![[-]](https://forum.romaak.ir/images/first18/collapse.png "[-]")
۹۷/۹/۲۲، ۰۸:۱۸ صبح
دردنیای امروز با وجود طیف وسیعی از فن آوریها، فرآورده ها و محصولات، راه حل هایی متناسب برای ایمن سازی زیر ساختارهای الکترونیکی مؤسسات و سازمانها ارائه شده است. در مواردی که امنیت فیزیکی و دستیابی به آن مد نظر باشد، سطوح امنیتی مورد نظر نیز بایستی متناسب با سطح ترکیب و پیچیدگی سازمان و مؤسسه، برنامه های کاربردی مورد استفاده، داده های موجود و اندازه گیری و سنجش خطرات و ریسکهای موجود گسترش یابد. اساسی ترین روش موجود جهت ایجاد امنیت الکترونیکی استفاده از رمز عبور میباشد که اغلب بعنوان یک شیوه رایج جهت دسترسی به منابع و داده های الکترونیکی بکار گرفته می شود.که در این میان استفاده از رمزهای عبور یک بار مصرف برای انجام تراکنش های بانکی به شدت احساس می شود تا ضریب امنیتی بالایی برای مشتریان و کاربران فراهم آورد و کاربران با آرامش و آسایش خاطر بیشتر مبادرت به انجام امور روزمره بانکی و تجاری نمایند.
با توجه به گستردگی تراکنش های بانکی و انجام حداکثری تراکنش ها در بستر اینترنت ،بانکداری الکترونیکی و افزایش مبادلات در این حوزه لزوم به کارگیری شیوه های مدرن در جهت بالابردن امنیت این نوع تراکنش ها با استفاده ازرمزهای یکبار مصرف مقرون به صرفه می نماید.. رمز یک بار مصرف یا OTP - One Time Password یک جایگزین برای رمز دوم می باشد رمز یکبار مصرف برای ایمن سازی دسترسی کاربران به سیستم های الکترونیکی ارائه شده که در آن از قابلیت های رمز نگاری برای تولید رمز تصادفی یک بار مصرف استفاده می شود. برای اینکه کاربران استفاده کننده از خدمات بانکداری اینترنتی امکان جابجایی مبالغ بالاتر و ایمن را داشته باشند.
OTP چیست؟
OTP و یا One Time Password یک روش محافظت از اطلاعات برای جلوگیری از سرقت رمز عبور می باشد که رمز عبور با استفاده از روش های رمز نگاری تولید می گردد و تنها برای یک بار ورود به سیستم معتبر است ، مهمترین مزیت استفاده از OTP و یا رمز یک بار مصرف این است، که سرقت اطلاعات با دانستن رمز عبور غیر ممکن می گردد.
تکنولوژی OTP
OTP جهت انجام تراکنش های امن بانکی در حوزه Web کاربرد دارد بر اساس کارت و یا ابزاری که توسط بانک به مشتری داده می شود، برای انجام هر تراکنشی یک رمز تولید می شود که تنها برای یک بار اعتبار دارد. در این تکنولوژی رمز یکبار مصرف بر اساس الگوریتم تعریف شده در ابزار کاربر و در سرور مرتبط تولید می شود و دارای انواع مختلفی نظیرresponse challenge, time- base و غیره می باشد. امنیت OTP به دلیل استفاده از امکانات استاندارد رمزنگاری ، بسیار بالا می باشد.
برنامه نویسان هر اندازه که نکات امنیتی را در برنامه نویسی و سمت سرور لحاظ کند، روی امنیت سمت کلاینت (کاربر) تسلط و کنترل کاملی ندارد. چون مرورگر دسترسیهای محدودی به آنها میدهد.
از ضعفهای سمت کاربر که میتواند موجب بدست آوردن پسورد کاربران (مدیران) سایت شود، برنامه های کیلاگرهستند که کی لاگر ها ممکن است به دو صورت سخت افزاری و نرم افزاری به کار برده شوند.
key logger ها، همه کلیدهای فشرده شده روی کیبورد را ذخیره و به سازنده آن کیلاگر ارسال میکنند.
روشهایی برای مقابله با این خطر وجود دارد که استفاده از کیبورد مجازی یکی از روشهای آن است. در حال حاضر نیز در صفحه پرداخت اینترنتی بسیاری از بانکها قابل استفاده می باشد.اما با روش های نوین جاسوسی و با استفاده ازعکس برداری از صفحه نمایش وهمزمان با کلیک کاربر اقدام به ثبت مختصات مورد نظر می نمایند که این روش نیز نوعی امنیت کیبورد های مجازی را به چالش می کشد.
از این رو بهترین راه مقابله با کیلاگرها، استفاده پسورد یکبار مصرف است که از روشی غیر از کامپیوتر فعلی کاربر، به دستش برسد. در این حالت، کیلاگری که پسوردها را ذخیره و به سازندهاش ارسال میکند، بیاثر میشود چون پسورد ذخیره شده توسط کیلاگر، فقط یکبار معتبر بوده است و تنها یکبار میتوان از ان استفاده نمود.
پسورد یکبار مصرف تولید شده، نباید توسط کامپیوتر کاربر (یا حتی وسیله دیگری با همان خط اینترنت) به دست کاربر برسد زیرا در اینصورت؛ علاوه بر کاربر، برنامه جاسوس نیز میتواند به آن دست یابد.
نحوه تولید رمز عبور OTP
رمز عبور با استفاده از الگوریتمهای ریاضی و به صورت تصادفی تولید می گردد، در واقع همین روش تولید باعث می گردد که حدس رمز عبور برای انسان غیر ممکن گردد روش های متعددی برای تولید رمز وجود دارند .با استفاده از زمان، رمز عبور فقط برای زمان کوتاهی برای اعتبار سنجی معتبر است این روش با استفاده از معادل سازی زمان تولید کننده رمز و استفاده کننده آن عمل می کند.
بر اساس رخداد، در این روش در زمانی که رخداد مشابه بین اعتبار سنج و استفاده کننده رخ دهد رمز یک بار مصرف تولید می گردد.
روش Challenge Response، که رمز عبور بر اساس اطلاعات Challenge تولید می گردد.
به غیر از استفاده از Token روش های دیگری نیز برای تولید رمز OTP وجود دارد به طور مثال استفاده از نرم افزار های سمت کاربر، تولید رمز یک بار مصرف و ارسال آن از طریق روش های Out of band مانند ارسال از طریق SMS، و یا حتی چاپ کردن آن روی کاغذ.
نحوه عملکرد
۱-کاربر اطلاعات مربوط به تراکنش های مالی را وارد می کند.
۲-کاربر توکن را مقابل مانیتور نگه داشته و توکن اطلاعات مربوط به تراکنش را اسکن می نماید
۳-توکن اطلاعات اسکن شده را برای اطمینان از صحت اطلاعات به کاربر نمایش می دهد.
۴-کاربر روی توکن کلیک کرده و توکن امضای دیجتال راتولید می نماید.
۵-کاربر امضای الکترونیک دریافتی از توکن را داخل پورتال تایپ می کند
۶-بانک تراکنش مالی را تایید می کند.و در صورت تطابق تراکنش انجام می گیرد.
رمزهای یکبار مصرف معمولا به ۳ روش به دست کاربر میرسد:
با توجه به گستردگی تراکنش های بانکی و انجام حداکثری تراکنش ها در بستر اینترنت ،بانکداری الکترونیکی و افزایش مبادلات در این حوزه لزوم به کارگیری شیوه های مدرن در جهت بالابردن امنیت این نوع تراکنش ها با استفاده ازرمزهای یکبار مصرف مقرون به صرفه می نماید.. رمز یک بار مصرف یا OTP - One Time Password یک جایگزین برای رمز دوم می باشد رمز یکبار مصرف برای ایمن سازی دسترسی کاربران به سیستم های الکترونیکی ارائه شده که در آن از قابلیت های رمز نگاری برای تولید رمز تصادفی یک بار مصرف استفاده می شود. برای اینکه کاربران استفاده کننده از خدمات بانکداری اینترنتی امکان جابجایی مبالغ بالاتر و ایمن را داشته باشند.
OTP چیست؟
OTP و یا One Time Password یک روش محافظت از اطلاعات برای جلوگیری از سرقت رمز عبور می باشد که رمز عبور با استفاده از روش های رمز نگاری تولید می گردد و تنها برای یک بار ورود به سیستم معتبر است ، مهمترین مزیت استفاده از OTP و یا رمز یک بار مصرف این است، که سرقت اطلاعات با دانستن رمز عبور غیر ممکن می گردد.
تکنولوژی OTP
OTP جهت انجام تراکنش های امن بانکی در حوزه Web کاربرد دارد بر اساس کارت و یا ابزاری که توسط بانک به مشتری داده می شود، برای انجام هر تراکنشی یک رمز تولید می شود که تنها برای یک بار اعتبار دارد. در این تکنولوژی رمز یکبار مصرف بر اساس الگوریتم تعریف شده در ابزار کاربر و در سرور مرتبط تولید می شود و دارای انواع مختلفی نظیرresponse challenge, time- base و غیره می باشد. امنیت OTP به دلیل استفاده از امکانات استاندارد رمزنگاری ، بسیار بالا می باشد.
برنامه نویسان هر اندازه که نکات امنیتی را در برنامه نویسی و سمت سرور لحاظ کند، روی امنیت سمت کلاینت (کاربر) تسلط و کنترل کاملی ندارد. چون مرورگر دسترسیهای محدودی به آنها میدهد.
از ضعفهای سمت کاربر که میتواند موجب بدست آوردن پسورد کاربران (مدیران) سایت شود، برنامه های کیلاگرهستند که کی لاگر ها ممکن است به دو صورت سخت افزاری و نرم افزاری به کار برده شوند.
key logger ها، همه کلیدهای فشرده شده روی کیبورد را ذخیره و به سازنده آن کیلاگر ارسال میکنند.
روشهایی برای مقابله با این خطر وجود دارد که استفاده از کیبورد مجازی یکی از روشهای آن است. در حال حاضر نیز در صفحه پرداخت اینترنتی بسیاری از بانکها قابل استفاده می باشد.اما با روش های نوین جاسوسی و با استفاده ازعکس برداری از صفحه نمایش وهمزمان با کلیک کاربر اقدام به ثبت مختصات مورد نظر می نمایند که این روش نیز نوعی امنیت کیبورد های مجازی را به چالش می کشد.
از این رو بهترین راه مقابله با کیلاگرها، استفاده پسورد یکبار مصرف است که از روشی غیر از کامپیوتر فعلی کاربر، به دستش برسد. در این حالت، کیلاگری که پسوردها را ذخیره و به سازندهاش ارسال میکند، بیاثر میشود چون پسورد ذخیره شده توسط کیلاگر، فقط یکبار معتبر بوده است و تنها یکبار میتوان از ان استفاده نمود.
پسورد یکبار مصرف تولید شده، نباید توسط کامپیوتر کاربر (یا حتی وسیله دیگری با همان خط اینترنت) به دست کاربر برسد زیرا در اینصورت؛ علاوه بر کاربر، برنامه جاسوس نیز میتواند به آن دست یابد.
نحوه تولید رمز عبور OTP
رمز عبور با استفاده از الگوریتمهای ریاضی و به صورت تصادفی تولید می گردد، در واقع همین روش تولید باعث می گردد که حدس رمز عبور برای انسان غیر ممکن گردد روش های متعددی برای تولید رمز وجود دارند .با استفاده از زمان، رمز عبور فقط برای زمان کوتاهی برای اعتبار سنجی معتبر است این روش با استفاده از معادل سازی زمان تولید کننده رمز و استفاده کننده آن عمل می کند.
بر اساس رخداد، در این روش در زمانی که رخداد مشابه بین اعتبار سنج و استفاده کننده رخ دهد رمز یک بار مصرف تولید می گردد.
روش Challenge Response، که رمز عبور بر اساس اطلاعات Challenge تولید می گردد.
به غیر از استفاده از Token روش های دیگری نیز برای تولید رمز OTP وجود دارد به طور مثال استفاده از نرم افزار های سمت کاربر، تولید رمز یک بار مصرف و ارسال آن از طریق روش های Out of band مانند ارسال از طریق SMS، و یا حتی چاپ کردن آن روی کاغذ.
نحوه عملکرد
۱-کاربر اطلاعات مربوط به تراکنش های مالی را وارد می کند.
۲-کاربر توکن را مقابل مانیتور نگه داشته و توکن اطلاعات مربوط به تراکنش را اسکن می نماید
۳-توکن اطلاعات اسکن شده را برای اطمینان از صحت اطلاعات به کاربر نمایش می دهد.
۴-کاربر روی توکن کلیک کرده و توکن امضای دیجتال راتولید می نماید.
۵-کاربر امضای الکترونیک دریافتی از توکن را داخل پورتال تایپ می کند
۶-بانک تراکنش مالی را تایید می کند.و در صورت تطابق تراکنش انجام می گیرد.
رمزهای یکبار مصرف معمولا به ۳ روش به دست کاربر میرسد:
- از طریق ارسال پیامک به موبایل کاربر
- تولید و نمایش/پرینت تعدادی رمز یکبار مصرف
- استفاده از یک سخت افزار مستقل از کامپیوتر کاربر و شبکه اینترنت
رمزیاب (توکن) چیست؟
برای حل مشکلات مختلفی که در زمینه های گوناگون فناوری اطلاعات رخ می دهد، راه حل های متفاوتی ارائه گردیده است. یکی از راه حل های ارائه شده که میزان استفاده از آن به طور چشمگیری در حال رشد می باشد، استفاده از وسایل امنیتی ( Secure Module) است.
توکن های هوشمند USB)USB Smart Token) به عنوان نسل جدیدی از وسایل امنیتی، مشکل هزینه و قیمت بالای سخت افزارهای امنیتی HSM Hardware Secure Module را حل نموده و به وسایلی فراگیر تبدیل شده اند. نام دیگر توکن رمزیاب می باشد.
توکِن امنیتی یا نشانهٔ امنیتی (Security Token) سخت افزاری کوچک است که برای ورود کاربر یک سرویس رایانه ای به سامانه به کار می رود. به عبارت دیگر، این دستگاه یک دستگاه فیزیکی است که در اختیار کاربران مجاز قرار می گیرد تا به راحتی بتوانند برای استفاده از یک سیستم کامپیوتری هویت آن ها تشخیص داده شود.
توکن امنیتی برای اثبات هویت فرد به صورت الکترونیکی استفاده می شود. (به عنوان مثال نحوه دسترسی به حساب بانکی از راه دور). از توکن به علاوه یا به جای رمز عبور معمولی برای احراز هویت مشتری که خواهان ورود به سیستم است، بهره می برند. به عبارت دیگر به عنوان یک کلید الکترونیکی برای دسترسی عمل می کند.
![[تصویر: do.php?img=5306]](http://up.romaak.ir/do.php?img=5306)
نحوه به کارگیری
1.کمترین نیازمندی هر نشانه داشتن یک مشخصه منحصر به فرد ذاتی است که در حافظه ذخیره شده است. این حافظه قابل دستکاری نیست و به بیان بهتر به گونه ای طراحی شده است که به صورت باز برای سایر کاربردهایی که توسط فروشندگان نشانه و سازمان های دیگر ارائه می شود، در دسترس نیست.
2.کمترین نیازمندی در این نوع، اتصال به رسانه هایی مشابه شبکه های موبایل برای USSD، پیام کوتاه و صدا است، که تمام چیزهایی که نیاز است در شماره موبایل یا تلفن ثبت شده است. البته این سیستم در ایران چندان کاربردی نشده است.
برای حل مشکلات مختلفی که در زمینه های گوناگون فناوری اطلاعات رخ می دهد، راه حل های متفاوتی ارائه گردیده است. یکی از راه حل های ارائه شده که میزان استفاده از آن به طور چشمگیری در حال رشد می باشد، استفاده از وسایل امنیتی ( Secure Module) است.
توکن های هوشمند USB)USB Smart Token) به عنوان نسل جدیدی از وسایل امنیتی، مشکل هزینه و قیمت بالای سخت افزارهای امنیتی HSM Hardware Secure Module را حل نموده و به وسایلی فراگیر تبدیل شده اند. نام دیگر توکن رمزیاب می باشد.
توکِن امنیتی یا نشانهٔ امنیتی (Security Token) سخت افزاری کوچک است که برای ورود کاربر یک سرویس رایانه ای به سامانه به کار می رود. به عبارت دیگر، این دستگاه یک دستگاه فیزیکی است که در اختیار کاربران مجاز قرار می گیرد تا به راحتی بتوانند برای استفاده از یک سیستم کامپیوتری هویت آن ها تشخیص داده شود.
توکن امنیتی برای اثبات هویت فرد به صورت الکترونیکی استفاده می شود. (به عنوان مثال نحوه دسترسی به حساب بانکی از راه دور). از توکن به علاوه یا به جای رمز عبور معمولی برای احراز هویت مشتری که خواهان ورود به سیستم است، بهره می برند. به عبارت دیگر به عنوان یک کلید الکترونیکی برای دسترسی عمل می کند.
نحوه به کارگیری
1.کمترین نیازمندی هر نشانه داشتن یک مشخصه منحصر به فرد ذاتی است که در حافظه ذخیره شده است. این حافظه قابل دستکاری نیست و به بیان بهتر به گونه ای طراحی شده است که به صورت باز برای سایر کاربردهایی که توسط فروشندگان نشانه و سازمان های دیگر ارائه می شود، در دسترس نیست.
2.کمترین نیازمندی در این نوع، اتصال به رسانه هایی مشابه شبکه های موبایل برای USSD، پیام کوتاه و صدا است، که تمام چیزهایی که نیاز است در شماره موبایل یا تلفن ثبت شده است. البته این سیستم در ایران چندان کاربردی نشده است.
نتیجه گیری
رمزهای یکبار مصرف، بسیاری ازنقاط ضعف رمزهای قدیمی یا همان رمزهای ثابت را پوشش میدهد. و امنیت بیشتری را فراهم می آورد.مهمترین نقصی که توسط رمز یکبار مصرف جبران میشود، عدم آسیبپذیر بودن در تکرار حملات است. با استفاده از این روش، یک مزاحم بالقوه که به نحوی موفق به دستیابی رمز یکبار مصرف میشود که قبلاً با آن به سرویسی دسترسی پیدا کردهاند یا تراکنشی انجام شده است، دیگر قادر نخواهد بود تا از آن سوءاستفاده کند، چرا که این رمز باطل شده است. خردهای که به رمز یکبار مصرف گرفته میشود، دشواری در بهخاطرسپاری آنها توسط انسان است که به همین دلیل بهرهگیری از فناوری کمکی، در استفاده از رمز یکبار مصرف، الزامی است.
یکی از روش های جلوگیری از حدس زدن کلمات عبور ضعیف و نامناسب، استفاده از رمزهای یک بار مصرف(One Time Password) می باشد. برای تولید کلمات عبور یک بار مصرف از ابزاری به نام توکن OTP، استفاده می گردد.
رمز یکبار مصرف برای ایمن سازی دسترسی کاربران به سیستم های الکترونیکی است ،که در آن از قابلیت های رمز نگاری برای تولید رمز تصادفی یک بار مصرف استفاده می شود. آنچه که از کلمه رمز در ذهن اغلب افراد تداعی می شود، کلمه ی رمز ایستا می باشد که مقداری است ثابت و می بایست به خاطره سپرده شود. در مقابل رمز ثابت ، رمز یک بار مصرف یا OTP قراردارد که به معنای کلمه رمزی است که فقط و فقط یکبار می تواند مورد استفاده قرار گیرد.
رمزهای یکبار مصرف، بسیاری ازنقاط ضعف رمزهای قدیمی یا همان رمزهای ثابت را پوشش میدهد. و امنیت بیشتری را فراهم می آورد.مهمترین نقصی که توسط رمز یکبار مصرف جبران میشود، عدم آسیبپذیر بودن در تکرار حملات است. با استفاده از این روش، یک مزاحم بالقوه که به نحوی موفق به دستیابی رمز یکبار مصرف میشود که قبلاً با آن به سرویسی دسترسی پیدا کردهاند یا تراکنشی انجام شده است، دیگر قادر نخواهد بود تا از آن سوءاستفاده کند، چرا که این رمز باطل شده است. خردهای که به رمز یکبار مصرف گرفته میشود، دشواری در بهخاطرسپاری آنها توسط انسان است که به همین دلیل بهرهگیری از فناوری کمکی، در استفاده از رمز یکبار مصرف، الزامی است.
یکی از روش های جلوگیری از حدس زدن کلمات عبور ضعیف و نامناسب، استفاده از رمزهای یک بار مصرف(One Time Password) می باشد. برای تولید کلمات عبور یک بار مصرف از ابزاری به نام توکن OTP، استفاده می گردد.
رمز یکبار مصرف برای ایمن سازی دسترسی کاربران به سیستم های الکترونیکی است ،که در آن از قابلیت های رمز نگاری برای تولید رمز تصادفی یک بار مصرف استفاده می شود. آنچه که از کلمه رمز در ذهن اغلب افراد تداعی می شود، کلمه ی رمز ایستا می باشد که مقداری است ثابت و می بایست به خاطره سپرده شود. در مقابل رمز ثابت ، رمز یک بار مصرف یا OTP قراردارد که به معنای کلمه رمزی است که فقط و فقط یکبار می تواند مورد استفاده قرار گیرد.
ثبت دامنه و فروش هاست، سامانه پیامک، طراحی سایت، خدمات شبکه
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
| دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
sms: 10004673 - 500021995
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
| دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
sms: 10004673 - 500021995
