احراز هویت دیجیتالی: ایده‌ای جدید برای بانکداری مدرن

نویسنده: میثم ارفعی در تاریخ 29 آذر سال 1397 ساعت 2:49 0

پیش از پرداختن عمیق‌تر به مباحث احراز هویت دیجیتالی این مقاله را با طرح یک سوال آغاز می‌کنیم: بانک چیست؟! شاید اولین جوابی که به ذهن اکثر ما می‌رسد این عبارت باشد: «بانک محلی برای ذخیره پول است!» این جواب درست است. اما اگر شما پول‌های خود را در بالش‌تان مخفی کنید، آیا می‌توانید بالش خود را یک بانک بنامید؟ مسلما خیر!

به سراغ پاسخ دیگری می‌رویم: «بانک یک نهاد وام دهنده است.» این پاسخ نیز درست است. اما امروزه شما می‌توانید از نهادها و حتی فروشگا‌ه‌های مختلفی به صورت اقساطی خریداری کرده و به نحوی از آن‌ها وام بگیرید. پس این پاسخ نیز نمی‌تواند نمایانگر مشخصه اصلی یک بانک باشد! پس نیاز به یک پاسخ دیگر داریم:

«یک نهاد تسهیل کننده‌ی پرداخت؟»

دقیقا! اما با این حال بانک‌ها برای انجام کار خود به فناوری‌های واسط، شبکه‌های مستقل، پردازنده‌ها و سایر تجهیزات نیاز دارند. پس به سختی می‌توان بانک‌ها را یک نهاد کاملا مستقل شناخت.

بیاید از منظر دیگری به بانک‌ها نگاه کنیم. اگر تمامی خدمات و محصولات بانک‌ها را کنار بگذاریم چه چیزی از آن‌ها باقی می‌ماند؟ پاسخ این است: “یک مدل اعتماد.” یک بانک هویت شما را تایید کرده و از آن به صورت محرمانه برای ایجاد ارتباطی امن بین شما و دنیای معاملات استفاده می‌کند. اگر به صورت اساسی به قضیه نگاه کنیم،

بانک‌ها دو وظیفه اصلی را به دوش می‌کشند: آن‌ها محافظان هویت مشتریان و فراهم کنندگان امکان تجارت هستند.

تجارت دیگر چهره‌ی گذشته خود را ندارد!

تجارت به سرعت در حال تغییر است. حتی معنا و مفهوم پول نیز تغییر می‌کند. امروزه فناوری‌های دیجیتالی قادرند تا به صورت فزاینده و جهان شمول، هر ارزشی (از میزان وفاداری تاجران گرفته تا ارز‌های رمزنگاری شده) را قابل شمارش و معامله کنند. کسب‌ و کارها و اشخاص حقیقی، هر روز بیشتر از دیروز، از طریق دارایی‌های توکن‌محور، تجارت و سرمایه‌گذاری می‌کنند. با نگاهی دقیق‌تر می‌توان به این نتیجه رسید که این اتفاق دقیقا مشابه روش استفاده از دارایی‌ها و اوراق بهادار سنتی است.

با اطمینان می‌توان گفت که این تغییرات، ماندگار خواهند بود. ارزهای مجازی به سرعت توانسته‌اند به قسمتی از بازار مالی روزمره تبدیل شوند. فناوری‌های دفتر کل توزیع شده، روش‌های جایگزینی را برای انجام معاملات پیشنهاد می‌دهند و به بانک‌ها نیازی ندارند. رهنمودهای خدمات پرداخت 2 (PSD2) در اروپا، بانک‌ها را مجبور می‌کند تا کنترل حساب‌های مشتریان خود را به دست شرکت‌های شخص ثالث بسپارند.

در این که هنوز، حجم بزرگی از مشتریان به بانک‌ها وفادار مانده‌اند، شکی نیست، اما هیچ تضمینی برای ابدی بودن این مسئله وجود ندارد. صعود و سقوط ناگهانی برخی از بزرگ‌ترین شرکت‌های جهان نشان می‌دهد که چگونه ممکن است حجم بزرگی از مشتریان بسته به شرایط بازار تصمیم به تغییر و جابه‌جایی بگیرند. برای مثال شرکت‌های آمازون، اوبر، و نتفیلیکس در جنبه‌ی صعود ناگهانی و همچنین شرکت‌های کداک، نوکیا و جنرال موتورز در جنبه‌ی سقوط ناگهانی از عرش به فرش، نمونه‌های بارزی برای این موضوع هستند.

بانک‌ها به ناچار نیازمند انطباق هستند. اما ممکن است این تغییر و انطباق نه در تمامی زمینه‌ها، بلکه تنها در موارد اساسی و بنیادین رخ دهد.

محافظان هویت دیجیتالی

دنیای تایید هویت دیجیتالی نیاز به یک بازبینی اساسی دارد و بانک‌ها که در زمینه روش‌های دقیق شناسایی مشتریان تخصص خاصی دارند، آماده‌اند تا این کار را انجام دهند.

سال‌هاست که روش احراز هویت دیجیتالی به شیوه‌های مختلفی مورد استفاده قرار می‌گیرد. با این حال، تمامی روش‌های تایید هویت دیجیتالی موجود، از بین سه فاکتور دسترس‌پذیری در همه جا، راحتی و امنیت فقط توانسته‌اند تا دو مورد را برآورده نمایند!

به عنوان نمونه، به احراز هویت دیجیتالی از طریق نام کاربری و کلمه عبور اشاره می‌کنیم. این جفت قدیمی هرچند که در هر زمان و مکانی در دسترس هستند و استفاده از آن‌ها بسیار راحت و آسان است، اما با این حال امنیت به شدت پایینی دارند.

یک نمونه‌ی دیگر، احراز هویت چندعاملی (Multifactor authentication) است. این روش نیز بسیار امن و قابل دسترس در هر زمان و مکانی است، اما استفاده‌ی متعدد از آن به هیچ وجه راحت و آسان نیست.

روش‌های بیومتریک چطور؟ این روش‌ها برای احراز هویت چقدر قابل استفاده‌اند؟

مطمئنا نمی‌توان از تاثیر و موفقیت استفاده از روش‌های بیومتریک در تایید هویت دیجیتالی چشم‌پوشی کرد. اثر انگشت و عنبیه چشم شما کاملا منحصربه‌فرد و اختصاصی است. اما باید به این نکته نیز توجه کرد که سیستم‌های احراز هویت به وسیله روش‌های بیومتریک، اطلاعات را از طریق دستگاه‌هایی جمع‌آوری کرده و به سرور منتقل می‌کنند تا با استفاده از الگوریتم‌های خاصی، هویت شما تایید شود. در اینجا، هم دستگاه جمع‌آوری اطلاعات و هم الگوریتم‌های مورد استفاده، از نظر میزان دقت با یکدیگر متفاوت هستند. درنتیجه روش‌های بیومتریک، از آزمون‌های سهولت در استفاده و دسترس‌پذیری در هر زمان و مکانی سر بلند بیرون می‌آیند، اما امنیت آن‌ها به نوع دستگاه‌ها و الگوریتم‌های مورد استفاده بستگی دارد.

بانکداری براساس شناسه (ID)

در دنیای فیزیکی امروز، استفاده از کارت‌های بانکی به عنوان شناسه‌ی مشتریان، گسترش زیادی پیدا کرده است. هرچند نمی‌توان از این کارت‌ها به عنوان ویزا برای گذر از مرز و یا کرایه‌ی ماشین استفاده کرد، اما با در اختیار داشتن یکی از این کارت‌ها سرویس‌های متنوعی در دسترس شما قرار می‌گیرد.

پس چرا نتوان از کارت‌های بانکی برای مجموعه گسترده‌تری از خدمات دنیای دیجیتالی نیز استفاده کرد؟ امروزه برخی از شرکت‌ها مدل‌های کسب‌و‌کاری خوبی را از این طریق ایجاد کرده‌اند. برای مثال گوگل و فیسبوک را در نظر بگیرید. به احتمال زیاد، تاکنون در وب‌سایت‌ها و اپلیکیشن‌های مختلف، از طریق حساب کاربری گوگل و فیسبوک خود اقدام به احراز هویت و ایجاد پروفایل کرده‌اید. جالب است بدانید که هر زمانی که شما یکی از سرویس‌های این دو کمپانی را به عنوان دروازه ورود به وب‌سایت یا یک اپلیکیشن انتخاب می‌کنید، سودی عاید آن‌ها می‌شود. این سود می‌تواند به صورت پول و یا به صورت دسترسی به داده‌های شما و جمع‌‌آوری آن‌ها برای استفاده در موارد خاص باشد.

این روش در نوع خود ایرادات بسیاری دارد. کافی است تا نام کاربری و کلمه عبور یکی از حساب‌های گوگل و یا فیسبوک شما توسط یک هکر دزدیده شود تا وی به تمامی حساب‌های دیگری که از طریق این سرویس مورد استفاده قرار داده‌اید، دسترسی داشته باشد. باز هم به نقطه شروع بازمی‌گردیم:

این روش آسان بوده و درهرجایی مورد استفاده است. اما وابستگی آن به نام کاربری و رمز عبور، باعث ناامنی و عدم اطمینان کافی می‌شود.

روش‌های احراز هویت مدرن مبتنی بر رمزنگاری کلید عمومی (Public-key cryptography)، به ارتقای امنیت دیجیتالی بانکی کمک زیادی می‌کنند. اگر این سرویس پیاده‌سازی شود، بانک‌ها هم می‌توانند یک منبع درآمد جدید پیدا کنند و هم به جمع‌آوری داده‌های مشتریان بپردازند.

پیش به سمت فیجیتالی شدن!

ایده‌ای که مطرح شد یک مبحث کاملا جدید و بدیع نیست. پیش از این، برخی از بازرگانان (که علاقه دارند معاملات را به سریع‌ترین و آسان‌ترین شکل ممکن انجام دهند) ایده‌ی تایید هویت دیجیتالی بانکی برای ادغام تجربیات خرید‌های دیجیتالی و فیزیکی را مطرح کرده‌اند. یکی از مثال‌های بارز در این زمینه، استفاده از موبایل‌ها برای پرداخت از راه دور و درنتیجه حذف صف‌های طولانی خرید در فروشگاه‌ها است. همچنین روش دیگری که از آن با عنوان «اسکن کردن و رد شدن» یاد می‌شود نیز نمونه دیگری از ترکیب دنیای فیزیکی و دیجیتال است.

اگر بانک شما امکان پرداخت فوری با اشاره انگشت را از طریق یک برنامه درون گوشی‌های هوشمند امکان‌پذیر می‌ساخت، چه می‌شد؟ آیا این روش می‌توانست گزینه‌های امنیت، سهولت در استفاده و حتی (در آینده نزدیک) دسترس‌پذیری و قابلیت استفاده در هر زمان و مکانی را نصیب خود کند؟

فراهم کنندگان تجارت دیجیتال

بانک‌ها با دو مسئله‌ی کلی مواجه هستند. مسئله اول یک مشکل احساسی است. ممکن است بانک‌ها نخواهند تا با پیشرو شدن در زمینه یکپارچه‌سازی احراز هویت دیجیتالی، این احساس را در مشتری ایجاد کنند که از داده‌های بانکی‌اش به درستی محافظت نمی‌شود. رهنمودهای خدمات پرداخت 2 در اروپا، با فراهم کردن امکان رای‌گیری از مشتریان، این مسئله را حل کرده است. به این معنا که تصمیم‌گیری برای راه‌اندازی و استفاده از خدمات تجاری برمبنای احراز هویت، نه بر عهده بانک‌ها، بلکه بر عهده کاربران خواهد بود. تا زمانی که ارائه کنندگان سرویس اطلاعات حساب (AISPs) و ارائه کنندگان سرویس شروع پرداخت (PISPs) از مشتریان اجازه می‌گیرند (و خود را به API های بانک‌ها متصل کنند)، می‌توانند به صورت آزادانه و بدون نیاز به اجازه گرفتن از خود بانک‌ها، جزئیات بانکی کاربران را جمع‌آوری کرده و آن‌ها را در جهت ارائه بهتر سرویس‌، به کار بگیرند.

این موضوع یک سوال مهم را مطرح می‌کند. کاربر نهایی کدام یک را ترجیح می‌دهد: خدمت‌رسانی مستقیم از طریق خود بانک یا خدمت‌رسانی از شرکت‌های شخص ثالثی که از داده‌های بانک‌ها استفاده می‌کنند؟

مسئله دومی که بانک‌ها با آن مواجه هستند به قانونی که قبلا به آن اشاره شد بازمی‌گردد. امروزه سرویس‌های بانک‌ها در همه‌جا دردسترس قرار دارند و از امنیت بالایی نیز برخوردار هستند. اما سهولت و راحتی در استفاده چطور؟ سهولت و راحتی در استفاده، هنوز نتوانسته به کارآمدی دو گزینه‌ی قبلی برسد.

کلید حل مسائل، مشارکت است. لزومی ندارد که بانک‌ها، خودشان این قبیل از سرویس‌ها را توسعه دهند؛ به جای آن می‌توانند از فرآیند برچسب‌ سفید (white label) استفاده کنند، کار را به دست تامین کنندگان متخصص بسپارند و با انجام بازاریابی، مشتریان جدیدی را به سمت خود بکشانند.

بانک‌های امروز، با کمک پلتفرم‌های توسعه یافته‌ی بانکداری باز، می‌توانند از روش‌های احراز هویت تک کلیکی بهره‌مند شوند. در صورتی‌که یکپارچه‌سازی‌های لازم صورت بگیرد، احتمال گسترش موارد کاربرد روش‌های احراز هویت دیجیتالی بانکی وجود دارد. در این صورت احتمالا می‌توانیم شاهد چنین تغییراتی باشیم: هتل‌ها در هنگام رزرواسیون مشتریان نیازی به جزئیات کارت بدهی آن‌ها نخواهند داشت، وب‌سایت‌های مبتنی بر تجارت الکترونیک می‌توانند فرآیند وارد شدن و پرداخت مشتریان را ترکیب کرده و هردو را ساده‌سازی کنند، سپرده‌های قابل بازپرداخت به تاریخ خواهند پیوست، هک‌های احراز هویت کاهش خواهند یافت و مشکل نشت داده از کارت‌های پرداخت، از میان برداشته خواهد شد. ساده‌تر شدن انطباق با مقررات تنظیمی و عدم نیاز به تهیه‌ی پایگاه‌های بزرگ داده‌ از اطلاعات کارت‌ها و داده‌های مشتریان، مزایای دیگری هستند که احراز هویت دیجیتالی بانکی با خود به ارمغان خواهند آورد. شناسه دیجیتالی شما به سرعت و در هر مکانی قابل تایید خواهد بود و بدین ترتیب، هزینه‌های انجام این عملیات کاهش خواهد یافت.

خدمات مبتنی بر شناسه‌های دیجیتالی باعث می‌شود تا بانک‌ها به سمت کاهش استفاده از واسطه‌ها حرکت کنند و مهم‌تر از همه، بانک‌ها قادر خواهند بود تا وظیفه‌ی دیرینه خود یعنی محافظت از هویت مشتریان و فراهم کردن امکان تجارت را در عصر دیجیتالی نیز به شکلی موفقیت‌آمیز و قدرتمند ادامه دهند.

منبع: Paymentsjournal