پیامک آسان‌ترین روش دریافت رمز دوم پویا

پیامک آسان‌ترین روش دریافت رمز دوم پویا

بانک مرکزی برای تسهیل در فرایند دریافت رمز دوم پویا سامانه هریم را راه‌اندازی کرده است که براساس آن مشتریان به جای نصب اپلیکیشن‌های هر بانک، از سامانه پیامکی بانک‌ها استفاده کنند.

تهران – اقتصادبرتر – ۲۵ آذر ۹۸

به گزارش #اقتصادبرتر به نقل از روابط عمومی بانک مرکزی، به اطلاع هموطنان عزیز می‌رساند طی اعلام قبلی، از ابتدای دی‌ماه، انجام پرداخت و خریدهای اینترنتی با رمز دوم فعلی امکان پذیر نمی‌باشد.

لذا مشتریان محترم بانکی چنانچه تاکنون نسبت به فعال‌سازی «رمز دوم پویا» اقدام نکرده‌اند، هرچه سریعتر با مراجعه به شعب یا وب‌سایت بانک و یا طی ارتباط با مرکز تماس بانک خود، اقدامات لازم را انجام دهند.

شایان ذکر است بانک‌ها بر اساس درخواست مشتریان، رمز دوم یکبار مصرف (پویا) را به شماره تلفن همراه ایشان از طریق پیامک ارسال می‌کنند. برای بهره‌مندی از این خدمت، مشتریان بانکی صرفا شماره تلفن همراه خود را به بانک اعلام نمایند.

رمز یک‌بارمصرف با پیامک سامانه «هریم» بانک مرکزی

طرح رمز دوم یکبار مصرف از ابتدای دی ماه اجرایی می‌شود اما با مهلت ویژه فعالیت سامانه هریم برای ارسال پیامکی رمز پویا از ۱۵ دی ماه آغاز خواهد شد.

 چند روزی بیشتر به اجرای طرح استفاده اجباری از رمز دوم پویا باقی نمانده است. با این حال این طرح با تمام جنبه‌های مثبت خود، نواقص بسیاری به همراه دارد. دو مورد از نقص‌های مهم این طرح:
۱٫ تعدد برنامه‌های معرفی شده از سوی بانک‌های مختلف و مردمی که باید چند برنامه برای یک امر واحد نصب کنند.
۲٫ عدم کاربری آسان برنامه‌های تولیدی و به دوش کشیدن بسیاری از بارهای تبلیغاتی و سایر جنبه‌های بانکداری و درآمدزایی بانک ها توسط این برنامه‌ها! به نظر می‌رسد تا قبل از ابلاغ اجرای این طرح به بانک‌ها، بانک مرکزی و وزارت ارتباطات باید نسبت به حل این دو مشکل چاره اندیشی کنند!
برای مثال: طراحی یک application واحد برای تمام بانک‌ها و موسسات مالی و اعتباری، برنامه‌ای مثل google authenticat که در عین سادگی و کارآمدی، دقیقا عمل تولید تولید رمز پویا که به twostep verification معروف است، انجام می‌دهد. البته با گشتی در سایت‌هایی مثل بازار و مایکت ، برنامه‌هایی برای این امر کم و بیش وجود دارد، ولی با توجه به حساسیت موضوع، بهتر است توسط نهادهای بالا دستی اقدامی صورت گیرد، همیشه اعتماد به شرکت‌های ثانویه و وابسته اولویت اول نیست!

 اولا با توجه به تفاوت‌های فنی بین کدهای اطلاعاتی بانک‌ها یکپارچه کردن همه اطلاعات در قالب اپلیکیشن واحد بسیار زمان بر است.
دوما، بانک مرکزی برای حل این مساله، به جای طراحی application واحد، سامانه حریم را در دست راه‌اندازی دارد که براساس آن مشتری بدون نیاز به نصب برنامه رمز دوم پویا، می‌تواند با مراجعه به بانک و ارائه درخواست استفاده از سامانه پیامکی، از این روش استفاده کند.
در واقع با این اقدام هدف اصلی که تسهیل در فرایند دریافت رمز دوم پویا است، محقق خواهد شد.

همچنین با راه‌اندازی سامانه هریم شناسایی سایت‌های جعلی تسهیل می‌شود؛ زیرا در این روند هر درگاه پرداختی که به آیکونی برای درخواست ارسال رمز یک‌بار مصرف واقعی مجهز باشد قطعاً صفحه پرداخت اصلی بوده و صفحات پرداخت جعلی اصولاً امکان دسترسی به سامانه هریم را ندارند. البته اگر یک درگاه پرداخت غیرحضوری جعلی نیز آیکون هریم بانک مرکزی را شبیه‌سازی کند هنگامی که کاربر با فشردن آن آیکون و دکمه رمز یک‌بارمصرف خود را دریافت نکند، امکان سوءاستفاده توسط درگاه جعلی منتفی است. کارشناسان معتقدند، یکی از بحث‌هایی که در خصوص امنیت ارسال رمز دوم یک‌بارمصرف در قالب پیامک عنوان می‌شود این است که در الزامات بانک مرکزی به بانک‌ها توصیه‌شده رمز یک‌بارمصرف را به کد پذیرنده و مبلغ تراکنش لینک کنند تا رمز یک‌بارمصرفی که بدین شکل و به‌صورت پویا تولید می‌شود تنها برای یک مبلغ و استفاده از یک پذیرنده خاص کاربرد داشته باشد تا در صورت هک قابل‌استفاده در بقیه موارد نباشد که نکته درستی است و حسب شنیده‌ها بانک مرکزی هم قصد دارد بعد از اجرای اولیه این طرح در گام دوم این مهم را برای تمام بانک‌ها الزام کند؛ اما آنچه در اجرای اولیه بسیار مهم است و برخی منتقدان بدون توجه به این موضوع طرح را نقد کرده‌اند این است که تغییر رقم تراکنش در ارسال رمز پویا از کانال پیامک تنها در صورتی رخ می‌دهد که درگاه پرداخت جعلی باشد؛ درصورتی‌که با توجه به توضیحات قبلی در این یادداشت، با راه‌اندازی سامانه هریم بعد از اجرای این طرح تمام درگاه‌های پرداخت غیرحضوری اصلی به آیکون درخواست رمز دوم یک‌بارمصرف مجهز می‌شوند و درصورتی‌که صفحه پرداخت واقعی نباشد این آیکون کار نمی‌کند و کاربران متوجه خواهند شد که در یک سایت جعلی قرار دارند و در سایت اصلی نیز اگر مبلغ تراکنش تغییر کند این اشتباه متوجه بانک یا ارایه‌دهنده خدمت پرداخت است و به‌راحتی قابل‌پیگیری و بازگشت وجه را در پی دارد و به‌مثابه فیشینگ نیست؛ ازاین‌رو در همین مقطع نیز با راه‌اندازی سامانه هریم و افزوده شدن آیکون درخواست ارسال رمز یک‌بارمصرف شناسایی درگاه‌های جعلی بسیار آسان‌تر از قبل شده است.

افزون بر این، البته این امر بانک مرکزی را از الزام لینک کردن کد پذیرنده و مبلغ هر تراکنش به رمز یک‌بارمصرف و ایجاد رمز پویا در گام بعدی بازنمی‌دارد؛ اما در شرایط حساس فعلی اجرای این طرح جلوی بسیاری از فیشینگ‌ها و سرقت اطلاعات بانکی را گرفته و در مرحله بعد با تکمیل‌تر شدن این روند شاهد کاهش شدید فیشینگ و سرقت اطلاعات کارت‌های بانکی خواهیم بود. در انتها یادآوری می‌شود افرادی که از برنامک رمز ساز استفاده می‌کنند نیازی به فشردن کلید دریافت رمز یک‌بارمصرف نخواهند داشت و مستقیماً می‌توانند رمز دریافتی از برنامک خود را وارد کرده و تراکنش را انجام دهند. در این حالت کاربران باید مراقبت کنند که به دام صفحات پرداخت جعلی نیفتند چرا که رمز مزبور طی طول عمر ۱۲۰ ثانیه‌ای خود ممکن است یک‌بار مورد سوءاستفاده قرار گیرد.

پاسخ دادن