به گزارش
گرداب، این روزها نام توکنهای امنیتی در میان افراد بیشتر به گوش میرسد و بهنوعی برای هر فردی استفاده و نحوه کار این نشانههای امنیتی مشخص و روشن است و در این میان بانکها نیز از قافله عقب نماندهاند و با کمک گرفتن از توکن های امنیتی چه بهصورت فیزیکی و چه بصورت الکترونیکی سعی دارند تا امنیت شبکههای بانکی و انتقال وجه را تامین کنند. توکِن امنیتی یا نشانهٔ امنیتی (Security Token) سختافزاری کوچک است که برای ورود کاربر یک سرویس رایانهای به سامانه بهکار میرود. به عبارت دیگر، میتوان گفت، این دستگاه یک دستگاه فیزیکی است که در اختیار کاربران مجاز قرار میگیرد تا به راحتی بتوانند برای استفاده از یک سیستم کامپیوتری هویت آنها تشخیص داده شود.
توکن امنیتی برای اثبات هویت فرد به صورت الکترونیکی استفاده میشود. (به عنوان مثال نحوه دسترسی به حساب بانکی از راه دور) و از توکن به علاوه یا به جای رمز عبور معمولی برای احراز هویت مشتری که خواهان ورود به سیستم است، بهره میبرند و به عنوان یک کلید الکترونیکی برای دسترسی عمل میکند.
برخی از توکنها کلیدهای رمزنگاری مانند امضا دیجیتال و اطلاعات بیومتریک مثل اثرانگشت را در حافظه خود ذخیره میکنند. این توکنها شامل چند کلید برای وارد کردن شماره شخصی شناسایی (PIN code) و آغاز برنامه توکن برای انجام عملیات ایجاد رمز عبور هستند. طراحی مخصوصی از این توکن به صورت ارتباط USB و بلوتوث است که این روشها در انتقال کلید رمز تولید شده به سیستم دخالت دارند.
معرفی انواع نشانههای سخت افزاری و نرمافزاری
برخی از نشانههای امنیتی هم به صورت سخت افزاری و هم به صورت نرمافزاری در دسترس هستند و اگر فردی به این دو نوع نشانه امنیتی نگاه کند، از لحاظ ساختاری یکسان به نظر میرسند، ولی در توابع یک سری تفاوتهایی با هم دارند.
نشانه غیرمتصل (Disconnected)
نشانه مورد نظر هیچ گونه اتصال فیزیکی و منطقی با کامپیوتر مشتری ندارد. بهطور معمول به دستگاه ورودی خاصی نیاز ندارند و در عوض یک صفحه نمایش داخل خود دارند که دادههای احراز هویت به وسیله آن نمایش داده میشود و کاربر به صورت دستی اطلاعات را با صفحه کلید وارد میکند.
این نوع نشانه (معمولاً همراه یک رمز عبور) برای احراز هویت در تشخیص افراد به صورت بر خط بیشتر مورد استفاده قرار میگیرد.
نشانه متصل (Connected)
این نوع نشانه باید حتماً به صورت فیزیکی به کامپیوتر مشتری متصل گردد. نشانهها در این دسته بهطور اتوماتیک اطلاعات احراز هویت را به کامپیوتر مشتری در همان اولین ارتباط منتقل میکند، به جز اطلاعاتی که باید بهطور دستی توسط کاربر داده شود. برای استفاده از این نوع نشانه باید دستگاه ورودی مناسبی روی سیستم نصب شود. معمولترین نوع از نشانههای متصل، کارتهای هوشمند و نشانه USB است که به ترتیب نیاز به دستگاه کارت خوان کارت هوشمند و پورت USB دارند.
کارت هوشمند
بسیاری از نشانههای متصل از تکنولوژی کارت هوشمند استفاده میکنند. کارت هوشمند میتواند خیلی ارزان و شامل مکانیزمهای امنیتی مطمئن باشد. (همانند آنهایی که توسط مؤسسههای مالی استفاده میگردد، مثل دسته چک) عملکرد محاسباتی کارت هوشمند اغلب محدود است و آن به دلیل توان مصرفی بسیار کم آن هاست.
نشانه بدون تماس (Contactless)
در این نوع برخلاف نشانه متصل که نیاز به اتصال فیزیکی دارد، از اتصال منطقی برای ارتباط با کامپیوتر مشتری استفاده میشود. به دلیل عدم استفاده از اتصال فیزیکی، این نشانه کاربردی راحتتر نسبت به نشانه متصل دارد.
بهطور کلی میتوان گفت نشانه بدون تماس برای سیستمهای ورودی بدون کلید و پرداخت الکترونیک مثل رمز سریع موبایل که از فرکانسهای رادیویی برای اطلاعات احراز هویت استفاده میکنند، انتخاب مناسبتری است. این نوع نشانه، چون از فرکانسهای رادیویی استفاده میکند احتمال نگرانی در مسائل امنیتی آن بیشتر است.
در یک بررسی مشخص شد که فرکانسهای رادیویی مورد استفاده به راحتی قابل هک یا کپی برداری هستند. مشکل دیگر در رابطه با نشانه بدون تماس عمر بسیار محدود باتری آن است، که معمولاً ۵-۳ سال میباشد. در مقایسه با نشانه USB ممکن است تا ۱۰ سال باتری آن مفید کار کند. هرچند بعضی از نشانه اجازه میدهند برای کاهش هزینهها باتری آنها عوض شود.
نشانه بلوتوثی
نشانه بلوتوثی اغلب با نشانه USB ترکیب میشود به این ترتیب هم در حالت متصل و هم در حالت بدون تماس کار میکند. احراز هویت با بلوتوث به فاصله بستگی دارد و تا فاصله ۱۰ متری میتواند عمل کند. اگر بلوتوث در دسترس نباشد باید نشانه را به پورت USB کامپیوتر متصل کرد. از مزیتهای عملیات در حالت بلوتوث این است که میتوان عمل خاتمه کار را با افزایش فاصله (از بین رفتن بلوتوث) ادغام کرد.
GSM تلفن سلولی
کاربران میتوانند از تلفن همراه خود به عنوان نشانه امنیتی بهره ببرند. یک برنامه جاوا روی موبایل نصب میشود که آن توابع برای فراهم آوردن یک نشانه مخصوص را روی گوشی اجرا میکند. دیگر روشهای استفاده از تلفن سلولی شامل ارسال پیام کوتاه، برانگیختن یک تلفن غیرفعال و استفاده از پروتکلهای اینترنتی مثل HTTP/HTTPS است. چنین روشهایی میتوانند به راحتی گسترش پیدا کنند و باعث کاهش هزینههای منطقی و حذف نیاز به نشانههای مجزا شوند.
راه اندازی توکنهای نرم افزاری در خدمات بانکی
امنیت و برقرار آن در همه ابعاد زندی همواره بهعنوان یکی از دغدغههای کنونی عصر تکنولوژی معاصر بوده و به همین دلیل روش حفاطت از اطلاعات و داراییهای هر فرد یا سیستم اهمیت ویژهای پیدا کرده است. توسعه بانکداری دیجیتال نیز از این دغدغه دور نبوده و امنیت پول در سیستم بانکداری امروز یکی از مهمترین چالشهای پیش روست. اما از سوی دیگر امنیت همواره عاملی بازدارنده در توسعه و توزیع امکانات بوده و ارائه یک فناوری پراهمیت بدون درنظر گرفتن سهولت استفاده مصرف کننده به یقین ضریب استفاده از آن را پایین میآورد.
امرزه توکن و یا به عبارتی رمز یکبار مصرف بعنوان یکی از ابزارهای امنیتی با ضریب اطمینان بالا در سیستم بانکداری استفاده میگردد. استفاده از رمز ثابت و رمز یکبار مصرف در یک ترکیب متغیر و امن ضریب اطمینان بالایی را در حوزه مشتریان بانکی ایجاد نموده است. اما همانطور که پیشتر اشاره شد یکی از چالشهای امنیت دست و پا گیر بودن آن است و استفاده از توکن سخت افزاری نیز از این قاعده مستثنی نیست. همراه داشتن دائمی یک توکن سخت افزاری و مشکلاتی نظیر عمر دستگاه در دراز مدت نیز روی بد سکه استفاده از این فناوری است.
یکی از اصولی که کارشناسان این حوزه با پیشرفت فناوریها به آن توجه ویژهای داشتهاند خاصیت جابجایی فناوری بوده که فاکتوری مهم در همگانی سازی یک فناوری است. دستگاه گوشی موبایل با ضریب نفوذ بالا بهترین بستر برای جـامعه هدف بانکداری می باشد. شرکت گسترش فناوریهای نوین بر آن شد تا با فائق آمدن بر همه مشکلات مطرح شده در ابتدای این گزارش و با معرفی و ارائه توکن نرم افزاری بعنوان ابزاری جـایگزین برای توکن سخـت افزاری در بانکداری دیجیتال تمامی دغدغههای این حوزه را در سطح کشور پایان دهد.
توکن نرم افزاری با قابلیت ارائه در بسترهای مختلف سیستم عاملهای موبایل با سازگاری هرچه تمامتر و سهولت در استفاده هم اکنون قابل ارائه و استفاده در سیستم بانکداری است. تمام نکات امنیتی مورد نیاز در این فناوری بطور کامل درنظر گرفته شده است. تنها با نصب نرم افزار مورد نظر بر روی گوشی همراه میتوان نسبت به استفاده از رمز یکبار مصرف اقدام نموده و از دغدغه به همراه داشتن توکن سخت افزاری و مشکلات آن آسوده بود.