رمز یکبار مصرف OTP چیست و چه کاربردی دارد ؟

رمز یکبار مصرف OTP چیست و چه کاربردی دارد ؟

چکیده

دردنیای امروز با وجود طیف وسیعی از فن آوریها، فرآورده ها و محصولات، راه حل هایی متناسب برای ایمن سازی زیر ساختارهای الکترونیکی مؤسسات و سازمانها ارائه شده است.

در مواردی که امنیت فیزیکی و دستیابی به آن مد نظر باشد، سطوح امنیتی مورد نظر نیز بایستی متناسب با سطح ترکیب و پیچیدگی سازمان و مؤسسه،‌ برنامه های کاربردی مورد استفاده، داده های موجود و اندازه گیری و سنجش خطرات و ریسکهای موجود گسترش یابد.

اساسی ترین روش موجود جهت ایجاد امنیت الکترونیکی استفاده از رمز عبور میباشد که اغلب بعنوان یک شیوه رایج جهت دسترسی به منابع و داده های الکترونیکی بکار گرفته می شود.که در این میان استفاده از رمزهای عبور یک بار مصرف برای انجام تراکنش های بانکی به شدت احساس می شود تا ضریب امنیتی بالایی برای مشتریان و کاربران فراهم آورد و کاربران با آرامش و آسایش خاطر بیشتر مبادرت به انجام امور روزمره بانکی و تجاری نمایند.

مقدمه

با توجه به گستردگی تراکنش های بانکی و انجام حداکثری تراکنش ها در بستر اینترنت ،بانکداری الکترونیکی و افزایش مبادلات در این حوزه لزوم به کارگیری شیوه های مدرن در جهت بالابردن امنیت این نوع تراکنش ها با استفاده ازرمزهای یکبار مصرف مقرون به صرفه می نماید

رمز یک بار مصرف یا OTP – One Time Password یک جایگزین برای رمز دوم می باشد رمز یکبار مصرف برای ایمن سازی دسترسی کاربران به سیستم های الکترونیکی ارائه شده که در آن از قابلیت های رمز نگاری برای تولید رمز تصادفی یک بار مصرف استفاده می شود. برای اینکه کاربران استفاده کننده از خدمات بانکداری اینترنتی امکان جابجایی مبالغ بالاتر و ایمن را داشته باشند.

استفاده از رمزهای عبور سنتی به تنهایی، نقاط ضعف زیادی دارد. این مورد حتی در مورد رمزهایی که با دقت انتخاب شده اند و در واقع رمزهای عبور ایمن هستند نیز صادق است. اما مشکل چیست؟ اگر شما به طور مرتب از رمز عبور استفاده می کنید ، این امکان وجود دارد که کاربران غیرمجاز به رمز عبور شما دسترسی پیدا کنند. این امر اغلب در هنگام حملات بازپخش (replay attacks) اتفاق می افتد که در آن رمز عبور رهگیری شده و سپس توسط کاربران غیر مجاز برای احراز هویت، مجدداً مورد استفاده قرار می گیرد.

گاهی اوقات مهم نیست که چقدر مراقب باشید. در سال های اخیر ، حتی سرویس های آنلاین معروف نیز بارها در معرض حملات سایبری قرار گرفته اند که باعث شده امنیت داده های مشتریان زیادی به خطر بیفتد.

چگونه می توانید خود را در برابر این مسئله محافظت کنید؟

یک استراتژی، تغییر رمز عبور در فواصل منظم است. با این حال ، اگر نمی خواهید رمزهای عبور خود را هر روز تغییر دهید، راه حل دیگری که پیاده سازی آن بسیار آسان تر است ، استفاده از رمز یکبار مصرف (OTP) است.

رمز یکبار مصرف (OTP) چیست؟

رمز یکبار مصرف یا One Time Password، یک روش محافظت از اطلاعات برای جلوگیری از سرقت رمز عبور می باشد که رمز عبور با استفاده از روش های رمز نگاری تولید می گردد و تنها برای یک بار ورود به سیستم معتبر است، مهمترین مزیت استفاده از OTP و یا رمز یک بار مصرف این است، که سرقت اطلاعات با دانستن رمز عبور غیر ممکن می گردد.

در این تکنولوژی رمز یکبار مصرف بر اساس الگوریتم تعریف شده در ابزار کاربر و در سرور مرتبط تولید می شود و دارای انواع مختلفی است . امنیت OTP به دلیل استفاده از امکانات استاندارد رمزنگاری ، بسیار بالا می باشد.

رمز یکبار مصرف (OTP) رشته ای از کاراکترها یا اعداد است که کاربر را برای ورود به یک سامانه یا انجام یک تراکنش واحد، احراز هویت می کند. گذرواژه های یکبار مصرف اغلب با اختصار OTP و گاهی اوقات کدهای OTP نیز نامیده می شوند.

OTP و یا One Time Password یک روش محافظت از اطلاعات برای جلوگیری از سرقت رمز عبور می باشد که رمز عبور با استفاده از روش های رمز نگاری تولید می گردد و تنها برای یک بار ورود به سیستم معتبر است ، مهمترین مزیت استفاده از OTP و یا رمز یک بار مصرف این است، که سرقت اطلاعات با دانستن رمز عبور غیر ممکن می گردد.

پس از اینکه با یک رمز یکبار مصرف وارد سامانه یا برنامه ای می شوید رمز منقضی شده و نمی تواند برای نشست ورود بعدی استفاده شود.

گذرواژه های یکبار مصرف اغلب برای احراز هویت دو عاملی در حوزه هایی مانند بانکداری آنلاین استفاده می شوند ، اما در حال حاضر سازمان ها نیز به طور فزاینده ای در حال استفاده از آن ها هستند.

در مرحله اول ، اطلاعات ورود به سیستم معمول خود را وارد می کنید. سپس با استفاده از ابزاری مانند گوشی هوشمند یک رمز یکبار مصرف پویا ایجاد می کنید که برای احراز هویت OTP لازم است.

تیم های پشتیبانی فنی معمولاً رمزهای یکبار مصرف را برای افرادی که اعتبار ورود به سیستم خود را در یک حساب یا وب سایت فراموش کرده اند و یا منبع مورد نظر به محافظت اضافی در برابر تلاش های ناخواسته دسترسی نیاز دارد ، مدیریت می کنند. همچنین رمزهای یکبار مصرف می توانند لایه دوم تأیید اعتبار را برای کاربری که از قبل در سیستم تأیید نشده است ایجاد کنند.

این مرحله اضافی امنیت بیشتری را تضمین می کند. اگر کاربران غیرمجاز در طی این فرآیند به رمز ورود معمول شما دسترسی پیدا کنند ، باز هم رمز عبور یکبار مصرف نخواهند داشت. به همین دلیل امروزه سرویس های آنلاین بیشتر و بیشتر شروع به استفاده از احراز هویت دو عاملی می کنند ، مخصوصاً وقتی صحبت از داده های حساس می شود.

تکنولوژی OTP

تکنولوژی OTP جهت انجام تراکنش های امن بانکی در حوزه Web کاربرد دارد بر اساس کارت و یا ابزاری که توسط بانک به مشتری داده می شود، برای انجام هر تراکنشی یک رمز تولید می شود که تنها برای یک بار اعتبار دارد. در این تکنولوژی رمز یکبار مصرف بر اساس الگوریتم تعریف شده در ابزار کاربر و در سرور مرتبط تولید می شود و دارای انواع مختلفی نظیرresponse challenge, time- base و غیره می باشد. امنیت OTP به دلیل استفاده از امکانات استاندارد رمزنگاری ، بسیار بالا می باشد.

برنامه نویسان هر اندازه که نکات امنیتی را در برنامه نویسی و سمت سرور لحاظ کند، روی امنیت سمت کلاینت (کاربر) تسلط و کنترل کاملی ندارد. چون مرورگر دسترسی‌های محدودی به آنها می‌دهد.

از ضعف‌های سمت کاربر که می‌تواند موجب بدست آوردن پسورد کاربران (مدیران) سایت شود، برنامه های کی‌لاگرهستند که کی لاگر ها ممکن است به دو صورت سخت افزاری و نرم افزاری به کار برده شوند.

key logger ها، همه کلیدهای فشرده شده روی کیبورد را ذخیره و به سازنده آن کی‌لاگر ارسال می‌کنند.
روش‌هایی برای مقابله با این خطر وجود دارد که استفاده از کیبورد مجازی یکی از روش‌های آن است. در حال حاضر نیز در صفحه پرداخت اینترنتی بسیاری از بانک‌ها قابل استفاده می باشد.اما با روش های نوین جاسوسی و با استفاده ازعکس برداری از صفحه نمایش وهمزمان با کلیک کاربر اقدام به ثبت مختصات مورد نظر می نمایند که این روش نیز نوعی امنیت کیبورد های مجازی را به چالش می کشد.

از این رو بهترین راه مقابله با کی‌لاگرها، استفاده پسورد یکبار مصرف است که از روشی غیر از کامپیوتر فعلی کاربر، به دستش برسد. در این حالت ، کی‌لاگری که پسوردها را ذخیره و به سازنده‌اش ارسال می‌کند، بی‌اثر می‌شود چون پسورد ذخیره شده توسط کی‌لاگر، فقط یکبار معتبر بوده است و تنها یکبار میتوان از ان استفاده نمود.
پسورد یکبار مصرف تولید شده، نباید توسط کامپیوتر کاربر (یا حتی وسیله دیگری با همان خط اینترنت) به دست کاربر برسد زیرا در این‌صورت؛ علاوه بر کاربر، برنامه جاسوس نیز می‌تواند به آن دست یابد.

هنگام احراز هویت کاربران، لازم است که سازمان ها سه فاکتور مستقل را به خاطر داشته باشند:

1.دانش: مواردی که کاربر می داند مانند گذرواژه ، پین یا پاسخ به یک سوال امنیتی.

2.مالکیت: چیزهایی که کاربر دارد مانند یک رمز ، کارت اعتباری یا تلفن.

3.بیومتریک: مواردی که کاربر را به صورت منحصر به فرد شناسایی می کند ، مانند اثر انگشت یا داده های رفتاری

رمز عبور یکبار مصرف (OTP) چگونه کار می کند؟

برای کار با رمز یکبار مصرف ، کاربر و سامانه مورد نظر باید رمز ورود را بدانند. برای این کار دو روش مختلف وجود دارد:

لیست رمز عبور 

لیست رمز عبور آسان ترین راه برای استفاده از رمز های یکبار مصرف است. این لیست در واقع یک لیست آماده از رمزهای عبور است که هم برای کاربر و هم برای سیستم شناخته شده است. اگر از یکی از این رمزهای عبور یک بار استفاده شود ، کاربر به سادگی آن را از لیست حذف می کند.

عیب این روش واضح است. چنانچه شخصی لیست را گم کند ، کاربران غیرمجاز می توانند به رمزهای عبور دسترسی پیدا کنند. در حالی که از لیست رمزهای یکبار مصرف هنوز هم بعضی اوقات در بانکداری آنلاین استفاده می شود ، ارائه دهندگان به دلیلی که در بالا توضیح داده شد به صورت فزاینده به سمت رمزهای عبور OTP ایجاد شده به صورت پویا می روند.

رمزهای عبور ایجاد شده به صورت پویا

امروزه رمزهای یکبار مصرف پویا متداول ترین روش هستند. از توکن های سخت افزاری به طور گسترده ای برای تولید رمزهای عبور استفاده می شود. این دستگاه های کوچک به اشکال مختلفی ارائه می شوند.

به این دستگاه ها، توکن OTP نیز گفته می شود. وجه اشتراک همه آنها این است که معمولاً دارای یک صفحه نمایش هستند و برای یک جلسه ورود به سیستم با فشار دادن یک دکمه رمزهای یک بار مصرف تولید می کنند. رمزهای عبور تولید شده توسط این دستگاه ها اغلب با فاکتورهای تأیید اعتبار از قبیل پین ها یا شناسه های کاربر وارد می شوند.

از الگوریتم ویژه ای برای تولید رمز عبور پویا استفاده می شود. سه نوع الگوریتم وجود دارد:

مبتنی بر زمان (Time-based)

مبتنی بر رویداد (Event-based)

چالش – پاسخ (Challenge-response)

1. مبتنی بر زمان

با استفاده از این روش، سرویس گیرنده و سرور با استفاده از الگوریتم یکسان رمزهای عبور هماهنگ ایجاد می کنند. بنابراین این نوع رمز یکبار مصرف مبتنی بر زمان (TOTP) در سمت کاربر و سمت سرور شناخته شده است و برای یک بازه زمانی دقیقاً مشخص شده ، معمولاً 1 تا 15 دقیقه معتبر است.

2. مبتنی بر رویداد

گذرواژه های یکبار مصرف مبتنی بر رویداد با انجام یک عمل خاص ، به عنوان مثال با فشار دادن یک دکمه بر روی توکن امنیتی ایجاد می شوند. همانند روش مبتنی بر زمان ، از الگوریتم یکسانی در سمت سرور و سمت کاربر استفاده می شود. رمز ورود بر اساس رمز قبلی محاسبه می شود بنابراین می تواند توسط سرور تأیید شود.

3. پاسخ مبتنی بر چالش 

در این روش ، سرور یک درخواست (چالش) را مشخص می کند که کاربر باید به آن پاسخ دهد. کاربر مقدار مشخصی را از سرور دریافت می کند و از آن برای محاسبه رمز عبور یکبار مصرف استفاده می کند. از آنجا که سرور الگوریتم و مقدار مشخص شده را می داند ، می تواند رمز ورود ایجاد شده را بررسی کند.

مزایای گذرواژه های یکبار مصرف (OTP) چیست؟

تا اینجا دانستیم که رمز یکبار مصرف چیست. در ادامه به این می پردازیم که چگونه رمزهای یکبار مصرف امنیت کسب و کار را حفظ می کنند.

مقاومت در برابر حملات بازپخش: احراز هویت OTP مزایای ویژه ای نسبت به استفاده از رمز عبور ایستا به تنهایی فراهم می کند. برخلاف رمزهای عبور سنتی ، رمز یکبار مصرف در مقابل حملات بازپخش آسیب پذیر نیست .

به عبارت دیگر در جایی که یک هکر انتقال داده را رهگیری کرده (مانند زمانی که رمز عبور کاربر ارسال می شود) ، آن را ضبط می کند و از آن برای دسترسی به سیستم یا حساب کاربر استفاده می کند. هنگامی که یک کاربر با استفاده از رمز یکبار مصرف (OTP) به حساب خود دسترسی پیدا می کند ، کد نامعتبر می شود و بنابراین نمی تواند توسط مهاجمان دوباره مورد استفاده قرار گیرد.

حدس زدن دشوار است: رمز یکبار مصرف (OTP) اغلب با الگوریتم هایی ایجاد می شود که از تصادفی بودن استفاده می کنند. این باعث می شود مهاجمین نتوانند با موفقیت آنها را حدس زده و استفاده کنند. رمز های یکبار مصرف ممکن است فقط برای مدت زمان کوتاهی معتبر باشند ، کاربر نیاز به داشتن اطلاعاتی درباره OTP قبلی داشته باشد یا اینکه یک چالش را در اختیار کاربر قرار دهند (به عنوان مثال ، “لطفا شماره دوم و پنجم را وارد کنید”). تمام این اقدامات در مقایسه با احراز هویت فقط با رمز عبور ، سطح حمله محیط را بسیار کاهش می دهند.

کاهش خطر در هنگام به خطر افتادن گذرواژه ها: کاربرانی که شیوه های امنیتی قوی را در پیش نمی گیرند ، مجبورند اعتبارات یکسان را در حساب های مختلف بازیابی کنند. اگر این اعتبارنامه ها به بیرون درز پیدا کند یا در دست فرد دیگری قرار گیرد ، داده های سرقت شده و کلاهبرداری ها، تهدیدهای مهمی برای کاربر از هر نظر است. امنیت رمز یکبار مصرف(OTP) به جلوگیری از نقض دسترسی کمک می کند ، حتی اگر یک مهاجم مجموعه معتبری از اطلاعات ورود به سیستم را بدست آورده باشد.

تصویر گرافیکی لپ تاپ که قفل است و گوشی که رمز پویا رو آن نمایش داده شده است

انواع رمز یکبار مصرف

احراز هویت OTP به لطف توکن ها امکان پذیر است. چند نوع توکن مختلف وجود دارد که در ادامه به معرفی هر یک می پردازیم:

توکن های سخت افزاری

توکن های سخت افزاری دستگاه های فیزیکی هستند که OTP را انتقال می دهند و به کاربران کمک می کنند تا به حساب ها و منابع دیگر دسترسی پیدا کنند. توکن های سخت افزاری به طور کلی شامل موارد زیر هستند:

توکن های متصل:
این توکن ها رایج ترین نوع مورد استفاده در احراز هویت چند عاملی هستند. کاربران این توکن ها را به سیستم یا دستگاهی که می خواهند به آن دسترسی پیدا کنند متصل می کنند. کارت های هوشمند و درایوهای USB به ترتیب در کارت خوان هوشمند دستگاه و درگاه USB قرار می گیرند.

توکن های غیرمتصل:
کاربران مجبور نیستند این توکن ها را به صورت فیزیکی وارد کنند. توکن های غیرمتصل معمولاً OTP برای ورود کاربران ایجاد می کنند. سیستم های ورود بدون کلید ، تلفن های همراه و دستگاه های امنیتی بانکی نمونه هایی از این موارد هستند.

توکن های بدون تماس:
این توکن ها داده های احراز هویت را به یک سیستم منتقل می کنند ، که اطلاعات را تجزیه و تحلیل کرده و تعیین می کند کاربر حق دسترسی دارد یا نه. توکن های بلوتوث نمونه ای از انتقال بدون تماس است و نیازی به اتصال فیزیکی یا ورودی دستی ندارد.

توکن های نرم افزاری

توکن های نرم افزاری به صورت فیزیکی در اختیار ما نیستند. بلکه به صورت نرم افزاری در دستگاهی مانند لپ تاپ یا تلفن همراه وجود دارند. احراز هویت نرم افزاری معمولاً به شکل برنامه ای در می آید که اعلان های تلفن همراه یا پیام کوتاه را برای کاربر ارسال می کند تا به آنها پاسخ داده و هویت خود را تأیید کند.

همه این روش ها همان روند اساسی را دنبال می کنند: کاربر داده های تأیید اعتبار را به یک سیستم می فرستد ، سیستم صحت اطلاعات را تأیید می کند و در این صورت ، دسترسی مجاز به کاربر را اعطا می کند. در واقع ایده همان ایده استفاده از رمز عبور است با این تفاوت که در OTP ، داده های احراز هویت از سمت کاربر و سامانه های مورد نظر نشت نمی کنند.

کدام یک از روش های احراز هویت بهتر هستند؟

همانطور که می دانید همه روش ها برابر نیستند. با این حال اجرای هر شکلی از احراز هویت چند عاملی باعث بهبود امنیت نسبت به استفاده از گذرواژه ها به تنهایی می شود. هر فاکتور احراز هویت درجات متفاوتی از حفاظت را ارائه می دهد. در این جا چند توصیه داریم که به شما کمک می کند تا از آسیب پذیری جلوگیری کنید.

پیام کوتاه اگرچه ممکن است راحت تر باشد اما امنیت کمتری دارد!
ما از زندگی روزمره خود می دانیم که برقراری ارتباط از طریق پیام کوتاه چقدر آسان است. بنابراین منطقی است که بسیاری از سازمان ها و ارائه دهندگان خدمات، SMS OTP را به عنوان فاکتور دوم تأیید هویت پیاده سازی کنند.

اما باید بدانید که متأسفانه SMS OTP در برابر برخی حملات سایبری آسیب پذیر است ، از جمله:

تعویض و هک کردن سیم کارت:
سیم کارت شما به تلفن شما می گوید به کدام شرکت مخابراتی متصل شوید و با چه شماره تلفنی ارتباط برقرار کنید. در یک حمله مبادله سیم کارت ، یک مهاجم شرکت مخابراتی شما را متقاعد می کند تا شماره شما را به سیم کارت متعلق به خود تغییر دهد. در نتیجه ، آنها می توانند به تمام پیام های OTP پیام کوتاه همگام شده با حساب های شما دسترسی پیدا کنند.

تصاحب حساب:
بسیاری از ارائه دهندگان وایرلس به کاربران اجازه می دهند تا پیام های متنی را در پورتال وب خود مشاهده کنند. اگر حساب آنلاین شما برای پورتال وب فقط با یک رمز عبور ضعیف یا مشترک محافظت شود ، یک مهاجم می تواند این حساب را نقض کرده و به هر پیام SMS OTP دسترسی پیدا کند.

دستگاه های گمشده و همگام سازی شده:
از نظر تئوری ، از دست دادن تلفن به معنای این است که شما نمی توانید پیام های OTP پیامکی دریافت کنید. با این حال ، اکنون می توانیم پیام ها را بین دستگاه های مختلف همگام سازی کنیم که به ما امکان می دهد از طریق SMS OTP احراز هویت کرده و حتی بدون تلفن به حساب ها دسترسی پیدا کنیم. بنابراین ارسال پیام های حساس از این قبیل یک روش امنیتی قوی نیست، خصوصاً در مواردی که ایمیل شما ممکن است دارای یک رمز عبور قابل حدس باشد.

فیشینگ:
در یک حمله مهندسی اجتماعی ، یک مهاجم که خود را به جای کارمندی از سرویس قابل اعتماد شما جا می زند ، شما را فریب می دهد تا اعتبار حساب خود و OTP پیامک خود را تحویل دهید. حملات فیشینگ وابسته به هکرهایی است که از احساسات یا عدم دانش کاربران سواستفاده می کنند و می تواند منجر به نشت OTP پیام کوتاه به همان منوال رمز عبور شود.

با انطباق هرچه بیشتر کسب و کارها با کار از راه دور ، نیروهای کار به طور فزاینده ای از دستگاه های تلفن همراه خود برای دسترسی به برنامه های محل کار استفاده می کنند. برای کسب اطلاعات بیشتر در مورد چگونگی تأثیر این جریان بر روی اقدامات امنیتی ، مقاله چالش های دورکاری در کرونا را در وبلاگ آتین بخوانید.

توکن های امنیتی OTP فراز و نشیب هایی دارند.
توکن های سخت افزاری مانند RSA SecureID ، یک ارتقا قطعی بر روی OTP های مبتنی بر پیام کوتاه هستند که با اتکا به چیزی که کاربر در اختیار دارد ، باعث می شود که آنها کمتر از احراز هویت مبتنی بر دانش مورد سوء استفاده قرار گیرند. علاوه بر این ، یک دستگاه OTP مانند کلیدهای امنیتی U2F از الگوریتم های رمزگذاری نامتقارن استفاده می کند تا اطمینان حاصل کند که OTP هرگز رمزگشایی و افشا نمی شود.

با این حال ، ماهیت توکن های سخت افزاری علیه آنها کار می کند. کاربران باید وسیله دیگری را حمل کنند که ممکن است گم شود ، آسیب ببیند یا به سرقت برود. این مسئله باعث می شود که نگهداری از توکن های OTP به ویژه در سازمان های بزرگ ، چالش برانگیز باشد.
علاوه بر این ، توکن هایی که باید به طور فیزیکی به دستگاه متصل شوند همیشه قابل استفاده نیستند. به عنوان مثال ، درایوهای USB مانند کلیدهای U2F یک راه حل عملی برای ایمن سازی دستگاه های تلفن همراه نیستند که پورت USB ندارند.
برنامه های تأیید اعتبار یک گزینه قوی و ایمن است
احراز هویت کننده های موبایل مانند آتین و Google Authenticator با ارسال رمز یکبار مصرف (OTP) و اعلان های تلفن همراه به برنامه کاربر ، کاربران را تأیید می کنند. برنامه های احراز هویت به دلایلی از روش های فوق ایمن ترند:

رمز یکبار مصرف تلفن همراه به دسترسی به اینترنت ، موقعیت مکانی شما یا امنیت شرکت مخابراتی بی سیم شما بستگی ندارد. اعلان های OTP و نوتیفیکیشن به جای شماره شما به دستگاه شما متصل هستند و معمولاً بدون سرویس شبکه یا داده کار می کنند.
رمز یکبار مصرف موبایل معمولاً یک قابلیت رایگان است که در بسیاری از برنامه های تأیید اعتبار وجود دارد ، به این معنی که استفاده از آن در زمینه های سازمانی و فردی آسان است.
اعلان های تلفن همراه و کدهای OTP به سرعت منقضی می شوند و در مقایسه با SMS OTP خطر سوء استفاده را کاهش می دهند.
برخی از برنامه های احراز هویت کننده از بیومتریک مانند شناسایی چهره و اثر انگشت پشتیبانی می کنند. این مورد یک لایه محافظت قوی تر را ارائه می دهد در این صورت حتی اگر تلفن شما دزدیده شود ، هیچ کس به غیر از شما نمی تواند اعلان های تلفن همراه را در دستگاه بپذیرد.

آیا استفاده از رمزعبور یکبار مصرف برای همه الزامی است؟

گذرواژه های یکبار مصرف برای همه سرویس ها و وب سایت های آنلاین که شامل داده های بسیار حساس و مهم هستند توصیه می شود. به عنوان مثال:

بانکداری آنلاین

خدمات مالی مانند اوراق بهادار سهام آنلاین یا صرافی های رمزنگاری شده

داده های حساس شرکت

کانال های محرمانه ارتباطات

با این حال برای هر وب سایت نیازی به گذرواژه یکبار مصرف ندارید. اما همیشه باید مطمئن باشید که از رمزهای عبور ایمن استفاده می کنید ، حتی اگر چندین بار از رمز عبور استفاده کنید. تحقیقات نشان داده است که ، علیرغم افزایش مداوم جرایم اینترنتی ، بسیاری از کاربران هنوز از امنیت کافی برخوردار نیستند.

نحوه تولید رمز عبور OTP

رمز عبور با استفاده از الگوریتمهای ریاضی و به صورت تصادفی تولید می گردد، در واقع همین روش تولید باعث می گردد که حدس رمز عبور برای انسان غیر ممکن گردد روش های متعددی برای تولید رمز وجود دارند .با استفاده از زمان، رمز عبور فقط برای زمان کوتاهی برای اعتبار سنجی معتبر است این روش با استفاده از معادل سازی زمان تولید کننده رمز و استفاده کننده آن عمل می کند.

بر اساس رخداد، در این روش در زمانی که رخداد مشابه بین اعتبار سنج و استفاده کننده رخ دهد رمز یک بار مصرف تولید می گردد.
روش Challenge Response، که رمز عبور بر اساس اطلاعات Challenge تولید می گردد.
به غیر از استفاده از Token روش های دیگری نیز برای تولید رمز OTP وجود دارد به طور مثال استفاده از نرم افزار های سمت کاربر، تولید رمز یک بار مصرف و ارسال آن از طریق روش های Out of band مانند ارسال از طریق SMS، و یا حتی چاپ کردن آن روی کاغذ.

نحوه عملکرد

1-کاربر اطلاعات مربوط به تراکنش های مالی راوارد می کند.

2-کاربر توکن را مقابل مانیتور نگه داشته و توکن اطلاعات مربوط به تراکنش را اسکن می نماید

3-توکن اطلاعات اسکن شده را برای اطمینان از صحت اطلاعات به کاربر نمایش می دهد.

4-کاربر روی توکن کلیک کرده و توکن امضای دیجتال راتولید می نماید.

5-کاربر امضای الکترونیک دریافتی از توکن را داخل پورتال تایپ می کند

6-بانک تراکنش مالی را تایید می کند.و در صورت تطابق تراکنش انجام می گیرد.

رمزهای یکبار مصرف معمولا به 3 روش به دست کاربر می‌رسد:

از طریق ارسال پیامک به موبایل کاربر :شماره موبایل کاربر پس از ثبت در سیستم و سنجش اعتبار آن، یکی از راه‌های متداول برای ارسال رمز یکبار مصرف است. تولید و نمایش/پرینت تعدادی رمز یکبار مصرف می‌توان به تعداد لازم (n) رمز یکبار مصرف، برای یک دوره زمانی (مثلا یک ماه) تولید کرد تا کاربر آن را یادداشت/پرینت کند و هر بار یکی از آنها را استفاده کند.

استفاده از یک سخت افزار مستقل از کامپیوتر کاربر و شبکه اینترنت :
این روش که با استفاده از یک سخت افزار مستقل از کامپیوتر کاربر که نیازی هم به شبکه و اینترنت ندارد، رمزیکبارمصرف را تولید می نماید.شرکت‌های بزرگ تجاری، یک وسیله کوچک و کاملا مستقل برای این امر تهیه و در اختیار مشتریانشان قرار می‌دهند. در ایران نیز برخی از بانک ها وسیله‌ای به نام «دستگاه رمزیاب» برای تولید رمز یکبارمصرف در اختیار مشتریان قرار می‌دهند.

نتیجه گیری

رمزهای یکبار مصرف، بسیاری ازنقاط ضعف رمزهای قدیمی یا همان رمزهای ثابت را پوشش می‌دهد. و امنیت بیشتری را فراهم می آورد.مهم‌ترین نقصی که توسط رمز یکبار مصرف جبران می‌شود، عدم آسیب‌پذیر بودن در تکرار حملات است. با استفاده از این روش، یک مزاحم بالقوه که به نحوی موفق به دستیابی رمز یکبار مصرف می‌شود که قبلاً با آن به سرویسی دسترسی پیدا کرده‌اند یا تراکنشی انجام شده است، دیگر قادر نخواهد بود تا از آن سوءاستفاده کند، چرا که این رمز باطل شده است. خرده‌ای که به رمز یکبار مصرف گرفته می‌شود، دشواری در به‌خاطرسپاری آنها توسط انسان است که به همین دلیل بهره‌گیری از فناوری کمکی، در استفاده از رمز یکبار مصرف، الزامی است.

کاربردهای رمز یکبار مصرف

یکی از مهم ترین کاربرد های otp در حال حاضر، استفاده در بخش ثبت نام یا عضویت وبسایت ها یا اپلیکیشن ها است.بدین صورت که بلافاصله بعد از تکمیل فرم اطلاعاتی نیاز است تا مشخص گردد که آیا شماره ای که با آن ثبت نام صورت پذیرفته متعلق به خود ایشان است یا خیر. برای این منظور از طریق سیستم کدی تولید میگردد و به شماره شخص ارسال می شود و در صورتی که همان کد در بخش امنیتی وارد گردد، اطلاعات مورد تایید قرار گرفته و ثبت نام تکمیل میگردد.

مثال فوق می تواند در رابطه با بازیابی رمز عبور در وبسایت ها نیز تکرار شود. به این شکل که در صورتی که کاربر قصد ورود به وبسایت را دارد اما گذر واژه مورد نظر را به خاطر نمی آورد از طریق قسمت بازیابی رمز عبور و وارد کردن شماره تلفنی که با آن ثبت نام را انجام داده است می تواند رمز عبور مجددی را دریافت کند.

این سیستم در مورد مسائل بانکی نیز بسیار کاربردی و حائز اهمیت است. در تراکنش های بانکی که توسط کاربران انجام می شود استفاده از otp می تواند به بالا بردن امنیت معمالات و تراکنش ها کمک شایانی کند و کاربران نیز با خیالی آسوده نسبت به انجام امور بانکی اقدام کنند.

نحوه تولید رمز عبور OTP

رمز عبور با استفاده از الگوریتمهای ریاضی و به صورت تصادفی تولید می گردد، در واقع همین روش تولید باعث می گردد که حدس رمز عبور برای انسان غیر ممکن گردد روش های متعددی برای تولید رمز وجود دارند. با استفاده از زمان، رمز عبور فقط برای زمان کوتاهی برای اعتبار سنجی معتبر است این روش با استفاده از معادل سازی زمان تولید کننده رمز و استفاده کننده آن عمل می کند.

در حال حاضر بسیاری از وبسایت ها و اپلیکیشن ها برای ارائه سرویس و خدمات نیاز به احراز هویت کاربران دارند. در گذشته احراز هویت کاربران و verify شدنشان از طریق ارسال ایمیل به نشانی کاربر انجام می گرفت.

بعد از گذشت مدتی و فراگیر شدن استفاده از تلفن همراه برای عموم افراد، ارسال کدهای فعالسازی از طریق پیامک به تلفن همراه مخاطبین صورت می پذیرفت و هنوز هم در بسیاری از موارد اینچنین است.

در موارد گفته شده فوق هر یک مزایا و محدودیت های خاص خود را دارند .به عنوان مثال در رابطه با ارسال کدهای فعالسازی به ایمیل مخاطبین در بسیاری از مواقع اسپم شدن آنها موجب ایجاد مشکل در تایید اطلاعات می شد یا با ایجاد ایمیل های موقت دیگر نمی توان انتظار وارد شدن اطلاعات صحیح از سمت کاربر را داشت و خیلی دیگر از محدودیت ها که مدیران وبسایت ها به خوبی با آن آشنایی دارند و از همین رو نسبت به تغییر شرایط اقدام کردند.

یکی از سیستم هایی که در دنیا و همچنین در ایران با استقبال خوبی همراه شده است امکان ارسال کدهای فعالسازی یا رمز عبورهای یکبار مصرف از طریق پیامک به موبایل مخاطبین است که در این مورد مزایای زیادی وجود دارد، از جمله اینکه سرعت ارسال می تواند بالا باشد و همچنین موبایل، وسیله ای با کاربری بسیار ساده و فراگیر است که همه اقشار جامعه به خوبی می توانند از آن استفاده کنند. با وجود مزایای بسیار خوبی که گفته شد، در ایران استفاده از سیستم پیامک برای تولید و ارسال رمز های یکبار مصرف مشکلات خاص مربوط به خود را نیز دارد. از جمله این مشکلات می تواند به بلاکی های مخابراتی اشاره کرد .یعنی افرادی که تمایل به دریافت پیامک های انبوه را نداشته باشند از طریق وارد نمودن کد دستوری خاص نسبت به مسدود کردن آن اقدام کرده اند و این موضوع موجب این می شود که حتی پیامک های دیگر نیز به دستشان نرسد.

البته مخابرات پیش بینی هایی را نیز در این خصوص انجام داده تا از طریق خطوط خدماتی امکان ارسال پیام به ایشان وجود داشته باشد، اما همین خطوط نیز در بسیاری از مواقع با مشکل رو به رو هستند و در نهایت این کاربران و مدیران وب سایتها هستند که به دلیل تایید نشدن اطلاعات مخاطبین متضرر می شوند .

از سوی دیگر ارسال رمز عبور یکبار مصرف از طریق پیامک در بسیاری از مواقع با کندی سرعت رو به رو است و این موضوع می تواند منجر به از دست رفتن کاربران در لحظه ثبت نام یا انجام امور مهم از جمله خرید محصولات شود.

قطعی سامانه های ارسال پیامک مخصوصا در رابطه با خطوط غیر از پیش شماره 1000 نیز در بسیاری از مواقع اتفاق میوفتد که امکان ارسال پیامک چه تبلیغاتی و چه خدماتی را با مشکل مواجه می کند .

راه حل کدام است؟

تل با ما توانسته از طریق جدیدترین متدهای روز دنیا امکان تولید رمز های یکبار مصرف را برای تمامی وب سایتها و اپلیکیشن ها فراهم آورد. متدهای مورد استفاده به دو صورت otp و ocv خواهند بود که هر یک کارایی خاص خود را نیز دارند.

در متد otp رمز یکبار مصرف توسط تل با ما تولید شده و هم به سرور مورد نظر و هم برای مخاطب، همزمان ارسال می شود. در این حالت با مخاطب تماس گرفته شده و کد دستوری 4 رقمی برای ایشان بصورت صوتی و فارسی قرائت می شود. در صورتی که همان کد از سمت کاربر وارد شود، سرور سایت نیز متوجه این امر خواهد شد و در سریعترین زمان ممکن اطلاعات وارد شده کاربر احراز می گردد.

در متد ocv نیز نحوه کار به شکلی مشابه خواهد بود، به این صورت که در اینجا با کاربر تماس گرفته می شود و برای مثال می تواند عنوان کند که از وبسایت x با او تماس گرفته می شود و برای تکمیل ثبت نام یا تکمیل تراکنش یا تکمیل فرآیند خرید یا تایید شماره تلفن همراه، عدد خاصی را شماره گیری کند. آن عدد خاص در لحظه می تواند توسط سیستم مشخص و به کاربر اعلام گردد. با وارد کردن عدد مورد نظر بر برروی تلفن همراه یا ثابت، همان لحظه بصورت خودکار اطلاعات کاربر بر روی وبسایت یا اپلیکیشن تکمیل شده و وارد مرحله بعد می گردد.

متن قرائت شده نمونه : سلام … به تل با ما خوش آمدید … برای تایید شماره تلفن همراه، عدد 5 را شماره گیری نمایید. با تشکر

مزیای استفاده از سیستم otp و ocv پیام صوتی 

مهمترین مزیت استفاده از سیسستم پیام صوتی برای تولید و ارسال رمز عبور یکبار مصرف، سرعت عمل بالای آن است. به نحوی که از زمان درخواست رمز از سوی کاربر، تا تولید و ارسال آن، نهایتا چند ثانیه زمان مورد نیاز است.
مزیت دیگر آن امکان ارسال پیام به تمامی خطوط تلفن ثابت و همراه (ایرانسل، همراه اول، رایتل، تالیا و…) کشور می باشد. در بعضی از سرویس ها نیاز به احراز هویت تلفن ثابت وجود دارد که تل با ما می تواند این خدمت را نیز به تمامی مخاطبین عزیز ارائه دهد.
همچنین تل با ما می تواند به تمامی خطوط بدون محدودیت ارسال پیام را انجام دهد چون هیچ نوع بلاکی در این سیستم وجود ندارد و حتی افرادی که امکان دریافت پیامک های تبلیغاتی خودشان را نیز مسدود کرده اند، این پیام ها را دریافت می کنند.
شما می توانید متن دلخواهتان را در پیام صوتی نیز استفاده کنید.
از این امکان می توانید در صفحه ثبت نام و همچنین در بخش بازیابی رمز عبور نیز بهره مند شوید.
در صورت ناموفق بودن پیام ارسالی ، سیستم می تواند مجددا با مخاطب تماس بگیرد و رمز را به ایشان اعلام کند.
طول کد ارسالی به کاربر نیز می تواند از سوی شما مشخص شود.
تل با ما می تواند فهرست کاملی از مخاطبینی که در سایت یا اپلیکیشن شما ثبت نام کرده اند با مشخصات کامل ارائه کند تا در جریان جزییات کاملی از فعالیت های کاربرانتان باشید.
تل با ما می تواند همزمان با اعلام کد یا پسورد صدای برند شما را برای مخاطبین پخش کند تا بر جذابیت های کارتان بیافزاید.
چطور از رمز یکبار مصرف استفاده کنم؟
شما به راحتی می توانید از طریق ثبت نام در سایت تل با ما، حساب کاربری ایجاد کنید. در قدم بعدی نیاز است تا با استفاده از وبسرویس های تل با ما از این امکان بهره مند شوید.

در پایان امیدواریم که وبسایتها و اپلیکیشن های ایرانی نیز بتوانند همچون همکاران خارجی شان از جمله گوگل، تلگرام و… از این سرویس جدید و کارآمد به بهترین شکل استفاده کنند و نتایج خوبی را نیز به دست آورند .
با رواج پرداخت‌های اینترنتی، کلاه‌برداری سایبری از حساب‌های بانکی به روش‌های مختلف افزایش یافت. سارقان با تکیه بر اطلاعات کم کاربران آ‌‌ن‌ها را دچار ضررهای هنگفتی می‌کنند. تقریباً 35% برداشت غیرمجاز به خاطر ناآگاهی مردم رخ داده که با رمز یکبار مصرف به 5% کاهش می‌یابد. به همین خاطر از خرداد 98 بانک‌ها استفاده از رمز یکبار مصرف را فعال کردند.

درحال‌حاضر برای خرید اینترنتی بالای صد هزار تومان کاربران باید از رمز یکبار مصرف یا همان رمز پویا استفاده کنند. در این مقاله مفصل درباره رمز OTP یا همان یکبار مصرف صحبت خواهیم کرد. در ادامه با مزایا و معایب رمز پویا بیشتر آشنا می‌شوید.

جمع‌بندی :

رمزهای یکبار مصرف، نقص‌ رمزهای ثابت را پوشش می‌دهد. مثلاً عدم آسیب‌پذیری در کلاهبرداری سایبری، اعتبار کوتاه و منقضی شدن سریع از مزایای استفاده از این رمزهای پویا برای تراکنش مالی در فضای آنلاین است.

از طرف دیگر، با رمز یکبار مصرف خیلی نیازی به حفظ کردن رمز عبور ندارید. با خیال راحت هم می‌شود در محل‌ عمومی مثل کافی‌نت وارد اینترنت بانک یا ایمیل شود و نگران سرقت اطلاعات خود نباشید.

در صورتی که در این مورد تجربه دارید، با ما و مخاطبان ملی پیامک در میان بگذارید.