OTP دیگر امن نیست؛ ما فقط به آن عادت کرده‌ایم

نویسنده: راه پرداخت انتشار: 4 اسفند سال 1404 ساعت 13:48 0

عمار حیدری، رئیس هیئت‌مدیره شرکت آراد رایانه لیان / سال‌هاست که وقتی پیامکی با عنوان «رمز یک‌بارمصرف شما…» دریافت می‌کنیم، احساس امنیت می‌کنیم. انگار یک دیوار دفاعی نامرئی بین ما و مهاجم کشیده شده است. عددی شش‌رقمی که قرار است فقط چند ثانیه عمر کند، تبدیل شده به نماد اعتماد در بانکداری دیجیتال. اما شاید وقت آن رسیده که با خودمان صادق باشیم: OTP بیش از آن‌که امنیت باشد، یک عادت است. عادتی که به ما حس کنترل می‌دهد، نه لزوماً کنترل واقعی.

در معماری امنیتی کلاسیک، OTP برای حل یک مسئله مشخص طراحی شد: جلوگیری از استفاده مجدد از رمزهای ایستا. زمانی که حملات بیشتر مبتنی بر سرقت رمز عبور بودند، افزودن یک عامل دوم، چیزی که کاربر «دارد»، گامی رو به جلو محسوب می‌شد. اما مسئله این است که تهدید تغییر کرده، در حالی‌که ما هنوز با همان پاسخ قدیمی زندگی می‌کنیم. امروز مهاجم کمتر به دنبال شکستن رمز است؛ او به دنبال شکستن رفتار است.

حملات SIM Swap نمونه‌ای واضح از این تغییر پارادایم‌اند. در این سناریو، مهاجم نه سامانه بانکی را هک می‌کند و نه الگوریتم رمزنگاری را. او به اپراتور مخابرات مراجعه می‌کند، هویت قربانی را جعل می‌کند و سیم‌کارت را به نام خود منتقل می‌کند. از آن لحظه به بعد، تمام OTPها مستقیماً به جیب مهاجم می‌روند. زیرساخت بانکی سالم است، رمزنگاری سالم است، اما اعتماد کاربر ربوده شده است. امنیت در سطح فنی پابرجاست، اما در سطح اکوسیستم فرو ریخته است.

حمله‌های مبتنی بر مهندسی اجتماعی حتی پیچیده‌تر شده‌اند. کاربر تماسی دریافت می‌کند از فردی که خود را کارمند بانک معرفی می‌کند. با صدایی مطمئن و اطلاعاتی که از پیش جمع‌آوری شده، اعتماد قربانی جلب می‌شود. از او خواسته می‌شود کدی که «برای لغو تراکنش مشکوک» ارسال شده را اعلام کند. کاربر، در حالی که تصور می‌کند در حال دفاع از حساب خود است، در واقع آخرین سد دفاعی را به دست مهاجم تحویل می‌دهد. در این‌جا OTP نه‌تنها امنیت ایجاد نکرده، بلکه به ابزاری در خدمت حمله تبدیل شده است.

در سال‌های اخیر، حتی مدل‌های پیشرفته‌تر احراز هویت مانند Push Notification نیز دچار آسیب مشابهی شده‌اند. حملاتی مانند Push Fatigue نشان داده‌اند که اگر به کاربر ده‌ها اعلان تأیید ارسال شود، احتمال دارد او برای رهایی از مزاحمت، یکی از آن‌ها را تأیید کند. حتی اگر خودش درخواستی ثبت نکرده باشد. امنیتی که بر خستگی ما بنا شده، دیر یا زود فرو می‌ریزد.

مشکل دقیقاً همین‌جاست: OTP بر این فرض بنا شده که کاربر همیشه هوشیار، آگاه و غیرقابل فریب است. اما امنیت مدرن نمی‌تواند بر فرض «کاربر ایده‌آل» بنا شود. انسان خسته می‌شود، فریب می‌خورد، عجله دارد و در لحظه تصمیم‌های نادرست می‌گیرد. معماری‌ای که این واقعیت را نادیده بگیرد، امنیت را به اخلاق فردی واگذار کرده است.

از منظر فنی، OTP یک مکانیزم اثبات مالکیت کانال است، نه اثبات هویت پایدار. وقتی کدی به شماره‌ای ارسال می‌شود، سیستم فقط بررسی می‌کند که چه کسی به آن شماره دسترسی دارد، نه این‌که آیا آن شخص واقعاً همان کاربر مشروع است یا خیر. در جهانی که شماره تلفن می‌تواند منتقل، شبیه‌سازی یا رهگیری شود، این تمایز کوچک، شکاف بزرگی در امنیت ایجاد می‌کند.

بانک‌ها سال‌ها روی افزایش پیچیدگی رمزها، طول کدها و زمان انقضا کار کرده‌اند. اما مسئله در طول کد نیست؛ در مدل ذهنی ما از تهدید است. ما همچنان با مهاجم سال ۲۰۱۰ می‌جنگیم، در حالی که مهاجم ۲۰۲۶ رفتارشناسی می‌داند، داده‌های نشت‌کرده را تحلیل می‌کند و از شبکه‌های اجتماعی برای ساختن روایت استفاده می‌کند. او دیگر پشت در سیستم نمی‌ایستد؛ کنار کاربر می‌نشیند.

این به معنای بی‌ارزش بودن OTP نیست. بلکه به این معناست که OTP نباید آخرین خط دفاع باشد. وقتی تمام امنیت یک تراکنش مالی، یک تغییر شماره حساب یا یک دسترسی حساس، به اعلام یک عدد کوتاه وابسته است، ما امنیت را به یک نقطه شکست واحد تقلیل داده‌ایم. هر چه ارزش دارایی دیجیتال بالاتر می‌رود، وابستگی به یک لایه تک‌بعدی خطرناک‌تر می‌شود.

سؤال واقعی این نیست که «آیا OTP هک می‌شود؟» سؤال این است که «آیا OTP به تنهایی می‌تواند با تهدیدهای رفتاری امروز مقابله کند؟» پاسخ صادقانه احتمالاً خیر است. امنیت آینده باید مبتنی بر زمینه باشد: دستگاه کاربر چیست؟ الگوی رفتاری او چگونه است؟ مکان جغرافیایی، سرعت تایپ، تاریخچه تعامل، سطح ریسک تراکنش. همه این‌ها باید در تصمیم نهایی دخیل باشند. احراز هویت باید از یک رویداد لحظه‌ای به یک فرایند پیوسته تبدیل شود.

ما سال‌هاست که به OTP اعتماد کرده‌ایم، چون ساده است، ارزان است و قابل پیاده‌سازی سریع است. اما سادگی همیشه مترادف با کفایت نیست. همان‌طور که قفل‌های ساده زمانی کافی بودند و امروز نیستند، OTP نیز شاید دیگر پاسخ کامل نباشد. امنیت یک سیستم نه به قوی‌ترین بخش آن، بلکه به ضعیف‌ترین حلقه آن وابسته است. و وقتی آن حلقه رفتار انسان باشد، طراحی باید از سطح کد فراتر برود.

شاید زمان آن رسیده که به‌جای پرسیدن «چند رقم باشد؟» بپرسیم «چه لایه‌ای کم داریم؟». اگر OTP دیگر تضمین امنیت نیست، پس معماری جدید احراز هویت باید چگونه باشد؟ آیا وقت آن نرسیده که از تأیید کاربر، به تأیید رفتار و زمینه حرکت کنیم؟

این پرسشی است که صنعت مالی دیر یا زود ناچار به پاسخ دادن به آن خواهد بود.

مسئله امروز، خرید یک ابزار جدید نیست؛ طراحی یک لایه هویت هوشمند است. امروز ما در آراد، به‌جای افزودن یک OTP دیگر، در حال بازطراحی معماری احراز هویتیم. این همان مسیری است که می‌تواند فاصله ما با استانداردهای جهانی را کاهش دهد.