رمز یک‌بار مصرف از خطر فیشینگ در امان نیست

  یک متخصص حوزه امنیت آی‌تی‌ با اشاره به الزام استفاده از رمزهاي يك بارمصرف در تراكنش‌هاي اينترنتي از ابتداي دي ماه امسال هشدار داد: استفاده از رمز یکبار مصرف، دشواری‌های زیادی برای مردم ایجاد خواهد کرد و عملا نمی‌تواند امنیت تراکنش‌های اینترنتی را بالا ببرد.

  علیرضا پورابراهیمی در گفت و گو با "صدای بانک"،  ضمن بیان مطلب فوق تصریح کرد: استفاده از رمز یک بار مصرف در کشور های دیگر روش مرسوم و متداولی نیست و بیشتر کارت های یکبار مصرف بانکی استفاده می‌شود و به لحاظ امنیتی استفاده از آن ضامن امنیت در تراکنش‌های اینترنتی نخواهد بود.

عضو شورای عالی فناوری اطلاعات با تاکید بر اینکه بسیاری از متخصصان حوزه امنیت مخالف استفاده از رمز یکبار برای تراکنش‌های اینترنتی هستند، گفت: واقعیت این است که امنیت خود نرم افزارهایی که رمز پویا صادر می‌کنند نیز هنوز مشخص نیست و آیا تاکنون امنیت شرکت ارایه دهنده این نرم افزارها بررسی شده است و کدام سازمان امنیت این شرکت را تضمین کرده است؟

پورابراهیمی با انتقاد از اینکه تا به امروز امنیت شرکت‌های ارایه دهنده نرم افزار رمز پویا مورد ارزیابی قرار نگرفته است، تصریح کرد: اینکه خود شرکت امنیت عملکرد خود را تضمین کند صحیح نیست و باید نهادهای دیگر امنیت آن را  مورد ارزیابی قرار دهند؛ در کل استفاده از رمز یکبار مصرف در تراکنش های اینترنتی آسیب‌پذیر است و در استفاده از آن باید دقت کرد.

این کارشناس با اشاره به خطرات کلاهبرداری فیشینگ در درگاه‌های اینترنتی افزود: یکی از چالش‌های اساسی در رمز یکبار مصرف، بحث فیشینگ است چراکه اپلیکیشن‌های سرویس‌ده در رمز یکبار مصرف متعدد است،بنابراین نمی‌توان ادعا کرد که با استفاده از این راهکار، ما دیگر شاهد کلاهبرداری در حوزه خرید اینترنتی نیستیم.

پورابراهیمی در پاسخ به این پرسش که با توجه به اینکه عمر هر رمز یک‌بار مصرف 60 ثانیه بوده و فارغ از اینکه ما از این رمز استفاده کنیم یا نه، پس از 60 ثانیه از کار می‌افتد و باید اقدام به دریافت رمز جدید کنیم، این عملیات چقدر  از خطر هک شدن در امان است؛ پاسخ داد: متاسفانه تا جایی که اطلاع دارم فکر جدی در این خصوص نشده  و ما شاهد بودیم که در بحث سرویس های ارزش افزوده خیلی از کاربر ها هک شدند و مجدد ممکن است این خطر دوباره تکرار شود.

به گفته این پژوهشگر در حوزه پدافند غیرعامل؛ متاسفانه با توجه به تحریم ها، ما در ایران شرایط و زیرساخت هایی که دیگر کشورها برای تراکنش های اینترنتی مثل استفاده از کارت های یک بار در دسترس نداریم و به ناچار می‌خواهیم از رمز یکبار مصرف که روشی آسیب‌پذیر است استفاده کنیم.

پورابراهیمی شرط داشتن گوشی هوشمند در صادرشدن رمز یکبار مصرف برای کاربران را نقطه ضعف این روش بانکی دانست و گفت: متاسفانه اگر كسي گوشي هوشمند نداشته باشد این به معني است كه نمي‌تواند رمز دوم داشته باشد در حالی که خطر هک شدن گوشی بسیار بالاست.

عضو شورای عالی فناوری اطلاعات با بیان اینکه رمز یکبار مصرف برای سهولت کار بانکی مطرح نیست بلکه برای ارتقا امنیت تراکنش‌های اینترنتی مطرح شده‌است، تاکید کرد: ما باید در این روش بررسی کنیم که آیا استفاده از رمز پویا امنیت تراکنش‌های اینترنتی را بالا می‌برد یا در ادامه مشکلات امنیتی دیگری را ایجاد کند.

پور ابراهیمی تصریح کرد : رمز پویا عملا با اهداف خود که تامین امنیت تراکنش‌های اینترنتی در کشور است منافات دارد اما متاسفانه با ابلاغ سیستم بانکی استفاده از آن اجباری است و مردم راهی جز استفاده از آن ندارند.

این متخصص حوزه امنیت آی‌تی در پایان هشدار داد: اگر مردم می‌خواهند از رمز پویا استفاده کنند، بهتر است از حساب بانکی که مبلغ قابل توجهی ندارد استفاده کنند و حساب های بانکی خود را مورد خطر قرار ندهند چرا معایب این روش به مرور زمان بروز می‌کند.

بر اساس این گزارش،  بانک مرکزی در ابلاغیه‌ای به کلیه بانک‌های کشور دستور داده تا از اول دی ماه امسال رمز دوم پویا برای تراکنش‌های اینترنتی فعال‌ شود.