چشمانداز خدمات مالی دیجیتال در دنیا به طور مداوم در حال تغییر است که به تبع آن، احراز اصالت مشتریان و شیوههای ورود آنها به این خدمات نیز تحتالشعاع قرار خواهد گرفت. فناوریهای جدید در حوزه احراز هویت و اصالت، از یک سو امنیت و سادگی بیشتر و از سوی دیگر چالشهای جدیدی را با خود به همراه دارند. از این رو نهادهای مالی باید فعالانه به دنبال بهترین راهحلها بوده و از شیوههای نوآورانه استقبال کنند. در این زمینه به عنوان مثال میتوان به احراز هویت بدون رمز عبور و استفاده از کلیدهای عبور (Passkeys) مبتنی بر استاندارد FIDO اشاره کرد. در ادامه دورنما و مشخصات شیوههای احراز هویت خدمات مالی/بانکداری در سالهای اخیر را تشریح خواهیم نمود.
1. افزایش محبوبیت کلیدهای عبور (Passkeys) مبتنی بر FIDO
از آنجایی که تعداد حملات سایبری به ویژه حملات فیشینگ همچنان در حال افزایش است، سازمانهای مالی و بانکی، فناوریهای احراز اصالت را دائما ارزیابی میکنند تا در برابر این حملات انعطافپذیری بیشتری داشته باشند. FIDO نمونه بارزی از فناوریهای نوین است. در حالی که در ابتدا، مقاومت در برابر پذیرش این فناوری قابل توجه بود، شرکت اپل اخیرا با رایج کردن کلیدهای عبور (Passkeys) بعنوان یک روش ورود بینیاز از گذرواژه که از استاندارد FIDO استفاده میکند، منجر به پذیرش گستردهتری از این استاندارد شده است. با کلیدهای عبور (Passkeys) به عنوان یکی از شیوههای احراز هویت خدمات مالی/بانکداری، موسسات مالی و بانکی میتوانند تجربیات ثبت ورود شخصیسازی شده را در خدمات تحت وب طراحی کنند. برای مثال کلیدهای عبور (Passkeys) میتوانند ورود به بانکداری اینترنتی را ساده کرده و امکان دسترسی راحت و بیدردسر، بدون نیاز به رمزهای عبور طولانی و تعویض دورهای آنها را برای مشتریان فراهم کنند. همچنین کاربران میتوانند تایید پرداخت را فقط با استفاده از تنها یک گوشی تلفن همراه بدون اینکه نیاز به سختافزار یا برنامه اضافی داشته باشند، انجام دهند.
2. هویت غیرمتمرکز
با رشد فزاینده مفاهیم web3، استانداردهای جدید احراز اصالت پدیدار شدهاند (بعنوان مثال اعتبارنامهها و حضور قابل تایید W3C). هویت غیرمتمرکز به طور اساسی شیوههای احراز اصالت موجود را تغییر داده و به کاربران قدرت بیسابقهای بر کنترل هویت خود و ویژگیهایی که از خودشان با طرفهای ثالث به اشتراک میگذارند، میدهد. به بیانی ساده، هویت غیرمتمرکز به افراد اجازه میدهد تا مدارک هویتی خود (اسناد شناسایی دیجیتال) را در یک برنامه کیف پول گوشی تلفن همراه (mobile wallet app) حمل کنند، تا از آن برای اثبات هویت خود هنگام دسترسی به خدمات دیجیتال و حتی خدمات فیزیکی استفاده کنند. تلاشهای دولتی، مانند قانون آتی اتحادیه اروپا در مورد کیف هویت دیجیتالی اروپایی (EUDIW) به شدت از این روند حمایت میکند. کیف هویت دیجیتال اتحادیه اروپا (EU Digital Identity Wallet) در سراسر این اتحادیه قابل استفاده خواهد بود و در صورت اجباری شدن آن برای همه شرکتهای بزرگ، مطمئنا در سمت کاربران نیز از پذیرش بیشتری برخوردار خواهد گشت. نکته جالب آن است که بانکها به طور قابل توجهی از اجرای کیف پول هویت دیجیتال اتحادیه اروپا سود خواهند برد، زیرا به مشتریان این امکان را میدهد تا فقط در عرض چند ثانیه یک حساب بانکی جدید باز کنند یا برای وام و سایر خدمات درخواست دهند. جذب سریعتر مشتری و ورود به سامانهها با کمترین دردسر و چالش، مزایای واضحی هستند که ارزش سرمایهگذاری در این زمینه را مشخص میکنند.
3 آماده شدن برای استاندارد جدید PSD3
اگرچه قانون PSD3 (ویرایش جدید دستورالعمل خدمات پرداخت اروپایی PSD2) هنوز در مراحل ابتدایی است، اما این ابتکار، تغییرات مهمی را در احراز اصالت و توانمندسازی مشتری (SCA) ایجاد خواهد کرد. از آنجایی که استفاده از SCA برای موسسات مالی دارای حسابهای پرداخت اجباری است، این سازمانها باید تمامی این تغییرات را در راهحلهای احراز اصالتی که به مشتریان ارائه میدهند، منعکس کنند.
4 رمزنگاری پساکوانتومی (PQC)
رمزنگاری پایه اصلی تمامی سیستمهای احراز اصالت جدید است. در حالی که استانداردهای موجود برای چندین دهه به خوبی کار میکردند و اکثر سامانهها فقط به الگوریتمهای ساده نیاز داشتند، یک تهدید جدید برای سیستمهای رمزنگاری، ظهور رایانههای کوانتومی است. رایانههای کوانتومی بر اساس اصول محاسباتی کاملا متفاوت استوار بوده و میتوانند الگوریتمهای رمزنگاری نامتقارن سنتی همانند RSA را به راحتی شکست دهند. در نتیجه، اکثر مدارک هویتی پذیرفته شده کنونی (مانند امضاء الکترونیکی با استفاده از الگوریتمهای رمزنگاری فعلی) غیرقابل اعتماد خواهند شد. در حالی که رایانههای کوانتومی امروزی هنوز به اندازه کافی قدرتمند نیستند که تهدیدی قابل توجه برای یک سیستم رمزنگاری مستحکم باشند، اما موسسات امنیت سایبری و نهادهای استانداردسازی آمادگی برای چنین تهدیداتی را توصیه میکنند. بعنوان مثال NIST اخیرا استاندادسازی سه الگوریتم جدید رمزنگاری را در سال 2024 برای آمادگی بیشتر برای مقابله در این زمینه پیشنهاد کرده است.
5 کلیدهای سختافزاری
پیشرفتهای جدید به ویژه در حوزه هوش مصنوعی در سالهای اخیر، تهدیدات امنیتی مختلفی را به دنبال داشته است. برای مثال چهرهها و یا صداهای مصنوعی ساخته شده توسط هوش مصنوعی، محدودیتهای احراز اصالت بر اساس معیارهای زیستسنجی از راهدور را به صورت جدی مورد تهدید قرار داده است. از این رو کاربران و سازمانهایی که به امنیت اهمیت میدهند به دنبال بالاترین سطح حفاظت بوده و استفاده از کلیدهای سختافزاری اختصاصی جدید مبتنی بر استانداردهایی همچون FIDO را به عنوان بهترین جایگزین درنظر خواهند گرفت. احراز اصالت چند عاملی MFA به کمک کلیدهای مبتنی بر استاندارد FIDO که مسلما شاهد افزایش استفاده از آنها در آینده نزدیک خواهیم بود، به کاربران در انواع حوزهها همچون بانکداری دیجیتال کمک خواهند نمود تا فرآیند احراز اصالت بسیار سادهتر و امنتری را در هنگام ورود به انواع سرویسها و سامانهها انجام دهند.
آماده ظهور فناوریهای جدید احراز اصالت باشید
شرکت رهآورد سامانههای امن (رهسا) مفتخر است نخستین شرکتی باشد که فناوری جدید احراز اصالت مبتنی بر استاندارد FIDO را در کشور در قالب محصول نشانه تهیه کرده است. محصول نشانه به طور قابل توجهی امنیت فرآیند احراز اصالت سازمانها را مستحکمتر نموده و در عین حال بهرهوری کاربران را نیز بهبود میبخشد. نشانه تلاش دارد با ارائه راه کارهای کارآمد، به صرفه و آسان، فرآیند کنار گذاشتن رمزهای عبور و مهاجرت به دنیای امن بدون رمزعبور و استفاده از کلیدهای عبور (Passkeys) را برای افراد و سازمانها تسهیل نماید. این محصول با استفاده از رمزنگاری کلید عمومی و با رعایت تمامی جزئیات استاندارد FIDO پیادهسازی شده است که از این رو در برابر بسیاری از حملات رایج همچون فیشینگ، مقاوم است. برای آشنایی بیشتر با شیوههای احراز هویت خدمات مالی/بانکداری و راهکار احراز هویت بدون رمز عبور شرکت رهآورد سامانههای امن میتوانید به وبسایت این محصول به آدرس https://neshane.co مراجعه نمایید.
اطلاعات بیشتر در خصوص احراز هویت چند عاملی و شیوههای نوین آن را در مقاله احراز هویت چند عاملی MFA: مزایا، معایب، آینده مطالعه کنید.