به گزارش ایبِنا به نقل از گلوباب بانکینگ اند فایننس، موسسات مالی به طور روزافزون در حال استفاده از پلتفرمهای بانکداری اینترنتی و الکترونیک هستند که به مشتریان کمک میکند هرزمان و هرجا بتوانند مبادلات بانکی خود را انجام دهند. با اینحال با توسعه همزمان بدافزارها و تهدیدهایی که بانکداری الکترونیکی و موبایلی را در معرض خطر قرار داده است، محافظت کاربران دربرابر تهدیدهای امنیتی به رویکردی جدی برای تاییدیه امنیتی نیاز است.
بسیاری از بانکها در دنیا سیستمهای قوی سختافزاری را برای مشتریان تجاری خود به کار میگیرند، اما برای کاربران عادی اجرای این تصمیم دشوار است و اجرای آن بسیار پرهزینه و پیچیده میشود. با این حال این دغدغه هم با ظهور سیستمهای جدیدتر امنیتی بانکداری الکترونیک که تجربه انجام مبادلات راحت بانکی را فراهم میکند، برطرف شده است.
روش پایه در تاییدیه بانکداری الکترونیک استفاده از رمزهای یکبار مصرف است. کاربر درخواستی را برای بانک ثبت میکند که رمز یکبار مصرف به تلفن همراه او ارسال شود. پس از دریافت پیام حاوی رمز یکبار مصرف، وی این رمز را درج کرده و فرایند بانکی خود را تکمیل میکند. هرچند ارسال رمزهای یکبار مصرف به صورت پیامک با چالشهایی هم روبروست.
اول اینکه اگر قرار باشد مشتری هزینه پیامکهای ارسال حاوی رمز را پرداخت کند، هزینه های وی بالا خواهد رفت. دوم اینکه ممکن است مشکل آنتندهی یا تاییدیه دریافت پیامک فرایند بانکی را با اختلال همراه کند. سومین چالش هم این است که رمزی که از طرف بانک ارسال شده تا قبل از این که به دست کاربر برسد، امکان این را نداشته باشد که به دست سوءاستفادهکنندگان برسد.
روش جایگزین برای این مساله این است که گوشی تلفن همراه میتواند با نصب نرمافزاری که به صورت خودکار رمز یکبار مصرف تولید میکند تبدیل به یک توکن شود و برای این منظور میتوان از الگوریتمهای مربوط به آن استفاده کرد که امنیت این روش را بالاتر میبرد. هرچند هنوز این نکته پاربرجاست که نرمافزارهای ایجادکننده رمز یکبار مصرف موبایلی نیز در صورتی که به خوبی طراحی نشده باشند در معرض خطر قرار خواهند داشت.
بنابراین تضمین اینکه رمزهای یکبار مصرفی که در اختیار کاربر قرار میگیرد از مسیر امنی گذشته و فقط در اختیار کاربر نهایی قرار دارد در معرض تهدیدهایی مثل فیشینگ و سایر روش های کلاهبرداری است که ضرورت دقت در طراحی نرمافزارهای تولید رمز یکبار مصرف را دوچندان میکند. تمام روش های تاییدیه هویت کاربران باید در یک استراتژی بزرگتر و چندلایه به اجرا درآید. به طور ایدهآل لازم است که پنج لایه امنیتی به کار گرفته شود تا دسترسی ایمن به اطلاعات را تضمین کند.
لایه اول ربط دادن هویت کاربر با رمزعبور اوست، در مرحله دوم باید شرایط بهگونه ای باشد که گوشی همراهی که کاربر از آن استفاده میکند در سیستم شناخته شده باشد. لایه سوم تایید نرمافزار یا مرورگری است که کاربر از آن استفاده میکند. در لایه چهارم باید برای تراکنشهای مالی بزرگتر تاییدیه سقف تراکنش در نظر گرفته شود و در لایه پنجم نیز تضمین امنیت نرمافزار تولید رمز است که بسیار برای بانکداری موبایلی مورد نیاز است و دزدی اطلاعات را برای هکرها بسیار سخت میکند.
