راه پرداخت
رسانه فناوری‌های مالی ایران

هریم، فرصتی اکازیون برای کیف‌قاپ‌ها!

علی رزازی، کارشناس حوزه پرداخت / کیف‌قاپ‌های با معرفت، پول و موبایل را بر می‌داشتند و کارت‌های بانکی (اگر رمز را در کنارش نگهداری نکرده بودید) و اگر کمی با معرفت‌تر بودند، گواهینامه و سایر مدارک هویتی را در گوشه‌ای رها می‌کردند که مال باخته، بابت دریافت المثنی مدارک خود به زحمت نیفتد.

به عبارت دیگه، اگر دچار حادثه‌ای می‌شدید، موجودی نقد شما، موبایل شما و سایر اشیا قیمتی خود را از دست می‌دادید ولی موجودی حساب خود را از دست نمی‌دادید چون کارت بی‌رمز برای سارق ارزشی نداشت (مجددا تاکید می‌کنم اگر رمز کارت خود را مثلا بر روی یک کاغذ در کیف خود نگهداری نکرده بودید).

توضیح زیر، تهدید ایجاد شده توسط هریم را مشخص می‌کند.

روش‌های احراز هویت، معمولا در سه گروه تقسیم‌بندی می‌شوند:

  • گروه اول: آنچه شما دارید. (مثال: کلید خانه شما، روشی برای احراز هویت شماست. به عبارت دیگر، هر کس که کلید خانه شما را داشته باشد، امکان ورود به خانه شما را دارد)
  • گروه دوم: آنچه شما می‌دانید. (مثال: رمز عبور ایمیل، معروف‌ترین مثال در این دسته محسوب می‌شود.)
  • گروه سوم: آنچه شما هستید. (مثال: اثر انگشت منحصر به فرد هر انسان)

(البته این دسته‌بندی کلاسیک هست و امروزه شاهد روش‌هایی دیگری نیز هستیم، مثلا روش‌هایی که مبتنی بر «آنچه (آنگونه) که شما فکر می‌کنید» است.)


ببینید: سامانه هریم بانک مرکزی چه مشکلاتی را در راستای اجرای رمز دوم پویا ایجاد می‌کند؟


به منظور احراز هویت در سامانه‌ها و اماکن، حسب اهمیت و ارزش از یک یا چند روش (عامل) احراز هویت استفاده می‌شود. مثلا ممکن است شما دو قفل برای خانه خود در نظر بگیرید (دو عامل از گروه اول: آنچه شما دارید) و یا مثلا گاوصندوق محل کار شما دارای یک کلید و یک رمز است (یک عامل از گروه اول و یک عامل نیز از گروه دوم).

به عنوان مثال دیگر، در پرداخت‌های با کارت روی دستگاه کارت‌خوان، شما کارت (آنچه شما دارید) را کشیده و سپس رمز (آنچه شما می‌دانید) را ارائه می‌دهید و در صورت صحت دو عامل، امکان تراکنش دارید.

اما در پرداخت‌های اینترنتی (مجازی)، شما اطلاعات کارت خود را (الزاما آنچه دارید نیست چرا که می‌توانید اطلاعات کارت خود را به خاطر بسپارید) همراه رمز دوم خود (آنچه شما می‌دانید) وارد کرده و در صورت صحت، امکان تراکنش دارید.

 نکته مهمی که وجود دارد این است که در صورت انتخاب بیش از یک عامل، هر یک از عامل‌ها باید از گروه‌های مختلفی باشد. به عبارت دیگر، دو عامل نباید از یک گروه انتخاب شوند. مثلا دو قفل برای خانه خود در نظر بگیرید. دوستی داشتم که نگران بود موتور سیکلتش را دزد ببرد، تصمیم گرفت به جای یک قفل، دو قفل به موتور خود بزند. یک روز، دسته کلیدش رو فردی برداشت و دو قفل را باز کرد و موتور را برد. (البته توجه دارم که باز کردن دو قفل برای کسی که کلید ندارد سخت‌تر از یک قفل هست)

فیشینگ، نشر ناخودآگاه رمز و … عموما به عنوان خاستگاه دلیل استفاده از رمز دوم پویا (رمز دوم یک بار مصرف) مطرح می‌شود. افزایش تعداد جرم‌های ناشی از وب‌سایت‌های شبیه‌سازی شده و … و افزایش مال باختگانی که آخرین فعالیت خود را ورود اطلاعات خود در وب‌سایتی نامشخص (پس از دریافت پیامکی با متن اقناع کننده) اعلام کرده بودند؛ لزوم استفاده از عامل دیگری در احراز هویت را بیشتر کرد.


ببینید: ۲۰ چیز که باید درباره رمز دوم پویا بدانید


اما اتفاقی که افتاده این است که رمز دوم پویا (که عموما از طریق هریم درخواست داده می‌شود) با توجه به ارسال در قالب پیامک به موبایل دارنده کارت، به عنوان یک عامل از گروه «آنچه شما دارید» محسوب می‌شود. به عبارت دیگر، اگر من به موبایل شما دسترسی داشته باشم می‌توانم درخواست رمز دوم پویا کرده، پیامک دریافتی را خوانده و با دانستن سایر اطلاعات روی کارت شما، تراکنش انجام دهم.

خلاصه آنکه، اگر کیف شما توسط کیف قاپ دزدیده شد و موبایلتان درون کیفتان بود، دو عامل احراز هویت شما یعنی اطلاعات کارت (آنچه شما دارید) و رمز دوم پویا (آنچه شما دارید) که به موبایل شما ارسال می‌شود در اختیار سارق قرار دارد و می‌توانید انتظار داشته باشید که نه تنها اشیا قیمتی خود را دیگر نبینید بلکه موجودی حساب بانکی خود را نیز از دست بدهید.

رمز دوم پویا قصد داشت ابرویی (سو استفاده در قالب فیشینگ و …) را درست کند ولی چشمی (احراز هویت دو عاملی در پرداخت‌های غیر حضوری) را کور کرد. به عبارت دیگر، دو عامل اطلاعات کارت و رمز کارت که از دو گروه مختلف بودند را به اطلاعات کارت و رمز دوم پویا که متعلق به یک گروه هستند تبدیل کرده است. اما راهکار چیست؟


ببینید: آیا با اجرایی‌شدن رمز دوم پویا آمار فیشینگ کاهش پیدا می‌کند؟


به نظر می‌رسد، رمز دوم پویا، باید به عنوان عامل جدیدی به سایر عوامل قبلی افزوده می‌شد نه اینکه جای آن را بگیرد. به عبارت دیگر، در پرداخت‌های بدون نیاز به حضور کارت، کاربر موظف به وارد کردن اطلاعات کارت (آنچه دارد) و رمز دوم (آنچه می‌داند) و رمز سوم پویا (آنچه دارد) باشد تا در صورت آنکه دچار فیشینگ و … شد، عامل سوم (رمز سوم پویا) از سو استفاده و زیان کاربر جلوگیری کند.

3 دیدگاه
  1. محمد می‌گوید

    هزار بار من و امثال من گفتیم، کو گوش شنوا ؟!

  2. ناشناس می‌گوید

    بسیار عالی

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.