مقدمه :
توکن دستگاهی جهت بالا بردن امنیت و جلوگیری از کلاهبرداری است . مشتری با استفاده از این دستگاه به رمزهای عبور نیازی ندارد . اهمیت استراتژیک توکن کمک کردن به ارائه یک تجربه امن بانکی می باشد . همچنین مشتری با اعتماد به نفس می تواند معاملات بانکی با ارزش بالاتر را نیز انجام دهد .
رمز یکبار مصرف (OTP) چیست؟
رمز یکبار مصرف (OTP) رشته ای از کاراکترها یا اعداد است که کاربر را برای ورود به یک سامانه یا انجام یک تراکنش واحد،احراز هویت می کند. گذرواژه های یکبار مصرف اغلب با اختصار OTP و گاهی اوقات کدهای OTP نیز نامیده می شوند.
پس از اینکه با یک رمز یکبار مصرف وارد سامانه یا برنامه ای می شوید رمز منقضی شده و نمی تواند برای نشست ورود بعدی استفاده شود.
گذرواژه های یکبار مصرف اغلب برای احراز هویت دو عاملی در حوزه هایی مانند بانکداری آنلاین استفاده می شوند . اما در حال حاضر سازمان ها نیز به طور فزاینده ای در حال استفاده از آن ها هستند.
مرحله اول ، اطلاعات ورود به سیستم معمول خود را وارد می کنید.
مرحله دوم با استفاده از ابزاری مانند گوشی هوشمند یک رمز یکبار مصرف پویا ایجاد می کنید که
برای احراز هویت OTP لازم است.
هنگام احراز هویت کاربران، لازم است که سازمان ها سه فاکتور مستقل را به خاطر داشته باشند:
1.دانش: مواردی که کاربر می داند مانند گذرواژه ، پین یا پاسخ به یک سوال امنیتی.
2.مالکیت: چیزهایی که کاربر دارد مانند یک رمز ، کارت اعتباری یا تلفن.
3.بیومتریک: مواردی که کاربر را به صورت منحصر به فرد شناسایی می کند ، مانند اثر انگشت یا
داده های رفتاری
توکن های سخت افزاری به طور کلی شامل موارد زیر هستند:
توکن های متصل:
این توکن ها رایج ترین نوع مورد استفاده در احراز هویت چند عاملی هستند. کاربران این توکن ها را به سیستم یا دستگاهی که می خواهند به آن دسترسی پیدا کنند متصل می کنند.
کارت های هوشمند و درایوهای USB به ترتیب در کارت خوان هوشمند دستگاه و درگاه USB قرار می گیرند.
توکن های غیرمتصل:
کاربران مجبور نیستند این توکن ها را به صورت فیزیکی وارد کنند. توکن های غیرمتصل معمولاً OTP برای ورود کاربران ایجاد می کنند.
سیستم های ورود بدون کلید ، تلفن های همراه و دستگاه های امنیتی بانکی نمونه هایی از این موارد هستند.
توکن های بدون تماس:
این توکن ها داده های احراز هویت را به یک سیستم منتقل می کنند .
که اطلاعات را تجزیه و تحلیل کرده و تعیین می کند کاربر حق دسترسی دارد یا نه. توکن های
بلوتوث نمونه ای از انتقال بدون تماس است و نیازی به اتصال فیزیکی یا ورودی دستی ندارد.
توکن های نرم افزاری:
توکن های نرم افزاری به صورت فیزیکی در اختیار ما نیستند. بلکه به صورت نرم افزاری در دستگاهی مانندلپ تاپ یا تلفن همراه وجود دارند.
احراز هویت نرم افزاری معمولاً به شکل برنامه ای در می آید که اعلان های تلفن همراه یا پیام کوتاه را برای کاربر ارسال می کند تا به آنها پاسخ داده و هویت خود را تأیید کند.
همه این روش ها همان روند اساسی را دنبال می کنند،کاربر داده های تأیید اعتبار را به یک سیستم می فرستد ، سیستم صحت اطلاعات را تأیید می کند و در این صورت ، دسترسی مجاز به کاربر را اعطا می کند.
در واقع ایده همان ایده استفاده از رمز عبور است با این تفاوت که در OTP ، داده های احراز هویت از سمت کاربر و سامانه های مورد نظر نشت نمی کنند.
توکن های سخت افزاری :
دستگاه های فیزیکی هستند که OTP را انتقال می دهند و به کاربران کمک می کنند تا به حساب ها و منابع دیگر دسترسی پیدا کنند.
توکن های سخت افزاری مانند RSA SecureID ، یک ارتقا قطعی بر روی OTP های مبتنی بر پیام کوتاه هستند که با اتکا به چیزی که کاربر در اختیار دارد ، باعث می شود که آنها کمتر از احراز هویت مبتنی
بر دانش مورد سوء استفاده قرار گیرند. علاوه بر این ، یک دستگاه OTP مانند کلیدهای امنیتی U2F از الگوریتم های رمزگذاری نامتقارن استفاده می کند تا اطمینان حاصل کند
که OTP هرگز رمزگشایی و افشا نمی شود.
با این حال ، ماهیت توکن های سخت افزاری علیه آنها کار می کند. کاربران باید وسیله دیگری را حمل کنند که ممکن است گم شود ، آسیب ببیند یا به سرقت برود.
این مسئله باعث می شود که نگهداری از توکن های OTP به ویژه در سازمان های بزرگ ، چالش برانگیز باشد.
علاوه بر این ، توکن هایی که باید به طور فیزیکی به دستگاه متصل شوند همیشه قابل استفاده نیستند.
به عنوان مثال ، درایوهای USB مانند کلیدهای U2F یک راه حل عملی برای ایمن سازی دستگاه های تلفن همراه نیستند که پورت USB ندارند.