امنیت (Security) بانک‌تک (BankTech) رگ تک (RegTech) پی‌تک (PayTech) یادداشت

هزار و یک روش برای احراز هویت و پیشینه وجود دارد

حامد اکبری؛ پژوهشگر سیاست‌گذاری دولت الکترونیک / از مهم‌ترین ارکان ارائه خدمات الکترونیکی و در فضای مجازی، مسأله احراز هویت و شناخت کاربر یا اصطلاحا «توهمانی» است که در بسیاری از موارد تبدیل به مانع اصلی ارائه و یا دریافت خدمت می‌شود.

وظیفه اصلی این یادداشت، تحلیل چرایی کاربرد و روش‌های احراز هویت است که تاکنون کمتر به آن پرداخته‌شده است.

در مسأله احراز هویت، داشتن چند پیش‌فرض اصلی می‌تواند راه‌گشا باشد.

مورد اول:

اساسا نمی‌توان استدلال کرد که فرآیند احراز هویت بر عهده عرضه‌کننده خدمت است و یا دریافت‌کننده خدمات بر بستر اینترنت!

مورد دوم:

احراز هویت در بسیاری از موارد اساسا لازمه فرآیند نیست، زیرا که بسیاری از خدمات، صرفا اطلاع‌رسانی است و نیازی به احراز هویت ندارد.

مورد سوم:

سطح احراز هویت و اهمیت آن در فرآیندها و خدمات مختلف، متفاوت است.

مورد چهارم:

احراز هویت، می‌تواند به‌عنوان یک سرویس، از خارج از مجموعه ارائه‌دهنده خدمات گرفته شود.

مورد پنجم:

احراز هویت با استعلام متفاوت است.

مورد ششم:

احراز هویت در زنجیره ارائه خدمت با احراز هویت برای خدمت واحد کاملا متفاوت است.

مورد هفتم:

وارد کردن اطلاعات، پر کردن فرم‌ها و ارائه تصویر مدارک اساسا ارتباطی به احراز هویت ندارد ولی مساله مهمی است.

مورد هشتم:

خوداظهاری هویتی هم می‌تواند به‌عنوان نوعی از احراز هویت به رسمیت شناخته شود که در بسیاری از موارد مورداتکا است (بنابر اهمیت خدمت موردنظر).

مورد نهم:

احراز هویت لاگین متفاوت است.

مورد دهم:

هیچ‌گاه فرآیند احراز هویت حتی با پیچیده‌ترین فیچرهای بیومتریک اعم از اسکن قرنیه چشم، تکنولوژی شناسایی اثرانگشت و شناسایی صدای کاربر، به‌هیچ‌عنوان صد در صد صحیح و مطمئن نیست و درهرصورت احتمال خطا و تخلف وجود دارد.

مورد یازدهم:

احراز هویت یک تصمیم سمت پذیرنده (ارائه‌دهنده خدمت) است که می‌تواند در فرآیندهای آن به رسمیت شناخته شود و چیز قطعی نیست و استاندارد مشخصی ندارد!

مورد دوازدهم:

به گمان نگارنده مهم‌ترین نکته در رابطه با تکنولوژی احراز هویت این است که هزار و یک راه کلاسیک و غیر کلاسیک برای احراز هویت وجود دارد که می‌توان در فرآیندها از آن بهره برد.

 

در چند سال اخیر با توسعه و رشد فین‌تک‌ها یا تکنولوژی‌های مالی و بانکی، فناوری جدید و مستقلی موسوم به رگ‌تک (regulation technologic) ظهور پیدا کرده است که وظیفه خود را افزایش تطابق‌پذیری کاربران و توسعه‌دهندگان خدمات الکترونیکی با قوانین و رویه‌ها تعریف کرده است.

یکی از مهم‌ترین رگ‌تک‌های موجود در دنیا، سرویس احراز هویت و پیشینه فعالیت است.

توسعه‌دهندگان رگ‌تک‌های احراز هویت با انواع خلاقیت‌ها، انواع و اقسام روش‌های راستی آزمایی اطلاعات و احراز هویت و ارائه خدمات احراز هویت به ارائه‌دهندگان خدمت را طراحی و اجرا کرده‌اند و هر روز روش‌های خلاقانه و متفاوت، سریع‌تر، امن‌تر و راحت‌تری از سرویس‌های احراز هویت به اکوسیستم فناوری‌های الکترونیکی اضافه می‌شود.

راه‌های احراز هویت فراوان است و آنچه مهم است تعیین تکلیف سطوح و اهمیت لایه‌های مختلف اطلاعات مرتبط با احراز هویت در فرآیندهای متفاوت است.

به‌عنوان‌مثال یک تاکسی اینترنتی به هیچ اطلاعاتی از کاربر نیاز ندارد، حتی نام و نام خانوادگی! برای ارائه یک سرویس تاکسی اینترنتی فقط لازم است بدانیم فرد استفاده‌کننده ربات نیست و یک شخص حقیقی است. این یک سوی سطح احراز هویت است. سوی دیگر احراز هویت، مثلا در یک فرآیند بانکی و یا حقوقی مرتبط با ویزا است که بالاترین سطح احراز هویت و اطلاعات کامل و راستی آزمایی شده موردنیاز است!

خود اظهاری را در بسیاری از موارد می‌توان به‌عنوان KYC و روش احراز هویت پذیرفت. بحث محوری این یادداشت این است که می‌توان انواع روش‌های احراز هویت را بنابر اهمیت موضوع فعالیت‌های امنیتی و پولی و بانکی و حریم خصوصی به کار گرفت، حتی در خدماتی که در نهایت پرداخت بانکی هم صورت می‌گیرد و فرآیند حقوقی پیچیده و مهمی هم وجود دارد می‌توان به خود اظهاری اعتماد کرد!

حال باید ببینیم چرا و چگونه؟!

کارشناسان امنیت اطلاعات و KYC بر این باورند که تا جایی که می‌توان نباید اطلاعات اضافی که برای ارائه خدمات موردنظر ضروری نیست از کاربر دریافت شود.

احراز هویت می‌تواند بسیار کم‌حجم باشد. مثلا می‌تواند با قطع دادن و مقایسه خود اظهاری حداقلی اولیه با یکی از دیتا بانک‌ها موجود و راستی آزمایی شده باشد.

احراز هویت می‌تواند از قطع دادن چند پایگاه داده مستقل انجام بگیرد و در صورت مشابهت از همان به‌عنوان KYC استفاده کرد. به‌عنوان‌مثال اگر اطلاعات یک فرد در یک سامانه بیمه آنلاین با ثبت‌نام او در یک سامانه خدمات مالی مشابهت داشته باشد، سطح قابل قبولی از احراز هویت محقق شده است.

احراز هویت می‌تواند مبتنی بر اعتماد به داشتن حساب بانکی در یکی از بانک‌ها است، زیرا بانک‌ها برای بازگشایی حساب و اختصاص کارت بانکی، سخت‌گیرانه و البته بدوی‌ترین روش‌های احراز هویت فیزیکی را بکار می‌گیرند. پس تقریباً همه کسب‌وکارها می‌توانند شماره کارت و حساب کاربر را مبنای احراز هویت قرار دهد.

احراز هویت می‌تواند از حساب کاربری افراد در سامانه‌های گردشگری و خرید بلیط هواپیما اخذ شود.

احراز هویت می‌تواند از سیستم آموزشی فرد اخذ شود.

احراز هویت می‌تواند بدون هیچ حساسیتی با خود اظهاری انجام شود در نهایت برای ارائه نهایی خدمت از چند کد برای راستی آزمایی اطلاعات استفاده کرد و یا در آخرین مرحله، مشاهده‌ی حضوری را شرط دریافت خدمت معرفی کرد.

احراز هویت می‌تواند بین کسب‌وکارها استارت‌آپ‌ها مشترک باشد، درصورتی‌که کسب‌وکارها، پروفایل کاربران همدیگر را به رسمیت بشناسند.

احراز هویت می‌تواند توسط ایمیل یا ID محل کار افراد انجام شود که در دنیا کاملا مرسوم است.

احراز هویت می‌تواند در یک زنجیره‌ی مشترک بارها استفاده شود، به‌عنوان‌مثال در هر مرحله تحصیلی، پرونده آموزشی مقطع قبل می‌تواند به‌عنوان ابزار احراز هویت به رسمیت شناخته شود.

انواع روش‌های بیومتریک از جمله اثرانگشت، تست قرنیه و تحلیل تصویر موبایل (دوربین) از روش‌های احراز هویت بسیار مورداطمینان است؛ که دستگاه‌های موبایل هوشمند کم‌کم به آن منجر شده‌اند ولی خالی از خطا هم نیست ولی می‌تواند تسهیل‌گر باشد.

کارشناسان هوش مصنوعی از رفتارهای عمومی کاربر در فضای اپلیکیشن‌های مختلف، حتی در حد الگوی حرکت دادن انگشت‌ها روی آیکون‌ها و سرعت استفاده، انواع روش‌های احراز هویت را طراحی کرده‌اند.

روش‌های احراز هویت در رابطه با سرویس‌های مکان محور در دنیا، یعنی احراز هویت از روی حضور فرد در مکان خاصی و مقایسه نسبت به مکان قبل او درحال‌توسعه است.

در نهایت در بسیاری از موارد هم هیچ نیازی به احراز هویت وجود ندارد. چون اگر کاربر بداند در صورت تخلف از بسیاری از خدمات بعدی محروم خواهد شد به‌هیچ‌عنوان اقدام به بد اظهاری نخواهد کرد.

بسیاری از سرویس‌های عمومی اهمیتی در این سطح ندارند که احراز هویت دقیق امنیتی با حفظ ملاحظات مالی بانکی انجام شود. این حد از سخت‌گیری‌های هویتی از مهم‌ترین موانع رشد و توسعه کسب‌وکارهای اینترنتی و همچنین دولت الکترونیک است.

در نهایت فرضیه مهمی که نگارنده سال‌هاست بر روی آن تمرکز کرده است را به کسب‌وکارهای اینترنتی پیشنهاد می‌کنیم.

اگر فرآیند احراز هویت و ثبت‌نام و دریافت یک خدمت مثلا افتتاح حساب بانکی و دریافت عابر بانک را A در نظر بگیریم؛ و اگر فرآیند احراز هویت و ثبت‌نام و دریافت خدمت دیگری، مثلا افتتاح حساب در بانک دیگر یا ثبت‌نام در دانشگاه یا رزرو یک هتل را B در نظر بگیریم و اگر B از نظر کمی و کیفی کوچک‌تر یا مساوی A بود (B≤A) پس معقول است که دارنده خدمت A یعنی مثلا کارت بانکی بانک مثال اول را به مثابه احراز هویت در فرآیند B بپذیریم. بدیهی است کسب‌وکارها می‌توانند با به رسمیت شناختن احراز هویت‌های از خودشان دقیق‌تر، فرآیند احراز هویت را حذف و همچنین رضایت کاربر را بیشتر و مشتریان خود را با یکدیگر به اشتراک بگذارند و بسیاری از مشکلات فعلی دولت الکترونیک هم مرتفع خواهد شد.

در حقیقت با استفاده از خلاقیت‌ها در رگ‌تک ها به سطح آمادگی الکترونیک شهروندان در زمان کوتاهی به طرز حیرت‌آوری بالا خواهد رفت.

درباره نویسنده

اتاق خبر راه پرداخت

اتاق خبر راه پرداخت همه مطالب و خبر‌های مهم فین‌تک ایران را رصد و منتشر می‌کند.

دیدگاهتان را بنویسید

/* ]]> */