چالش‌های احراز هویت در بانکداری الکترونیک

امنیت یکی از چالش‌های اصلی استفاده در فناوری اطلاعات در بانک‌ها است که روز به روز بر اهمیت آن افزوده می‌شود. سهل‌انگاری در مقوله امنیت می‌تواند صدمات جبران ناپذیری را بر بدنه شبکه بانکی کشور وارد کرده و این حوزه را با چالش جدی مواجه سازد. یکی از حوزه‌های امنیت که کاربرد فراوانی در بانکداری الکترونیک دارد تکنولوژی‌های احراز هویت است. از آنجا که عملیات بانکی اعم از تراکنش‌های مالی و پولی، افتتاح حساب، گزارش‌گیری از تراکنش‌ها و … باید توسط افراد مجاز مانند صاحبان حساب‌های بانکی یا کسانی که از آن‌ها وکالت دارند یا توسط کاربران و کارمندان مجاز بانک‌ها، قابل‌انجام باشد، احراز هویت درخواست‌کننده عملیات بانکی از مسائل مهم امنیتی در حوزه بانکداری الکترونیکی است. یکی از مشکلات احراز هویت در اینترنت بانک مشهود است، امروزه سیستم بانکی با احراز هویت کاربران اینترنتی خود مشکل دارد و اطمینان از اینکه خود کاربر از اینترنت بانک استفاده کرده است کار دشواری است حتی رمز‌های یکبار مصرف (OTP) هم نتوانستند این مشکل را حل کنند؛ چرا که با دسترسی به این دستگاه می‌توان بدون حضور مالک دستگاه هم از آن استفاده کرد. امروزه پویایی و امنیت یک سیستم را با احراز هویت سنجش می‌کنند و در حقیقت سیستمی که احراز هویت در آن موجود نیست، سیستم ناامنی است.

.

در زیر روش‌های احراز هویت را بیان می‌کنیم:

• احراز هویت با کلمه عبور
• احراز هویت با امضا
• احراز هویت با داشتن یک کارت بانکی
• احراز هویت با استفاده از یک نشانه (توکن)
• احراز هویت بیومتریک (اثر انگشت، عنبیه چشم و…)
• احراز هویت ترکیبی (ترکیبی از موارد فوق‌الذکر)

.

تهدیدهای موجود در سیستم‌های احراز هویت:

.

احراز هویت با کلمه عبور

کلمه عبور متداول‌ترین سیستم برای احراز هویت در نظام بانکداری الکترونیک است با این حال سیستم قابل‌اطمینانی برای تشخیص احراز هویت نیست به دلیل اینکه اطمینان از اینکه خود شخص از کلمه عبور استفاده کرده کار دشواری است به همین دلیل برای داشتن سیستم کاملاً امن نمی‌توان به این سیستم اتکا کرد.

.

احراز هویت با امضا

یکی از ابتدایی‌ترین روش‌های احراز هویت است. به این صورت که امضای کاربر با امضای ثبت شده در سیستم بانکی مطابقت داده می‌شود، ولی این روش هم نمی‌تواند سیستم امنی باشد که بتوان از آن به‌صورت گسترده استفاده کرد. عواملی چون خطای انسانی و جعل، امنیت این روش را زیر سوال می‌برد.

.

احراز هویت با استفاده از توکن

استفاده از توکن به معنی استفاده از موجودیت‌ها است که این موجودیت‌ها می‌تواند کارت شناسایی، کارت بانکی، اسمارت کارت و… باشد که متناسب با محیط مورد استفاده قرار می‌گیرد. با این روش هم نمی‌توان هویت فرد را تشخیص داد به دلیل اینکه ممکن است توسط فرد دیگری مورد استفاده قرار گیرد و مشکلاتی همچون مفقود شدن، جعل و… نیز برای این موجودیت‌ها اتفاق بیفتد و در پاره‌ای مواقع برای احراز هویت نیاز به ارائه چند موجودیت است به همین دلیل نمی‌توان از آن در حجم وسیع استفاده کرد.

.

احراز هویت با استفاده از بیومتریک

در این سیستم از خصوصیت‌های فیزولوژیک بدن انسان استفاده می‌شود. این خصوصیت‌ها می‌تواند اثر انگشت، عنبیه چشم، صدا، چهره و… باشد. استفاده از این روش بنا به خصیصه مورد استفاده مشکلات خاص خودش را دارد. متغیرهای بیومتریک باید این ویژگی‌ها را داشته باشند:

1. همه افراد آن را داشته باشند
2. این خصیصه باید متمایز باشد و در هیچ دو نفری یکسان نباشد که در خصیصه‌هایی که در بالا از آن‌ها نام بردیم این ویژگی موجود است
3. در طول عمر افراد تغییر نکند

.

احراز هویت با استفاده از سیستم‌های ترکیبی

این روش تشکیل شده از روش‌های احراز هویتی که در متن فوق از آن‌ها صحبت کردیم که این روش می‌تواند ترکیب احراز هویت با کلمه عبور و احراز هویت با توکن‌ها باشد یا ترکیب احراز هویت با توکن و متغیر‌های بیومتریک یا غیره باشد. این روش از امن‌ترین روش‌های احراز هویت است؛ چون از دو روش به‌طور همزمان استفاده می‌شود. در این روش ممکن است از احراز هویت با کارت بانکی و کلمه عبور هم‌زمان با هم استفاده شود که در این صورت هم نمی‌توان گفت این روش کاملاً امن است. از روش‌های ترکیبی دیگر می‌توان به استفاده از رمز‌های یکبار مصرف که توسط دستگاه‌های رمزیاب تولید می‌شود و رمز ثابت فرد اشاره کرد. رمز یکبار مصرف توسط دستگاه رمزیاب تولید می‌شود، دستگاه رمزیاب یک دستگاه فیزیکی است که در اختیار کاربر قرار می‌گیرد و با تولید یک عدد یکتا به‌صورت تصادفی و از روی سرور، احراز هویت کاربری که آن را وارد کرده است، تایید می‌کند؛ اما در دستگاه‌های رمزیاب هم مشکلاتی نظیر تمام شدن باتری یا به سرقت رفتن و… وجود دارد که استفاده از این دستگاه را دچار مشکل می‌کند.

.

راهکار پیشنهادی

برای مقابله با این مشکلات چه می‌توان کرد؟ پیشنهاد ما استفاده از یک راهکار خلاقانه و نوین است. این راهکار در واقع یک سلاح موثر در مقابل تمامی تهدیدهای فوق است که به آن اشاره کردیم و به تولیدکنندگان این سیستم‌ها امکان انجام احراز هویت ایمن برای کاربردهای آنلاین را می‌دهد. راهکار ما استفاده از سیستم ترکیبی است اما سیستمی که در آن حضور شخص یک امر ضروری برای احراز هویت است. این راهکار ترکیب احراز هویت به‌صورت بیومتریک و یک اسمارت کارت است که در زیر بیشتر در مورد این روش توضیح می‌دهیم.

.

احراز هویت با اثر انگشت و اسمارت کارت

این سیستم شامل یک اثر انگشت اسکنر و اسمارت‌کارت‌خوان است که به این تکنولوژی Match On Card می‌گویند. این سیستم احراز هویت دارنده کارت را بدون نیاز به شبکه به‌صورت آفلاین انجام می‌دهد. این سیستم اطلاعات شخص نظیر نام و نام خانوادگی، عکس و… و اطلاعات بیومتریک را که در اینجا همان اثر انگشت کاربر است، به واسطه امنیت کارت هوشمند روی Chip کارت ذخیره می‌کند. ذخیره‌سازی اثر انگشت برای هر 10 انگشت دست صورت می‌گیرد که این ذخیره‌سازی به شکل عکس نیست و با استفاده از الگوریتم رمز شده اثر انگشت صورت می‌گیرد که همین امر ضامن امنیت این روش است. از مزیت‌های این روش این است که شخص نمی‌تواند هویت خود را انکار کند چون در زمان استفاده باید خود شخص به‌صورت زنده و اسمارت کارت حاوی اطلاعات بیومتریک و اطلاعات شخصی وجود داشته باشد و از دیگر مزیت‌های این دستگاه می‌توان به رمزنگاری و رمزگشایی اطلاعات اشاره کرد.

.

قابلیت‌های این روش

• استفاده از این روش ممکن است بعد از احراز هویت منجر به ایجاد یک رمز یکبار مصرف شود.
• استفاده از این روش ممکن است موجب ایجاد یک امضای دیجیتال برای اسناد باشد.
• می‌توان از این روش برای ایجاد امنیت صندوق‌های امانات بانک‌ها استفاده کرد.
• این روش، روشی مطمئن برای احراز هویت کاربر در استفاده از اینترنت بانک است.
• استفاده به‌صورت آفلاین.

مهندس امیر افشانی / مدیر فناوری اطلاعات شرکت گرایش تازه کیش

منبع: دنیای اقتصاد