الزام استفاده از رمز دوم یک‌بار مصرف یا پویا برای سومین بار به تعویق افتاد و بار دیگر سؤال‌هایی را برای مشتریان بانک‌ها ایجاد کرد. یک کارشناس حوزه پرداخت الکترونیک در این مورد می‌گوید بانک مرکزی به‌جای استفاده از روش‌های پیچیده، می‌تواند کیف‌ پول‌های الکترونیک را ساماندهی کند.

در ایرناپلاس بخوانید

اوایل امسال بود که بخشنامه بانک مرکزی به بانک‌ها درباره جایگزین کردن رمز یک‌بار مصرف یا پویا ابلاغ شد؛ رمزی که قرار بود با طول عمر کوتاه خود از حساب‌های بانکی‌مان در برابر حملات فیشینگ و دیگر سوءاستفاده‌ها، محافظت کند. بانک‌ها هم دست‌به‌کار شدند و هر کدام به روش خود، تلاش کردند تا امنیت کاربران را تأمین کنند. اپلیکیشن‌های جدیدی معرفی شدند و سؤال‌های جدیدی برای کاربران ایجاد کردند.

با اینکه تعداد محدودی از بانک‌ها، علاوه بر اپلیکیشن‌هایی که برای سیستم عامل‌های اندروید و IOS طراحی شده‌اند، به‌ فکر سیستم‌ عامل‌های قدیمی‌تری مانند جاوا بودند، اما صاحبان موبایل‌های ساده در این طرح فراموش شدند. علاوه بر این، برخی افراد تمایلی به نصب برنامه‌های جدید روی موبایل خود ندارند و متقاضی استفاده از راهکارهای دیگری مانند پیامک برای دریافت رمز دوم هستند.

رمز پویا در انتظار سامانه پیامکی

بانک مرکزی که پیش از این نیز با انتقادات مشابهی مواجه بود، تنها چند روز مانده به پایان مهلت استفاده از رمز دوم ایستا، اعلام کرد این رمزها همچنان معتبر هستند و به‌مرور و تا اواسط دی‌ماه، تمام بانک‌ها برای ارسال پیامکی رمز دوم پویا، به سامانه یکپارچه‌ای که به این منظور تهیه شده، متصل خواهند شد.

با وجود حرکت نظام بانکی و نظام پرداخت در این مسیر پر پیچ و خم، یک کارشناس حوزه پرداخت الکترونیک از راه‌حل ساده‌تری می‌گوید که می‌تواند این مسیر را هموار کند. قانون‌گذاری در زمینه کیف پول‌های الکترونیکی که چندین سال است در انتظار ساماندهی به سر می‌برند، توصیه این کارشناس به بانک مرکزی برای کاهش  فیشینگ، سوءاستفاده‌های مالی و همچنین فشار زیادی است که بر شبکه پرداخت کشور وارد شده.

علیرضا بزرگمهری، کارشناس حوزه پرداخت الکترونیک درباره فعال‌سازی رمز دوم پویا به خبرنگار ایرناپلاس گفت: بهتر است بانک‌ها برای تأثیرگذاری بیشتر در زمینه سوءاستفاده‌ از تراکنش‌های مالی، به‌جای اپلیکیشن رمز پویا، در خود اپلیکیشن‌ها، ارسال پیامک و تأیید دو مرحله‌ای را فعال کنند.

مسیر انجام تراکنش و دریافت رمز باید جدا باشد

وی درباره تعداد زیاد اپلیکیشن‌هایی که بعد از معرفی رمز دوم پویا ناچار به نصب آنها شده‌ایم، گفت: از نظر فنی باید مسیر انجام تراکنش و مسیر دریافت رمز از یکدیگر جدا شوند. با این حال، بانک‌ها می‌توانستند کار ساده‌ای انجام دهند؛ به‌عنوان مثال زمانی که به مرحله تراکنش می‌رسیم دکمه ارسال کد را انتخاب می‌کنیم و رمز دوم به همین راحتی ارسال می‌شد. در این روش، پیچیدگی خاصی ایجاد نمی‌شد، اما بانک‌ها راهکارهای پیچیده‌ای مانند نصب دو اپلیکیشن را انتخاب کردند که منطق کافی را ندارد.

وی تأکید کرد: جداسازی دو کانال انجام تراکنش و دریافت رمز از یکدیگر، درست و منطقی است، اما باید توجه کرد استفاده از دو اپلیکیشن مجزا، لزوماً به معنای جداسازی این دو کانال نیست؛ چرا که اگر فردی به تلفن همراه ما دسترسی پیدا کند، در واقع به هر دو اپلیکیشن دسترسی پیدا کرده است.

رمز ایستا در هر صورت ناامن است

انتقاد دیگری که به طرح فعلی رمز دوم پویا وارد است، حذف رمزهای ایستاست. برخی می‌گویند بانک‌ها می‌توانستند رمز دوم ایستا را نگه‌ دارند و در کنار آن در هر تراکنش بدون کارت، کدی را برای احراز هویت دو مرحله‌ای پیامک کنند.

بزرگمهری با اشاره به‌ اینکه رمز دوم پویا در هر صورت ناامن است، درباره این انتقاد توضیح داد: در همه روش‌های احراز هویت دو مرحله‌ای، از تلفن همراه استفاده می‌شود. با این حال، رمز دوم پویا احراز هویت دو مرحله‌ای نیست، چرا که لزوماً رمز دوم به‌صورت پیامک ارسال نمی‌شود و از طریق اپلیکیشن هم به‌دست مخاطب می‌رسد. به‌طور کلی، رمز دوم ایستا قابل قبول نیست، زیرا امکان سوءاستفاده از آن در پرداخت‌های بدون کارت وجود دارد و به هر حال باید کنار گذاشته می‌شد.

سؤال دیگری که درباره رمز دوم پویا وجود دارد، منحصربه‌فرد بودن آن برای یک تراکنش خاص است. این کارشناس حوزه پرداخت الکترونیک در این باره گفت: از آنجایی که طول عمر رمزهای پویا بسیار کوتاه تعیین شده، تنها کاری که می‌توان انجام داد ایجاد فاصله بین تراکنش‌ها به‌اندازه طول عمر این رمز است. در حال حاضر روشی وجود ندارد که مشخص کند این رمز، به‌طور ویژه برای یک تراکنش خاص، تولید شده و این رمز، برای هر تراکنشی که در مدت زمان اعتبار آن انجام می‌شود، قابل استفاده است.

اشکال از کارت به کارت به‌صورت پرداخت آنی است

با وجود فعال شدن رمز دوم پویا در ماه‌های اخیر، باز هم سوءاستفاده‌های مالی و کلاهبرداری از تراکنش کارت‌ به ‌کارت اتفاق افتاده است. کلاهبرداران با تماس تلفنی و به بهانه واریز وجه، شماره کارت قربانی را گرفتند و اعلام کردند برای تأیید پرداخت از طرف بانک، کدی را که برایتان پیامک شده را بخوانید. در نتیجه حساب قربانی با کدی که از سوی خود وی در اختیار کلاهبردار گذاشته شده، خالی شده است.

بزرگمهری ضمن تأکید بر اینکه امنیت، امری ۱۰۰ درصدی نیست، با انتقاد از روش فعلی تراکنش‌های کارت‌ به ‌کارت گفت: کارت‌ به ‌کارت به‌صورت واریز آنی در دنیای امروز متداول نیست و راهکارهای جایگزین آن، استفاده از کیف‌ پول و روش‌های احراز هویت دو مرحله‌ای هستند. ما شیوه ناامن و غیررایج کارت ‌به ‌کارت با پرداخت آنی را رواج دادیم و برای حل مشکلات آن، به‌دنبال راهکار هستیم.

وی افزود: این در صورتی است که اگر از پایه به موضوع نگاه کنیم، کارت ‌به ‌کارتی که منجر به تسویه آنی می‌شود، تراکنش بسیار پر ریسکی است، ولی اگر همین فرآیند با استفاده از کیف پول الکترونیکی و تأیید دو مرحله‌ای انجام شود، ریسک آن کاهش می‌یابد.

وی ادامه داد: باید به‌خاطر داشته باشیم امنیت، موضوع ۱۰۰ درصدی نیست و همواره در هر روشی، مخاطرات امنیتی وجود دارد. نکته‌ای که وجود دارد، پیچیده‌تر کردن و سخت‌تر کردن عبور از سدهای امنیتی است. هکرها برای سوءاستفاده از رمز ایستا یک عمر وقت دارند، ولی در رمز پویای دو مرحله‌ای امکان سوءاستفاده فقط در بازه زمانی طول عمر رمز پویا وجود دارد. بنابراین میزان سوءاستفاده تا حد قابل توجهی کاهش می‌یابد.

اگر سیم‌کارتمان را عوض کنیم، رمز دوم کارتمان چه می‌شود؟

نگرانی دیگر افراد در استفاده از رمز دوم پویا، جابه‌جایی و انتقال سیم‌کارت است. اگر سیم‌کارت خود را تغییر دهیم، چه اتفاقی برای رمز دوم  و حساب بانکی‌مان می‌افتد؟

بزرگمهری درباره تغییر و تعویض سیم‌کارت توضیح داد: اگر فردی سیم‌کارت خود را بسوزاند و دوباره همان شماره را دریافت کند، خطری برای حساب بانکی‌اش به وجود نخواهد آمد، اما اگر سیم‌کارت را به فرد دیگری واگذار کنیم، مسائلی به‌وجود خواهد آمد. باید این فرهنگ‌سازی انجام شود که شهروندان در چنین مواقعی تغییرات را بلافاصله در مراکزی که قبلاً این شماره تلفن ثبت‌شده، اعلام کنند. البته فرآیند اعلام تغییر در حال حاضر پیچیده است. بخش زیادی از نظام بانکی ما پشتیبانی پرقدرتی ندارد و اگر این جابه‌جایی و واگذاری پس از ساعات کاری بانک انجام شود، مالک جدید تا روز کاری بعد امکان سوءاستفاده دارد.