حذف OTP بانکی و مهاجرت به احراز هویت بدون رمز عبور

سال‌هاست که بانک‌ها برای تأیید تراکنش‌های آنلاین به رمز یکبار مصرف پیامکی (SMS OTP) تکیه کرده‌اند؛ روشی که زمانی نوآورانه به شمار می‌رفت، اما امروز به حلقه ضعیف زنجیره امنیت بانکداری دیجیتال تبدیل شده است. حذف OTP بانکی دیگر یک پیشنهاد نیست، بلکه ضرورتی فوری است که بانک‌های پیشرو در سراسر جهان آن را آغاز کرده‌اند. گزارش‌های امنیتی سال ۲۰۲۵ نشان می‌دهد بیش از ۶۸ درصد حملات موفق به حساب‌های بانکی آنلاین، از نقاط ضعف OTP پیامکی سوءاستفاده کرده‌اند. حملاتی مانند SIM Swap، فیشینگ هدفمند و شنود پیامک در سطح مخابراتی، رمز یکبار مصرف را به هدفی آسان برای مهاجمان تبدیل کرده است.

این مقاله جامع‌ترین راهنمای فارسی درباره حذف OTP بانکی و مهاجرت به احراز هویت بدون رمز عبور مبتنی بر استاندارد FIDO است. ابتدا ریسک‌های فنی و عملیاتی ادامه مسیر OTP را تشریح می‌کنیم، سپس جایگزین‌های موجود را در یک مقایسه تفصیلی بررسی کرده و نقشه راه عملیاتی مهاجرت را ارائه می‌دهیم.

موج جدید حملات سایبری مالی، و ضرورت تجهیزات حرفه‌ای

گزارش‌های سال ۲۰۲۵ نشان می‌دهد طی دو سال اخیر، حملات باج‌افزاری و فیشینگ سازمانی تا ۷۰ درصد افزایش داشته است. خسارت جمعی ناشی از نشت اطلاعات حسابداری، قطع سرویس مالی یا باج‌گیری از اسناد محرمانه علاوه بر خسارت مالی، اعتبار برند را تهدید و حتی باعث جریمه‌های قانونی می‌شود.

OTP بانکی چیست و چرا دوران آن رو به پایان است

رمز یکبار مصرف بانکی (OTP) کدی عددی است که بانک برای تأیید هویت مشتری یا اجازه اجرای تراکنش، از طریق پیامک به شماره موبایل ثبت‌شده ارسال می‌کند. این مکانیزم در اوایل دهه ۱۳۹۰ شمسی در سیستم بانکی ایران رواج یافت و با عنوان «رمز دوم پویا» جایگزین رمزهای ایستا شد. ایده پشت OTP ساده بود: حتی اگر مهاجم رمز عبور اصلی را بداند، بدون دسترسی به کد یکبار مصرف نمی‌تواند تراکنش را تکمیل کند.

تاریخچه استفاده از رمز یکبار مصرف در بانکداری ایران

بانک مرکزی ایران در سال ۱۳۹۷ استفاده از رمز دوم پویا را برای تراکنش‌های اینترنتی الزامی کرد. این تصمیم پاسخی به افزایش چشمگیر کلاهبرداری‌های مبتنی بر سرقت رمز ایستای کارت بود. بانک‌ها از دو روش برای ارائه رمز پویا استفاده کردند: ارسال پیامکی و اپلیکیشن رمزساز. اکثر مشتریان به دلیل سادگی، روش پیامکی را انتخاب کردند و همین انتخاب، زمینه‌ساز چالش‌های امنیتی امروز شد.

در ابتدای اجرای رمز پویا، نرخ تقلب کاهش محسوسی داشت. مهاجمان اما به سرعت تکنیک‌های خود را ارتقا دادند. از سال ۱۴۰۰ به بعد، گزارش‌های مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای) رشد صعودی حملات مبتنی بر فیشینگ و سرقت OTP را ثبت کرده است. واقعیت آن است که OTP پیامکی مانند قفلی است که کلیدش را از طریق کارت‌پستال ارسال می‌کنند؛ هر کسی در مسیر می‌تواند آن را بخواند.

محدودیت‌های ذاتی SMS OTP از منظر فنی

OTP پیامکی از چندین ضعف بنیادین رنج می‌برد که با وصله‌گذاری یا بهبود جزئی قابل رفع نیستند. اولین ضعف، ماهیت متن‌باز پیامک است. پروتکل SMS هیچ رمزنگاری سرتاسری (End-to-End Encryption) ندارد و پیامک به‌صورت متن ساده در شبکه مخابراتی منتقل می‌شود. دومین ضعف، عدم اتصال کد به تراکنش خاص است. کد OTP صرفاً یک عدد تصادفی بوده و به مبلغ، ذینفع یا جزئیات تراکنش متصل نیست. مهاجمی که این کد را به دست آورد، می‌تواند آن را برای هر تراکنش دلخواه استفاده کند.

سومین ضعف، وابستگی کامل به زیرساخت مخابراتی است. تأخیر در تحویل پیامک، قطعی شبکه، و مشکلات رومینگ بین‌المللی همگی عملکرد OTP را مختل می‌کنند. چهارمین ضعف، عدم تأیید هویت واقعی کاربر است. دریافت OTP فقط ثابت می‌کند کسی به گوشی دسترسی دارد، نه اینکه آن شخص واقعاً صاحب حساب است. اگر گوشی به سرقت رفته باشد یا شماره موبایل از طریق SIM Swap منتقل شده باشد، مهاجم با خیال راحت OTP را دریافت می‌کند.

آناتومی حملات علیه OTP بانکی

درک دقیق روش‌های حمله به OTP، ضرورت حذف OTP بانکی را روشن‌تر می‌سازد. مهاجمان از چندین بردار حمله برای دور زدن رمز یکبار مصرف استفاده می‌کنند و هر کدام از این بردارها به‌تنهایی دلیل کافی برای مهاجرت به روش‌های امن‌تر محسوب می‌شود.

حمله SIM Swap و سرقت شماره موبایل

حمله SIM Swap یکی از خطرناک‌ترین تهدیدات علیه OTP بانکی است. در این حمله، مهاجم با استفاده از مهندسی اجتماعی یا مدارک جعلی، اپراتور مخابراتی را متقاعد می‌کند شماره موبایل قربانی را به سیم‌کارت جدیدی منتقل نماید. پس از انتقال شماره، تمام پیامک‌ها از جمله کدهای OTP بانکی به دستگاه مهاجم ارسال می‌شوند.

فرآیند حمله معمولاً از جمع‌آوری اطلاعات شخصی قربانی از شبکه‌های اجتماعی و پایگاه‌های داده لو رفته آغاز می‌شود. مهاجم با این اطلاعات به دفتر اپراتور مراجعه کرده یا تماس تلفنی برقرار می‌کند. در بسیاری از موارد، تنها دانستن شماره ملی و نام مادر قربانی برای تأیید هویت در اپراتور کافی است. پس از دریافت سیم‌کارت جدید، مهاجم در عرض چند دقیقه به حساب‌های بانکی قربانی دسترسی پیدا می‌کند.

آمار بین‌المللی بسیار نگران‌کننده است. FBI در سال ۲۰۲۴ بیش از ۳۴۰۰ مورد شکایت SIM Swap با خسارت مجموع ۶۸ میلیون دلار ثبت کرده و این رقم نسبت به سال قبل ۱۲ درصد رشد داشته است. در ایران نیز گزارش‌های متعددی از قربانیان SIM Swap در فضای مجازی منتشر شده، هرچند آمار رسمی دقیقی در دسترس نیست.

فیشینگ هدفمند و ربودن کد OTP در لحظه

فیشینگ پیشرفته‌ترین و رایج‌ترین روش سرقت OTP بانکی محسوب می‌شود. مهاجمان صفحات جعلی بانکداری آنلاین ایجاد می‌کنند که از نظر ظاهری تفاوتی با سایت اصلی بانک ندارند. قربانی از طریق پیامک، ایمیل یا تبلیغات جعلی به این صفحات هدایت شده و اطلاعات کارت و رمز عبور خود را وارد می‌کند.

نکته کلیدی در فیشینگ مدرن، سرقت OTP در لحظه (Real-Time Phishing) است. سایت فیشینگ اطلاعات وارد شده را فوراً به سرور مهاجم ارسال می‌کند. مهاجم این اطلاعات را در سایت واقعی بانک وارد کرده و درخواست OTP صادر می‌نماید. بانک OTP را به گوشی قربانی ارسال می‌کند و قربانی که هنوز در سایت فیشینگ قرار دارد، کد دریافتی را در همان صفحه جعلی وارد می‌کند. مهاجم این کد را فوراً در سایت واقعی بانک استفاده کرده و تراکنش را تکمیل می‌نماید. تمام این فرآیند در کمتر از ۳۰ ثانیه رخ می‌دهد.

ابزارهای متن‌باز مانند Evilginx2 و Modlishka امکان راه‌اندازی حملات فیشینگ Real-Time را با دانش فنی متوسط فراهم کرده‌اند. این ابزارها به‌عنوان پروکسی معکوس (Reverse Proxy) عمل کرده و ترافیک بین قربانی و سایت واقعی بانک را رهگیری می‌کنند. OTP در این سناریو کاملاً بی‌اثر است زیرا مهاجم به‌صورت بلادرنگ آن را می‌رباید.

حملات SS7 و شنود پیامک در سطح مخابراتی

پروتکل SS7 (Signaling System 7) ستون فقرات شبکه‌های مخابراتی جهان است و از دهه ۱۹۷۰ بدون تغییر امنیتی اساسی استفاده می‌شود. آسیب‌پذیری‌های این پروتکل به مهاجمان اجازه می‌دهد بدون دسترسی فیزیکی به گوشی قربانی، پیامک‌های وی را شنود کنند. حمله SS7 نیازمند تجهیزات تخصصی و دسترسی به شبکه مخابراتی است، اما در بازار زیرزمینی، سرویس‌هایی برای اجرای این حمله با قیمت چند صد دلار عرضه می‌شوند.

محققان امنیتی در سال ۲۰۱۷ به‌صورت زنده نشان دادند چگونه با سوءاستفاده از SS7، OTP بانکی یک حساب آزمایشی آلمانی را شنود کرده و تراکنش غیرمجاز انجام دادند. این آزمایش سر و صدای زیادی در صنعت بانکداری اروپا ایجاد کرد و یکی از محرک‌های اصلی تصویب مقررات PSD2 و الزام به SCA شد.

اگرچه حمله SS7 به دلیل نیاز به تخصص و تجهیزات، کمتر از فیشینگ رایج است، اما تأثیر آن به‌مراتب مخرب‌تر می‌باشد. قربانی هیچ نشانه‌ای از حمله نمی‌بیند، پیامک به‌ظاهر عادی ارسال و دریافت می‌شود، و تنها پس از مشاهده تراکنش غیرمجاز در صورت‌حساب متوجه سرقت می‌شود.

بدافزارهای موبایلی و خوانش خودکار پیامک

نسل جدید بدافزارهای موبایلی قابلیت خوانش خودکار پیامک‌ها و ارسال آن‌ها به سرور مهاجم را دارند. بدافزارهایی مانند Cerberus، Anubis و FluBot با تقلید از اپلیکیشن‌های معتبر، کاربران اندرویدی را فریب داده و پس از نصب، مجوز خوانش پیامک را دریافت می‌کنند.

برخی نسخه‌های پیشرفته این بدافزارها حتی می‌توانند Notification حاوی OTP را قبل از نمایش به کاربر حذف کنند، بنابراین قربانی متوجه دریافت کد نمی‌شود. مهاجم OTP را از طریق بدافزار دریافت کرده و در سرور خود استفاده می‌کند. گوگل اعلام کرده در سال ۲۰۲۴ بیش از ۲.۳۶ میلیون اپلیکیشن ناقض سیاست‌های امنیتی را از Play Store حذف نموده، اما بسیاری از بدافزارها از طریق فایل‌های APK خارج از فروشگاه رسمی توزیع می‌شوند.

ریسک‌های ادامه استفاده از OTP برای بانک‌ها و مشتریان

ادامه اتکا به OTP پیامکی ریسک‌های متعددی را برای بانک‌ها و مشتریان ایجاد می‌کند. این ریسک‌ها صرفاً فنی نیستند و ابعاد مالی، حقوقی و اعتباری نیز دارند.

ریسک‌های مالی و حقوقی

خسارات مالی ناشی از تقلب OTP مستقیماً به بانک یا مشتری تحمیل می‌شود. در بسیاری از موارد، بانک‌ها مجبور به جبران خسارت مشتریان قربانی فیشینگ هستند، به‌ویژه زمانی که اثبات شود بانک از روش احراز هویت قوی‌تری استفاده نکرده است. هزینه‌های رسیدگی به شکایات، پیگیری حقوقی و بازگرداندن وجوه سرقت‌شده به‌مراتب بیشتر از هزینه پیاده‌سازی یک سیستم احراز هویت مدرن است.

مقررات بین‌المللی نیز فشار فزاینده‌ای بر بانک‌ها وارد می‌کنند. دستورالعمل PSD2 اتحادیه اروپا صراحتاً SMS OTP را به‌عنوان تنها عامل احراز هویت کافی نمی‌داند و الزام به احراز هویت قوی مشتری (SCA) با Dynamic Linking دارد. بانک‌های ایرانی که قصد تعامل بین‌المللی یا جذب سرمایه‌گذاری خارجی دارند، باید استانداردهای امنیتی خود را به سطح جهانی ارتقا دهند.

ریسک‌های عملیاتی و اعتباری

از منظر عملیاتی، OTP پیامکی هزینه‌های جاری قابل توجهی به بانک تحمیل می‌کند. هزینه ارسال هر پیامک، ضرب در میلیون‌ها تراکنش روزانه، رقم قابل ملاحظه‌ای را تشکیل می‌دهد. تماس‌های پشتیبانی مشتریانی که OTP دریافت نکرده‌اند یا کد آن‌ها منقضی شده نیز فشار سنگینی بر مرکز تماس بانک وارد می‌کند. برآوردها نشان می‌دهد بین ۲۰ تا ۳۰ درصد تماس‌های پشتیبانی بانک‌ها مرتبط با مشکلات رمز یکبار مصرف است.

آسیب اعتباری ناشی از رخدادهای امنیتی نیز نباید دست‌کم گرفته شود. هر خبر منتشرشده درباره سرقت از حساب مشتری از طریق OTP، اعتماد عمومی به بانک را خدشه‌دار می‌کند. رقبایی که از روش‌های احراز هویت مدرن‌تر استفاده می‌کنند، مشتریان آگاه به امنیت را جذب خواهند کرد.

جایگزین‌های OTP بانکی و مقایسه جامع روش‌ها

پس از درک ضعف‌های OTP، پرسش کلیدی این است: بانک‌ها چه جایگزینی باید انتخاب کنند؟ چندین روش احراز هویت مدرن وجود دارد که هر کدام مزایا و محدودیت‌های خاص خود را دارند.

اپلیکیشن‌های تولید رمز (TOTP)

اپلیکیشن‌هایی مانند Google Authenticator و Microsoft Authenticator کدهای عددی زمان‌مبنا (Time-Based One-Time Password) تولید می‌کنند. این کدها روی دستگاه تولید شده و از طریق شبکه مخابراتی ارسال نمی‌شوند، بنابراین در برابر حملات SIM Swap و شنود SS7 مقاوم هستند.

محدودیت اصلی TOTP آن است که کاربر همچنان باید یک کد عددی را بخواند و وارد کند. این فرآیند تجربه کاربری ایده‌آلی ایجاد نمی‌کند و همچنان در برابر فیشینگ Real-Time آسیب‌پذیر است، زیرا مهاجم می‌تواند کد وارد شده در سایت فیشینگ را فوراً در سایت واقعی استفاده نماید. همچنین TOTP قابلیت Dynamic Linking ندارد؛ کد تولید شده به هیچ تراکنش خاصی متصل نیست.

Push Notification با تأیید بیومتریک

در این روش، بانک یک اعلان (Push Notification) به اپلیکیشن موبایل مشتری ارسال می‌کند. مشتری جزئیات تراکنش را در اپلیکیشن می‌بیند و با اثر انگشت یا تشخیص چهره آن را تأیید می‌نماید. این روش تجربه کاربری بهتری نسبت به TOTP دارد و قابلیت نمایش جزئیات تراکنش را فراهم می‌کند.

نقطه ضعف Push Notification آن است که اگر اپلیکیشن بانک از استاندارد FIDO استفاده نکند، کلیدهای رمزنگاری ممکن است به‌اندازه کافی امن ذخیره نشوند. همچنین فرآیند تأیید ممکن است اختصاصی (Proprietary) بوده و قابلیت تعامل با سایر سیستم‌ها را نداشته باشد. وابستگی به اتصال اینترنت برای دریافت Push نیز محدودیتی است که در شرایط آفلاین مشکل‌ساز می‌شود.

احراز هویت FIDO و Passkeys

استاندارد FIDO (Fast Identity Online) یک پروتکل باز برای احراز هویت بدون رمز عبور است که بر رمزنگاری نامتقارن (Public Key Cryptography) بنا شده است. در FIDO، یک جفت کلید عمومی-خصوصی در دستگاه کاربر تولید می‌شود. کلید خصوصی هرگز دستگاه را ترک نکرده و کلید عمومی به سرور ارسال می‌شود. تأیید هویت از طریق امضای دیجیتال یک چالش رمزنگاری انجام می‌گیرد.

FIDO از نظر امنیتی در سطح متفاوتی نسبت به OTP و حتی TOTP قرار دارد. هیچ رازی (Secret) بین کاربر و سرور به اشتراک گذاشته نمی‌شود، بنابراین حتی در صورت نفوذ به سرور، مهاجم نمی‌تواند Credentialهای کاربران را سرقت کند. Credential هر سایت به دامنه (Origin) آن متصل بوده و روی سایت‌های فیشینگ کار نمی‌کند. قابلیت Transaction Signing نیز امکان Dynamic Linking واقعی را فراهم می‌سازد.

Passkeys نسل جدید FIDO هستند که قابلیت همگام‌سازی Credential بین دستگاه‌های کاربر را اضافه کرده‌اند. این قابلیت مشکل تاریخی FIDO یعنی از دست رفتن Credential هنگام تعویض دستگاه را حل می‌کند.

جدول مقایسه جامع روش‌های جایگزین OTP

این جدول مقایسه‌ای به‌روشنی نشان می‌دهد که FIDO در تمام معیارهای امنیتی عملکرد برتر دارد و تنها روشی است که مقاومت ذاتی در برابر فیشینگ و حملات Man-in-the-Middle را ارائه می‌دهد.

استاندارد FIDO؛ بهترین جایگزین OTP در بانکداری

استاندارد FIDO که توسط اتحادیه FIDO (FIDO Alliance) توسعه یافته، پاسخ صنعت فناوری به مشکلات بنیادین رمز عبور و OTP است. این اتحادیه که اعضای آن شامل شرکت‌هایی مانند Google، Microsoft، Apple، Visa و Mastercard هستند، مجموعه‌ای از استانداردهای باز برای احراز هویت قوی تدوین کرده است.

معماری رمزنگاری FIDO و تفاوت بنیادین با OTP

تفاوت بنیادین FIDO با OTP در مدل امنیتی آن نهفته است. در OTP، یک راز مشترک (Shared Secret) بین سرور و کاربر وجود دارد: الگوریتم تولید کد و seed اولیه. اگر سرور هک شود، مهاجم می‌تواند OTP تمام کاربران را تولید کند. در FIDO، هیچ رازی در سرور ذخیره نمی‌شود. سرور فقط کلید عمومی کاربر را نگه می‌دارد که حتی در صورت سرقت، بی‌فایده است.

فرآیند ثبت‌نام FIDO به این صورت عمل می‌کند: دستگاه کاربر یک جفت کلید نامتقارن تولید می‌کند. کلید خصوصی در Secure Element یا TPM (Trusted Platform Module) دستگاه ذخیره شده و با رمزنگاری سخت‌افزاری محافظت می‌شود. کلید عمومی به سرور ارسال و ثبت می‌گردد. در زمان احراز هویت، سرور یک چالش تصادفی (Challenge) ارسال می‌کند. دستگاه این چالش را با کلید خصوصی امضا کرده و امضای دیجیتال را به سرور بازمی‌گرداند. سرور با استفاده از کلید عمومی، صحت امضا را تأیید می‌نماید.

این معماری سه مزیت امنیتی حیاتی دارد. نخست، عدم امکان حمله Replay: هر چالش یکبار مصرف بوده و امضای آن برای چالش دیگر قابل استفاده نیست. دوم، مقاومت در برابر نفوذ به سرور: سرقت کلیدهای عمومی بی‌ارزش است. سوم، مقاومت در برابر فیشینگ: Credential به دامنه (Origin) متصل بوده و مرورگر به‌صورت خودکار از استفاده آن در دامنه‌های دیگر جلوگیری می‌کند.

FIDO2 و WebAuthn؛ استانداردی که مرورگرها و سیستم‌عامل‌ها پشتیبانی می‌کنند

FIDO2 نسل دوم استاندارد FIDO است که از دو مؤلفه اصلی تشکیل شده: WebAuthn (استاندارد W3C برای APIهای مرورگر) و CTAP2 (پروتکل ارتباط مرورگر با احرازکننده‌های خارجی مانند کلیدهای امنیتی USB). از سال ۲۰۱۹، تمام مرورگرهای اصلی شامل Chrome، Firefox، Safari و Edge از WebAuthn پشتیبانی می‌کنند.

سیستم‌عامل‌های Android (نسخه ۷ به بالا) و iOS (نسخه ۱۶ به بالا) نیز پشتیبانی بومی از FIDO2 دارند. این گستردگی پشتیبانی به این معناست که بیش از ۹۵ درصد دستگاه‌های فعال کاربران بدون نصب نرم‌افزار اضافی، قابلیت استفاده از FIDO را دارند. بانک‌ها دیگر نگران سازگاری دستگاه‌های مشتریان نیستند.

Windows Hello، Touch ID، Face ID و سنسورهای اثر انگشت اندرویدی همگی به‌عنوان Platform Authenticator در FIDO2 عمل می‌کنند. مشتری بانک بدون خرید تجهیز اضافی، صرفاً با استفاده از بیومتریک داخلی دستگاه خود می‌تواند احراز هویت FIDO انجام دهد.

Transaction Signing و پیوند پویای تراکنش

یکی از مهم‌ترین قابلیت‌های FIDO برای بانکداری، Transaction Signing (امضای تراکنش) است. این قابلیت الزام Dynamic Linking در PSD2 را به‌طور کامل پوشش می‌دهد. در Dynamic Linking، کد تأیید باید به‌صورت رمزنگاری‌شده به جزئیات تراکنش شامل مبلغ و ذینفع متصل باشد.

OTP پیامکی اساساً قادر به ارائه Dynamic Linking نیست، زیرا کد ارسالی یک عدد تصادفی بوده و هیچ اتصال رمزنگاری‌شده‌ای با جزئیات تراکنش ندارد. مهاجمی که کد OTP یک تراکنش ۱۰۰ هزار تومانی را بدزدد، می‌تواند آن را برای تراکنش ۱۰۰ میلیون تومانی استفاده کند.

در مقابل، Transaction Signing با FIDO به این صورت کار می‌کند: سرور بانک جزئیات تراکنش (مبلغ، شماره حساب مقصد، نام ذینفع) را همراه با چالش رمزنگاری به دستگاه مشتری ارسال می‌کند. اپلیکیشن بانک این جزئیات را به مشتری نمایش می‌دهد. مشتری پس از بررسی، با بیومتریک تأیید می‌کند. کلید خصوصی هم چالش و هم هش جزئیات تراکنش را امضا می‌نماید. سرور پس از تأیید امضا بررسی می‌کند که جزئیات تراکنش امضا شده با تراکنش درخواستی مطابقت دارد. هرگونه تغییر در مبلغ یا ذینفع، امضا را نامعتبر می‌سازد.

نقشه راه مهاجرت از OTP به احراز هویت بدون رمز عبور

حذف OTP بانکی یک پروژه تحول دیجیتال است که نیازمند برنامه‌ریزی دقیق، اجرای مرحله‌ای و مدیریت تغییر مؤثر می‌باشد. بانک‌ها نمی‌توانند یک‌شبه OTP را حذف کنند، اما می‌توانند با یک نقشه راه مشخص، این مهاجرت را طی ۱۲ تا ۱۸ ماه به‌صورت ایمن انجام دهند.

فاز ارزیابی و طراحی معماری

در این فاز که معمولاً ۲ تا ۳ ماه به طول می‌انجامد، بانک وضعیت فعلی سیستم‌های احراز هویت خود را ارزیابی می‌کند. تیم فنی باید معماری Core Banking، سیستم‌های پرداخت، اینترنت‌بانک و موبایل‌بانک را بررسی نموده و نقاط یکپارچه‌سازی با سیستم SCA جدید را شناسایی نماید. تحلیل آمار تقلب و فیشینگ دوره‌های گذشته، تصویر روشنی از ریسک‌های فعلی و اولویت‌بندی سناریوهای مهاجرت ارائه می‌دهد.

خروجی این فاز یک سند معماری هدف (Target Architecture Document) است که جریان‌های احراز هویت جدید، نحوه یکپارچه‌سازی با سیستم‌های موجود و برنامه زمان‌بندی پروژه را مشخص می‌کند. انتخاب سرور FIDO و تأمین‌کننده راهکار نیز در این فاز انجام می‌شود.

فاز پایلوت و آزمایش محدود

فاز پایلوت ۲ تا ۳ ماه به طول انجامیده و هدف آن اعتبارسنجی راهکار در محیط واقعی اما با مقیاس کوچک است. بانک سرور FIDO را نصب و پیکربندی کرده و با یک سرویس بانکی (معمولاً اینترنت‌بانک) یکپارچه می‌نماید. گروه اولیه شامل کارکنان بانک و مشتریان منتخب، از سیستم جدید استفاده می‌کنند.

در طول پایلوت، تیم فنی بازخورد کاربران را جمع‌آوری کرده و جریان‌های کاربری را بهینه‌سازی می‌نماید. تست نفوذ (Penetration Testing) و ارزیابی امنیتی جامع در این فاز ضروری است. معیارهای موفقیت شامل نرخ ثبت‌نام موفق، نرخ تأیید موفق تراکنش، زمان متوسط احراز هویت و رضایت کاربران اندازه‌گیری می‌شود.

فاز گسترش و آموزش مشتریان

پس از موفقیت پایلوت، بانک احراز هویت FIDO را به‌عنوان گزینه اختیاری به همه مشتریان ارائه می‌دهد. این فاز ۳ تا ۶ ماه به طول انجامیده و کلید موفقیت آن، آموزش مؤثر مشتریان است. بانک باید ویدیوهای آموزشی کوتاه، راهنماهای تصویری و پشتیبانی اختصاصی برای مشتریانی که به روش جدید مهاجرت می‌کنند فراهم سازد.

کمپین‌های تشویقی مانند تخفیف کارمزد برای مشتریانی که FIDO فعال می‌کنند، نرخ پذیرش را افزایش می‌دهد. یکپارچه‌سازی با سایر سرویس‌ها شامل موبایل‌بانک، درگاه پرداخت و سرویس‌های باشگاه مشتریان نیز در این فاز انجام می‌شود.

فاز حذف کامل OTP و پایش مستمر

در فاز نهایی که ۳ تا ۶ ماه دیگر به طول می‌انجامد، بانک به تدریج OTP پیامکی را غیرفعال می‌کند. ابتدا OTP برای تراکنش‌های کم‌ریسک حذف شده و سپس برای تمام تراکنش‌ها جایگزین می‌شود. برای مشتریانی که هنوز مهاجرت نکرده‌اند، یک مهلت مشخص با اطلاع‌رسانی مکرر تعیین می‌گردد.

پس از حذف کامل، پایش مستمر سیستم‌ جدید ضروری است. نظارت بر نرخ تأیید موفق، شناسایی الگوهای غیرعادی و بهینه‌سازی مداوم تجربه کاربری تضمین می‌کند که سیستم جدید عملکرد مطلوب خود را حفظ نماید.

راهکار نشانه برای حذف OTP بانکی

نشانه (محصول شرکت رهسا) یک سامانه جامع مدیریت احراز هویت بدون رمز عبور است که بر استاندارد FIDO بنا شده و به‌طور اختصاصی برای نیازهای بانکداری ایران طراحی شده است. این سامانه تمام قابلیت‌های لازم برای جایگزینی کامل OTP بانکی با یک راهکار امن، سریع و کاربرپسند را فراهم می‌کند.

نشانه علاوه بر FIDO، از احراز هویت‌های دوعاملی شامل دستگاه‌های رمزساز و توکن‌های امضای دیجیتال نیز پشتیبانی می‌نماید. این انعطاف‌پذیری به بانک‌ها اجازه می‌دهد بر اساس سطح ریسک هر تراکنش، روش احراز هویت مناسب را اعمال کنند. سامانه نشانه راهکارهای احراز هویت چندعاملی بدون گذرواژه ارائه می‌دهد که امن‌ترین شیوه احراز هویت در دنیای امروز محسوب می‌شود.

نشانه موبایل؛ تبدیل گوشی هوشمند به کلید عبور امن

نشانه موبایل گوشی هوشمند مشتری را به یک احرازکننده FIDO تبدیل می‌کند. مشتری بانک با نصب اپلیکیشن نشانه و انجام یک فرآیند ثبت‌نام ساده، Credential FIDO خود را ایجاد می‌نماید. کلید خصوصی در Secure Element یا TEE (Trusted Execution Environment) گوشی ذخیره شده و با بیومتریک داخلی دستگاه (اثر انگشت یا تشخیص چهره) محافظت می‌شود.

پس از ثبت‌نام، مشتری برای هر تراکنش بانکی تنها با یک لمس اثر انگشت یا نگاه به دوربین، هویت خود را تأیید می‌کند. جزئیات تراکنش شامل مبلغ و ذینفع روی صفحه گوشی نمایش داده می‌شود و مشتری قبل از تأیید بیومتریک، آن‌ها را بررسی می‌نماید. این فرآیند Transaction Signing واقعی را پیاده‌سازی کرده و Dynamic Linking مورد نیاز PSD2 را تأمین می‌کند.

نشانه توکن؛ کلید امنیتی سخت‌افزاری برای تراکنش‌های حساس

برای مشتریان سازمانی، تراکنش‌های کلان و سناریوهای با ریسک بسیار بالا، نشانه توکن (کلید امنیتی سخت‌افزاری) سطح بالاتری از امنیت را فراهم می‌سازد. این توکن‌ها کلید خصوصی را در یک تراشه امن (Secure Element) مقاوم در برابر دست‌کاری فیزیکی ذخیره می‌کنند.

نشانه توکن از طریق USB یا NFC به دستگاه کاربر متصل شده و نیازمند لمس فیزیکی دکمه روی توکن برای تأیید است. این لمس فیزیکی تضمین می‌کند که انسانی واقعی در پشت دستگاه حضور دارد و هیچ بدافزاری نمی‌تواند بدون آگاهی کاربر تراکنش را تأیید نماید.

سناریوهای کاربردی نشانه توکن شامل تأیید تراکنش‌های بالای سقف مشخص (مثلاً بالای ۵۰ میلیون تومان)، دسترسی مدیران ارشد به سیستم‌های حساس بانکی، تأیید تغییرات حیاتی مانند افزودن ذینفع جدید به فهرست سفید و امضای اسناد مالی و قراردادهای دیجیتال است.

معماری یکپارچه‌سازی نشانه با سیستم‌های بانکی

نشانه از معماری مدرن مبتنی بر API طراحی شده که یکپارچه‌سازی با انواع Core Bankingها و سیستم‌های بانکی را تسهیل می‌کند. اجزای اصلی این معماری عبارتند از:

FIDO Server مرکزی که مسئولیت مدیریت چرخه عمر Credentialها، پردازش چالش‌های رمزنگاری و تأیید امضاهای دیجیتال را بر عهده دارد. این سرور با رعایت کامل استانداردهای FIDO2 توسعه یافته و گواهینامه‌های مربوطه را دارد.

لایه یکپارچه‌سازی (Integration Layer) که ارتباط بین FIDO Server و Core Banking بانک را برقرار می‌کند. این لایه از پروتکل‌های REST API و پیام‌رسانی امن استفاده می‌نماید و قابلیت سفارشی‌سازی برای هر بانک را دارد. سیاست‌های کسب‌وکار مانند تعیین سقف تراکنش‌های نیازمند تأیید، تعداد مجاز تلاش ناموفق و مدت اعتبار جلسه در این لایه تنظیم می‌شود.

پنل مدیریت که به مدیران امنیت بانک امکان نظارت بلادرنگ بر وضعیت احراز هویت، مدیریت سیاست‌ها و مشاهده گزارش‌های تحلیلی را می‌دهد.

SDK موبایل و وب که توسعه‌دهندگان اپلیکیشن‌های بانکی می‌توانند با حداقل کدنویسی، FIDO را در اینترنت‌بانک و موبایل‌بانک پیاده‌سازی کنند.

نشانه همچنین قابلیت SSO (Single Sign-On) ارائه می‌دهد. با این قابلیت، مشتری بانک تنها با یک‌بار احراز هویت FIDO، به تمام سرویس‌های بانکی شامل اینترنت‌بانک، موبایل‌بانک، باشگاه مشتریان و سرویس‌های جانبی دسترسی پیدا می‌کند. این یکپارچگی هم تجربه کاربری را بهبود می‌بخشد و هم مدیریت هویت را برای تیم IT بانک ساده‌تر می‌سازد.

تجربه بانک‌های جهانی در حذف OTP

بررسی تجربه بانک‌های پیشرو جهانی در مهاجرت از OTP به FIDO، درس‌های ارزشمندی برای بانک‌های ایرانی به همراه دارد.

تجربه بانک‌های اروپایی پس از PSD2

پس از اجرایی شدن کامل PSD2 در سپتامبر ۲۰۱۹ و مهلت نهایی SCA در مارس ۲۰۲۱، بانک‌های اروپایی فرآیند مهاجرت از SMS OTP به روش‌های قوی‌تر را آغاز کردند. بانک ING هلند از اولین بانک‌هایی بود که FIDO را در اپلیکیشن موبایل خود پیاده‌سازی کرد. نتایج این بانک نشان داد نرخ تقلب مبتنی بر فیشینگ ۹۱ درصد کاهش یافته و زمان متوسط احراز هویت از ۲۵ ثانیه به ۲.۴ ثانیه رسیده است.

بانک BBVA اسپانیا گزارش داد که پس از پیاده‌سازی FIDO، نرخ تکمیل موفقیت‌آمیز تراکنش‌های آنلاین ۱۵ درصد افزایش یافته، زیرا مشتریان دیگر به دلیل مشکلات OTP از تکمیل خرید منصرف نمی‌شوند. بانک‌های بریتانیایی مانند NatWest و Barclays نیز FIDO را به‌عنوان گزینه اصلی احراز هویت معرفی کرده و OTP را فقط به‌عنوان مکانیزم Fallback برای دستگاه‌های قدیمی نگه داشته‌اند.

تجربه بانک‌های آسیای جنوب شرقی

بانک‌های آسیای جنوب شرقی به دلیل نرخ بالای تقلب دیجیتال، از پیشگامان حذف OTP بوده‌اند. بانک DBS سنگاپور که بزرگ‌ترین بانک آسیای جنوب شرقی است، در سال ۲۰۲۳ اعلام کرد OTP پیامکی را برای ورود به حساب‌های دیجیتال به‌تدریج حذف خواهد کرد. این بانک FIDO و بیومتریک را جایگزین OTP کرده و نرخ حملات فیشینگ موفق را تا ۸۰ درصد کاهش داده است.

بانک مرکزی سنگاپور (MAS) در سال ۲۰۲۴ دستورالعمل رسمی برای حذف تدریجی SMS OTP صادر کرد و بانک‌ها را ملزم نمود روش‌های مقاوم در برابر فیشینگ مانند FIDO را جایگزین سازند. مالزی و تایلند نیز مسیر مشابهی را دنبال کرده و استفاده از بیومتریک و FIDO را در تراکنش‌های بانکی ترویج می‌کنند.

بانک‌های ژاپنی و کره‌ای جنوبی نیز تجربه‌های موفقی در این حوزه داشته‌اند. بانک Mizuho ژاپن با پیاده‌سازی FIDO در اپلیکیشن موبایل خود، تماس‌های پشتیبانی مربوط به مشکلات احراز هویت را ۴۰ درصد کاهش داده و رضایت مشتریان را به‌طور قابل ملاحظه‌ای افزایش داده است.

جمع‌بندی؛ حذف OTP بانکی یک ضرورت نه انتخاب

حذف OTP بانکی دیگر پرسشی درباره «آیا» نیست، بلکه پرسش درباره «کِی» و «چگونه» است. شواهد فنی، آمار حملات و تجربه بانک‌های جهانی همگی در یک جهت اشاره می‌کنند: SMS OTP به پایان عمر مفید خود رسیده و استاندارد FIDO بهترین جایگزین آن برای بانکداری دیجیتال است.

بانک‌های ایرانی با چالش‌های خاص خود روبرو هستند، از عادت مشتریان به رمز پویای پیامکی گرفته تا تنوع دستگاه‌ها و محدودیت‌های زیرساختی. اما این چالش‌ها با برنامه‌ریزی صحیح و انتخاب راهکار مناسب قابل حل هستند. هر روز تأخیر در مهاجرت، فرصتی است که مهاجمان از آن بهره‌برداری می‌کنند.

FIDO با معماری رمزنگاری نامتقارن، مقاومت ذاتی در برابر فیشینگ، قابلیت Transaction Signing و تجربه کاربری بی‌نظیر، تمام نیازهای احراز هویت قوی بانکی را پوشش می‌دهد. راهکار نشانه (neshane.co) به‌عنوان یک سامانه جامع IAM و احراز هویت بدون رمز عبور مبتنی بر FIDO، ابزار لازم برای این مهاجرت را در اختیار بانک‌های ایرانی قرار می‌دهد.

🟦 مشاوره امنیتی رایگان

تیم نشانه آماده همراهی شما در مسیر حذف OTP و مهاجرت به احراز هویت بدون رمز عبور است.