رمز یکبار مصرف بانک‌ها امنیت ندارند!

الان که این پست رو دارم می‌نویسم، بانک‌ها دارن تبلیغ گسترده می‌کنند که مردم بیاید از رمز عبور یکبار مصرف استفاده کنید. اینطوری حساب بانکی شما رو نمی‌تونن هک کنند. (!!!) ولی این اشتباهه. کاملاً اشتباهه. امنیت رو بالاتر میبره، ولی باز هم میشه هکش کرد. اتفاقاً بدتر از قبل هم میشه هک کرد! تنها فایده‌ای که رمز عبور پویا داره برای رمز اول کارت هست. نه رمز دوم. برای رمز دوم تنها باعث دردسر شده و دزدها هم راحت‌تر میتونن حساب بانکیمون رو خالی کنن.

باور نمی‌کنید؟ می‌خواید من یه درگاه بانک تقلبی بسازم که با همون رمز عبور یک بار مصرف شما هم بتونم حساب بانکی‌تون رو خالی کنم؟ تازه رمز عبور یکبار مصرف هم براتون پیامک هم میکنه اگه بخواید.

متاسفانه بانک‌ها حمایت درستی نمیکنن از طرح‌ها و ایده‌هایی که حساب بانکی رو کسی نتونه خالی کنه و امنیت رو بالا ببره. من چند سال پیش هم ایده‌هایی داشتم برای افزایش امنیت بانک‌ها. حمایتی نمیکنن. وگرنه اینقدر امنیت و سرعت بالا میرفت که همه می‌تونستیم بدون اینکه مشکلی پیش بیاد، تراکنش بزنیم.

باز هم میگم. شاید فکر کنید که با رمز عبور یک بار مصرف (رمز پویا) حتی اگه درگاه بانکی تقلبی باشه، کسی نمیتونه حساب بانکی شما رو هک کنه و حسابتون رو خالی کنه. اصلاً اینطور نیست. مگر اینکه بانک‌ها از یه روش امن استفاده کنند. که فعلاً هیچ کدوم از بانک ها این امنیت رو رعایت نکردن و واقعاً رمز عبور یکبار مصرف (پویا) بدون استفاده هست الان.

من تلاشمو میکنم که این روش امن رو به بانک‌ها معرفی کنم. اگر حمایت کنند که انشاالله ارائه میدیم و دیگه خیالمون راحته.

رمز عبور یکبار مصرف (پویا) به نظر من باعث شده دزدها خیلی راحت‌تر حساب مردم رو خالی کنن. چون مردم فکر میکنن دیگه امنه همه چی، پس به تقلبی بودن یا نبودن درگاه بانکیه توجه زیادی نمیکنن!

مشکلات رمز عبور پویا:

رمز پویا از نظر سناریوی انجام کار کاملاً اشتباه هست. واقعاً آیا قبل از انجام این کار چقدر فکر کارشناسی شده؟ حتی بعد از انجام کار هم تصمیماتی که میگیرن، کارشناسی هست؟ چند تا نمونه از مشکلاتی که هست رو میگم. اینا تجربه کاربری خودمه.

این 4 مورد زیر که نوشتم برای زمانی هست که رمز عبور پویا برای رمز عبور اول کارت فعال کردیم. بالاخره میتونن کارتمون رو کپی کنن. پس برای امنیت بیشتر کارتمون باید رمز پویا رو فعال کنیم. (برای رمز اول 4 رقمی)

1- استفاده از USSD (رمز عبور اول یکبار مصرف):

دوستانی که از کدهای USSD استفاده می‌کنند، (همون ستاره مربع‌ها) مطمئناً از این روش دیگه نمی‌تونن استفاده کنن. چون صفحه‌اش رو ببندن که رمز رو ببینن، کنسل میشه و باید از اول انجام بدن. پس آیا کلاً USSD رو کنسل میکنن؟

2- راهنمایی رانندگی و اینطور مراکزا (رمز عبور اول یکبار مصرف):

من یه بار رفته بودم که ماشینمو از پارکینگ بیارم بیرون، مجوز راهنمایی رانندگی می‌خواست. رفتم راهنمایی رانندگی. همون اول که گوشی‌ها و لپ تاپ و … رو گرفتن که بتونیم بریم داخل. (دلیلشون که گوشی‌ها رو میگیرن واقعاً چیه؟ مگه جای امنیتی‌ای هست؟!!! جان من بگید چرا واقعاً گوشی رو میگیرن؟)

بعد که وارد شدم، باید همونجا پرینت خلافی رو میگرفتم که ببینم خلافی چقدر داشتم. دو سه جا هم باید پول پرداخت می‌کردم. خب همشون هم با کارت بود. الان به من بگید رمز عبور من وقتی پویا هست، چطوری میتونم توی اینطور جاها پرداخت انجام بدم؟ اصلاً فکر اینجا رو کردن؟

مثلاً اگه دادگاهی، کلانتری‌ای جایی که وارد میشیم و نیاز به کپی مدارک و … داریم که پرداخت کنیم، چکار کنیم؟ پیامک میاد رو گوشی که اونم جلو در ورودی گرفتن!

3- تعویض کارت بانکی (رمز عبور اول یکبار مصرف):

امروز رفتم کارت بانک ملتمو تعویض کنم. منقضی شده بود. رفتم 53 نفر توی صف بودن. منتظر موندم تا نوبتم بشه. رفتم کارت جدید گرفتم. بهشون گفتم رمز عبور من پویا هست. مشکلی که پیش نمیاد؟ گفت نه. برو استفاده کن.

رفتم بیرون. بعد از چند ساعت که رفتم خرید و استفاده کنم از کارتم، کارت کشیدم و خواستم رمز پویا رو بگیرم از اپلیکیشن رمز نگار بانک ملت، بهم خطا داد که کارت معتبر نمی‌باشد!. چون تاریخ انقضای کارت جدید با قبلیه فرق میکنه (شماره کارت یکی بود)!!!

زنگ زدم به پشتیبانی بانک (دفتر مرکزی بانک ملت) که مشکلم رو حل کنن. اینم مکالمه ما:

من: سلام. من امروز کارت جدید گرفتم، ولی وقتی می‌خوام رمز عبور یکبار مصرف بگیرم، میگه کارت معتبر نیست.

پشتیبان: شماره کارتتون رو بدید که بررسی کنیم.

من: شماره کارت دادم.

پشتیبان: باید دوباره برای این کارتتون اطلاعات رمز پویا رو از ATM بگیرید.

من: خب رمز اول من هم یکبار مصرف هست و نمی‌تونم از ATM استفاده کنم. چون رمز رو به من نمیده اپلیکیشن رمزنگار شما.

پشتیبان: شما باید برید بانک و یه کارت جدید بگیرید و بگید که یه شماره کارت جدید بهتون بدن.

من: خب من باید این همه دوباره توی صف وایستم و برم کارت جدید بگیرم و اینکه توی خیلی از سایت‌ها که کارتم رو ثبت کردم برم دوباره همه این کارها رو انجام بدم؟

پشتیبان: آره.

من: خب شما نمیتونید رمز پویا رو حذف کنید که برم دوباره بگیرم؟

پشتیبان: نه متاسفانه. خب شما نباید رمز اولتون رو پویا انتخاب میکردید.

من: خب این امکانی هست که گذاشتین و اینکه برای امنیت باید استفاده کنیم دیگه.

پشتیبان: آره. برای امنیت بیشتره. ولی خب وقتی که میخواستید برید بانک و کارتتون رو عوض کنید، باید رمز پویاتون رو غیرفعال می‌کردین.

من: خب من وقتی کارتم غیرفعال شده، چطور می‌تونستم رمز پویا رو غیرفعال کنم؟

پشتیبان: خب پس باید برید بانک و یه کارت با شماره جدید بگیرید.

من: اوکی. ممنون. خدانگهدار

4- جای شلوغ (رمز عبور اول یکبار مصرف):

خب فرض کنید من رفتم یه فروشگاه بزرگ یا پمپ بنزین و … رفتم که خریدمو حساب کنم و بیام بیرون. باید توی صف برم جلو تا نوبتم بشه، و نوبتم که شد، باید کارت رو بدم که فروشنده بکشه، از من رمز میخواد که باید گوشی رو در بیارم از جیبم و رمز اپلیکیشن رو بزنم، که بتونم رمز جدید برام تولید بشه. اونایی که اپ‌هاشون از اینترنت باید استفاده کنه (مثل همین رمزنگار ملت) اول که باید اینترنتشون فعال باشه، اپ رو باز کنن، رمز رو بزنن، وارد بشن، کلیک کنن که رمز براشون تولید بشه. اصلاً بگیم 20 ثانیه طول بکشه. خب این 20 ثانیه فاجعه هست. این همه مردم توی صف منتظر بمونن که من پرداخت کنم. تازه اگه اینترنت کند نباشه و … .

اینطوری که فقط دردسر میشه برای مردم و … .