بخشی از مقاله
افزایش امنیت در پرداخت های الکترونیکی با استفاده از مزایای رمز های یکبار مصرف
خلاصه
با پیشرفت روز افزون فناوری اطلاعات و ورود همه جانبه این حوزه از دانش به زندگی بشری، بی شک استفاده نکردن از مزایای بیکران آن باعث متحمل شدن خسارت های مالی و زمانی فراوانی می شود. مثلا در حوزه پرداخت می توان از مزایای پرداخت الکترونیک مانند سرعت و دقت استفاده کرد و در حوزه پردازش و نگهداری اطلاعات از مزایای رایانش ابری مانند انعطاف در تطبیق پذیری بالا استفاده کرد. در هر دو زمینه ذکر شده حفظ امنیت و محرمانگی اطلاعات کاربر از هر جنبه ای یکی از دغدغه های اصلی صاحب داده به حساب می آید. اگر چه امنیت به خودی خود در این فضا وجود ندارد اما می توان با راه کار های مناسبی آن را بوجود آورد و از مزایای فناوری اطلاعات برای هر چه بیشتر در دسترس قرار دادن این امنیت و بوجود آوردن حس راحتی استفاده کرد.
کلمات کلیدی: سیستم پرداخت الکترونیک (EPS)، تجارت الکترونیک، امنیت، رمز نگاری، محرمانگی، رمزنگاری یک بـار مصرف، تایید دو مرحله ای((TSW
.1 مقدمه
در دنیای امروزی استفاده از مزایای فناوری اطلاعات 2(IT ) برای انجام امور روزمره به امری اجتناب ناپذیر تبدیل شده. به عنوان مثال استفاده از تجارت الکترونیک 3(EC) یکی از راه کار هایی است که در بستر فناوری اطلاعات معنا پیدا می کند. زمانی که فرآیند انتخاب محصول و خرید به صورت الکترونیکی انجام می شود باید تا حد امکان سایر فرآیند ها هم الکترونیکی شود. در همین راستا استفاده از سیستم های پرداخت 4(EPS) الکترونیک توصیه می شود. به طور کلی تجارت الکترونیک بر اساس سیستم های پرداخت الکترونیک شکل می گیرد. به این دلیل که EC ترکیب اصلی از عملکرد تجارت الکترونیک بسیاری از شرکت ها را تشکیل می دهد. پرداخت الکترونیک به یکی از اساسی ترین جنبه ها برای تجارت موفق و خدمات مالی تبدیل شده است و در واقع سیستم های پرداخت بخش اساسی زیر ساخت های اقتصادی و مالی یک کشور هستند. عملکرد خوب آنها در انتقال امن و به موقع وجوه، مهمترین اثر آنها در عملکرد کلی نظام اقتصادی یک کشور می باشد .[1] تکنیک های پرداخت الکترونیک در مقایسه با روش های قدیمی چند ویژگی مطلوب دارند که شامل امنیت، مقیاس پذیری، اطمینان، گمنامی، محرمانگی، قابلیت پذیری و کارایی و راحتی می باشد. اما همین سیستم ها در زمینه تجارت الکترونیک می توانند ریسک های جدیدی را برای مشتریان بوجود بیاورند که از آن جمله اعتماد و
مسائل امنیتی در این سیستم ها است که در مبادلاتی که بین افراد در اینترنت صورت می گیرد.[2] بنابراین یکی از عامل های اصلی در موفقیت ESP ها مسئله ی امنیت می باشد که در محیط EC می تواند بدون هرگونه تماس انسانی قبلی یا روابط میان فردی شکل بگیرد.[3] برای دستیابی به این امنیت می توان از انواع روش های رمز نگاری1 و خط مشی های امنیتی 2 (SP) استفاده کرد. یکی از روش های SP که برای احراز هویت ابتدایی 3 (PA) بکار گرفته می شود، استفاده از تایید دو مرحله ای4 می باشد. این روش دارای مزیت هایی است که از آن جمله می توان به یکبار مصرف بودن کد ها ورود تولید شده اشاره کرد.[4]
.2 سیستم های پرداخت الکترونیک
سیستم های پرداخت الکترونیکی عبارتند از ارسال پرداخت ها برروی یک شبکه عمومی برای به دست آوردن کالا (الکترونیکی و یا فیزیکی) و خدمات. همانطور که می دانیم، پرداخت از طریق شبکه ها به خصوص اینترنت امنیت بالایی می طلبد، زیرا ارسال داده ها و اطلاعات مالی از قبیل، شماره کارت اعتباری، شماره حساب، ارسال اطلاعات محرمانه مالی، ارسال کد رمز و کلمه عبور و هزاران اطلاعات محرمانه دیگر نگرانی های زیادی به دنبال میآورد و این خود دلیل موجهی برای اهمیت بالای روش های ایجاد امنیت و انواع مختلف سیستم های پرداخت امن است .[5]
همچنین سیستمهای پرداخت الکترونیکی به سیستم هایی اطلاق میشوند که امکان پرداخت بهای کالاها و خدمات را از طریق روشهای الکترونیکی فراهم میکنند. پرداختهای الکترونیکی میتوانند تحت شرایط متنوعی انجام پذیرند. به عنوان مثال، پرداخت بهای کالاها در یک فروشگاه خرده فروشی، خرید برخط یک آلبوم موسیقی، پرداخت بهای قبوض خدماتی، همگی تنها مثالهایی از شرایط مختلف هستند که در آنها عمل پرداخت انجام میشود. با توجه به شرایط متنوع موجود برای پرداختهای الکترونیکی، روشهای مختلفی برای ارائه سرویسهای پرداخت الکترونیکی مطرح شده است. این راه حل های متفاوت را میتوان بر اساس معیارهای گوناگون دسته بندی نمود. در ادامه چند نمونه متداول از این دسته بندی ها مورد بررسی قرار خواهند گرفت.[7] [6]
.2.1 دسته بندی بر اساس مکان پرداخت
در این دسته بندی، پرداختهای الکترونیکی به دو دسته پرداختهای حضوری و پرداختهای غیرحضوری تقسیم میشوند:[5] الف: پرداختهای حضوری: در پرداختهای حضوری، شخص خریدار به صورت حضوری مبلغ کالا یا خدمات مورد نظر را
پرداخت میکند. به عنوان مثال، پرداخت با کارت اعتباری در فروشگاه ها نمونه ای از این نوع پرداخت محسوب میشود. ب: پرداختهای غیرحضوری: پرداخت های غیرحضوری مستقل از مکان خریدار بوده و در آنها، شخص خریدار در محل
عرضه کالا یا خدمات حضور فیزیکی ندارد. در پرداختهای غیرحضوری، خریدار از طریق یک کانال ارتباطی الکترونیکی، بهای کالا یا خدمات مورد نظر خود را پرداخت میکند. به عنوان مثال، خرید کالا از طریق درگاه های پرداخت اینترنتی را میتوان نمونه ای از این نوع پرداخت به حساب آورد.
.2.2 دسته بندی بر اساس مبلغ پرداخت
در این دسته بندی، پرداختهای الکترونیکی به دو دسته پرداخت های خرد و پرداخت های غیرخرد تقسیم می شوند:[5]
الف: پرداختهای خرد: در این پرداختها، مبلغ مورد انتقال کم بوده و معمولا نرخ تراکنش ها بالاست. از نمونه پرداختهای خرد میتوان به پرداخت عوارض بزرگراه ها، خرید بلیط اتوبوس یا مترو، پرداخت در پارکینگها و موارد مشابه اشاره نمود.
ب: پرداخت های غیرخرد: مبلغ مورد انتقال در این پرداختها بالاتر می باشد، به همین دلیل در این نوع پرداخت ها معمولا سازوکارهای امنیتی قوی تری نسبت به پرداختهای خرد مورد نیاز است.
.2.3 دسته بندی بر اساس زمان پرداخت
در این دسته بندی، پرداخت های الکترونیکی به سه دسته پیش پرداخت، پس پرداخت و پرداخت فوری تقسیم می شوند:[5]
الف: روش پیش پرداخت: در این شیوه، خریدار قبل از دریافت کالا یا خدمات، بهای آن را پرداخت میکند. به عنوان مثال از این شیوه، می توان به کارت های مدت دار مترو اشاره نمود.
ب: روش پس پرداخت: در این شیوه، خریدار پس از خرید بهای آن را می پردازد. خرید کالاها با استفاده از کارتهای اعتباری نمونه ای از این شیوه میباشد.
پ: روش پرداخت فوری: در این شیوه، پرداخت در همان زمان عمل خرید انجام میشود. به عنوان مثال از این شیوه میتوان به پرداخت بهای کالاها با کارت های نقدی اشاره نمود. باید توجه داشت که در هر یک از روشهای فوق، واریز وجه به حساب فروشنده ممکن است در عملیات پایان روز و یا به صورت آنی انجام شود. با ترکیب های مختلف از دسته بندی های فوق، میتوان شرایط متنوعی را برای انواع پرداخت های الکترونیکی تصور کرد.
.3 ویژگی های سیستم های پرداخت الکترونیک
در زمینه سیستم های پرداخت الکترونیک عوامل متعددی در موفقیت یا عدم موفقیت نقش دارند. اما تمامی آنها به ماهیت فنی سیستم های پرداخت مرتبط نیستند. علاوه بر این قابل قبول بودن این سیستم ها از دید کاربر به عوامل و موضوعات زیادی بستگی دارد که از آن جمله می توان به نحوه انتخاب مشتری، تبلیغات، شرایط بازار، الویت ها اشاره کرد. البته شایان ذکر است که تمام مسائل ذکر شده همچنین شیوه های تبادل در سیستم های پرداخت الکترونیک مد نظر قرار داده شده است .[8] مواردی که در ادامه ذکر می شود از نظر کاربر بسیار مهم بوده و با آنها در ارتباط است همچنین این ویژگی ها برای ارزیابی سیستم های پرداخت مورد استفاده قرار می گیرند.
.3.1 گمنامی
این ویژگی تعیین کننده خواسته های کاربر مبنی بر حفظ اطلاعات شخصی و خصوصی و هویت وی می باشد.[9] گمنامی به این مسئله اشاره دارد که امکان کشف و افشای هویت هیچ فردی وجود نداشته باشد. این مهم زمانی اهمیت پیدا می کند که هزینه ی انجام معامله به اندازه ای نیست که ارزش آن را داشته باشد تا تمام مشخصات و اطلات فردی را درخواست کنیم و در تراکنش جابجا کنیم. بنابراین متوجه این موضوع می شویم که کاربران تمایل زیادی به حفظ امور محرمانه، هویت و اطاعات شخصی خود دارند. از این رو گمنامی زمانی اهمیت پیدا می کند که هزینه ردیابی یک معامله بیشتر از ارزش اطلاعاتی باشد که می توان با انجام آن بدست آورد.[10]
.3.2 امنیت
مهمترین موردی که می توان در حوزه سیستم های پرداخت الکترونیک به کرات آن را مورد بررسی و بحث قرار داد امنیت است.[11] به دلیل آنکه اینترنت یک شبکه باز است و هیچ گونه کنترلی بر روی آن صورت نمی گیرد، ضرورت دارد
تا زیر ساخت ها و عوامل پشتیبانی آن به ویژه سیستم های پرداخت موجود در آن از مقاومت و مصونیت کافی در برابر حملات اینترنتی برخوردار باشند. موضوع امنیت از دو دید می تواند مورد بررسی قرار گیرد. اول آنکه کابران ترجیح می دهند در زمان پرداخت های آنلاین پولشان در امان باشد و از سوی دیگر بانک ها و موسسات خصوصی و دولتی در زمینه پرداخت، نسبت به موقعیت خود در قبال حفظ وجوه خود و مسائل مالی و اطلاعات شخصی افراد حساس هستند.[10] بر همین اساس در بخش 4.1 مدلی ارائه می شود که بر اساس آن این امنیت به مقدار قابل توجهی افزایش می یابد.
.3.3 قابلیت ردگیری
این ویژگی مشخص می کند که چگونه می توان در جریان یک پرداخت الکترونیکی و خرید آنلاین، گردش پول و منابع پرداخت شده را به طور ویژه در مورد فعالیت های قانونی ردگیری و پیگیری کرد.[12] در سیستم های پرداخت الکترونیک، به وسیله ثبت فرآیند خرید و اطلاعات خریدار می توان منبع پول را مشخص کرد. برای مثال پرداخت هایی که توسط کارت های بانکی صورت می گیرند را می توان توان توسط اطلاعات بانک ها و شرکت های کارت های اعتباری پیگیری و رد گیری کرد همچنین می توان موارد مورد استفاده ی پول پرداختی را تشخیص داد و مبدأ پرداخت موجود را معین کرد.[13]
.3.4 اطمینان
امنیت درجه ای از اعتماد مشتری است که بر اساس آن پول و اطاعات شخصی وی در امنیت کامل به سر ببرد و تماس بخش های فعال در این زمینه بر خلاف منافع وی عکل نکند. از دیدگاه نحوی استفاده از سیستم پرداخت، کابران نیاز مند اطمینان از این مسأله هستند که تمامی فرآیند پرداخت آنها به شیوه ی مطمئنی صورت می گیرد. از طرف دیگر یکی از موارد ضروری در امر اطمینان این است که سایر بخش هایی که سیستم پرداخت را قبول کرده اند به سیستم پرداختی که توسط افراد مختلف استفاده می گردد اطمینان داشته باشند. در حقیقت بر اساس همین جو اعتماد است که سیستم های پرداخت قادر به تعامل با یکدیگر و انجام فعایلت های تجاری می باشند.[14]
.4 تایید دو مرحله ای
تایید دو مرحله ای یک ویژگی امنیتی اضافی برای برای اکانت ها و حساب های کاربری است که از ورود هر کسی به حساب کاربری حتی با داشتن رمز عبور جلوگیری می کند. در این روش پس از وارد کردن رمز عبور به صورت صحیح، رمز یک بار مصرفی تولید می شود و از طریق راه های ارتباطی که از قبل بین کارگزار و کاربر مشخص شده ، برای کاربر فرستاده می شود .[4] به عنوان مثال از طریق شماره موبایل برای کاربر فرستاده می شود. سپس کاربر با برگشت دادن این رمز یکبار مصرف به کارگزار می تواند وارد حساب کاربری خود شود. به این ترتیب اگر شخصی حتی رمز عبور کاربر را داشته باشد نمی تواند وارد حساب کاربری شود. این روش کاربر را مجبور می کند تا به یکی از روش های زیر ورود خود را تایید کند:
✓ برگشت رمز یکبار مصرف فرستاده شده به ایمیل از قبل تعریف شده برای کارگزار
✓ برگشت رمز یکبار مصرف فرستاده شده به شماره موبایل از قبل تعریف شده برای کارگزار
✓ برگشت رمز یکبار مصرف تولید شده توسط نرم افزار Code Generator، تعریف شده در موبایل کاربر و همگام1 شده با کارگزار
✓ برگشت رمز یکبار مصرف از قبل تولید شده توسط کارگزار و در اختیار کاربر گذاشته شده
