«هریم» راهحلی برای استفاده آسان از رمز پویا
ايبنا/ بانک مرکزي با راهاندازي سامانه هريم (هدايت رمز يکبارمصرف) امکان ارسال رمز دوم پويا در قالب پيامک از سوي بانکها را با تسهيل تجربه کاربري امکانپذير کرده است. از اوايل تابستان سال گذشته به دليل افزايش فيشينگ در کشور بحث بهرهگيري از رمز دوم پويا (يکبارمصرف) و حذف رمز دوم ايستا در کشور مطرح شد. در طرح اوليه قرار بود بانکها زيرساخت لازم براي توليد رمز دوم يکبارمصرف در قالب اپليکيشن را فراهم کنند و بهرهگيري از رمز دوم يکبارمصرف از اول خردادماه سال ۹۸ اجباري شود؛ اما به دليل اينکه تمام کاربران به گوشيهاي هوشمند دسترسي نداشته يا علاقهمند به نصب برنامک رمز ساز روي گوشي خود نبوده و همچنين تعدادي از بانکها زيرساخت لازم براي راهاندازي اين طرح را در اختيار نداشتند الزامي شدن آن به تعويق افتاد و اختياري شد. بر اساس اين گزارش، با توجه به ادامه روند افزايش چشمگير فيشينگ و حجم بالاي تخلفات ناشي از سرقت اطلاعات کارتبانکي و خالي کردن حسابهاي مردم بانک مرکزي با رصد تجربههاي جهاني در اين بخش و همچنين توجه به دسترسيپذيري خدمت رمز دوم يکبارمصرف براي تمام کاربران و با هدف تسهيل تجربه کاربري در اين طرح، الزامات جديد رمز دوم پويا را ابلاغ و سامانه هريم را براي هدايت رمز دوم يکبارمصرف در قالب پيامک راهاندازي کرد. تمام بانکهاي کشور بعد از اتصال به سامانه هريم بانک مرکزي ميتوانند درخواست رمز دوم يکبارمصرف مشتريان خود را دريافت و پاسخ را در قالب پيامک به مشتريان خود ارائه دهند که از اين مسير افرادي که فاقد گوشي هوشمند هستند و همچنين افرادي که ميلي به نصب چندين اپليکيشن براي پرداختهاي غيرحضوري خود ندارند، ميتوانند از رمز دوم يکبارمصرف (پويا) بهرهبرداري کنند. تجهيز تمام درگاه هاي پرداخت بدون حضور کارت به آيکون درخواست صدور رمز يکبار مصرف پويا در قالب پيامک افزون بر اين، در الزامات جديد بانک مرکزي بهمنظور پوشش تمام آحاد جامعه براي استفاده از رمز دوم يکبارمصرف دست بانکها براي راهاندازي اين خدمت از کانالهاي مختلف ازجمله تلفن گويا، پست الکترونيکي، پيامک، کانال USSD و اپليکيشن هاي رمز ساز باز گذاشتهشده است؛ البته کارشناسان معتقدند با توجه به راهاندازي سامانه هريم بانک مرکزي دريافت رمز از کانال پيامک منجر به تسهيل تجربه کاربري ميشود؛ زيرا با تمهيداتي که بانک مرکزي انديشيده بعد از اتصال کامل تمام بانکها به سامانه هريم تمام درگاههاي پرداخت غيرحضوري به آيکون و دکمهاي مجهز خواهند شد که کاربر بعد از فشردن آن رمز يکبارمصرف خود را در قالب پيامک دريافت ميکند که اين روند تجربه کاربري در اجراي اين طرح را بسيار تسهيل کرده است. تسهيل شناسايي درگاه هاي پرداخت جعلي با تجهيز آن به آيکون درخواست رمز يکبار مصرف در قالب پيامک همچنين با راهاندازي سامانه هريم شناسايي سايتهاي جعلي تسهيل ميشود؛ زيرا در اين روند هر درگاه پرداختي که به آيکوني براي درخواست ارسال رمز يکبار مصرف واقعي مجهز باشد قطعاً صفحه پرداخت اصلي بوده و صفحات پرداخت جعلي اصولاً امکان دسترسي به سامانه هريم را ندارند. البته اگر يک درگاه پرداخت غيرحضوري جعلي نيز آيکون هريم بانک مرکزي را شبيهسازي کند هنگاميکه کاربر با فشردن آن آيکون و دکمه رمز يکبارمصرف خود را دريافت نکند، امکان سوءاستفاده توسط درگاه جعلي منتفي است. کارشناسان معتقدند، يکي از بحثهايي که در خصوص امنيت ارسال رمز دوم يکبارمصرف در قالب پيامک عنوان ميشود اين است که در الزامات بانک مرکزي به بانکها توصيهشده رمز يکبارمصرف را به کد پذيرنده و مبلغ تراکنش لينک کنند تا رمز يکبارمصرفي که بدين شکل و بهصورت پوبا توليد ميشود تنها براي يک مبلغ و استفاده از يک پذيرنده خاص کاربرد داشته باشد تا در صورت هک قابلاستفاده در بقيه موارد نباشد که نکته درستي است و حسب شنيدهها بانک مرکزي هم قصد دارد بعد از اجراي اوليه اين طرح در گام دوم اين مهم را براي تمام بانکها الزام کند؛ اما آنچه در اجراي اوليه بسيار مهم است و برخي منتقدان بدون توجه به اين موضوع طرح را نقد کردهاند اين است که تغيير رقم تراکنش در ارسال رمز پويا از کانال پيامک تنها در صورتي رخ ميدهد که درگاه پرداخت جعلي باشد؛ درصورتيکه با توجه به توضيحات قبلي در اين يادداشت، با راهاندازي سامانه هريم بعد از اجراي اين طرح تمام درگاههاي پرداخت غيرحضوري اصلي به آيکون درخواست رمز دوم يکبارمصرف مجهز ميشوند و درصورتيکه صفحه پرداخت واقعي نباشد اين آيکون کار نميکند و کاربران متوجه خواهند شد که در يک سايت جعلي قرار دارند و در سايت اصلي نيز اگر مبلغ تراکنش تغيير کند اين اشتباه متوجه بانک و يا ارائهدهنده خدمت پرداخت است و بهراحتي قابلپيگيري و بازگشت وجه را در پي دارد و بهمثابه فيشينگ نيست؛ ازاينرو در همين مقطع نيز با راهاندازي سامانه هريم و افزوده شدن آيکون درخواست ارسال رمز يکبارمصرف شناسايي درگاههاي جعلي بسيار آسانتر از قبل شده است. در گام بعدي بانک مرکزي لينک کردن کد پذيرنده و مبلغ هر تراکنش به رمز دوم پويا را براي بانک ها الزامي مي کند افزون بر اين، البته اين امر بانک مرکزي را از الزام لينک کردن کد پذيرنده و مبلغ هر تراکنش به رمز يکبارمصرف و ايجاد رمز پويا در گامي بعدي بازنميدارد؛ اما در شرايط حساس فعلي اجراي اين طرح جلوي بسياري از فيشينگ ها و سرقت اطلاعات بانکي را گرفته و در مرحله بعد با تکميلتر شدن اين روند شاهد کاهش شديد فيشينگ و سرقت اطلاعات کارتهاي بانکي خواهيم بود. در انتها يادآوري ميشود افرادي که از برنامک رمز ساز استفاده ميکنند نيازي به فشردن کليد دريافت رمز يکبارمصرف نخواهند داشت و مستقيماً ميتوانند رمز دريافتي از برنامک خود را وارد کرده و تراکنش را انجام دهند. در اين حالت کاربران بايد مراقبت کنند که به دام صفحات پرداخت جعلي نيفتند چرا که رمز مزبور طي طول عمر ۱۲۰ ثانيهاي خود ممکن يکبار مورد سوءاستفاده قرار گيرد.