بررسی فرآیند احراز هویت، صفحه OAuth و امنیت دایرکت دبیت در ایران

فیشینگ و کلاهبرداری‌های اینترنتی، همچنان در بالاترین اولویت و دغدغه صاحبان کسب و کارها و البته کاربران جای دارد؛ مهم نیست در چه شرایطی و با چه امکاناتی از «امنیت» زندگی می‌کنیم، در هر صورت ممکن است فیشینگ و یا سوءاستفاده از هویت افراد به منظور کلاهبرداری‌های مالی و غیرمالی رخ دهد. از این رو مهمترین ماموریت و البته اهداف شرکت‌ها، جلوگیری از اقدامات سواستفاده‌گرانه و بالا بردن ضریب امنیت حساب‌های کاربری مشتریان خود است. به خصوص اگر شرکت و یا سازمان مورد نظر اقدام به فروش کالاها یا محصولات در بستر آنلاین کرده و یا روش‌های متنوع پرداخت مانند دایرکت دبیت، BNPL و… را برای کاربران خود فعال کرده باشند.
در چنین شرایطی شرکت‌ها از روش‌های نوینی برای احراز هویت استفاده می‌کنند تا اولا در کوتاه‌ترین زمان ممکن کاربرانشان بتوانند هویت خود را تایید، ثانیا شرایط را برای درز اطلاعاتشان به هر نوعی جلوگیری کنند و ثالثا بتوانند از روش‌های مدرن‌تری نیز برای این منظور بهره ببرند.
به‌صورت کلی احراز هویت Authentication Process یکی از مهم‌ترین فرآیندها در افزایش امنیت سیستم‌ها و سرویس‌های دیجیتال است که برای تایید هویت یک کاربر، سیستم یا سرویس مورد استفاده قرار می‌گیرد. در این فرآیند، سیستم به‌دنبال این است که اطمینان حاصل کند که فردی که قصد دسترسی به منابع یا اطلاعات خاصی را دارد، همان کسی است که ادعا می‌کند.
با فرآیندهای احراز هویت که در ادامه به آن‌ها پرداخته می‌شود، می‌توان تا حد ممکن از مهمترین چالش‌های حوزه فناوری اطلاعات و پرداخت‌های الکترونیکی کاست. نباید از این نکته غافل شد که با گسترش فناوری‌های دیجیتال و استفاده فراگیر از خدمات آنلاین، امنیت کاربران و حفاظت از اطلاعات شخصی آن‌ها به اولویت اصلی سازمان‌ها تبدیل شد که بسیاری از آن‌ها از روش‌های گوناگون و متعددی برای احراز هویت کاربران خود استفاده می‌کنند.
در این مقاله قصد داریم به بررسی فرایند احراز هویت، تکنولوژی Oauth و امنیت در روش‌های پرداخت و به‌خصوص دایرکت دبیت اشاره کنیم.

فرایند احراز هویت

احراز هویت، فرآیندی است که در آن هویت کاربر با استفاده از مکانیزم‌های مختلف مورد بررسی قرار گرفته و در انتهای فرآیند هویت به تایید می‌رسد و یا نمی‌رسد.
برای تمام فعالیت‌های شخصی افراد چه به صورت مالی باشد و چه به سایر عنوان‌ها (مانند ایجاد حساب کاربری در شبکه مجازی و…) نیاز به طی‌کردن فرایند احراز هویت است. این فرایند در برخی موارد مانند ایجاد حساب بانکی به‌صورت مجازی، سخت‌گیرانه و در برخی موارد نیز آسان‌تر است. این فرآیند برای افزایش امنیت سیستم‌های دیجیتال و جلوگیری از نفوذهای غیرمجاز ضروری است.

روش‌های احراز هویت

برای بررسی احراز هویت باید دانست که این فرایند در کجا و به چه هدفی قرار است انجام شود. قطعا احراز هویت برای فردی که می‌خواهد از روش نوین پرداخت مانند دایرکت دبیت یا همان پرداخت مستقیم استفاده کند و یا کسی که درخواست وام داده با فردی که درصدد است امنیت ایمیل خود را افزایش دهد، متفاوت خواهد بود. در ادامه به بررسی روش‌های متفاوت برای احراز هویت و یا افزایش امنیت حساب‌های کاربری پرداخته می‌شود.
نام کاربری و رمز عبور؛ این روش قدیمی و مرسوم است که در آن کاربر با وارد کردن اطلاعات کاربری خود و در نهایت درنظرگرفتن یک رمز عبور، هویت خود را ثابت می‌کند. البته این روش با وجود سادگی، مستعد خطراتی نظیر هک شدن رمز عبور است. با این حال لایه اول احراز هویت برای بهره‌مندی از بسیاری از خدمات، رمز عبور است.

  • احراز هویت با OTP؛ یکی دیگر از روش‌های احراز هویت، با پیامک است. در این فرآیند فرد برای انجام کاری نیاز به شماره موبایل دارد که کسب و کار مربوطه برای تایید هویت و اینکه آیا شماره وارد شده متعلق به فرد ثبت‌نام‌کننده است، از این روش استفاده می‌کند.
  • تأیید دو مرحله‌ای (2FA)؛ در این روش، علاوه بر رمز عبور، یک عامل دیگر (معمولاً یک کد ارسالی به تلفن همراه یا ایمیل) به عنوان لایه دوم امنیت به فرآیند احراز هویت، اضافه می‌شود. این روش به‌طور گسترده در سرویس‌های بانکی و خدمات آنلاین در ایران استفاده می‌شود.
  • بایومتریک؛ استفاده از اطلاعات بایومتریک مانند اثر انگشت، اسکن چهره یا عنبیه که امنیت بسیار بالاتری نسبت به روش‌های سنتی دارد. در برخی اپلیکیشن‌های مالی و بانکی در ایران، مانند برخی اپلیکیشن‌های بانکی تلفن همراه، از این روش استفاده می‌شود. این روش که در حال حاضر بالاترین لایه حفظ امنیت و بررسی هویت فرد است، به نوعی سندی مبنی بر «زنده‌بودن» فرد است.

در مدل امور مالی باز، شرکت‌ها و به‌صورت کلی نهادهای مالی این اجازه را دارند که از این داده‌ها برای راه‌اندازی و توسعه محصولات و خدمات جدیدی که سفارشی‌سازی شده‌اند، استفاده کنند. 

همان‌طور که گفته شد، عمده استفاده‌کنندگان از امور مالی باز، صنعت فین‌تک و بازیگران آن هستند که از اطلاعات به اشتراک‌گذاری‌شده برای ارائه روش‌های جدید مالی و بانکی استفاده می‌کنند.

تمام آنچه که فین‌تکی‌ها انجام می‌دهند این است که در سایه Open Finance می‌توانند از داده‌های بانکی، بیمه‌ای، سوابق دریافت وام و اعتبار و… برای ایجاد راهکارهای مالی مناسب با اشخاص استفاده کنند. 

شرکت‌های فین‌تکی می‌توانند از امور مالی باز به‌منظور راه‌اندازی و توسعه پلتفرم‌های مدیریت سرمایه دیجیتال نیز بهره ببرند.

این پلتفرم‌ها از طریق دسترسی که کاربران به آن‌ها می‌دهند، امکان مدیریت همزمان تمام دارایی‌های افراد چه در حوزه ارزهای دیجیتال و چه در حوزه سرمایه‌گذاری را فراهم می‌کنند.  

البته مدیریت دارایی یکی از اقداماتی است که فین‌تکی‌ها به‌واسطه بهره‌مندی از اطلاعات به‌اشتراک‌گذاشته‌ شده در سایه امور مالی باز انجام می‌دهند، بسیاری از این شرکت‌های فین‌تکی که در بخش وام‌دهی فعال‌اند، از این داده‌ها برای ارزیابی رتبه اعتباری و تخمین ریسک ارائه وام و اعتبار به افراد استفاده می‌کنند.

پروتکل OAuth و صفحه تأییدیه

OAuth یا Open Authorization یک پروتکل باز و استاندارد برای احراز هویت و دسترسی کاربران به منابع محافظت‌شده در سیستم‌های مختلف است.
این پروتکل به کاربران اجازه می‌دهد بدون نیاز به افشای نام کاربری و رمز عبور، به اپلیکیشن‌های ثالث مجوز دسترسی به اطلاعات خاصی بدهند. به‌عبارت‌دیگر، کاربر اجازه می‌دهد که یک سرویس دیگر از طریق این پروتکل به داده‌هایش در سرویس اصلی دسترسی داشته باشد.
این پروتکل از آن جهت مهم است که به کاربران اجازه می‌دهد بدون نیاز به اشتراک‌گذاری اطلاعات حساس خود، به یک سرویس دسترسی داده و آن سرویس بتواند عملیات‌های مختلف را انجام دهد.

فرآیند کار OAuth

  • مرحله اول: کاربر از اپلیکیشن ثالث (به‌عنوان مثال، اپلیکیشن اسنپ) درخواست می‌کند که به اطلاعات حساب کاربری خود در یک سرویس دیگر (مثلاً یک بانک یا شبکه اجتماعی) دسترسی داشته باشد.
  • مرحله دوم: اپلیکیشن ثالث کاربر را به صفحه احراز هویت (صفحه OAuth) در سرویس اصلی هدایت می‌کند؛ در اینجا کاربر باید با اطلاعات کاربری خود وارد شود.
  • مرحله سوم: کاربر دسترسی مشخصی را تأیید می‌کند (مثلاً اجازه دسترسی به تراکنش‌های مالی).
  • مرحله چهارم: پس از تأیید، سرویس اصلی یک توکن دسترسی به اپلیکیشن ثالث ارسال می‌کند و از آن پس این اپلیکیشن می‌تواند به داده‌های تأیید شده دسترسی پیدا کند.

یکی از مزیت‌های بزرگ OAuth این است که نیاز به اشتراک‌گذاری اطلاعات حساس مانند رمز عبور با اپلیکیشن‌های ثالث را از بین می‌برد و امنیت بهتری را فراهم می‌کند. در ایران، برخی از سرویس‌های بزرگ نظیر بانک‌ها و پرداخت‌یارها شروع به استفاده از این تکنولوژی کرده‌اند.
یکی از مثال‌های کاربرد OAuth در پرداخت‌های مالی، پرداخت‌های درون برنامه‌ای در گوگل پلی یا اپل استور است. بدین معنا که در ابتدا کاربر مشخصات حساب بانکی خود را به این برنامه می‌دهد و پس از تایید برخی موارد، هرگاه نیاز به پرداخت برنامه‌ای داشت که از طریق این دو App Market خریداری می‌کند، بدون اینکه نیاز باشد به صفحه پرداخت وارد شود، تراکنش مورد نظر انجام می‌شود.

مزایای استفاده از OAuth

همانطور که در قسمت‌های قبلی عنوان شد، مهمترین ویژگی استفاده از OAuth عدم نیاز به وارد کردن اطلاعات حساس برای هر بار استفاده از سرویس و یا خدمتی خاص همچنین تعیین میزان دسترسی به اطلاعات حساس است. در ادامه به برخی از مزیت‌های OAuth برای کاربران اشاره می‌شود.

حفظ امنیت اطلاعات کاربر

حفظ امنیت اطلاعات، مهمترین کارکرد استفاده از OAuth است. بدین معنا که فرد نیازی به اشتراک‌گذاری اطلاعاتی مانند نام کاربری و رمز عبور با برنامه‌های ثالث ندارد و از طریق OAuth می‌تواند آن را مدیریت کرده و یک توکن دسترسی ایجاد کند. این توکن باعث می‌شود هر بار درخواست برای ورود به برنامه و یا انجام مناسبی، بدون واردکردن اطلاعات حساس انجام شود. در این روش میزان سرقت اطلاعات نیز به حداقل می‌رسد.

کنترل دسترسی‌ها

OAuth این امکان را به کاربران می‌دهد که دسترسی‌های برنامه‌های ثالث به اطلاعات خود را تا حد زیادی کنترل کرده و از نشت و یا درز آن‌ها به سایر برنامه‌های که به آن‌ها دسترسی نداده، جلوگیری کند. ملغی‌کردن دسترسی‌های داده‌شده نیز از دیگر مزیت‌های این سرویس محسوب می‌شود.

تجربه کاربری بهینه

ورود سریع به حساب‌های کاربری بدون اینکه نیازی به وارد کردن رمز عبور باشد، از دیگر مزیت‌های استفاده از OAuth است.

دایرکت دبیت (Direct Debit) و امنیت آن

دایرکت دبیت یکی از روش‌های پرداخت الکترونیکی است که به کاربران امکان می‌دهد به صورت خودکار و مستمر از حساب بانکی خود مبالغی را به حساب‌های دیگر منتقل کنند. این روش بیشتر برای پرداخت‌های منظم مانند قبوض، اقساط، و عضویت‌های ماهانه استفاده می‌شود. در ایران، این روش بیشتر توسط شرکت‌های بزرگ و سازمان‌های ارائه‌دهنده خدمات عمومی مورد استفاده قرار می‌گیرد.
دایرکت دبیت به کاربران و شرکت‌ها این امکان را می‌دهد که فرآیند پرداخت‌های تکراری و اتوماتیک را به صورت ساده‌تری مدیریت کنند. برای استفاده از دایرکت دبیت، کاربر باید به بانک خود مجوز بدهد که مبلغ مشخصی را به‌طور منظم به حساب مقصد انتقال دهد. این روش برای پرداخت‌هایی مانند قبض آب و برق، اینترنت، و حتی برخی خدمات اشتراکی به‌ کار گرفته می‌شود.

چالش‌ها و مزایای امنیتی دایرکت دبیت

مزایا:

  • کاهش خطای انسانی: پرداخت‌ها به‌صورت خودکار و در موعد مقرر انجام می‌شود که احتمال فراموشی یا تأخیر در پرداخت را کاهش می‌دهد.
  • صرفه‌جویی در زمان: کاربران نیازی به وارد کردن دستی اطلاعات پرداخت و انجام هر تراکنش به صورت مجزا ندارند.

چالش‌ها:

  • شفافیت: در برخی موارد، ممکن است کاربر کنترل کاملی بر تراکنش‌های انجام‌شده نداشته باشد یا از جزئیات پرداخت‌ها به‌درستی آگاه نباشد. شفاف‌سازی فرآیندها و اطلاع‌رسانی دقیق به کاربران یکی از الزامات مهم در اجرای دایرکت دبیت است.
  • احتمال خطای سیستمی: هرگونه اختلال در سیستم‌های بانکی یا پلتفرم‌های پرداخت می‌تواند منجر به تأخیر یا عدم انجام صحیح تراکنش‌های دایرکت دبیت شود؛ به همین دلیل، نظارت مداوم بر عملکرد این سیستم‌ها ضروری است.

نتیجه‌گیری

امنیت در فرآیندهای احراز هویت و پرداخت‌های الکترونیکی، اهمیت بالایی دارد و عدم توجه به آن می‌تواند چالش‌‌های جدی برای کاربران و سازمان‌ها به همراه داشته باشد. پروتکل OAuth با ارائه روشی امن و کارآمد برای تأیید دسترسی‌ها، امنیت بیشتری برای کاربران فراهم می‌کند. همچنین دایرکت دبیت با تسهیل پرداخت‌های منظم و خودکار، مزایای بسیاری دارد، اما نیازمند اقدامات امنیتی دقیق برای حفاظت از اطلاعات مالی کاربران است.
در ایران، هرچند استفاده از این فناوری‌ها در حال افزایش است، اما توسعه و بهبود بیشتر در زمینه امنیت و شفافیت این فرآیندها ضروری به‌نظر می‌رسد. برای افزایش اعتماد عمومی و استفاده گسترده‌تر از خدمات الکترونیکی، باید به چالش‌های امنیتی توجه بیشتری شود.

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شش + 20 =