رمز پویا

رمز یکبار مصرف یا رمز پویا، گذرواژه‌ای است که تنها برای یک ورود یا انجام تراکنش اعتبار دارد. رمز پویا همچنین با عنوان اوتی‌پی (به انگلیسی: OTP) شناخته می‌شود. رمزهای یکبار مصرف، بسیاری از ضعف‌های رمزهای قدیمی (رمزهای ثابت) را پوشش می‌دهد. مهم‌ترین نقصی که توسط رمز یکبار مصرف جبران می‌شود، عدم آسیب‌پذیر بودن در تکرار حملات است. با استفاده از این روش، یک مزاحم بالقوه که به نحوی موفق به دستیابی رمز یکبار مصرف می‌شود که قبلاً با آن به سرویسی دسترسی پیدا کرده‌اند یا تراکنشی انجام شده‌است، دیگر قادر نخواهد بود تا از آن سوءاستفاده کند، چرا که این رمز باطل شده‌است. خرده‌ای که به رمز یکبار مصرف گرفته می‌شود، دشواری در به خاطر سپاری آنها توسط انسان است که به همین دلیل بهره‌گیری از فناوری کمکی، در استفاده از رمز یکبار مصرف، الزامی است.

OTPها می‌توانند از طرق مختلف به کاربر ارسال شوند که مهم‌ترین آن‌ها عبارتند از:^[۱]

1. پیامک (SMS OTP): ارسال رمز از طریق پیامک به شماره تلفن همراه کاربر.
2. صوتی (Voice OTP): ارسال رمز از طریق تماس صوتی تلفنی به کاربر.
3. ایمیل (Email OTP): ارسال رمز به ایمیل کاربر.
4. کلید سخت‌افزاری (Hardware OTP): استفاده از دستگاه‌های فیزیکی که به‌طور خودکار رمزهای یکبار مصرف تولید می‌کنند. به این دستگاه‌ها اصطلاحاً رمزیاب‌های فیزیکی گفته می‌شود.
5. نرم‌افزار OTP: استفاده از اپلیکیشن‌هایی که رمزهای یکبار مصرف را به‌صورت خودکار تولید می‌کنند. به این گونه اپلیکیشن‌ها در اصطلاح برنامه رمز ساز نیز اطلاق می‌شود.

مزایای رمز پویا شامل افزایش امنیت در سیستم‌های احراز هویت و کاهش احتمال سرقت داده‌ها است. استفاده از رمز یکبار مصرف می‌تواند از کلاهبرداری‌های مانند سرقت اطلاعات به‌وسیله فیشینگ و حملات نفوذ جلوگیری کند.

رمز پویا، به ویژه رمز یکبار مصرف پیامکی (SMS OTP)، دارای معایب خاصی است که باعث کاهش امنیت آن می‌شود. یکی از مشکلات اصلی، آسیب‌پذیری در برابر حملات مختلف است که مهاجمان می‌توانند از روش‌هایی همچون جعل سیم‌کارت یا سایر حملات برای دسترسی به کدهای یکبار مصرف استفاده کنند. علاوه بر این، محدودیت‌ها و چالش‌های فنی در ارسال و دریافت پیامک‌ها نیز از مشکلات رایج در این روش به شمار می‌آید. این محدودیت‌ها ممکن است ناشی از مشکلات شبکه‌ای، اختلالات در اپراتورهای تلفن همراه یا تنظیمات نادرست سرورها باشد که باعث تأخیر یا عدم دریافت پیامک توسط کاربران می‌شود.

در حالی که روش‌های تولید رمز یکبار مصرف مانند رمز دوم پویا تا حدی می‌توانند امنیت را افزایش دهند، بهتر است از روش‌های جایگزین مانند اپلیکیشن‌های تولیدکننده رمز یا کلیدهای سخت‌افزاری استفاده کرد که امنیت بیشتری را فراهم می‌کنند. برنامه‌های رمزساز و کلیدهای سخت‌افزاری از نظر امنیتی برتری دارند و به‌طور گسترده‌ای در سیستم‌های احراز هویت چندعاملی (MFA) استفاده می‌شوند.

رمز یکبار مصرف دوم یا همان رمز دوم پویا به طرق مختلفی می‌تواند به کار رود و معمولاً در مراحل اضافی احراز هویت، مانند زمانی که کاربر از یک دستگاه جدید یا موقعیت جدید وارد می‌شود، استفاده می‌گردد. رمزهای یکبار مصرف (OTP) دوم در حوزه‌های مختلف به کار می‌روند. از جمله این موارد می‌توان به بانکداری اینترنتی، خدمات دولت الکترونیک، خدمات بهداشتی و درمانی، رسانه‌های اجتماعی، تجارت الکترونیک، سیستم‌های کارگزاری، مدیریت حساب‌های مالی و سایر سامانه‌های حساس اشاره کرد. این سیستم به‌منظور جلوگیری از دسترسی غیرمجاز و هک حساب‌ها مورد استفاده قرار می‌گیرند. به‌ویژه در سرویس‌های ابری، استفاده از رمز یکبار مصرف می‌تواند اطمینان حاصل کند که تنها کاربر مجاز به اطلاعات دسترسی پیدا می‌کند.

استفاده از رمز دوم پویا از دی‌ماه ۱۳۹۸ در هنگام خرید اینترنتی در ایران برای کارت‌های دارای مشتری (همانند کارت نقدی) و برای تراکنش‌های بالای ۱۰۰ هزار تومان، اجباری است.^[۲] استفاده از برنامه رمز ساز، یواس‌اس‌دی و پیامک، راه‌های دریافت رمز پویای کارت عنوان شده‌است.^[۳] دلیل اجباری‌شدن رمز پویا، پیشگیری از کلاهبرداری و فیشینگ اعلام شده‌است.^[۴] مدت زمان انقضای رمز دوم پویا، ۶۰ ثانیه است.^[۵]

در ایران رضا قربانی، عضو هیئت مدیره سازمان نظام صنفی رایانه‌ای استان تهران و همچنین رئیس کمیسیون فین‌تک سازمان نظام صنفی رایانه‌ای استان تهران مخالف سرسخت اجرای رمز پویا بود. وی در قسمت ۶۴ فصل ششم برنامه «چرخ» که از شبکه چهار صدا و سیمای ایران پخش می‌شود صراحتاً مخالفت خود را با اجرای رمز پویا اعلام کرد و مدعی شد که عملی کردن این طرح به هیچ عنوان مانع کاهش حملات فیشینگ نخواهد شد.^[۶]

• تصدیق هویت چندعاملی
• الگوریتم گذرواژه یکبارمصرف بر اساس زمان
• توکن امنیتی
• پد یک‌بار مصرف
• رمز ساز گوگل

• ویکی انگلیسی