اگر بخواهیم مسئلهی احراز هویت را به صورت یک مسئلهی عمومی و دارای سابقهای طولانی در جوامع بشری بررسی کنیم، پیشینهی این فرآیند به اقوام سومری در حدود ۵۰۰۰ سال پیش بازمیگردد. این اقوام متمدن و کهن، ابزار و روشهایی را برای احراز هویت افراد مختلف در سیستمهای مدیریتی خود ابداع کرده بودند، مانند استفاده از مهرههایی با علائم خاص. اما روشهای احراز هویت نیز با تحولات جوامع، متحول شد. تا همین چندی پیشتر احراز هویت افراد از طریق امضای دستنویس هر شخص تعیین میشد. اما این روش نیز کمکم با روی کار آمدن صنایع الکترونیکی و رونق جهان دیجیتال با تغییراتی مواجه شد.
اکنون یکی از مهمترین فضاهایی که احراز هویت در آن به عنوان امری ضروری و حساس شناخته میشود، سامانههای بانکی و تجارت الکترونیک است. احراز هویت دیجیتال در فضای بانکداری دیجیتال اهمیت فراوانی دارد. به ویژه در بحث خدمات غیرحضوری بانکها به مشتریان، مسئلهی احراز هویت از درجهی اهمیت بسیار بالاتری نیز برخوردار خواهد بود. اما یک خلاء قانونی نیز در این زمینه وجود دارد؛ در حقیقت هنوز قانون مدون و مشخصی در اینباره وضع نشده است که بانکها در فرآیند احراز هویت دیجیتالی تا چه میزان میتوانند به اطلاعات شخصی و حریم خصوصی مشتریانشان دسترسی داشته باشند. اما در عینحال حرکتهای رو به جلویی نیز در این زمینه صورت گرفته که از آن جمله میتوان به ارائهی سفته و برات و اسناد تجاری الکترونیکی اشاره نمود. اما بهطور کلی سازکار احراز هویت دیجیتال برای عملیاتهای غیرحضوری بانکی مانند انواع تراکنشها، افتتاح حساب، گزارشگیری و … چگونه انجام میشود و با چه چالشهایی مواجه است؟ در ادامه به شرح این فرآیند و چالشهای موجود در آن خواهیم پرداخت.
آنچه در این مقاله میخوانید
چالشهای احراز هویت دیجیتال
همانطور که گفته شد در زمینهی بانکداری الکترونیکی، احراز هویت دیجیتال یک امر ضروری و بسیار مهم بهشمار میرود. چالش اصلی در این زمینه این پرسش است که آیا خود صاحب حساب از اینترنت بانک استفاده میکند یا خیر؟ در این زمینه رمزهای یکبار مصرف یا همان رمز پویا هم نتوانست بهطور کامل چالش مذکور را مرتفع کند. بنابراین یک سیستم بانکی امن، اکنون با قدرت فرآیند احراز هویت دیجیتال آن شناخته و معین میشود.
روشهای مختلف احراز هویت
بهطور کلی اکنون روشهای متنوعی برای فرآیند احراز هویت در سامانههای بانکی وجود دارد که در ادامه به شکل فهرستوار به آنها اشاره خواهیم نمود.
- احرار هویت از طریف گذر واژه
- احراز هویت از طریق امضای دیجیتال
- احراز هویت از طریق کارت بانکی
- احراز هویت از طریق توکن
- احراز هویت از طریق بیومتریک
اما هر کدام از این روشهای متنوع احراز هویت کاستیهایی دارند. برای نمونه استفاده از گذرواژه که متدوالترین روش احراز هویت است، به واقع روش خیلی قابل اعتمادی نیست. در واقع اگر گذرواژهی شخصی به دلایلی در اختیار دیگری قرار بگیرد، راهی برای جلوگیری از عملیاتهای بانکی آن شخص ثانی وجود نخواهد داشت. همچنین سیستم احراز هویت امضای دیجیتال نیز قابل اعتماد نخواهد بود، زیرا جعل امضای افراد معمولا کار سادهای است.
از طرف دیگر احراز هویت به کمک توکنها نیز که شامل کارت شناسایی و یا کارت بانکی و اسمارت کارتهای کاربر میشود، خیلی راهکار مطمئنی برای تشخیص هویت فرد نخواهد بود. اگرچه در قیاس با روشهای دیگر، امنیت بالاتری دارد. در مورد احراز هویت بیومتریک نیز با وجود اینکه از ویژگیهای بدن هر شخص بهره گرفته میشود، اما مشکلات اجرایی خاص خودش را خواهد داشت و در هر شرایطی مقدور نخواهد شد. حالا با این اوصاف پرسش اساسی اینجا است که چه راهحلی برای رسیدن به یک سیستم امن احراز هویت وجود دارد؟
یک راهکار نوین برای احراز هویت
با توجه به معضلات و ضعفهای روشهای مختلف احراز هویت که آنها را برشمردیم، نیاز به یک راهکار خلاقانه برای فرآیند احراز هویت در سامانههای بانکی کشور کاملا احساس میشود. این راهکار خلاقانه استفاده از روش احراز هویتی تحت عنوان روش ترکیبی است. در واقع در این روش، احراز هویت به روش بیومتریک و احراز هویت به کمک اسمارت کارت با یکدیگر ترکیب شده و یک روش نوین را به وجود میآورند. در چنین سیستمی یک اسکنر وجود دارد که اثر انگشت افراد را اسکن میکند و یک دستگاه اسمارت کارتخوان نیز به آن علاوه میشود. این روش نوین را با عنوان Match on card نیز میشناسند. بر اساس این روش احراز هویت، فرآیند فوق بهصورت آفلاین هم انجام پذیر خواهد بود. به عبارت دیگر در این روش اطلاعات اشخاص، مانند نام و نام خانوادگی، عکس و… و همچنین اطلاعات بیومتریک فرد، یعنی اثر انگشت کاربر، بر روی Chip کارت ذخیره میشود. توجه کنید که هر ۱۰ انگشت شخص اسکن میشود و به صورت رمزینه ذخیره میگردد که خود گویای امنیت این روش نیز میباشد.
دربارهی سامانهی امتا (ویژهی احراز هویت مشتریان تجارت الکترونیک)
اکنون سامانههای مختلفی برای احراز هویت افراد در زمینههای مختلف وجود دارد. با گسترش تجارت الکترونیک، نیاز به انجام عملیات احراز هویت در بستر کسب و کارهای اینترنتی نیز امری ضروری احساس میشد. بنابراین سامانههایی برای تایید هویت افراد این حوزه نیز به وجود آمدند. توجه کنید که خود این سامانههای دیجیتال تایید هویت، پیشتر توسط نهادهای دولتی مورد تایید قرار گرفتهاند. سامانهای که در فرآیند احراز هویت الکترونیکی بانکها فعالیت دارد، سامانهی نهاب نام دارد. این سامانه برای دریافت استعلامهای لازم، از جمله استعلام اطلاعات هویتی مشتریان بانکی، و یا بهروز رسانی اطلاعات کاربران و کنترلهای بانکی با سایر سیستمها و سامانههای اطلاعاتی دولتی مانند سامانهی ثبت احوال، سامانهی ثبت شرکتها، ادارهی پست، سیستم اتباع خارجی نیروی انتظامی، سیستمهای بانک مرکزی در ارتباط است.
اما در حوزهی تجارت الکترونیک و برای احراز هویت مشتریان این حوزه، سامانهی امتا مشغول به فعالیت است. این سامانه برای کسب و کارهای آنلاین این امکان را فراهم میآورد که کاربران خود را از سامانهی امتا استعلام کنند. سازکار این سامانه بر اساس امضا الکترونیکی موبایلی و احراز هویت بر مبنای کارت بانکی میباشد. توجه کنید که سامانهی امتا برای تمام کسب و کارهای فعال در حوزهی تجارت الکترونیک، امکان استفاده از استعلام کاربران را فراهم میکند. در واقع فرقی نمیکند؛ کسب و کارهایی که دارای نماد اعتماد الکترونیکی هستند و یا کسب و کارهایی که هنوز نماد اعتماد را دریافت نکردهاند. تنها تفاوت در این زمینه، شکل ورود این دو نوع کسب و کار به سایت امتا است که بر این اساس؛ کسب و کارهای دارای اینماد از طریق پنل اینماد خود وارد سایت امتا میشوند و کسب و کارهایی که اینماد نگرفتهاند، باید درخواست خودشان را به صورت کتبی به مرکز توسعهی تجارت الکترونیکی ارسال کنند و دستآخر نیز پس از تایید، کد امتا دریافت نمایند.