سرویس پیام کوتاه یا اس ام اس که به عنوان پیام متنی و پیامک هم شناخته می‌شود، یکی از راه‌های ارتباطی است که شاید هر روز از آن برای ارتباط با دوستان و همکاران خود استفاده می‌کنید. البته ارسال پیامک به دوستان و نزدیکان یکی از راه‌های استفاده از این تکنولوژی است؛ یکی از کاربردهای بسیار مفید استفاده از پیامک، احراز هویت کاربران است. در ادامه خواهیم دید که احراز هویت پیامکی چیست و آیا ایمن است یا خیر.

احراز هویت چیست؟

پیش از آشنا شدن با احراز هویت پیامکی، بیایید ببینیم احراز هویت چیست . احراز هویت فرآیند تأیید این موضوع است که یک فرد دقیقا همان کسی است که ادعا می‌کند. احراز هویت تضمین می‌کند که فقط کسانی که دارای اعتبارنامه مجاز هستند به سیستم های امن دسترسی پیدا می‌کنند.

فناوری احراز هویت با بررسی اینکه آیا اعتبار کاربر با اعتبارنامه‌های موجود در پایگاه داده کاربران مجاز یا در سرور احراز هویت داده مطابقت دارد، کنترل دسترسی را برای سیستم‌ها فراهم می‌کند. احراز هویت می‌تواند شامل چندین لایه اطلاعات، مانند نام کاربری و رمز عبور، و یک کد یک بارمصرف به تلفن همراه کاربر باشد.

احراز هویت پیامکی در احراز هویت دو مرحله ای (۲FA) و احراز هویت چند مرحله ای (MFA) چیست؟

در وبسایت‌های عرضه محصول یا یا خدمات، ارائه چندین گزینه به کاربران برای تأیید هویت آنها، به کاهش کلاهبرداری و جلوگیری از حملات کلاهبرداران به اطلاعات آن‌ها کمک می‌کند. گذرواژه‌ها روش احراز هویت با ایمنی بسیار پایین هستندهستند و می‌توان آنها را حدس زد، سرقت کرد یا در دارک وب خریداری کرد، بنابراین نیاز به یک روش دیگر برای تقویت آن‌هاست. احراز هویت پیامکی معمولاً به عنوان یک روش احراز هویت اولیه یا انحصاری استفاده نمی‌شود، اما معمولاً به عنوان دومین عامل احراز هویت در احراز هویت دو مرحله‌ای (۲FA) و تأیید هویت چند مرحله‌ای (MFA) استفاده می‌شود.

انواع احراز هویت به سه دسته اصلی تقسیم می‌شوند که احراز هویت پیامکی تحت ضریب مالکیت قرار می‌گیرد:

· دانش: چیزی که فقط کاربر می داند و شامل گذرواژه‌ها، پین کد (شماره شناسایی شخصی) یا پاسخ به سؤالات امنیتی است.

· مالکیت: چیزی که فقط کاربر در اختیار دارد و شامل گوشی‌های هوشمند، دستگاه‌های تلفن همراه، نشانه‌های امنیتی و سایر دستگاه‌هایی است که می‌توانند رمزهای عبور یک‌بار مصرفOTP) ) یا کدها را تولید یا دریافت کنند.

· بیومتریک: چیزی که کاربر “هست” و شامل ویژگی فیزیکی او است، مانند اثر انگشت یا چهره، که می‌تواند برای احراز هویت اسکن شود.

احراز هویت اس ام اسی چگونه کار می‌کند؟

یک رمز عبور یکبار مصرف (OTP) با استفاده از یک الگوریتم ایجاد می‌شود و از طریق پیام متنی به شماره تلفن مرتبط با کاربر ارسال می‌شود. این توالی کاراکترها (حروف و/یا اعداد) که به طور خودکار تولید می‌شوند، برای یک بار ورود یا یک تراکنش، معتبر است.

کاربر، رمز عبور یک بار مصرف را در صفحه‌ای که برای احراز هویت طراحی شده، درج می‌کند و کد را با سرور احراز هویت تأیید می‌کند تا اطمینان حاصل شود که شماره تماس در اختیار خود فرد قرار دارد. اگر احراز هویت پیامکی روش تأیید نهایی مورد نیاز باشد، کاربر اکنون می‌تواند به حساب خود و منابع مرتبط دسترسی داشته باشد. اگر عامل احراز هویت سوم برای احراز هویت چند عاملیMFA) ) مورد نیاز باشد، همانطور که ممکن است برای تراکنش‌های با ارزش بالا یا ورود به سیستم از آدرس‌های IP مشکوک باشد، تنها پس از ارائه مدرک سوم هویت، دسترسی به کاربر داده می‌شود.

کدهای احراز هویت پیامکی و انواع رمزهای یکبار مصرف

دو نوع اصلی رمز عبور یکبار مصرف وجود دارد که به عنوان کد احراز هویت پیامکی استفاده می‌شود. هر دو از الگوریتم‌هایی برای تولید یک کد تصادفی جدید در هر بار درخواست رمز عبور استفاده می‌کنند. از آنجایی که کاربران این رمزهای عبور را ایجاد نمی‌کنند و مجدداً از آن‌ها در حساب‌های متعدد استفاده می‌کنند، رمزهای عبور یک‌بار مصرف امکان کلاهبرداری بسیار کمتری دارند. این دو نوع رمز عبور یک بار مصرف عبارتند از:

رمز عبور یکبار مصرف مبتنی بر زمان TOTP)) : از زمان به عنوان یک عامل متحرک استفاده می‌کند و رمزهای عبور معمولاً در عرض ۳۰-۲۴۰ ثانیه منقضی می‌شوند. اگر تاخیری در دریافت TOTP توسط کاربر وجود داشته باشد، مانند اتصال کند اینترنت، ممکن است TOTP قبل از استفاده از آن منقضی شود و نیاز به درخواست مجدد یک TOTP جدید باشد.

رمز عبور یکبار مصرف مبتنی بر HMAC (HOTP) : یک رمز عبور مبتنی بر رویداد است که به جای زمان از شمارنده به عنوان عامل متحرک استفاده می‌کند. HMAC مخفف کد احراز هویت پیام مبتنی بر هش است. HOTP ها می‌توانند برای مدت طولانی‌تری معتبر بمانند زیرا مبتنی بر زمان نیستند و بر تعداد وارد کردن رمز عمل می‌کنند.

آیا احراز هویت پیامکی امن است؟

کدهای پیامکی فقط یک بار قابل استفاده هستند و از رمز عبور دائمی ایمن‌تر هستند. با این حال، کلاهبرداران مصمم همچنان می توانند شبکه‌ای را ‌ نقض کنند که از احراز هویت پیامکی استفاده می‌کند. به عنوان مثال، هکرها از نقصی در فرآیند بازیابی حساب صرافی کوین بیس (Coinbase) استفاده کردند تا رمز احراز هویت دو مرحله‌ای پیامکی را برای نفوذ به ۶۰۰۰ حساب مشتری و انتقال وجه از آنها به دست آورند. آنها همچنین به آدرس ایمیل، رمز عبور و شماره تلفن مرتبط با هر حساب دسترسی داشتند که ممکن است از طریق یک طرح فیشینگ به سرقت رفته باشد.

آسیب پذیری‌های سرویس احراز هویت پیامکی که می‌توانند مورد سوء استفاده قرار گیرند عبارتند از:

پیام‌های اس ام اس به صورت متنی واضح ارسال می‌شوند و در صفحه کاربر قابل مشاهده هستند، حتی در صفحه پیش نمایش تلفن وقتی تلفن قفل است.

· حمله Signaling System 7 (SS7) می‌تواند برای رهگیری پیام های متنی استفاده شود.

· حملات Man-in-the-Middle می تواند کدهای SMS ورودی را برباید یا کدهای وارد شده در یک صفحه وب را رهگیری کند.

· دستگاه هایی که پیامک دریافت می‌کنند، از جمله تلفن، تبلت و لپ تاپ، قابل سرقت هستند.

به همین دلایل، در کسب‌وکارهای حساس احراز هویت پیامکی معمولاً با سایر فاکتورهای احراز هویت غیرحضوری مانند تشخیص چهره یا ویدیوی زنده بودن تصویر ترکیب می‌شود تا ایمن‌تر شود.

آیا احراز هویت پیامکی کاربرپسند است؟

وقتی شرکت‌ها و کسب‌وکارها تصمیم می‌گیرند که از کدام روش‌های احراز هویت استفاده کنند، باید راحتی و امنیت را متعادل کنند. این امر به ویژه در مورد مشتریانی صادق است که خواهان تجربه‌ای یکپارچه و آسان هستند، در حالی که انتظار دارند شرکت‌ها حساب‌ها و داده‌های خود را ایمن نگه دارند.

از آنجایی که افرادی که دستگاه‌های تلفن همراه دارند معمولاً با پیام‌های متنی آشنا هستند و یادگیری دریافت پیام‌ها به اندازه روش‌های دیگر سخت نیست، اما کاربران باید با مشکلات احراز هویت نیز آشنا شوند. برخی از چالش‌های اضافی با احراز هویت پیامکی وجود دارد، از جمله:

· اگر رسیدن متن پیامک خیلی طول بکشد، یک رمز عبور مبتنی بر زمان ممکن است قبل از استفاده منقضی شود، یا ممکن است کاربران ناامید شوند و تجربه را رها کنند.

· به خاطر سپردن OTPها سخت است و اگر گوشی تلفن همراه کاربرپسند نباشد و گزینه برش و چسباندن وجود نداشته باشد، اعداد به راحتی اشتباه تایپ می‌شوند.

· ممکن است یک کاربر مجبور شود یک مرورگر وب را ببندد، یک برنامه پیام کوتاه را باز کند، OTP را کپی کند، سپس مرورگر وب را دوباره باز کند و اصطکاک بیش از حدی به فرآیند اضافه کند.

یوآیدی، بهترین راهکار برای احراز هویت

یوآیدی، به عنوان یک نوآوری پیشرفته در عرصه‌ی احراز هویت در ایران، به منظور ارتقاء و سرعت‌بخشی در ارائه خدمات برای عموم جامعه ایجاد شده است. این سامانه با بهره‌گیری از توانایی‌های هوش مصنوعی، امکان انجام فرآیند احراز هویت به صورت غیر حضوری و دیجیتالی را فراهم می‌کند. به این ترتیب، افراد می‌توانند در چند لحظه و بدون نیاز به حضور فیزیکی خود، هویت خود را تأیید و به خدمات مختلف دسترسی پیدا کنند.

یوآیدی نه تنها در فرآیندهای بانکی، بلکه در سایر زمینه‌ها نیز کاربرد دارد. برای مثال، این سامانه امکان دریافت کد بورسی بدون نیاز به مراجعه حضوری به دفاتر پیشخوان را فراهم می‌سازد. همچنین، امکان انجام تراکنش‌های مالی بدون نیاز به حضور فیزیکی در شعب بانکی به وسیله‌ی یوآیدی وجود دارد. این امر منجر به افزایش سرعت و کارایی در انجام معاملات مالی می‌شود.

با توجه به تلاش‌های یوآیدی در جهت تسهیل و سرعت بخشیدن به فرآیندهای احراز هویت، هدف این سامانه بهبود تجربه کاربران در دسترسی به خدمات مختلف است. هر فرد در هر نقطه‌ای از جهان، به راحتی و بدون نیاز به حضور حضوری، می‌تواند از خدمات با کیفیت و امنیت بالا بهره‌مند شود.