چالشهای احراز هویت در بانکداری الکترونیک
مهندس امیر افشانی
مدیر فناوری اطلاعات شرکت گرایش تازه کیش
امنیت یکی از چالشهای اصلی استفاده در فناوری اطلاعات در بانکها است که روز به روز بر اهمیت آن افزوده میشود. سهلانگاری در مقوله امنیت میتواند صدمات جبران ناپذیری را بر بدنه شبکه بانکی کشور وارد کرده و این حوزه را با چالش جدی مواجه سازد. یکی از حوزههای امنیت که کاربرد فراوانی در بانکداری الکترونیک دارد تکنولوژیهای احراز هویت است.
از آنجا که عملیات بانکی اعم از تراکنشهای مالی و پولی، افتتاح حساب، گزارشگیری از تراکنشها و.
مهندس امیر افشانی
مدیر فناوری اطلاعات شرکت گرایش تازه کیش
امنیت یکی از چالشهای اصلی استفاده در فناوری اطلاعات در بانکها است که روز به روز بر اهمیت آن افزوده میشود. سهلانگاری در مقوله امنیت میتواند صدمات جبران ناپذیری را بر بدنه شبکه بانکی کشور وارد کرده و این حوزه را با چالش جدی مواجه سازد. یکی از حوزههای امنیت که کاربرد فراوانی در بانکداری الکترونیک دارد تکنولوژیهای احراز هویت است.
از آنجا که عملیات بانکی اعم از تراکنشهای مالی و پولی، افتتاح حساب، گزارشگیری از تراکنشها و... باید توسط افراد مجاز مانند صاحبان حسابهای بانکی یا کسانی که از آنها وکالت دارند یا توسط کاربران و کارمندان مجاز بانکها، قابل انجام باشد، احراز هویت درخواستکننده عملیات بانکی از مسائل مهم امنیتی در حوزه بانکداری الکترونیکی است. یکی از مشکلات احراز هویت در اینترنت بانک مشهود است، امروزه سیستم بانکی با احراز هویت کاربران اینترنتی خود مشکل دارد و اطمینان از اینکه خود کاربر از اینترنت بانک استفاده کرده است کار دشواری است حتی رمزهای یکبار مصرف (OTP) هم نتوانستند این مشکل را حل کنند؛ چرا که با دسترسی به این دستگاه میتوان بدون حضور مالک دستگاه هم از آن استفاده کرد. امروزه پویایی و امنیت یک سیستم را با احراز هویت سنجش میکنند و در حقیقت سیستمی که احراز هویت در آن موجود نیست، سیستم نا امنی است.
در زیر روشهای احراز هویت را بیان میکنیم:
• احراز هویت با کلمه عبور
• احراز هویت با امضا
• احراز هویت با داشتن یک کارت بانکی
• احراز هویت با استفاده از یک نشانه (توکن)
• احراز هویت بیومتریک (اثر انگشت، عنبیه چشم و...)
• احراز هویت ترکیبی (ترکیبی از موارد فوق الذکر)
تهدیدهای موجود در سیستمهای احراز هویت:
احراز هویت با کلمه عبور:
کلمه عبور متداولترین سیستم برای احراز هویت در نظام بانکداری الکترونیک است با این حال سیستم قابل اطمینانی برای تشخیص احراز هویت نیست به دلیل اینکه اطمینان از اینکه خود شخص از کلمه عبور استفاده کرده کار دشواری است به همین دلیل برای داشتن سیستم کاملا امن نمیتوان به این سیستم اتکا کرد.
احراز هویت با امضا:
یکی از ابتداییترین روشهای احراز هویت است. به این صورت که امضای کاربر با امضای ثبت شده در سیستم بانکی مطابقت داده میشود، ولی این روش هم نمیتواند سیستم امنی باشد که بتوان از آن به صورت گسترده استفاده کرد. عواملی چون خطای انسانی و جعل، امنیت این روش را زیر سوال میبرد.
احراز هویت با استفاده از توکن
استفاده از توکن به معنی استفاده از موجودیتها است که این موجودیتها میتواند کارت شناسایی، کارت بانکی، اسمارت کارت و... باشد که متناسب با محیط مورد استفاده قرار میگیرد. با این روش هم نمیتوان هویت فرد را تشخیص داد به دلیل اینکه ممکن است توسط فرد دیگری مورد استفاده قرار گیرد و مشکلاتی همچون مفقود شدن، جعل و... نیز برای این موجودیتها اتفاق بیفتد و در پارهای مواقع برای احراز هویت نیاز به ارائه چند موجودیت است به همین دلیل نمیتوان از آن در حجم وسیع استفاده کرد.
احراز هویت با استفاده از بیومتریک
در این سیستم از خصوصیتهای فیزولوژیک بدن انسان استفاده میشود. این خصوصیتها میتواند اثر انگشت، عنبیه چشم، صدا، چهره و... باشد. استفاده از این روش بنا به خصیصه مورد استفاده مشکلات خاص خودش را دارد.
متغیرهای بیومتریک باید این ویژگیها را داشته باشند:
۱- همه افراد آن را داشته باشند ۲- این خصیصه باید متمایز باشد و در هیچ دو نفری یکسان نباشد که در خصیصههایی که در بالا از آنها نام بردیم این ویژگی موجود است ۳- در طول عمر افراد تغییر نکند.
احراز هویت با استفاده از سیستمهای ترکیبی
این روش تشکیل شده از روشهای احراز هویتی که در متن فوق از آنها صحبت کردیم که این روش میتواند ترکیب احراز هویت با کلمه عبور و احراز هویت با توکنها باشد یا ترکیب احراز هویت با توکن و متغیرهای بیومتریک یا غیره باشد.
این روش از امنترین روشهای احراز هویت است؛ چون از دو روش بهطور همزمان استفاده میشود. در این روش ممکن است از احرازهویت با کارت بانکی و کلمه عبور همزمان با هم استفاده شود که در این صورت هم نمیتوان گفت این روش کاملا امن است. از روشهای ترکیبی دیگر میتوان به استفاده از رمزهای یکبار مصرف که توسط دستگاههای رمزیاب تولید میشود و رمز ثابت فرد اشاره کرد. رمز یکبار مصرف توسط دستگاه رمزیاب تولید میشود، دستگاه رمز یاب یک دستگاه فیزیکی است که در اختیار کاربر قرار میگیرد و با تولید یک عدد یکتا بهصورت تصادفی و از روی سرور، احراز هویت کاربری که آن را وارد کرده است، تایید میکند؛ اما در دستگاههای رمزیاب هم مشکلاتی نظیر تمام شدن باتری یا به سرقت رفتن و... وجود دارد که استفاده از این دستگاه را دچار مشکل میکند.
راهکار پیشنهادی
برای مقابله با این مشکلات چه میتوان کرد؟ پیشنهاد ما استفاده از یک راهکار خلاقانه و نوین است. این راهکار در واقع یک سلاح موثر در مقابل تمامی تهدیدهای فوق است که به آن اشاره کردیم و به تولیدکنندگان این سیستمها امکان انجام احراز هویت ایمن برای کاربردهای آنلاین را میدهد. راهکار ما استفاده از سیستم ترکیبی است اما سیستمی که در آن حضور شخص یک امر ضروری برای احراز هویت است. این راهکار ترکیب احراز هویت به صورت بیومتریک و یک اسمارت کارت است که در زیر بیشتر در مورد این روش توضیح میدهیم.
احراز هویت با اثر انگشت و اسمارت کارت:
این سیستم شامل یک اثر انگشت اسکنر و اسمارتکارتخوان است که به این تکنولوژی Match On Card میگویند. این سیستم احراز هویت دارنده کارت را بدون نیاز به شبکه بهصورت آفلاین انجام میدهد. این سیستم اطلاعات شخص نظیر نام و نام خانوادگی، عکس و... و اطلاعات بیومتریک را که در اینجا همان اثر انگشت کاربر است، به واسطه امنیت کارت هوشمند روی Chip کارت ذخیره میکند. ذخیرهسازی اثر انگشت برای هر ۱۰ انگشت دست صورت میگیرد که این ذخیرهسازی به شکل عکس نیست و با استفاده از الگوریتم رمز شده اثر انگشت صورت میگیرد که همین امر ضامن امنیت این روش است. از مزیتهای این روش این است که شخص نمیتواند هویت خود را انکار کند چون در زمان استفاده باید خود شخص بهصورت زنده و اسمارت کارت حاوی اطلاعات بیومتریک و اطلاعات شخصی وجود داشته باشد و از دیگر مزیتهای این دستگاه میتوان به رمزنگاری و رمزگشایی اطلاعات اشاره کرد.
قابلیتهای این روش:
• استفاده از این روش ممکن است بعد از احراز هویت منجر به ایجاد یک رمز یکبار مصرف شود.
• استفاده از این روش ممکن است موجب ایجاد یک امضای دیجیتال برای اسناد باشد.
• میتوان از این روش برای ایجاد امنیت صندوقهای امانات بانکها استفاده کرد.
• این روش، روشی مطمئن برای احراز هویت کاربر در استفاده از اینترنت بانک است.
• استفاده بهصورت آفلاین.
ارسال نظر