در همان اوایل رواج پرداخت آنلاین، روشهایی مانند کیبورد مجازی پیشنهاد شد، ولی خیلی هم این روش مورد تائید نیست. ع،برداری از صفحه باعث میشود تا سارق همزمان با کاربر اطلاعات را بردارد. این مورد، امنیت کیبورد مجازی را زیر سوال میبرد.
راههای مختلفی برای آگاهی کاربر از رمز یکبار مصرف وجود دارد. بعضی از سیستمها از نشانههای امنیت الکترونیکی ویژه استفاده میکنند. بعضی دیگر نرم افزارهایی دارند که روی تلفن همراه کاربر اجرا میشود. با این حال، سیستمهایی هستند که OTP ها را در سمت سرور تولید میکنند. با استفاده از یک کانال بیسیم مانند پیامهای SMS آن را برای کاربر میفرستند.
حالا کاربران با دانش کمی که دارند، اطلاعات کامل خود را در این صفحات وارد میکنند و از حسابشان سرقت میشود. این روش را فیشینگ میگویند. اما نقش رمز یکبار مصرف در این میان چیست؟
از طرف دیگر، با رمز یکبار مصرف خیلی نیازی به حفظ ، رمز عبور ندارید، با خیال راحت هم میتو،د در محل عمومی مثل کافینت وارد اینترنت بانک یا ایمیل شود و نگران سرقت اطلاعات خود نباشید.
در روش هماهنگسازی بین سرور احراز هویت و مشتری، در زمان ارائه رمز عبور از یک قطعه سختافزاری به،وان نشانه امنیتی استفاده میشود، مثلاً هر کاربر یک نشان شخصی ایجاد میکند تا رمز عبور یک بارمصرف بگیرد. این رمز مانند یک ماشین حساب کوچک با یک LCD است که نشانش هر چند وقت یکبار تغییر میکند.
البته این سیستم خیلی هم بدون عیب و ایراد نیست، مثلاً استفاده از OTP هزینه زیادی دارد. سختافزارها، توکنها، ارسال کدها از طریق تلفن یا موبایل هزینههای اضافی به کاربران تحمیل میکند.
در ایران با استفاده از الگوریتمهای ریاضی و وابسته به زمان رمز یکبار مصرف ارسال میشود. البته روش دوم دیگری هم هست. در این روش الگوریتمهای ریاضی روی توکن رمز (سختافزار مخصوص ایجاد رمز یکبار مصرف) رمز ایجاد میشود. استفاده از رمز یکبار مصرف با توکن در ایران تقریباً مرسوم است. عملکرد این سیستم به شرح زیر است:
- کاربر اطلاعات خود را در صفحه مالی وارد میکند.
- توکن را مقابل م،تور نمایش داده و توکن اطلاعات صفحه را اسکن میکند.
- توکن اطلاعات را جهت صحت اطلاعات مجدد به کاربر نشان میدهد.
- با کلیک کاربر روی توکن، امضای دیجتال تولیدشده ارائه می شود.
- امضای الکترونیک دریافتی از توکن، کاربر به داخل پرتال وارد می کند.
- بانک این چرخه مالی را تایید کرده و در صورت یکی بودن، عملیات انجام میشود.
مزایای استفاده از رمز یکبار مصرف
برنامهنویسان هر اندازه که نکات امنیتی را لحاظ کنند، روی امنیت کاربر تسلط و کنترل کاملی ندارند. چون مرورگر دسترسی محدودی به آنها میدهند. اگرچه OTP ها ظاهراً امن هستند، اماهنوز هم آسیبپذیرند. بنابراین OTP نباید به اشخاص ثالث داده شوند، بسیاری از فناوریهای رمز یکبار مصرف قبلاً توسط افراد یا شرکتها اختراع شدند. این امر باعث می شود، استانداردسازی در این زمینه مشکلتر باشد. در ضمن هر شرکت تلاش میکند تا تکنولوژی خودش را برتر نشان دهد.
معایب استفاده از OTP
رمز یکبار مصرف بهصورت آنلاین و بدون استفاده از نشانهها هم ارسال میشود. در این روش، با استفاده از دسته دادههای تصادفی مانند ع،ها، اعداد یا مخلوطی از نوشتهها رمز یکبار مصرف تعریف میشود.
رمز دوم موقت در ایران
این نشانه ممکن است دستگاه اختصاصی یا تلفن همراه باشد که نرم افزاری اختصاصی، رایگان یا منبع باز را اجرا میکند.
الگوریتمهای ریاضی
هنگامی که کاربر درخواست رمز پویا بدهد، پیامکی برایش ارسال میشود که حاوی نام سایت و مبلغ پرداختی است. لطفاً در این مرحله، تمام ورودیها را چک کنید. اگر به درستی اطلاعات اطمینان داشتید، روی گزینه پرداخت کلیک کنید تا پرداخت انجام شود. این روش توانسته تا حد زیادی از کلاهبرداری آنلاین کم کند.
در گوشیهای هوشمند، کلمه عبور به طور مستقیم از طریق برنامههایی از جمله تأیید اعتبار اختصاصی مثل Google Authenticator به مشتری ارسال میشود. این سیستمها آسیبپذیریهای امنیتی ندارند، بر اساس اینترنت نیستند و ،وماً هم نیازی به اتصال به شبکه تلفن همراه ندارند.
روشهای آنلاین
اما رمز یکبار مصرف در ایران چگونه است؟
در نشانه یک ساعت دقیق است که با سرور تأیید هویت اختصاصی هماهنگ شده است. در سیستمهای OTP، زمان بخش مهمی از الگوریتم رمز عبور است. تولید گذرواژههای جدید بر اساس زمان فعلی، به جای رمز قبلی مینشیند یا به آن اضافه میشود.
رمزعبور پویا فقط برای یک بار ورود، تراکنش در کامپیوتر یا دیگر دستگاههای دیجیتال معتبر استفاده میشود. احراز هویت سنتی (استاتیک) بر اساس رمز عبور عمل میکند. رمز یکبار مصرف در مقابل حمله سایبری بهتر عمل میکند. از طرف دیگر اگر کاربر از یک کلمه ی،ان برای چندین سیستم استفاده کند و همزمان رمز عبور یکی از دستگاهها توسط مهاجم هک شود، امکان دسترسی به بقیه رمزها دیگر مقدور نیست.
روش های مختلف تولید رمز یکبار مصرف OTP
الگوریتم ساخت رمز OTP بهسختی قابل شناساییست. این ساختار از ال،ای شبهتصادفی، تصادفی یا تابع هش (hash) استفاده میکند. توابع هش بهراحتی قابل تولید هستند ولی بازخو، آنها بدون کلید تقریباً امری ناممکن است. در ضمن، الگوریتمهای OTP در جزئیات باهم بسیار متفاوت هستند.
تولید رمز بر اساس هماهنگسازی
در حال حاضر رایجترین راه برای رمز یکبار مصرف، پیام متنی به ،وان کانال ارتباط همگ، است. این پیامها در تمام گوشیها از طریق تبدیل متن به گفتار با هزینۀ کم مستقیماً به همه ارسال میشود.
با رواج ،ید آنلاین و پرداختهای اینترنتی، سرقت از اطلاعات شخصی و حسابهای بانکی هم افزایش چشمگیری یافت، تا جایی که سارقان با تکیه بر اطلاعات کم کاربران آنها را دچار ضررهای هنگفتی ،د. در این میان، تقریباً 35% از برداشتهای غیرمجاز به خاطر ناآگاهی مردم رخ داد که با استفاده از رمز یکبار مصرف به 5% کاهش خواهد داشت. به همین خاطر از ،داد 98 بانکها استفاده از رمز یکبار مصرف را فعال ،د.
همین اول بیایید با مفهوم مهم فیشینگ آشنا شویم. پیشتر گفتم که در حال حاضر ،ید آنلاین بیش از صد هزار تومان به رمز یکبار مصرف نیاز دارد. البته کاربر برای ،ید آنلاین باید اطلاعات دیگری مانند شماره کارت و تاریخ انقضا را هم وارد کند. متاسفانه کلاهبرداران سایبری از این موقعیت سواستفاده میکنند، ی،ی صفحات جعلی را شبیه صفحات واقعی پرداختهای بانکی طراحی ،د تا کاربران را فریب دهند و وارد این صفحات جعلی کنند. حتی آدرس این صفحات هم تقریباً مطابق آدرس واقعیست.
استفاده از نرم افزارهای ویژه روی گوشی همراه، هزینه کمتری نسبت به سختافزارهای مخصوص دارد. اما ارسال کد از طریق موبایل و تلفن امنیت کمتری نسبت به سخت افزار دارد. بنابراین این کاربر است که بر اساس نیاز و هزینه باید روش بهتر را انتخاب کند.
مشکل دیگر OTP این است که استفاده از آن، میتواند مشکلساز شود، مثلاً در صورت عدم دسترسی به موبایل یا سختافزار موردنظر، قادر به ورود سیستم نیستید.
جمعبندی
درحالحاضر برای ،ید اینترنتی بالای صد هزار تومان کاربران باید از رمز یکبار مصرف یا همان رمز OTP استفاده کنند که در این مقاله مفصل دربارهاش صحبت خواهیم کرد.
فیشینگ چیست؟
موقع ،ید یا انتقال وجه بهصورت اینترنتی باید درخواست بدهید. بعد درخواست، بانک موردنظرتان رمز پویا برایتان میفرستد. رمز پویا فقط تا دو دقیقه معتبر است.
در صورتی که در این مورد تجربهای دارید، با ما و مخاطبان ملی پیامک در میان بگذارید. همچنین اگر در گرفتن رمز دچار مشکل شدید، برایمان در انتهای متن بنویسید تا به سوالتان سریعاٌ پاسخ دهیم.
منبع: https://www.melipayamak.com/blog/posts/what-is-a-one-use-p،word-or-otp/
الگوریتم بعدی در اصل الگوریتم ریاضی برای ایجاد رمز عبور جدید است. رمز عبور جدید بر اساس رمز عبور قبلی ساخته میشود. این روش در واقع مثل حلقههای یک زنجیره عمل میکند.
رمزهای یکبار مصرف نقص رمزهای ثابت را پوشش میدهد. مثلاً عدم آسیبپذیری در کلاهبرداری سایبری، اعتبار کوتاه و منقضی شدن سریع از مزایای استفاده از این رمزهای پویا برای تراکنش مالی در فضای آنلاین است.
با استفاده از توابع هش (hash) رمزها بهسختی رمزگشایی میشوند. چون برای ش،تن این رمزها، نیاز به داده اولیه برای مح،ه کلمات عبور احتمالی دارید. برای دریافت گذرواژه بعدی با استفاده ازگذرواژههای قبلی، باید یک روش مح،ه مع، از مقصد به مبدا انجام داد. این کار تقریباً مح،اتی غیرقابلانجام است. در نتیجه رمز یکبار مصرف با توابع هش تقریباً دست نیافتنیست.
روشهای ارائه رمز یکبار مصرف OTP
رمز OTP فعالیت کیلاگرها (نرمافزارهای ذخیرۀ کلیدهای مجازی) را متوقف میکند. در این حالت، کیلاگر پسوردها را ذخیره و به سازندهاش ارسال میکند. برای همین رمز فقط یکبار معتبر است. تا چند سال پیش سختافزار مخصوص تولید این رمزها با استفاده از توکن در اختیار بانکها قرار میگرفت. حالا با توسعۀ فناوری، این کار درحالحاضر توسط اپهای مختلف انجام میشود.
رمز عبور پویا چگونه عمل میکند؟
حالا بیایید با رمز یکبار مصرف یا همان OTP آشنا شویم.
رمز یکبار مصرف یا otp چیست؟
استفاده از OTP مانع دسترسی افراد غیرمجاز به حساب بانکی مشتری میشود و شهروندان را به استفاده از خدمات بانکداری اینترنتی تشویق میکند. از طرف دیگر، این سیستم امنیت بالایی دارد و کار، با آن خیلی سخت نیست. امنیت بالای OTP باعث حفظ اطلاعات و ایمنی رمز در تراکنشهای مالی آنلاین میشود.
الگوریتم ریاضی دوم هم رمز عبور جدید را بر اساس یک روش تصادفی تعیین میکند. این روش تصادفی اول توسط سرور تأیید هویت میشود. در مرحله دوم هم با شمارنده تولید و ارسال میشود.
بعد از مدتی استفاده از رمز دوم پیشنهاد شد. با رمز دوم ثابت باز هم حساب افراد قابل دسترسیست. برای همین اگر سارق به اطلاعات دسترسی پیدا کند، حسابتان خالی میشود. با رمز یکبار مصرف، عملاً سرقت اطلاعات بانکی غیرممکن میشود. حالا این رمز OTP یا همان One Time P،word چیست؟
اما رمز یکبار مصرف چه مزایایی دارد؟
در ادامه دستگاههایی که رمز یکبار مصرف را دریافت کنند، معرفی میکنیم: