احراز و تایید هویت دیجیتال (Digital Identification & Authentication) امنیت (Security) انتخاب سردبیر کسب‌وکارها

مهم‌ترین مشکل سرویس‌های احراز هویت کشور چیست؟ / مدیران سپ و آپ روش‌های احراز هویت کاربران خود را معرفی می‌کنند

گسترش تکنولوژی باعث شده مساله احراز هویت دیجیتال اهمیت ویژه‌ای پیدا کند. امروزه یکی از دغدغه کسب‌وکارهای اینترنتی پیدا کردن روش‌های احراز هویت است تا بتوانند از این طریق امنیت کاربران خود را فضای مجازی تضمین کنند.

کسب‌وکارها از روش‌های مختلفی برای احراز هویت کاربرانشان استفاده می‌کنند. فاکتور دانش (چیزی که شخص می‌داند، مانند کلمه عبور و شماره‌های شناسه)، فاکتور مالکیت (چیزی که شخص دارد، مانند کارت بانکی و شماره تلفن) و فاکتور بیومتریک (چیزی که شخص هست، مانند اثر انگشت، الگوهای صوتی و شبکیه چشم) به عنوان سه فاکتور احراز هویت در جهان پذیرفته شده است. هریک از این فاکتورها نقاط ضعفی دارند، به همین دلیل کارشناسان امنیت توصیه می‌کنند حداقل از دو فاکتور به صورت همزمان در فرایند احراز هویت استفاده شود.

ببینید:  در ایران چه روش‌هایی برای احراز هویت کاربران آنلاین وجود دارد؟

احراز هویت همواره مساله بوده است؛ احتمالا این موضوع ایران و غیر ایران هم ندارد. سر زدن به برخی خبرهای خارجی و ترندهای این حوزه نمایانگر این مساله است. اما در ایران همین چند وقت پیش بود که پلیس فتا از دادستانی تهران درخواست کرد تا با توجه به افزایش جرایم در سایت دیوار و ناتوانی مدیران سایت در کنترل آگهی‌ها، این سایت را مسدود کند؛ پس از کش‌وقوس‌های فراوان با رئیس پلیس فتا روابط عمومی این سایت در اطلاعیه‌ای اعلام کرد: «از این پس کد ملی درج‌کنندگان آگهی ملک و خودرو با کد ملی مالک شماره موبایل با استفاده از سامانه شاهکار مطابقت داده می‌شود.»

اما پس از اینکه سرویس شاهکار برای احراز هویت در چند اپلیکیشن دیگر مورد استفاده قرار گرفت، کسانی که شماره سیم‌کارت به نام خودشان نبود دچار مشکل شدند و نتوانستند از برخی اپلیکیشن‌ها استفاده کنند؛ حال این سوال پیش می‌آید که با این اوصاف این شیوه برای احراز هویت مناسب است یا خیر؟

از مدیران شرکت پرداخت الکترونیک سامان (سپ) و آسان پرداخت پرشین (آپ) خواستیم که به معرفی روش‌هایی که برای احراز هویت کاربران خود از آنها استفاده می‌کنند، بپردازند. همچنین از آنها در رابطه با مشکلات روش‌های احراز هویت در ایران و راهکارهایی که برای افزایش امنیت فرایند احراز هویت ارائه شده، سوال کردیم.

.

روش‌های احراز هویت کاربران سپ

مدیران شرکت سپ می‌گویند OTP، یا همان رمز یک بار مصرف یکی از روش‌هایی است که برای احراز هویت کاربران خود از آن استفاده می‌کنند. آنها درباره چگونگی فرایند این روش اینگونه توضیح می‌دهند: «رمزیکبارمصرف به شماره تلفن همراهی که فرد از طریق آن اقدام به ثبت نام برای ورود به اپلیکیشن کرده ارسال می‌شود. هدف از ارسال این کد اطمینان از صحت شماره موبایل اعلام شده، توسط کاربر است.»

آنها در ادامه به روش دیگری نیز اشاره می‌کنند که در آن برای احراز هویت از سامانه شاهکار و نهاب استفاده شده است. در واقع در این روش شماره کارت بانکی با کد ملی و کد ملی با شماره موبایل کاربران هنگام ثبت تراکنش مالی تطبیق داده می‌شود.

.

هزینه استفاده از سرویس‌های احراز هویت

مدیران سپ از هزینه‌های استفاده از روش‌های احراز هویت، می‌گویند. آنها با اشاره به اینکه در روش ارسال رمز یکبار مصرف، هزینه‌ها تنها مربوط به ارسال پیامک است، بیان کردند: «در صورت نرسیدن پیام به کاربر احتمال تکرار درخواست و افزایش تعداد ارسال رمز، منجر به بلاک شدن کاربر برای یک‌ روز می‌شود. از سوی دیگر نهاب و شاهکار این مشکل را دارند که گاهی خطا را برمی‌گردانند و پایدار نیستند. هزینه این کار نیز اتلاف زمانی است.»

این مدیران تاکید دارند که هیچ روش احراز هویتی به طور صددرصد امن نیست اما با ارسال رمز یکبار مصرف تا حد زیادی می‌توان مطمئن شد که شماره موبایلی که فرد قصد دارد با استفاده از آن اقدام به نصب اپلیکیشن کند، متعلق به خود کاربر است. به گفته آنها استفاده از سامانه‌های نهاب و شاهکار نیز با تطابق سه مولفه شماره سیم‌کارت، موبایل و کد ملی ریسک استفاده از کارت بانکی سرقت شده را تا حد زیادی کاهش می‌دهد.

.

افزایش امنیت فرایند احراز هویت با فناوری‌های جدید

فناوری‌ها می‌توانند باعث ایجاد تحول در روش‌های احراز هویت شوند. به گفته مدیران سپ استفاده همزمان از رمز، روش‎های بایومتریک مانند اثر انگشت،  Face Detection و فناوری‌های نوین مانند بلاکچین و هوش مصنوعی به عنوان ابزارهای احراز و نگهداشت اطلاعات هویتی، می‌تواند تحولی مهم را در این عرصه ایجاد کند.

از مدیران سپ درباره راهکارهایی که برای افزایش امنیت فرایند احراز هویت دیجیتال می‌توان از آنها بهره برد سوال کردیم، آنها اینگونه پاسخ دادند: «در حال حاضر با استفاده از ترکیب سرویس‌های هویتی (مانند ثبت احوال و هوش مصنوعی) امکان تشخیص چهره و احراز هویت فرد وجود دارد که فرایند ارائه خدمات مختلف را بسیار آسان کرده است. همچنین استفاده از این سرویس‌ها امکان ارائه خدمات غیرحضوری به صورت امن را نیز تسهیل می‌کند. از طرفی با نگهداری اطلاعات هویتی تایید شده در بلاکچین، افراد این امکان را خواهند داشت که اطلاعات هویتی خود و دسترسی به آنها را مدیریت کنند.»

ببینید: از کاغذ تا بلاکچین / سیر تکاملی شناسه هویت و اثرگذاری آن بر جوامع

به گفته آنها شرکت‌ها و سازمان‌ها نیز با به اشتراک‌گذاری امن اطلاعات هویتی علاوه بر حفظ حریم خصوصی افراد، به اطلاعات تایید شده‌ دسترسی پیدا می‌کنند و با شناسایی این افراد بر روی بستر بلاکچین، امکان ارائه‌ هر گونه خدمات غیر حضوری مانند Password-less login، امضای الکترونیک مدارک حقوقی و حذف کاغذ نیز وجود خواهد داشت.

.

محدودیت‌های سرویس احرازهویت شاهکار

به عقیده این مدیران مشکل اصلی احزار هویت نیز در ایران این است که استفاده از فناوری‌های نوین مانند بلاکچین هنوز در کشور متداول نشده در حالی‌که یکی از کاربردهای بسیار مفید این فناوری احراز هویت است.

استفاده از سرویس شاهکار، موجب می‌شود تا کسانی که شماره سیم‌کارت به نام خودشان نیست، دچار مشکل شوند و نتوانند از اپلیکیشن‌ها استفاده کنند. از سوی دیگر این یک نیاز است که هویت کاربران شناسایی شود، با این حال ممکن است سیم‌کارت برخی افراد به نام خودشان نباشد.

ببینید: امیر ناظمی: موانع و ابهامات ارائه سرویس شاهکار به کسب‌وکارها برطرف شد

مدیران سپ درباره رفع این مشکل می‌گویند: «استفاده از سرویس شاهکار با هدف افزایش امنیت در استفاده از  اپلیکیشن‌های حوزه مالی تدوین و ابلاغ شده و لزوم استفاده از آنها باعث ایجاد محدودیت‌هایی برای کاربران شده اما اگر زیان ناشی از سواستفاده‌های مالی را در برابر  این محدودیت در نظر بگیریم می‌توان گفت استفاده از آن تا حد زیادی مانع از ضرروزیان به کاربران خواهد شد؛ اما این به معنی عدم امکان بهبود روش فعلی نیست و قطعا هر فناوری و فرایندی با ارائه ایده‌های جدید بهبود پیدا خواهد کرد.»

.

روش احراز هویت کاربران آپ

مدیران آپ نیز گفته‌اند که احراز هویت کاربرانشان هنگام ثبت نام از طریق ارسال پیامک و هنگام انجام تراکنش مالی از طریق سامانه شاهکار انجام می‌شود و هزینه این روش‌ها نیز تنها مربوط به ارسال پیام به کاربران است.

آنها در پاسخ به این سوال که با استفاده از این دو روش تا چه اندازه می‌توان مطمئن شد که فرایند احراز هویت به درستی طی می‌شود، گفتند: «ارسال پیامک کد تایید تنها کمک می‎کند تا مطمئن شویم از سیم‌کارت شخص  دیگری نصب اپلیکیشن انجام نخواهد شد. همچنین استفاده از سامانه شاهکار با تطبیق کدملی و شماره تلفن همراه این اطمینان را به ما می‌دهد که صاحب  سیم‌کارت و صاحب کارت بانکی یک شخص است.»

.

پیشنهادی برای ارتقای سرویس‌های احراز هویت

این مدیران احراز هویت از طریق کد ملی به کمک سرویس ثبت احوال را یکی از راهکارهایی می‌دانند که می‌تواند، امنیت روش‌های احراز هویت را ارتقا دهد. همچنین عقیده دارند از نظر زیرساخت برای ارائه سرویس‌های احراز هویت در کشور مشکلی نداریم و در حد استانداردهای جهانی هستیم. البته آنها تاکید کردند که برای بهبود ارائه خدمات مناسب توسط سازمان‌های ذی‌ربط به شرکت‌های پرداختی راه زیادی در پیش داریم.

در پایان آنها به قانونی که استفاده از سرویس شاهکار را اجباری کرده اشاره می‌کنند و در رابطه با محدودیت‌هایی که استفاده از این روش به همراه دارد، می‌گویند: «هیچ راه‌حلی جز ترغیب کاربران به انتقال سیم‌کارت به نام خودشان وجود ندارد.»

درباره نویسنده

میترا محمدنژاد

میترا محمدنژاد، فارغ التحصیل کارشناسی روابط عمومی از دانشگاه علامه طباطبایی تهران است و با راه پرداخت همکاری می‌کند.

دیدگاهتان را بنویسید