پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
مهمترین مشکل سرویسهای احراز هویت کشور چیست؟ / مدیران سپ و آپ روشهای احراز هویت کاربران خود را معرفی میکنند
گسترش تکنولوژی باعث شده مساله احراز هویت دیجیتال اهمیت ویژهای پیدا کند. امروزه یکی از دغدغه کسبوکارهای اینترنتی پیدا کردن روشهای احراز هویت است تا بتوانند از این طریق امنیت کاربران خود را فضای مجازی تضمین کنند.
کسبوکارها از روشهای مختلفی برای احراز هویت کاربرانشان استفاده میکنند. فاکتور دانش (چیزی که شخص میداند، مانند کلمه عبور و شمارههای شناسه)، فاکتور مالکیت (چیزی که شخص دارد، مانند کارت بانکی و شماره تلفن) و فاکتور بیومتریک (چیزی که شخص هست، مانند اثر انگشت، الگوهای صوتی و شبکیه چشم) به عنوان سه فاکتور احراز هویت در جهان پذیرفته شده است. هریک از این فاکتورها نقاط ضعفی دارند، به همین دلیل کارشناسان امنیت توصیه میکنند حداقل از دو فاکتور به صورت همزمان در فرایند احراز هویت استفاده شود.
ببینید: در ایران چه روشهایی برای احراز هویت کاربران آنلاین وجود دارد؟
احراز هویت همواره مساله بوده است؛ احتمالا این موضوع ایران و غیر ایران هم ندارد. سر زدن به برخی خبرهای خارجی و ترندهای این حوزه نمایانگر این مساله است. اما در ایران همین چند وقت پیش بود که پلیس فتا از دادستانی تهران درخواست کرد تا با توجه به افزایش جرایم در سایت دیوار و ناتوانی مدیران سایت در کنترل آگهیها، این سایت را مسدود کند؛ پس از کشوقوسهای فراوان با رئیس پلیس فتا روابط عمومی این سایت در اطلاعیهای اعلام کرد: «از این پس کد ملی درجکنندگان آگهی ملک و خودرو با کد ملی مالک شماره موبایل با استفاده از سامانه شاهکار مطابقت داده میشود.»
اما پس از اینکه سرویس شاهکار برای احراز هویت در چند اپلیکیشن دیگر مورد استفاده قرار گرفت، کسانی که شماره سیمکارت به نام خودشان نبود دچار مشکل شدند و نتوانستند از برخی اپلیکیشنها استفاده کنند؛ حال این سوال پیش میآید که با این اوصاف این شیوه برای احراز هویت مناسب است یا خیر؟
از مدیران شرکت پرداخت الکترونیک سامان (سپ) و آسان پرداخت پرشین (آپ) خواستیم که به معرفی روشهایی که برای احراز هویت کاربران خود از آنها استفاده میکنند، بپردازند. همچنین از آنها در رابطه با مشکلات روشهای احراز هویت در ایران و راهکارهایی که برای افزایش امنیت فرایند احراز هویت ارائه شده، سوال کردیم.
.
روشهای احراز هویت کاربران سپ
مدیران شرکت سپ میگویند OTP، یا همان رمز یک بار مصرف یکی از روشهایی است که برای احراز هویت کاربران خود از آن استفاده میکنند. آنها درباره چگونگی فرایند این روش اینگونه توضیح میدهند: «رمزیکبارمصرف به شماره تلفن همراهی که فرد از طریق آن اقدام به ثبت نام برای ورود به اپلیکیشن کرده ارسال میشود. هدف از ارسال این کد اطمینان از صحت شماره موبایل اعلام شده، توسط کاربر است.»
آنها در ادامه به روش دیگری نیز اشاره میکنند که در آن برای احراز هویت از سامانه شاهکار و نهاب استفاده شده است. در واقع در این روش شماره کارت بانکی با کد ملی و کد ملی با شماره موبایل کاربران هنگام ثبت تراکنش مالی تطبیق داده میشود.
.
هزینه استفاده از سرویسهای احراز هویت
مدیران سپ از هزینههای استفاده از روشهای احراز هویت، میگویند. آنها با اشاره به اینکه در روش ارسال رمز یکبار مصرف، هزینهها تنها مربوط به ارسال پیامک است، بیان کردند: «در صورت نرسیدن پیام به کاربر احتمال تکرار درخواست و افزایش تعداد ارسال رمز، منجر به بلاک شدن کاربر برای یک روز میشود. از سوی دیگر نهاب و شاهکار این مشکل را دارند که گاهی خطا را برمیگردانند و پایدار نیستند. هزینه این کار نیز اتلاف زمانی است.»
این مدیران تاکید دارند که هیچ روش احراز هویتی به طور صددرصد امن نیست اما با ارسال رمز یکبار مصرف تا حد زیادی میتوان مطمئن شد که شماره موبایلی که فرد قصد دارد با استفاده از آن اقدام به نصب اپلیکیشن کند، متعلق به خود کاربر است. به گفته آنها استفاده از سامانههای نهاب و شاهکار نیز با تطابق سه مولفه شماره سیمکارت، موبایل و کد ملی ریسک استفاده از کارت بانکی سرقت شده را تا حد زیادی کاهش میدهد.
.
افزایش امنیت فرایند احراز هویت با فناوریهای جدید
فناوریها میتوانند باعث ایجاد تحول در روشهای احراز هویت شوند. به گفته مدیران سپ استفاده همزمان از رمز، روشهای بایومتریک مانند اثر انگشت، Face Detection و فناوریهای نوین مانند بلاکچین و هوش مصنوعی به عنوان ابزارهای احراز و نگهداشت اطلاعات هویتی، میتواند تحولی مهم را در این عرصه ایجاد کند.
از مدیران سپ درباره راهکارهایی که برای افزایش امنیت فرایند احراز هویت دیجیتال میتوان از آنها بهره برد سوال کردیم، آنها اینگونه پاسخ دادند: «در حال حاضر با استفاده از ترکیب سرویسهای هویتی (مانند ثبت احوال و هوش مصنوعی) امکان تشخیص چهره و احراز هویت فرد وجود دارد که فرایند ارائه خدمات مختلف را بسیار آسان کرده است. همچنین استفاده از این سرویسها امکان ارائه خدمات غیرحضوری به صورت امن را نیز تسهیل میکند. از طرفی با نگهداری اطلاعات هویتی تایید شده در بلاکچین، افراد این امکان را خواهند داشت که اطلاعات هویتی خود و دسترسی به آنها را مدیریت کنند.»
ببینید: از کاغذ تا بلاکچین / سیر تکاملی شناسه هویت و اثرگذاری آن بر جوامع
به گفته آنها شرکتها و سازمانها نیز با به اشتراکگذاری امن اطلاعات هویتی علاوه بر حفظ حریم خصوصی افراد، به اطلاعات تایید شده دسترسی پیدا میکنند و با شناسایی این افراد بر روی بستر بلاکچین، امکان ارائه هر گونه خدمات غیر حضوری مانند Password-less login، امضای الکترونیک مدارک حقوقی و حذف کاغذ نیز وجود خواهد داشت.
.
محدودیتهای سرویس احرازهویت شاهکار
به عقیده این مدیران مشکل اصلی احزار هویت نیز در ایران این است که استفاده از فناوریهای نوین مانند بلاکچین هنوز در کشور متداول نشده در حالیکه یکی از کاربردهای بسیار مفید این فناوری احراز هویت است.
استفاده از سرویس شاهکار، موجب میشود تا کسانی که شماره سیمکارت به نام خودشان نیست، دچار مشکل شوند و نتوانند از اپلیکیشنها استفاده کنند. از سوی دیگر این یک نیاز است که هویت کاربران شناسایی شود، با این حال ممکن است سیمکارت برخی افراد به نام خودشان نباشد.
ببینید: امیر ناظمی: موانع و ابهامات ارائه سرویس شاهکار به کسبوکارها برطرف شد
مدیران سپ درباره رفع این مشکل میگویند: «استفاده از سرویس شاهکار با هدف افزایش امنیت در استفاده از اپلیکیشنهای حوزه مالی تدوین و ابلاغ شده و لزوم استفاده از آنها باعث ایجاد محدودیتهایی برای کاربران شده اما اگر زیان ناشی از سواستفادههای مالی را در برابر این محدودیت در نظر بگیریم میتوان گفت استفاده از آن تا حد زیادی مانع از ضرروزیان به کاربران خواهد شد؛ اما این به معنی عدم امکان بهبود روش فعلی نیست و قطعا هر فناوری و فرایندی با ارائه ایدههای جدید بهبود پیدا خواهد کرد.»
.
روش احراز هویت کاربران آپ
مدیران آپ نیز گفتهاند که احراز هویت کاربرانشان هنگام ثبت نام از طریق ارسال پیامک و هنگام انجام تراکنش مالی از طریق سامانه شاهکار انجام میشود و هزینه این روشها نیز تنها مربوط به ارسال پیام به کاربران است.
آنها در پاسخ به این سوال که با استفاده از این دو روش تا چه اندازه میتوان مطمئن شد که فرایند احراز هویت به درستی طی میشود، گفتند: «ارسال پیامک کد تایید تنها کمک میکند تا مطمئن شویم از سیمکارت شخص دیگری نصب اپلیکیشن انجام نخواهد شد. همچنین استفاده از سامانه شاهکار با تطبیق کدملی و شماره تلفن همراه این اطمینان را به ما میدهد که صاحب سیمکارت و صاحب کارت بانکی یک شخص است.»
.
پیشنهادی برای ارتقای سرویسهای احراز هویت
این مدیران احراز هویت از طریق کد ملی به کمک سرویس ثبت احوال را یکی از راهکارهایی میدانند که میتواند، امنیت روشهای احراز هویت را ارتقا دهد. همچنین عقیده دارند از نظر زیرساخت برای ارائه سرویسهای احراز هویت در کشور مشکلی نداریم و در حد استانداردهای جهانی هستیم. البته آنها تاکید کردند که برای بهبود ارائه خدمات مناسب توسط سازمانهای ذیربط به شرکتهای پرداختی راه زیادی در پیش داریم.
در پایان آنها به قانونی که استفاده از سرویس شاهکار را اجباری کرده اشاره میکنند و در رابطه با محدودیتهایی که استفاده از این روش به همراه دارد، میگویند: «هیچ راهحلی جز ترغیب کاربران به انتقال سیمکارت به نام خودشان وجود ندارد.»
