشتری میشود و شهروندان را به استفاده از خدمات بانکداری اینترنتی تشویق میکند. از طرف دیگر، این سیستم امنیت بالایی دارد و کارکردن با آن خیلی سخت نیست. امنیت بالای OTP باعث حفظ اطلاعات و ایمنی رمز در تراکنشهای مالی آنلاین میشود.
برنامهنویسان هر اندازه که نکات امنیتی را لحاظ کنند، روی امنیت کاربر تسلط و کنترل کاملی ندارند. چون مرورگر دسترسی محدودی به آنها میدهند. اگرچه OTP ها ظاهراً امن هستند، اماهنوز هم آسیبپذیرند. بنابراین OTP نباید به اشخاص ثالث داده شوند، بسیاری از فناوریهای رمز یکبار مصرف قبلاً توسط افراد یا شرکتها اختراع شدند. این امر باعث می شود، استانداردسازی در این زمینه مشکلتر باشد. در ضمن هر شرکت تلاش میکند تا تکنولوژی خودش را برتر نشان دهد.
معایب استفاده از OTP
البته این سیستم خیلی هم بدون عیب و ایراد نیست، مثلاً استفاده از OTP هزینه زیادی دارد. سختافزارها، توکنها، ارسال کدها از طریق تلفن یا موبایل هزینههای اضافی به کاربران تحمیل میکند.
استفاده از نرم افزارهای ویژه روی گوشی همراه، هزینه کمتری نسبت به سختافزارهای مخصوص دارد. اما ارسال کد از طریق موبایل و تلفن امنیت کمتری نسبت به سخت افزار دارد. بنابراین این کاربر است که بر اساس نیاز و هزینه باید روش بهتر را انتخاب کند.
حتما بخوانید: راهنمای جامع متروی تهرانمشکل دیگر OTP این است که استفاده از آن، میتواند مشکلساز شود، مثلاً در صورت عدم دسترسی به موبایل یا سختافزار موردنظر، قادر به ورود سیستم نیستید.
جمعبندی
رمزهای یکبار مصرف نقص رمزهای ثابت را پوشش میدهد. مثلاً عدم آسیبپذیری در کلاهبرداری سایبری، اعتبار کوتاه و منقضی شدن سریع از مزایای استفاده از این رمزهای پویا برای تراکنش مالی در فضای آنلاین است.
از طرف دیگر، با رمز یکبار مصرف خیلی نیازی به حفظ کردن رمز عبور ندارید، با خیال راحت هم میتوانید در محل عمومی مثل کافینت وارد اینترنت بانک یا ایمیل شود و نگران سرقت اطلاعات خود نباشید.
در صورتی که در این مورد تجربهای دارید، با ما و مخاطبان ملی پیامک در میان بگذارید. همچنین اگر در گرفتن رمز دچار مشکل شدید، برایمان در انتهای متن بنویسید تا به سوالتان سریعاٌ پاسخ دهیم.
صالحی
سلام خسته نباشید ما بخوایم پنل رو برای وب سرویس تست کنیم ایا شما پنل تست در اختیار ما میزارید یا خیر؟ اگر بله ممنون میشم که بگید چجوری ثبت نام کنم چون روی ثبت نام میزنم باید پنل انتخاب کنم و هزینه واریز کنم
زهره تاجیک
سلام دوست عزیز،
سه روز تست رایگان دارید. برای ثبت نام هم روی پنل اقتصادی به بالا دکمه ثبت نام رو کلیک کنید بعد مراحل احراز هویت و ارسال مدارک رو بفرستید تا پنل براتون فعال بشه.
کریم هیوا
سلام من برای سایتم تهیه کردم و باید بگم که سرعت خوبی داره ارسالش زیر 15 ثانیه انجام میشه و برای لیست سیاه هم میره
فقط دوستان اگر سایتتون درگاه پرداخت هم داشته باشه ارسالش رو انجام میدن خیالتون راحت باشه
سمیه جابری
سلام وقت شما به خیر
خوشحالیم تجربه خوبی داشتید
احسان هاشمی
سلام وقت بخیر من از سامانه ی شما نزدیک به یک سال هست که استفاده می کنم و از نظر پشتیبانی چه در خصوص پنل و چه در خصوص پشتیبانی فنی وافعا راضی هستم فقط میخواستم بدونم با نزدیک شدن به دوره ی تمدید پنل نیاز هست که من پنل رو تمدید کنم و چه مبلغی پرداخت کنم؟
سمیه جابری
سلام وقت شما به خیر
خوشحالیم از تجربه خوبی که داشتید دوست عزیز
بله پنل ها نیاز به تمدید سالانه دارن و باید 60% هزینه اولیه پنل رو پرداخت کنید مجددا
کیوان خجندی
سلام از این پنل ها برای دریافت هم میشه ازش استفاده کرد؟
ما ارسال بالایی نداریم و بیشتر افراد پیامک ارسال میکنند
کدوم پنل رو پیشنهاد میدید؟
زهره تاجیک
درود بر شما،
مهمترین چیز اینه که باید خط اختصاصی داشته باشید. من پیشنهاد میکنم پنل اقتصادی رو خریداری کنید تا هم یه امکانات قابل قبولی داشته باشید هم بتونید پیامک دریافت کنید.
اریا شریک
سلام وقت بخیر
بهترین افزونه که میتونم بابته ارسال کد های otp استفاده کنم و ملی پیامک هم پشتیبانیش کنه کدوم افزونست ؟
ممنون میشم راهنمایی بفرمایید
سمیه جابری
سلام وقت شما به خیر
باید افزونه ای رو انتخاب کنید که متناسب با نیاز شما باشه
لطفا به سایت ژاکت و راست چین مراجعه کنید و با سرچ در این سایت ها افزونه مناسب رو پیدا کنید.
محمدصالح نیک نژاد
سلام روز بخیر
من فروشم رو به سمت آنلاینی بردم و سایت طراحب کردم
برای خریدهای آنلاین و کد احراز هویت، از کدوم پنل استفاده کنم؟
زهره تاجیک
درود بر شما،
از پنل اقتصادی استفاده کنید.
نعمتیان
بهترین کاربرد رمز یکبار مصرف اینه که یک ثبت نام خیلی راحت برای مخاطب خودتون ایجاد میکنید. فقط مشتری شما شماره موبایل وارد میکنه و ثبت نام انجام میشه چون هرچی ثبت نام راحت و سریع تری داشته باشید امکان این که خریدی رو از شما انجام بده خیلی بالا میره.
سمیه جابری
سلام دوست عزیز
بله دقیقا
این کار تجربه کاربری خوبی از سایت شما در ذهن ها باقی میذاره
بردباری
سلام وقتتون بخیر من قصد خریداری دارم کدوم پنلتون امکان ارسال از طریق وب سرویس رو داره ممنونمیشم راهنماییم کنید ت خریداری کنم؟و همچنین ارسال به بلک لیست رو شما دارید؟
سمیه جابری
سلام دوست عزیز وقت شما به خیر
برای این کار باید از پنل اقتصادی، شرکتی و تجاری استفاده کنید.
برای ارسال پیامک به شماره های بلک لیست هم میتونید از خطوط خدماتی و هم وبسرویس خدماتی استفاده کنید.
بردباری
سلام وقتتون بخیر من قصد خریداری دارم کدوم پنلتون امکان ارسال از طریق وب سرویس رو داره ممنونمیشم راهنماییم کنید ت خریداری کنم؟
سمیه جابری
سلام وقت شما به خیر
برای ارسال پیامک به کمک وبسرویس باید از سه پنل اقتصادی، شرکتی و یا تجاری استفاده کنید.
حامد کبیری
سلام من یک اپلیکشن دارم با اسکریپ جاوا میخواستم بدونم به بنده هم خط خدماتی به صورت اشتراکی داده میشه که بتونم ارسال کد نایید خودم رو به همه ی شماره ها داشته باشم
زهره تاجیک
درود بر شما،
بله میتونید استفاده کنید. برای مشاوره تخصصی زنگ بزنید به 02163404
يزدانى
سلام میخواستم بدونم شما برای لیست سیاه هم ارسال پیامک تبلیغاتی انجام میدین؟ تعرفه ى ارسال به بلك ليست با غير بلك ليست متفاوت هستش؟
زهره تاجیک
درود بر شما،
با خطوط خدماتی میتونید به بلک لیست ارسال داشته باید.
emad
من یک سایت در حوزه ی طلا و جواهرات دارم که بیشتر مخاطب ها خارج کشور هستند ارسال به خارج از کشور امکان پذیر می باشد
زهره تاجیک
سلام دوست عزیزفش
بله البته تعرفه نسبتا بالایی داره اما در کل میتونید ارسال کنید.
کمالی
سلام وقتتون بخیر برای دریافت خط خدماتی باید حتما شرکت ثبت شده یا ارگان دولتی باشیم ما شخص حقیقی هستیم و سایت دارای اینماد داریم برای ما هم امکان پذیر است؟
زهره تاجیک
درود بر شما،
خط 9000 و 9999 شرایطی رو دارن که میتونید با جواز کسب یا سایت دارای اینماد، خط خدماتی تهیه کنید.
سودا وب
من سالیان سال هست از وب سرویس ملی پیامک بابته ارسال کدهای OTP استفاده میکنم از همون موقع که دیگه تقریبا استفاده از ایمیل کمتر شد تصمیم گرفتم ارسال پیامک های کد تایید سایتم بوسیله شماره موبایل صورت بگیره و از ملی پیامک و وب سرویس فوق العاده قویش بابته این مورد استفاده کردم و به شدت راضی هستم به همه خوانندگانی که دارای سایت هستند پیشنهاد میکنم
موفق باشید.
زهره تاجیک
درود بر شما،
خوشحالیم که از خدمات ملی پیامک راضی هستید. همیشه شاد و سربلند باشید.
سینا احمدی
سلام وقت بخیر
میشه به بلک لیست هم رمز یکبار مصرف ارسال کرد؟
من خیلی به این موضوع برخوردم
مونا هادی
سلام وقت شما هم بخیر
بله میشه به بلک لیست هم رمز یکبار مصرف ارسال کرد. برای راهنمایی با بخش فنی 02163404 تماس بگیرید.
یسنا سلیمانی
واقعا روی هر لینکی نباید کلیک کرد
بعضیاش مخرب هستن و خود به خود برنامه نصب میکنن و داغون میکنن سیستم رو
مخصوصا تبلیغات این اپ ها
نمیدونم چطور میکنن اینکارو ولی جالب نیست درکل
عیسی زارع
سلام من جدیدا فروشگاه آنلاین رو راه اندازی کردم و برای رمز یکبار مصرف و … میخوام از پنل های شما استفاده کنم
راهنمایی میکنید که تنظیمات رو چجوری انجام بدم؟
امکانش هست خودتون انجام بدید
نیلوفر اکبریان
سلام روزتون بخیر، ای کاش توضیحات بیشتری میفرمودین! زبان برنامهنویسی یا CMS وبسایتتون؟ پیشنهاد میکنم با بخش فنی 02163404 در ارتباط باشید.
علی
من یک اپلیکیشن طراحی کردم از کجا میتونم نمونه کد هاروبه صورت کامل ببینم اگر آدرس صفحه رو برای من ارسال کنید توی ایمیل ممنون میشم
نیلوفر اکبریان
سلام دوست عزیز،
لینک نمونه کدهای جاوا رُ براتون ایمیل کردم و لینک کنسول ملی پیامک رُ براتون قرار میدم!
محسن چرمیان
من مقالهتون رو خوندم ولی خیلی فنی توضیح داده بود که دقیق نفهمیدم. یه سایت دادم برام درست کردن، ولی میگن که باید برای ثبت نام از شما پنل بگیریم که مشتری میاد تو سایت با شماره موبایل ثبت نام کنه. چجوری میشه این؟ شما راه اندازی میکنین اگر هزینهش رو پرداخت کنم؟ کدوم پنل رو بگیرم؟ تجاری خوبه برای این کار ؟
مونا هادی
سلام دوست عزیز، بله امکان ارسال OTP وجود داره! پنل تجاری برای این کار مناسبه! برای تنظیمات فنی هم آموزشهای لازم وجود داره اما خُب میتونین از بخش پشتیبانی فنی توضیحات فنی رُ دریافت بفرمایید. 02163404
حسین خیری
من برای سایتم استفاده میکنم ولی برای همه شماره ها ارسال نمیشه مشکل کجاست؟
و اینکه شما پشتیبانی میکنید از بوکلی؟
ممنون میشم راهنمایی بفرمایید سردرگم شدم
مونا هادی
بله از بوکلی هم پشتیبانی میکنیم. برای ارسال پیامکهای اطلاعرسانی و نوبتدهی به مراجعین دکترکه حتی به لیست سیاه مخابرات هم ارسال بشه، لطفاً با پشتیبانی فنی در ارتباط باشید. 02163404
محمدی پور
چجوری میشه برای otp به لیست سیاه فرستاد؟
انصافا این که دیگه تبلیغاتی نیست!!!!؟؟؟
نیلوفر اکبریان
دوست عزیز باید از خدمات وبسرویس یا ارسال از خطوط خدماتی استفاده کنید
صامعی
سلام وقتتون بخیر
مقالتونو خوندم و واقعا مفید بود و به اطلاعاتمون اضافه شد فقط یه سوال کدهای امنیتی که برای ورود اکثر سایتها برای امنیت بیشتر ازش استفاده میشه جز همین گروه otp محسوب میشه؟
ممنون دانسته هاتونو با ما به اشتراک میزارید.
نیلوفر اکبریان
دوست عزیز رمز otp همون رمز یکبار مصرفه