هویت کاربران در فضای مجازی در همه‌ی سطوح به‌ویژه پرداخت‌های آنلاین از آن دست مسائلی است که همواره می‌تواند برای کسب‌وکارها به یک کابوس تبدیل شود. حال که غالب اطلاعات حساس بانکی و هویتی کاربران بیش از پیش در فضای مجازی به‌کار می‌آید و به‌طور روزمره برای تقریبا تمام کارهایمان این اطلاعات را در این فضا به اشتراک می‌گذاریم امنیت این داده‌ها به یکی از نگرانی‌های اصلی همه تبدیل شده است.

در طول سال‌ها پیشرفت تکنولوژی، هکرها بدافزار‌ها و باج‌افزارهای خطرناکی را منتشر کرده‌اند که کسب‌وکارها را در سراسر جهان با سرقت داده‌های داخلی یا ایجاد اختلال در عملکرد آنها تهدید می‌کند. احراز هویت آنلاین دریچه‌ی ورود این اطلاعات به این فضا است. در فضای آنلاین همواره به همان تعداد کاربران عادی، کلاه‌بردارانی حضور دارند که برنامه‌نویسی می‌دانند، تصویر ترسناکی است نه؟ کسب‌وکارها با توجه به نوع کار و خدمات خود همواره هدف حملات هکرها هستند و شاید کاربران عادی تصور کنند که نیازی به نگرانی درمورد اطلاعات بانکی خود ندارند اما هکرها بارها ثابت کرده‌اند که به دنبال دسترسی به اطلاعات شخصی و سوابق تراکنش‌های افراد هستند.

احراز هویت آنلاین به معنای تایید هویت شخصی در یک سیستم اطلاعاتی برای دسترسی به یک پلتفرم است. این تأیید از طریق یک پنجره شناسایی، معمولاً با نام کاربری و رمز عبور انجام می‌شود: شناسه کاربر و رمزی که انتخاب کرده است.

 هنگامی که افراد به عنوان کاربر قصد استفاده از برخی سرویس‌های آنلاین مخصوصا خدمات پرداختی را دارند احراز هویت آن‌ها مهم‌تر و حساس‌تر نیز می‌شود. احراز هویت الکترونیکی می‌تواند خطر کلاهبرداری و سرقت هویت را با تأیید اینکه شخص به‌واقع همان کسی است که صاحب اطلاعات هویتی تایپ شده است، کاهش دهد. در این مقاله به این موضوع می‌پردازیم که اصولا منظور از احراز هویت چیست و انواع روش‌های آن کدامند و ما در ایران از چه نوع روش‌های برای احراز هویت آنلاین استفاده می‌کنیم.  در نهایت به روش‌هایی که وندار برای احراز هویت استفاده می‌کند خواهیم پرداخت.

احراز هویت الکترونیکی چیست؟

از درخواست رمز عبور تا احراز هویت چندعاملی (MutiFactorAuthenticication) که در سطوح بالاتر امنیتی به‌کار می‌آید، همه روش‌های مختلف برای احراز هویت الکترونیکی هستند. با توجه به سایت و نوع خدماتی که ارائه می‌دهد از کاربر خواسته می‌شود که هویت خود را گاه با استفاده از نشانه‌های امنیتی، گاه سوالات چالش‌برانگیز و گاهی نیز با در اختیار داشتن گواهی از یک مرجع ثالث، اثبات کند.

در رسیدن به احراز هویت الکترونیکی سه عامل مهم وجود دارد:‌

عامل دانش به معنای پرسیدن اطلاعاتی که کاربر می‌داند مانند رمز عبور، سوالات تشخیصی و شماره‌ی شناسه یا پین.

عامل مالکیت که به معنای بررسی کردن تلفن همراه، رایانه‌ شخصی و یا توکنی است که به کاربر تعلق دارد.

عامل بیومتریک که به معنای ویژگی‌های منحصربه‌فرد بیولوژیک کاربر مانند اثر انگشت، اسکن چشم یا الگوی صدای او است.

ناگفته پیداست که قابل اطمینان‌ترین عامل در اثبات هویت کاربر، ویژگی‌های بیولوژیک او است، اما این روش یکی از پرهزینه‌ترین روش‌ها برای احراز هویت به‌شمار می‌آید. گاهی برای اطمینان و محکم‌کاری معمولا از ترکیب یک یا دو عامل زیر برای اجرای احراز هویت استفاده می‌کنند که به آن احراز هویت دو مرحله‌ای یا چندمرحله‌ای می‌گویند. گرچه این نوع روش‌ها را هم همچنان حملاتی مانند حملات مرد در میانه (man-in-the-middle) و حملات تروجان تهدید می‌کند.

 در نتیجه، کسب‌وکارها در سراسر جهان حفاظت از داده‌های مشتریان را در اولویت قرار می‌دهند. بانک‌ها، شرکت‌های فینتکی، صندوق‌های رمزارز نیز با توجه به حساس بودن اطلاعات پولی کاربران بیش از همه به امنیت داده‌ها توجه زیادی می‌کنند. خوشبختانه روش‌های احراز هویت همچنان در حال پیشرفت است و در ادامه به چهار مورد از آن‌ها اشاره می‌کنیم.

 روش‌های احراز هویت در بانکداری آنلاین

در دنیا روش‌های مختلفی برای احراز هویت وجود دارد که همگام با پیشرفت‌های تکنولوژی در حال توسعه هستند از جمله:

اسکن عنبیه

بانک (TSB) انگلستان اولین ارائه‌دهنده خدمات مالی در اروپا است که استفاده از احراز هویت اسکن عنبیه را اجرا می‌کند. مشتری برای استفاده از همراه بانک خود تصویر چشم خود را ثبت و اسکن می‌کند و پس از آن امور مالی خود را انجام می‌دهد. اسکنر عنبیه هم از دوربین گوشی و هم از LED مادون قرمز آن استفاده می‌کند. این دوربین از نور مادون قرمز منعکس شده بر روی عنبیه کاربر عکس می‌گیرد. این قابلیت فعلا تنها در گوشی‌های هوشمند خاص فعال است.

اسکن عنبیه یک راه بسیار امن برای تایید هویت یک فرد است، حتی بیشتر از اسکن اثر انگشت یا تشخیص الگوی صدا. عنبیه انسان ۲۶۶ الگوی منحصر به فرد دارد، در حالی که اثر انگشت تنها ۴۰ الگو دارد. با این وجود، یک هکر می‌تواند ادعا کند که اسکن عنبیه را با چاپ عکسی از عنبیه در حالت شب، قرار دادن یک لنز تماسی روی عکس و سپس اسکن آن فریب دهد. در نتیجه، استفاده از این فناوری هنوز در حال بررسی است.

سیستم امنیتی تشخیص صدا

احراز هویت بیومتریک صوتی، یک فرد را بر اساس الگوهای منحصربه‌فرد صدای هر انسان شناسایی می‌کند. بارکلیز و سایر بانک‌ها در بریتانیا سیستم‌های احراز هویت صوتی را برای استفاده آزمایشی توسط مشتریان راه‌اندازی کرده‌اند. پس از این‌که کاربر درخواست سرویس را بیان کند، سیستم صدای او را تجزیه و تحلیل می‌کند و فورا آن را با حساب مناسب مطابقت می‌دهد.

احراز هویت الگوی رگ کف دست

از آن‌جایی که اسکن اثر انگشت می‌تواند هک شود، محققان به اسکن کل کف دست کاربر برای احراز هویت روی آوردند. این سیستم الگوی رگ‌های دست را ثبت می‌کند و ایمن و بسیار دقیق است. کاربر در این روش نیازی به لمس مستقیم دستگاه ندارد.

فوجیتسو، شرکت کامپیوتری ژاپنی، پیشرو در این فناوری است. از سال ۲۰۰۴ به بعد، تعدادی از بانک های پیشرو ژاپنی شروع به استفاده از دستگاه‌های احراز هویت ورید کف دست برای ورود به مشتریان کردند. این سیستم به مشتریان این امکان را می‌دهد تا بدون استفاده از کارت خودپرداز یا دفترچه عبور، تراکنش را انجام دهند. همچنین این سیستم در عملیات داخلی بانک‌ها برای جلوگیری از کلاهبرداری استفاده می‌شود.

بانک برادسکو برزیل که از سیستم فوجیتسو همراه با کارت های خودپرداز و کدهای کاربر استفاده می کند، دریافت که حدود ۷۰۰ میلیون تراکنش را بدون حتی یک مورد کلاهبرداری احراز هویت کرده است. در مقابل، تراکنش‌های احراز هویت شده از طریق کد حساب، پین یا شماره شناسایی شهروندی منجر به خطا و کلاهبرداری شدند. چیزی که آن را بسیار ایمن می کند این است که الگوهای عروقی دست یک هویت فیزیکی منحصر به فرد است که به راحتی قابل تقلید یا تغییر نیست. علاوه بر این، این فناوری به کاهش سرایت آنفولانزا کمک کرده است، زیرا نیازی به تماس فیزیکی ندارد.

تشخیص چهره

اپل با مدل iPhoneX خود در سال ۲۰۱۷ به فناوری تشخیص چهره روی آورد. شرکت‌های دیگر نیز از تشخیص چهره استفاده می‌کنند. سه بانک، لویدز، هالیفاکس و بانک اسکاتلند با مایکروسافت همکاری کردند تا سیستمی را برای احراز هویت مشتریانی که از طریق رایانه با استفاده از سیستم عامل ویندوز ۱۰ وارد وب سایت بانکی خود می‌شوند، راه اندازی کنند.

پس از اپل و حتی پیشگامان قبلی، دیگر تولیدکنندگان گوشی‌های هوشمند در آینده نزدیک سیستم‌های تشخیص چهره خود را راه‌اندازی خواهند کرد. این روش مطمئنا بر ارائه‌دهندگان خدمات مالی و پلتفرم‌های تراکنش تلفن همراه تاثیر خواهد گذاشت. همین چند سال پیش، این فناوری آینده‌نگر به نظر می‌رسید. در حال حاضر به بخشی از زندگی روزمره ما تبدیل شده است.

احراز هویت الکترونیکی در ایران

در ایران نیز سامانه‌های مختلفی برای احراز هویت الکترونیک وجود دارد. سامانه احراز هویت دیجیتال سجام (سامانه جامع ثبت اطلاعات مشتریان)، سایت سامانه امتا (احراز مشتریان تجارت الکترونیکی)، نهاب (نظام هویت‌سنجی الکترونیکی بانکی) و سامانه شاهکار چند نمونه از سیستم‌‌های احراز هویت هستند که در فضای مجازی به‌کار می‌آیند. در ادامه این سامانه‌ها را معرفی می‌کنیم.

سامانه نهاب

سامانه‌ی نهاب یا نظام هویت‌سنجی الکترونیکی در واقع پایگاه جامعی از اطلاعات هویتی مشتریان موسسه‌های مالی از جمله بانک‌هاست که فرایند احراز هویت را تسهیل و تسریع می‌کند. مشتریان بانک‌ها عضو این سامانه می‌شوند و با شناسه‌ی یکتایی به نام «شهاب» احراز هویت می‌شوند. این احراز هویت برای صدور چک در بانک‌ها به‌کار می‌رود و بانک‌ها باید پیش از ارائه دسته‌چک به متقاضی صحت هویت آن‌ها را با این سامانه استعلام بگیرند. سامانه نهاب زیرنظر بانک مرکزی زیرساختی برای جمع‌آوری و نگهداری یکپارچه و ایمن اطلاعات هویتی مشتریان بانکی ایجاد می‌کند که امکان دریافت استعلام های لازم مانند استعلام اطلاعات هویتی مشتریان بانکی، به‌روزرسانی اطلاعات کاربران و کنترل‌های بانکی با سایر سیستم‌ها و سامانه‌های اطلاعاتی دولتی مانند سامانه ثبت احوال، سامانه ثبت شرکت‌ها، پست، سیستم اتباع خارجی نیروی انتظامی، سیستم‌های بانک مرکزی و سایر سیستم‌های حکومتی و بانکی را فراهم می‌کند.

سرویس شاهکار

این شبکه‌ی احراز هویت کاربران است که در حفظ حریم خصوصی و امنیت اطلاعات کاربران در فضای مجازی به تصویب شورای عالی فضای مجازی رسیده است. اپراتورها با سرویس شاهکار کاربران‌شان را احراز هویت می‌کنند و و در صورت درستی اطلاعات خدمات خود را ارائه می‌کنند.

سامانه احراز هویت دیجیتال سجام (سامانه جامع ثبت اطلاعات مشتریان)

سجام سامانه‌ی نسبتا شناخته‌شده‌تری نسبت به دیگر سامانه‌هاست. این سرویس برای کاربران بازار بورس به‌کار می‌رود و برای دسترسی به تمام سرویس‌های شرکت‌های تامین سرمایه، کارگزاری‌ها و … مورد تایید است.  این سامانه را شرکت سپرده‌گذاری مرکزی اوراق بهادار و تسویه وجوه برای جمع‌آوری یکپارچه اطلاعات سرمایه‌گذاران ایجاد کرده است. برای احراز هویت غیرحضوری در این سامانه می‌توانید از اپلیکیشن‌هایی که در سایت سجام ذکر شده استفاده کنید.

سایت سامانه امتا (احراز مشتریان تجارت الکترونیکی)

سامانه امتا نیز یکی از سرویس‌دهنده‌های حوزه‌ احراز هویت است که اطلاعات اعتباری، هویتی، تماسی و مکانی کاربران را احراز می‌کند. این سایت یک حساب کاربری یکتا به کاربران می‌دهد تا به آن‌ها امکان ورود به سایت‌های مختلف ایجاد می‌کند. در سایت امتا هم کسب‌وکارهای دارای نماد اعتماد الکترونیکی و هم بدون این نماد می‌توانند کار کنند.

علاوه بر این سامانه‌ها راه‌حلی که بعضی از کسب‌وکارهای هوشمند برای ساده‌تر شدن روش‌های احراز هویت در نظر گرفته‌اند، سطح‌بندی کاربران است. این کسب‌وکارها به شما این امکان را می‌دهند که سطحی از احراز هویت را انتخاب کنید و متناسب با آن هم خدماتی اختصاصی‌سازی شده بگیرید هم مدارکی اختصاصی‌شده بر مبنای نیازتان ارائه دهید. در این شرایط کاربری که قرار است ماهانه ۵۰۰هزارتومان اجازه‌ی معامله داشته باشد، خطر کمتری برای کسب‌وکار میزبان دارد و در نتیجه کسب‌وکار می‌پذیرد که مدارک کمتری هم برای احراز هویت‌اش ارائه کند. اما اگر کاربری بخواهد ماهیانه ۱۰میلیون‌تومان خرید‌وفروش انجام دهد یا باید مدارک سخت‌گیرانه‌تر و احراز هویت کامل‌تری را بپذیرد یا با صرف زمان قابل توجه و انجام معاملات بسیار اعتماد کسب‌وکار میزبان را نسبت به هویت خود جلب کند و با تبدیل شدن به یکی از مشتریان وفادار از سطح کاربری بالاتری هم بهره‌ببرد.

احراز هویت وسیله‌ایست برای کاهش آسیب‌پذیری یک کسب‌وکار در برابر کلاهبرداری‌های اینترنتی، اما تنها وسیله نیست. مهم‌ترین وسیله‌ی جانبی برای رسیدن به این هدف اطمینان از ورودی و خروجی کیف‌پول کاربران است. اگر کسب‌وکارهای فروش رمزارز و کالاهای دیجیتال مشابه مطمئن باشند که هر کاربر تنها می‌تواند با حساب خود در سایت آنها خرید کند و تنها می‌تواند موجودی کیف‌پولش را در حساب بانکی خود واریز کند، گام مهمی در کاهش آسیب‌پذیری کسب‌وکارشان برداشته‌اند.

برای بررسی هویت کاربر در ورودی کیف‌پول دو راه وجود دارد:

  • دریافت یک شماره کارت از کاربر که تنها با آن می‌تواند از سایت شما خرید کند
  • استفاده از درگاهی که کاربر تنها با کارتی متعلق به خودش می‌تواند از آن خرید کند

در راه نخست کسب‌وکار از کاربرهایش می‌خواهد که شماره کارت خود را در سایت ثبت کنند. این شماره کارت استعلام می‌شود (خدمات استعلام شماره کارت) و انطباق نام مالک کارت با نام کاربر بررسی می‌شود. حالا و با مطمئن شدن کسب‌وکار از اینکه کاربر کارتی متعلق به خودش را به او معرفی کرده است، تنها لازم است در هنگام خرید بررسی شود که خرید در درگاه تنها با همین شماره‌ کارت انجام شود. برای این منظور دو راه وجود دارد. یا شماره‌ی کارت به همراه مبلغ و شرایط خرید به درگاه بانکی ارسال می‌شود و از درگاه خواسته می‌شود که شماره‌ی کارت را در درگاه پرداخت ثابت بماند تا در هنگام خرید قابل تغییر نباشد. یا کسب‌وکارها می‌توانند خودشان پس از انجام خرید بررسی کنند که آیا خرید با همان کارت اصلی کاربر انجام شده است یا نه؟ اما اگر اینگونه نبود کسب‌وکار تنها می‌تواند مبلغ تراکنش را نزد خودش نگه دارد و منتظر استعلامی از پلیس فتا روی آن باشد تا اگر این مبلغ حاصل یک کلاهبرداری تله‌گذاری بود به مالباخته بازگردانده شود. اما اگر کلاهبرداری‌ای در کار نبوده باشد و کاربر تنها به اشتباه با یک کارت دیگر خریدی انجام داده باشد، هم کسب‌وکار و هم کاربر او برای اثبات درستی این تراکنش دچار دشواری و دردسرهای مختلفی خواهند شد.

راه منطقی‌تر استفاده از ابزار «درگاه پرداخت دو مرحله‌ای» است. این درگاه شماره‌ی کارت کاربر را هم از کسب‌وکار پذیرنده می‌گیرد و اگر با کارت دیگری در درگاه تراکنشی انجام شود مبلغ تراکنش را به کارت می‌گرداند و جلوی تراکنش را می‌گیرد.

اما راه دیگر شکل پیشرفته‌تری از درگاه‌ پرداخت دو مرحله‌ای است. در این شکل پیشرفته‌تر، درگاه پرداخت کد ملی کاربر را هم از کسب‌وکار پذیرنده می‌گیرد و مالکیت کارت را با آن کد ملی کنترل می‌کند. به این ترتیب دیگر نیازی نیست کاربران یک کسب‌وکار یک کارت بانکی را در آن کسب‌وکار ثبت کنند و خود را تنها محدود به همان کارت بدانند، بلکه می‌توانند با فراغ بال با هر کارتی متعلق به خودشان در سایت کسب‌وکار پذیرنده خرید کنند، و کسب‌وکار پذیرنده هم از خیالی آسوده دارد که تنها همان کاربری که پیشتر هویت‌اش کنترل شده است در سایت او خرید می‌کند.

اما کنترل خروجی کیف‌پول چنین کسب‌وکارهایی بسیار آسان‌تر است. بسیاری از فروشندگان رمزارز و کالاهای دیجیتال مشابه به کاربران‌شان تنها اجازه‌ می‌دهند که موجودی کیف‌پول‌شان را به شماره‌ی شبایی متعلق به خودشان واریز کنند و این شماره نیز به سادگی با استفاده از خدمات استعلام شماره‌ی شبا بررسی می‌شود.

احراز هویت در وندار 

روش‌ها و راهکارها برای احراز هویت آنلاین در شرکت‌های فینتکی مانند وندار که با اطلاعات بانکی کسب‌وکارها و کاربران‌شان سروکار دارند از جمله بخش‌های حساس به‌شمار می‌روند. در وندار در میزکار کسب‌وکارها ابزاری به نام «مشتریان» را ارا‌ئه می‌دهیم که بار روند احراز هویت را از روی دوش آن‌ها برمی‌دارد و تمام مراحل آن را برای کسب‌وکار انجام می‌دهد.

انتخاب مناسب‌ترین بسته‌ی امنیت و احراز هویت برای یک کسب‌وکار به عوامل مختلفی بستگی دارد. توان فنی و اجرایی و عملیاتی کسب‌وکار شما، میزان آسیب‌پذیری‌تان در برابر شکایت‌ و پیگیری‌های قضایی، حجم دارایی در گردش‌تان و در نهایت انتخاب شما برای پذیرفتن بخشی از این خطرات احتمالی به قیمت داشتن مزیت ثبت‌نام و عملیات آسان برای کاربران‌تان در برابر رقبا، همگی عوامل تاثیرگذار در این تصمیم‌گیری هستند.

بهترین راه برای هر کسب‌وکاری استفاده از خدماتی حرفه‌ای در حوزه‌ی مالی است که بتواند بیشترین امکان انتخاب از میان بسته‌های گفته‌شده برای‌شان به همراه داشته باشد.

وندار ارائه‌دهنده‌ی جامع‌ترین راه‌کارهای پرداخت در کشور است که می‌تواند تمامی ابزارها و راهکارهایی که برای ساخت بسته‌های گوناگون امنیتی و احراز هویتی کسب‌وکارها کاربرد دارند را در اختیار ایشان قرار دهد.