معرفی

نرم افزارهای مالی کلیک با کدگذاری دیتای کاربر در بانک اطلاعاتی، کنترل دقیق و امن ورود و خروج کاربران (با درج زمان دقیق) و نیز قابلیت استفاده از اپلیکیشن موبایلی OTP یا همان رمز یکبار مصرف، امنیت اطلاعات و دیتا را بالا برده و نیز تضمین می‌کند.

چکیده

در دنیای امروز با وجود طیف وسیعی از فناوری‌ها، فرآورده‌ها و محصولات، راه‌حل‌هایی متناسب برای ایمن‌سازی زیرساختارهای الکترونیکی مؤسسات و سازمان‌ها ارائه شده است. در مواردی که امنیت فیزیکی و دستیابی به آن مدنظر باشد، سطوح امنیتی موردنظر نیز بایستی متناسب با سطح ترکیب و پیچیدگی سازمان و مؤسسه،‌ برنامه‌های کاربردی مورد استفاده، داده های موجود و اندازه‌گیری و سنجش خطرات و ریسک‌های موجود گسترش یابد. اساسی‌ترین روش موجود جهت ایجاد امنیت الکترونیکی استفاده از رمز عبور می‌باشد، که اغلب بعنوان یک شیوه رایج جهت دسترسی به منابع و داده‌های الکترونیکی بکار گرفته می‌شود. که در این میان استفاده از رمزهای عبور یک بار مصرف برای انجام تراکنش‌های بانکی به شدت احساس می‌شود تا ضریب امنیتی بالایی برای مشتریان و کاربران فراهم آورد و کاربران با آرامش و آسایش خاطر بیشتر مبادرت به انجام امور روزمره بانکی و تجاری نمایند.

مقدمه 

با توجه به گستردگی تراکنش‌های بانکی و انجام حداکثری تراکنش‌ها در بستر اینترنت، بانکداری الکترونیکی و افزایش مبادلات در این حوزه لزوم به کارگیری شیوه‌های مدرن در جهت بالابردن امنیت این نوع تراکنش‌ها با استفاده از رمزهای یکبار مصرف مقرون به‌صرفه می‌نماید. رمز یک بار مصرف یا OTP – One Time Password یک جایگزین برای رمز دوم می‌باشد، رمز یکبار مصرف برای ایمن‌سازی دسترسی کاربران به سیستم‌های الکترونیکی ارائه شده که در آن از قابلیت‌های رمزنگاری برای تولید رمز تصادفی یک بار مصرف استفاده می‌شود. برای اینکه کاربران استفاده‌کننده از خدمات بانکداری اینترنتی امکان جابجایی مبالغ بالاتر و ایمن را داشته باشند و کلیک نیز از همین فناوری در سیستم‌های خود بهره گرفته است و آن‌را در اختیار مشتریان خود قرار داده است، تا اطلاعات مالی در امنیت ویژه‌ای قرار گیرد و مشتریان از آسودگی خاطر برخوردار باشند.

OTP چیست؟

OTP  و یا One Time Password یک روش محافظت از اطلاعات برای جلوگیری از سرقت رمز عبور می‌باشد، که رمز عبور با استفاده از روش‌های رمزنگاری تولید می‌گردد و تنها برای یک بار ورود به سیستم معتبر است، مهمترین مزیت استفاده از OTP  و یا رمز یک بار مصرف این است، که سرقت اطلاعات با دانستن رمز عبور غیرممکن می‌گردد.

تکنولوژی OTP

تکنولوژی OTP جهت انجام فعالیت امن مالی در حوزه Web کاربرد دارد، براساس ماژولی که توسط کلیک به مشتری اهداء می‌شود، برای انجام هر بار فعالیت با نرم‌افزار یک رمز تولید می‌شود، که تنها برای یک بار اعتبار دارد. در این تکنولوژی رمز یکبار مصرف براساس الگوریتم تعریف شده در ابزار کاربر و در سرور مرتبط تولید می‌شود و دارای انواع مختلفی نظیر response challenge , time- base و… می‌باشد. امنیت OTP به دلیل استفاده از امکانات استاندارد رمزنگاری، بسیار بالا می‌باشد. برنامه‌نویسان هر اندازه که نکات امنیتی را در برنامه‌نویسی و سمت سرور لحاظ کند، روی امنیت سمت کلاینت(کاربر) تسلط و کنترل کاملی ندارد. چون مرورگر دسترسی‌های محدودی به آنها می‌دهد. از ضعف‌های سمت کاربر که می‌تواند موجب بدست آوردن پسورد کاربران(مدیران) سایت شود، برنامه‌های کی‌لاگر هستند، که کی لاگرها ممکن است به دو صورت سخت‌افزاری و نرم‌افزاری به کار برده شوند. key logger ها، همه کلیدهای فشرده شده روی کیبورد را ذخیره و به سازنده آن کی‌لاگر ارسال می‌کنند. روش‌هایی برای مقابله با این خطر وجود دارد که استفاده از کیبورد مجازی یکی از روش‌های آن است. در حال حاضر نیز در صفحه پرداخت اینترنتی بسیاری از بانک‌ها قابل استفاده می‌باشد. اما با روش‌های نوین جاسوسی و با استفاده از عکس‌برداری از صفحه نمایش و همزمان با کلیک کاربر اقدام به ثبت مختصات موردنظر می‌نمایند، که این روش نیز نوعی امنیت کیبوردهای مجازی را به چالش می‌کشد. از این رو بهترین راه مقابله با کی‌لاگرها، استفاده پسورد یکبار مصرف است، که از روشی غیر از کامپیوتر فعلی کاربر، به دستش برسد. در این حالت، کی‌لاگری که پسوردها را ذخیره و به سازنده‌اش ارسال می‌کند، بی‌اثر می‌شود. چون پسورد ذخیره شده توسط کی‌لاگر، فقط یکبار معتبر بوده است و تنها یکبار می‌توان از آن استفاده نمود. پسورد یکبار مصرف تولید شده، نباید توسط کامپیوتر کاربر(یا حتی وسیله دیگری با همان خط اینترنت) به دست کاربر برسد، زیرا در این‌صورت علاوه بر کاربر، برنامه جاسوس نیز می‌تواند به آن دست یابد.

نحوه تولید رمز عبور OTP 

رمز عبور با استفاده از الگوریتمهای ریاضی و به‌صورت تصادفی تولید می‌گردد، در واقع همین روش تولید باعث می‌گردد که حدس رمز عبور برای انسان غیرممکن گردد روش‌های متعددی برای تولید رمز وجود دارند. با استفاده از زمان، رمز عبور فقط برای زمان کوتاهی برای اعتبارسنجی معتبر است. این روش با استفاده از معادل‌سازی زمان تولید کننده رمز و استفاده کننده آن عمل می‌کند. براساس رخداد، در این روش در زمانی که رخداد مشابه بین اعتبارسنج و استفاده کننده رخ دهد رمز یک بار مصرف تولید می‌گردد. روش Challenge Response،  که  رمز عبور براساس اطلاعات Challenge تولید می‌گردد. به غیر از استفاده از Token روش‌های دیگری نیز برای تولید رمز OTP وجود دارد به طور مثال: استفاده از نرم‌افزار های سمت کاربر، تولید رمز یک بار مصرف و ارسال آن از طریق روش های Out of band مانند ارسال از طریق SMS، و یا حتی چاپ کردن آن روی کاغذ.رمزهای  یکبار مصرف معمولا به ۳ روش به دست کاربر می‌رسد.از طریق ارسال پیامک به موبایل کاربر. شماره موبایل کاربر پس از ثبت در سیستم و سنجش اعتبار آن، یکی از راه‌های متداول برای ارسال رمز یکبار مصرف است. تولید و نمایش/پرینت تعدادی رمز یکبار مصرف. می‌توان به تعداد لازم (n) رمز یکبار مصرف، برای یک دوره زمانی(مثلا یک ماه) تولید کرد تا کاربر آن را یادداشت/پرینت کند و هر بار یکی از آنها را استفاده کند. استفاده از یک سخت‌افزار مستقل از کامپیوتر کاربر و شبکه اینترنت؛ این روش که با استفاده از  یک سخت‌افزار مستقل از کامپیوتر کاربر که نیازی هم به شبکه و اینترنت ندارد، رمز یکبار مصرف را تولید می‌نماید. شرکت‌های بزرگ تجاری، یک وسیله کوچک و کاملا مستقل برای این امر تهیه و در اختیار مشتریان‌شان قرار می‌دهند. در ایران نیز برخی از بانک‌ها وسیله‌ای به نام «دستگاه رمزیاب» برای تولید رمز یکبار مصرف در اختیار مشتریان قرار می‌دهند.


نتیجه‌‌گیری

رمزهای یکبار مصرف، بسیاری از نقاط ضعف رمزهای قدیمی یا همان رمزهای ثابت را پوشش می‌دهد و امنیت بیشتری را فراهم می‌آورد. مهم‌ترین نقصی که توسط رمز یکبار مصرف جبران می‌شود، عدم آسیب‌پذیر بودن در تکرار حملات است. با استفاده از این روش، یک مزاحم بالقوه که به نحوی موفق به دستیابی رمز یکبار مصرف می‌شود که قبلاً با آن به سرویسی دسترسی پیدا کرده‌اند یا تراکنشی انجام شده است، دیگر قادر نخواهد بود تا از آن سوءاستفاده کند، چرا که این رمز باطل شده است. خرده‌ای که به رمز یکبار مصرف گرفته می‌شود، دشواری در به‌ خاطر سپاری آنها توسط انسان است که به همین دلیل بهره‌گیری از فناوری کمکی، در استفاده از رمز یکبار مصرف، الزامی است.