رمز پویا؛ کور کردن چشم، برای برداشتن اَبرو

تجارت فردا

بروزرسانی 1399/01/29 - 15:01

رمز پویا؛ کور کردن چشم، برای برداشتن اَبرو

تجارت فردا/ متن پيش رو در تجارت فردا منتشر شده و انتشار آن به معني تاييد تمام يا بخشي از آن نيست هومن رضوي-کارشناس پرداخت الکترونيک/ حدود دو سال است که به‌طور متناوب، مساله رمز دوم يک‌بارمصرف يا OTP به پاي ثابت محافل فناوري و بانکي و همچنين سوژه رسانه‌ها تبديل شده است. افزايش چشمگير تعداد پرونده‌هاي فيشينگ در تابستان گذشته باعث شده، معاون جديد فناوري بانک مرکزي، نسبت به اجرايي نشدن رمز دوم يک‌بارمصرف که قرار بود ابتداي خرداد 98 اتفاق بيفتد، واکنش نشان داده و طي اظهارنظري توئيتري، اعلام کند که دي‌ماه، آخرين مهلت براي اجرايي شدن رمز دوم يک‌بارمصرف توسط همه بانک‌هاي صادرکننده کارت است. اين اظهارنظر مختصر، ابهامات زيادي در مورد چگونگي اجرا و خصوصاً مدل کسب‌وکار پروژه رمز دوم يک‌بارمصرف به همراه داشته به گونه‌اي که حتي در محافل تخصصي در حوزه پرداخت الکترونيک، متخصصان گمانه‌زني‌هاي ضد و نقيضي در خصوص نحوه اجراي پروژه رمز دوم يک‌بارمصرف ارائه مي‌کردند. علاوه بر نگراني‌هاي فني از بابت ايجاد زيرساخت‌هاي مناسب براي اجرايي شدن اين پروژه، تغيير ناگهاني در تجربه کاربري و حتي مدل کسب‌وکاري اين طرح، مي‌توانست سبب ريزش تراکنش‌ها و آسيب به کسب‌وکارهاي اينترنتي شود که در عمل اين اتفاق نيز افتاده است. در حالي که آيا امنيت تراکنش‌ها در ساير کشورها به همين ترتيب تامين مي‌شود؟ در ادامه تلاش شده بررسي نسبتاً همه‌جانبه‌اي از نحوه اجراي طرح رمز دوم يک‌بارمصرف توسط شبکه بانکي ارائه شود. ما در کشور بيش از 10 ميليون نفر مشترک اينترنت ثابت و 64 ميليون نفر مشترک اينترنت سيار داريم. بنابراين در مجموع ضريب نفوذ اينترنت در کشور بالاي 90 درصد است. به همين ترتيب، مردم اکنون بسياري از فرآيندهاي اجتماعي را بر بسترهاي سايبري انجام مي‌دهند. اين خدمات سايبري، آنچنان در زندگي طبقاتي از جامعه تنيده شده است که منجر به تغيير عادات سنتي مردم و حتي مدل‌هاي بيزنسي بسياري از کسب‌وکارها شده است. به عنوان مثال، رستوران‌ها تا چند سال قبل، عمده تمرکزشان را بر مشتريان حضوري داشته و در نهايت مي‌توانستند به مشترياني که از لحاظ فيزيکي، پيرامون خود بودند، سرويس دهند. اما امروز با قرار گرفتن در market-placeها، ضمن آنکه مشتري در يک پاساژ الکترونيک، امکان تنوع، مقايسه، نظرسنجي و... را دارد، رستوران‌ها هم مي‌توانند با هزينه کم، توسعه بازار داشته باشند. با اين تغيير مهم تکنولوژيکي و کسب‌وکاري، شاهد آن بوديم که تجارت الکترونيک و کسب‌وکارهاي مبتني بر اينترنت رشد زيادي داشته و براي مشتريان، عادي شده است که در طول روز، سرويس‌هاي حمل‌ونقل، تهيه غذا، خريد ساير کالا و خدمات را به صورت غيرفيزيکي انجام دهند. طبيعتاً مهم‌ترين حلقه از اين فرآيند، انجام عمليات پرداخت الکترونيک از طريق درگاه‌هاي غيرحضوري پرداخت است. عملياتي که طي آن، مشتري اطلاعات کارت خود را وارد کرده و پس از تاييد بانک صادرکننده، پرداخت وجه را انجام مي‌دهد. متاسفانه، بانکداري شخصي در ايران به شدت مبتني بر کارت شده است و مشتري مي‌تواند به ازاي هر حسابي اعم از قرض‌الحسنه، جاري، کوتاه‌مدت و بلندمدت و با هر سقف مبلغي که در سپرده‌اش باشد، از بانک درخواست صدور کارت داشته باشد و عملاً کارت مشتري با حسابش گره خورده است. بنابراين اگر اطلاعات کارت مشتري هک شود، تمام موجودي حسابش مورد تهديد قرار مي‌گيرد. با توجه به وظايف بانک مرکزي بر تنظيم مقررات حوزه امنيت تراکنش‌هاي بانکي، اين بانک بخشنامه «الزامات رمزهاي پويا بر تراکنش‌هاي مبتني بر کارت» را منتشر و به بانک‌ها و موسسات مالي کشور ابلاغ کرد. بنابراين بانک مرکزي تصميم به متغير کردن رمز دوم پويا گرفت تا از طريق آن امکان کلاهبرداري و سرقت اطلاعات کارت را به حداقل برساند. در تراکنش‌هاي غيرحضوري که از طريق اينترنت و موبايل انجام مي‌شوند، داشتن چهار فاکتور براي انجام تراکنش لازم است که شامل شماره کارت، رمز دوم (چهار تا هشت رقم)، CVV2 و تاريخ انقضاي کارت است. از بين اين چهار پارامتر، تنها پارامتري که روي کارت حک نشده و تنها در حافظه مشتري ذخيره شده است، رمز دوم کارت است. منشأ بسياري از سرقت‌ها و سوءاستفاده‌ها، ناشي از لو رفتن رمز دوم کارت مشتريان است. بنابراين چنانچه در تراکنش‌هاي غيرحضوري بتوان رمز دوم را به صورت OTP توليد کرد، امنيت اين نوع تراکنش‌ها تا حد قابل توجهي افزايش مي‌يابد. آمارهاي منتشرشده در گزارش اقتصادي شرکت شاپرک نشان مي‌دهد که در سال 97، حدود شش درصد از تراکنش‌ها بر بستر اينترنت و شش درصد بر بستر موبايل انجام شده است. بنابراين به صورت بالقوه 12 درصد از تراکنش‌هاي شبکه پرداخت يعني 5 /2 ميليارد تراکنش سالانه را که بدون حضور کارت و با چهار فاکتور انجام شده‌اند مي‌توان با ابزار OTP ايمن کرد. پيش‌بيني مي‌شود تعداد تراکنش‌هاي غيرحضوري کشور در سال 98 به بيش از سه ميليارد تراکنش يرسد. در دنيا، رمزهاي پويا مي‌تواند بر بستر کارت، پيامک، اي‌ميل يا اپليکيشن موبايل توليد شود. البته نکته مهم آن است که چيزي به عنوان رمز دوم در سيستم‌هاي پرداخت بين‌المللي وجود ندارد. در واقع آن چيزي که به صورت پويا توليد مي‌شود، کد CVV2 يک‌بارمصرف است نه رمز! زيرا رمز اساساً بايد توسط مشتري محفوظ مانده يا امکان تغيير آن وجود داشته باشد و صدور رمز توسط يک سامانه و ثابت بودن CVV2 کارت‌ها از ابداعات سيستم بانکي ايران است! فراگيرترين روش در بين مردم استفاده از پيامک و همچنين توليد و نمايش رمز در اپليکيشن موبايل است. با توجه به سهم 12درصدي تراکنش‌هاي غيرحضوري، حدوداً سه ميليارد تراکنش نياز به ارسال پيامک خواهند داشت. البته اين تعداد پيامک در حال حاضر نيز بازار قابل اعتنايي براي اپراتورهاي موبايل است. از طرف ديگر با توجه به جنجال‌هاي پيش‌آمده در سال‌هاي گذشته پيرامون هزينه ارسال پيامک‌ها، بايد ديد بانک‌ها به چه صورت مي‌توانند اين هزينه را از مشتري اخذ کنند. در هر صورت، روش ارسال OTP بر بستر پيامک ابعاد کسب‌وکاري مختلفي دارد که از نتايج اين بخشنامه است. در همين چند هفته که از عمر اجراي پروژه رمز دوم يک‌بارمصرف مي‌گذرد، اپليکيشن‌هاي بانک‌ها دچار اختلال بوده و در بسياري از موارد کاربران نتوانستند از طريق پيامک رمز دوم پويا را دريافت کنند. همچنين بسياري از بانک‌ها هنوز نتوانستند سرويس رمز دوم يک‌بارمصرف را بر بستر USSD ارائه دهند و همين امر سبب کاهش چشمگير در آمار تراکنش‌هاي کد دستوري شده است. بنابراين در حال حاضر که مردم و مشتريان شبکه پرداخت هنوز نتوانسته‌اند رابطه خوبي با رمزهاي يک‌بارمصرف برقرار کنند، بسياري از کسب‌وکارهاي اينترنتي با افت تراکنش، ريزش مشتري و کاهش فروش همراه شده‌اند. به عنوان جمع‌بندي مي‌توان به چند نکته کليدي در باب ارزيابي نحوه اجراي طرح رمز دوم يک‌بارمصرف اشاره کرد: نخست آنکه هزينه‌اي که اين طرح براي سيستم بانکي داشته به مراتب بسيار بزرگ‌تر از حجم پرونده‌هاي فيشينگ است و عملاً هنوز اين پروژه توجيه اقتصادي ندارد. نکته دوم اهميت اختياري بودن سطح امنيت براي مشتريان است. قاعدتاً مشتري که مي‌خواهد از سطح بالاي امنيت حساب خود برخوردار باشد بايد هزينه اين امنيت را نيز بپردازد و يکسان بودن نوع حساب‌ها و کارت‌ها قابل قبول نيست و انتظار مي‌رود سيستم بانکي بتواند سطوح مختلف امنيت حساب‌ها با هزينه‌هاي متفاوت را به مشتريان پيشنهاد دهد. نکته آخر هم آموزش نامناسب، ضعيف و اجراي سريع اين طرح است که طي آن، دگرگوني تجربه مشتري سبب شد بسياري از مردم نتوانند خود را با اين ابزار همراه کنند و ترجيح دهند تا از ابزارهاي ديگر پرداخت استفاده کنند.

#باهم_شکستش_مي‌دهيم ما را در کانال «آخرين خبر» دنبال کنيد