شنبه 27 مهر 1398 - ساعت: 12:06
8
7

الان که این پست رو دارم می‌نویسم، بانک‌ها دارن تبلیغ گسترده می‌کنند که مردم بیاید از رمز عبور یکبار مصرف استفاده کنید. اینطوری حساب بانکی شما رو نمی‌تونن هک کنند. (!!!) ولی این اشتباهه. کاملاً اشتباهه. امنیت رو بالاتر میبره، ولی باز هم میشه هکش کرد. اتفاقاً بدتر از قبل هم میشه هک کرد! تنها فایده‌ای که رمز عبور پویا داره برای رمز اول کارت هست. نه رمز دوم. برای رمز دوم تنها باعث دردسر شده و دزدها هم راحت‌تر میتونن حساب بانکیمون رو خالی کنن.


باور نمی‌کنید؟ می‌خواید من یه درگاه بانک تقلبی بسازم که با همون رمز عبور یک بار مصرف شما هم بتونم حساب بانکی‌تون رو خالی کنم؟ تازه رمز عبور یکبار مصرف هم براتون پیامک هم میکنه اگه بخواید.

متاسفانه بانک‌ها حمایت درستی نمیکنن از طرح‌ها و ایده‌هایی که حساب بانکی رو کسی نتونه خالی کنه و امنیت رو بالا ببره. من چند سال پیش هم ایده‌هایی داشتم برای افزایش امنیت بانک‌ها. حمایتی نمیکنن. وگرنه اینقدر امنیت و سرعت بالا میرفت که همه می‌تونستیم بدون اینکه مشکلی پیش بیاد، تراکنش بزنیم.

باز هم میگم. شاید فکر کنید که با رمز عبور یک بار مصرف (رمز پویا) حتی اگه درگاه بانکی تقلبی باشه، کسی نمیتونه حساب بانکی شما رو هک کنه و حسابتون رو خالی کنه. اصلاً اینطور نیست. مگر اینکه بانک‌ها از یه روش امن استفاده کنند. که فعلاً هیچ کدوم از بانک ها این امنیت رو رعایت نکردن و واقعاً رمز عبور یکبار مصرف (پویا) بدون استفاده هست الان.

من تلاشمو میکنم که این روش امن رو به بانک‌ها معرفی کنم. اگر حمایت کنند که انشاالله ارائه میدیم و دیگه خیالمون راحته.

رمز عبور یکبار مصرف (پویا) به نظر من باعث شده دزدها خیلی راحت‌تر حساب مردم رو خالی کنن. چون مردم فکر میکنن دیگه امنه همه چی، پس به تقلبی بودن یا نبودن درگاه بانکیه توجه زیادی نمیکنن!

 

مشکلات رمز عبور پویا:

رمز پویا از نظر سناریوی انجام کار کاملاً اشتباه هست. واقعاً آیا قبل از انجام این کار چقدر فکر کارشناسی شده؟ حتی بعد از انجام کار هم تصمیماتی که میگیرن، کارشناسی هست؟ چند تا نمونه از مشکلاتی که هست رو میگم. اینا تجربه کاربری خودمه.

این 4 مورد زیر که نوشتم برای زمانی هست که رمز عبور پویا برای رمز عبور اول کارت فعال کردیم. بالاخره میتونن کارتمون رو کپی کنن. پس برای امنیت بیشتر کارتمون باید رمز پویا رو فعال کنیم. (برای رمز اول 4 رقمی)

 

1- استفاده از USSD (رمز عبور اول یکبار مصرف):

دوستانی که از کدهای USSD استفاده می‌کنند، (همون ستاره مربع‌ها) مطمئناً از این روش دیگه نمی‌تونن استفاده کنن. چون صفحه‌اش رو ببندن که رمز رو ببینن، کنسل میشه و باید از اول انجام بدن. پس آیا کلاً USSD رو کنسل میکنن؟

 

2- راهنمایی رانندگی و اینطور مراکزا (رمز عبور اول یکبار مصرف):

من یه بار رفته بودم که ماشینمو از پارکینگ بیارم بیرون، مجوز راهنمایی رانندگی می‌خواست. رفتم راهنمایی رانندگی. همون اول که گوشی‌ها و لپ تاپ و … رو گرفتن که بتونیم بریم داخل. (دلیلشون که گوشی‌ها رو میگیرن واقعاً چیه؟ مگه جای امنیتی‌ای هست؟!!! جان من بگید چرا واقعاً گوشی رو میگیرن؟)

بعد که وارد شدم، باید همونجا پرینت خلافی رو میگرفتم که ببینم خلافی چقدر داشتم. دو سه جا هم باید پول پرداخت می‌کردم. خب همشون هم با کارت بود. الان به من بگید رمز عبور من وقتی پویا هست، چطوری میتونم توی اینطور جاها پرداخت انجام بدم؟ اصلاً فکر اینجا رو کردن؟

مثلاً اگه دادگاهی، کلانتری‌ای جایی که وارد میشیم و نیاز به کپی مدارک و … داریم که پرداخت کنیم، چکار کنیم؟ پیامک میاد رو گوشی که اونم جلو در ورودی گرفتن!

 

3- تعویض کارت بانکی (رمز عبور اول یکبار مصرف):

امروز رفتم کارت بانک ملتمو تعویض کنم. منقضی شده بود. رفتم 53 نفر توی صف بودن. منتظر موندم تا نوبتم بشه. رفتم کارت جدید گرفتم. بهشون گفتم رمز عبور من پویا هست. مشکلی که پیش نمیاد؟ گفت نه. برو استفاده کن.

رفتم بیرون. بعد از چند ساعت که رفتم خرید و استفاده کنم از کارتم، کارت کشیدم و خواستم رمز پویا رو بگیرم از اپلیکیشن رمز نگار بانک ملت، بهم خطا داد که کارت معتبر نمی‌باشد!. چون تاریخ انقضای کارت جدید با قبلیه فرق میکنه (شماره کارت یکی بود)!!!

زنگ زدم به پشتیبانی بانک (دفتر مرکزی بانک ملت) که مشکلم رو حل کنن. اینم مکالمه ما:

من: سلام. من امروز کارت جدید گرفتم، ولی وقتی می‌خوام رمز عبور یکبار مصرف بگیرم، میگه کارت معتبر نیست.

پشتیبان: شماره کارتتون رو بدید که بررسی کنیم.

من: شماره کارت دادم.

پشتیبان: باید دوباره برای این کارتتون اطلاعات رمز پویا رو از ATM بگیرید.

من: خب رمز اول من هم یکبار مصرف هست و نمی‌تونم از ATM استفاده کنم. چون رمز رو به من نمیده اپلیکیشن رمزنگار شما.

پشتیبان: شما باید برید بانک و یه کارت جدید بگیرید و بگید که یه شماره کارت جدید بهتون بدن.

من: خب من باید این همه دوباره توی صف وایستم و برم کارت جدید بگیرم و اینکه توی خیلی از سایت‌ها که کارتم رو ثبت کردم برم دوباره همه این کارها رو انجام بدم؟

پشتیبان: آره.

من: خب شما نمیتونید رمز پویا رو حذف کنید که برم دوباره بگیرم؟

پشتیبان: نه متاسفانه. خب شما نباید رمز اولتون رو پویا انتخاب میکردید.

من: خب این امکانی هست که گذاشتین و اینکه برای امنیت باید استفاده کنیم دیگه.

پشتیبان: آره. برای امنیت بیشتره. ولی خب وقتی که میخواستید برید بانک و کارتتون رو عوض کنید، باید رمز پویاتون رو غیرفعال می‌کردین.

من: خب من وقتی کارتم غیرفعال شده، چطور می‌تونستم رمز پویا رو غیرفعال کنم؟

پشتیبان: خب پس باید برید بانک و یه کارت با شماره جدید بگیرید.

من: اوکی. ممنون. خدانگهدار

 

4- جای شلوغ (رمز عبور اول یکبار مصرف):

خب فرض کنید من رفتم یه فروشگاه بزرگ یا پمپ بنزین و … رفتم که خریدمو حساب کنم و بیام بیرون. باید توی صف برم جلو تا نوبتم بشه، و نوبتم که شد، باید کارت رو بدم که فروشنده بکشه، از من رمز میخواد که باید گوشی رو در بیارم از جیبم و رمز اپلیکیشن رو بزنم، که بتونم رمز جدید برام تولید بشه. اونایی که اپ‌هاشون از اینترنت باید استفاده کنه (مثل همین رمزنگار ملت) اول که باید اینترنتشون فعال باشه، اپ رو باز کنن، رمز رو بزنن، وارد بشن، کلیک کنن که رمز براشون تولید بشه. اصلاً بگیم 20 ثانیه طول بکشه. خب این 20 ثانیه فاجعه هست. این همه مردم توی صف منتظر بمونن که من پرداخت کنم. تازه اگه اینترنت کند نباشه و … .

اینطوری که فقط دردسر میشه برای مردم و … .

نظرات دیگران (8)
سلام امین جان،
درسته که رمز پویا باز هم روش خوب و محکمی برای جلوگیری از فیشینگ نیست
اما حداقلش اینه که جلوی یه اسکریپت فیشینگ که یه آدم تازه وارد نوشته رو میگیره!
اگر طرف خیلی حرفه ای باشه که میتونه درخواست کسی که وارد درگاه جعلی شده رو هدایت کنه به درگاه اصلی و تمام پرداخت و عملیات رو تغیر بده و در نهایت دزدی خودش رو بکنه!
Saeed Ghorbani
پنجشنبه 23 مرداد 1399 - ساعت: 23:52
پاسخ
این الان چه ربطی به رمز عبور یکبار مصرف داشت؟! شما همه خریداتون رو دارید حضوری با کارت میزنید نه آنلاین ! رمز یکبار مصرف برای خریدهای آنلاین در نظر گرفته شده ! اولش میگید میخواید یه درگاه بزنم کارتتون رو هک کنم؟ :))) بله امن نیست ولی تا زمانی که کاربر خودش ناامنش کنه.حداقل دیگه فیشینگرای متوهم نمیتونن کاری کنن :) میخواید امتحان کنیم؟ شما یه درگاه تقلبی بزن من بیام خرید کنم ! وقتی گزینه درخواست رمز درگاهتون کار نکنه طبیعتا منم نمیرم از اپلیکیشن درخواست رمز بزنم ! پس همونطور که گفتم مشکل از نااگاهیه کاربره اگه رمز تولید کنه و رمزو ارسال کنه :) و نکته دیگه اینکه چک کردن خود درگاهه من جمله گواهیه ssl که بانک ها اطلاعاتشون کاملا نوشته شده و همه باهم همسان هستن و ۹۹.۹ درصد میتونم بگم کسی نمیتونه همچین گواهی رو دوباره بگیره :)
unknown
دوشنبه 25 فروردین 1399 - ساعت: 14:52
پاسخ
اتفاقاً همه این کارهایی هم که میگید میشه انجام داد.
همون دکمه ارسال رمز عبور هم میتونم کاری کنم که براتون ارسال بشه. (دکمه درخواست رمز عبور هم کار میکنه)
خیالتون راحت.

بعد هم شما همه مردم رو جای خودت نزار. شما اینا رو بلدید.
مردم عادی و اکثر مردم اینا رو میدونن؟

اگه مردم این چیزا رو بلد بودن که اصلاً رمز یکبار مصرف نیاز نبود. :-)
امین بهرامی
دوشنبه 25 فروردین 1399 - ساعت: 14:56
در پاسخ به #386
پاسخ
فرک نمیکنی داری بعضی واقعیت ها رو نمیگی و بیشتر داستان سرائی هست تا واقعیت ؟
وقتی رفتی کارت جدید گرفتی همون داخل شعبه مجبوری رمز کارت جدید رو از اول تنظیم کنی چون کارت جدید گرفتی. درسته ؟
و هر ادم عاقلی میدونه که باید تو اپ دوباره کارت جدید رو رجیستر کنه
البته من هم با شما موافقم امنیت و ایجاد راهکار امن برای کاربر ایرانی خیلی چیز عجیبی هست و نباید تو ایران انجام بشه ما ایرانی ها همیشه راحترین کار رو انجام میدیم و اگر هم حسابمون خالی بشه به همه فحش میدیم که امنیت نداریم .
مجید
دوشنبه 14 بهمن 1398 - ساعت: 15:51
پاسخ
به جان خودم عیناً واقعیت رو گفتم
اتفاقاً امروز هم بانک ملی بودم. خود کارمند بانکه هم میگفت خودمم فعال نکردم این رمز پویا رو. دردسر داره و ... .

بانک ملت هم که نوشتم دقیقاً عین واقعیت بود.
بعدشم رمز کارت و ... روی کارت ذخیره نمیشه که وقتی کارت جدید میگیریم بریم عوضش کنیم. سمت سرور بانک ذخیره میشه.

کارت جدید که گرفتم همون شماره کارت قبلیم بود. (جدیداً همه بانک‌ها همین کارو میکنن و همون شماره قبلی رو بهمون میدن. ولی با کارت جدید)
بهشون گفتم رمز کارتم چیه. گفت همون قبلیه. من گفتم رمزم پویا هست. اونم گفت فرقی نمیکنه.
باور نمیکنی خودت فردا برو بانک ملت همین کارو کن (البته اگه کارت ملت منقضی شده داری)
امین بهرامی
دوشنبه 14 بهمن 1398 - ساعت: 21:02
در پاسخ به #379
پاسخ
سلام
لطفاً در مورد این طرح جدید زود قضاوت نکنید! .. انقدر امنیتش بالاست که خود مشتریها و کاربران هم نمیتونن ازش استفاده کنن!
احمد جان
دوشنبه 23 دی 1398 - ساعت: 13:12
پاسخ
😃😃😃😃
امین بهرامی
دوشنبه 23 دی 1398 - ساعت: 13:16
در پاسخ به #375
پاسخ
انشاءالله تو کارت موفق بشی !
محمد صادق تقی زاده
دوشنبه 2 دی 1398 - ساعت: 15:57
پاسخ
تو هم اگر حرفی داری بزن
ایمیلت منتشر نمیشه، فقط برای داشتن اطلاعات بیشتره
پاسخ به
#
#