حتما وقتی در سال 1398 رمز دوم پویا در سیستم بانکداری ایران رایج شد یادتان هست؟ تا پیش از آن کاربران از رمز دوم ثابت برای تراکنشهای خود استفاده میکردند که میتوانست خطرات مختلفی مانند برداشتهای غیرمجاز و حملات فیشینگ را به دنبال داشته باشد؛ حالا شما هر بار که تراکنش مالی انجام میدهید، نهایتا دو دقیقه فرصت دارید از رمز یکبار مصرف ارسالشده استفاده کنید. اما سیستم احراز هویت پیامکی تنها در موسسات مالی و بانکی کاربرد ندارند. چه صاحب یک سایت فروشگاهی باشید و چه یک اپلیکیشن؛ میتوانید از احراز هویت پیامکی استفاده کنید.در این یادداشت میخواهیم علاوه بر بررسی ویژگیها و کاربردهای احراز هویت پیامکی به این سوال جواب دهیم که آیا رمز یکبار مصرف یا همان OTP به تنهایی میتواند برای سیستمهای پیچیده امروزی کافی باشد و امنیت لازم را در دنیای دیجیتال امروز فراهم میکند یا خیر؟
احراز هویت پیامکی چیست؟
احراز هویت پیامکی (SMS Authentication) روشی است که در آن یک پیامک حاوی کد تایید به شماره موبایل ثبتشده کاربر ارسال میشود و کاربر با وارد کردن آن در پلتفرم مورد نظر، هویت خود را تایید میکند. امروزه حدود 70 تا 80 درصد از سازمانها در سراسر جهان از احراز هویت پیامکی استفاده میکنند. در این روش به کد ارسال شده OTP میگویند. در ادامه همراه ما باشید تا به شما بگوییم که OTP چیست و چه انواعی دارد؟
OTP چیست؟
OTP یا همان رمز یکبار مصرف در واقع یک کد موقتی است که فقط برای یک بار استفاده به وجود میآید. رمزهای یکبارمصرف معمولا بهصورت خودکار تولید میشوند و به شکل عدد یا ترکیبی از حروف و اعداد هستند که از طریق پیامک یا تماس صوتی به گوشی کاربر ارسال میشوند. در واقع رمز یکبار مصرف پایهی اصلی احراز هویت دو مرحلهای پیامکی است که امروزه در بسیاری از سایتها و اپلیکیشنها استفاده میشود.
بیشتر بخوانید: APIهای احراز هویت چگونه کار میکنند و چه مزایایی دارند؟
مثلا وقتی میخواهید هزینه یک محصول را در سایت فروشگاهی پرداخت کنید و دکمه تکمیل خرید را بزنید، آن کد 6 رقمی که به شماره موبایل شما پیامک میشود و فقط چند دقیقه کوتاه اعتبار دارد، همان OTP است. به خاطر همین هم احراز هویت OTP امنتر از رمزهای ثابت به نظر میرسد و معمولا برای کارهای مهمی مانند ورود به یک سایت یا اپلیکیشن، پرداخت و یا تایید حساب استفاده میشود. برای کسبوکارها استفاده از API پیامک احراز هویت این امکان را فراهم میکند که بدون زیرساخت پیچیده، فرایند ورود و تأیید کاربران را ایمنسازی کنند. به عبارت دیگر، OTP API به سرورها اجازه میدهد بهصورت خودکار رمز یکبار مصرف را تولید، ارسال و بررسی کنند.

انواع کدهای احراز هویت OTP
کدهای احراز هویت OTP به دو دسته تقسیم میشوند؛ مبتنی بر زمان و مبتنی بر رویداد. درک تفاوتهای بین انواع کدها به کسبوکارها کمک میکند تا بهترین روش احراز هویت را برای نیازهای امنیتی خود انتخاب کنند.
OTP مبتنی بر زمان (TOTP)
در این روش احراز هویت پیامکی، یک کد موقت به کاربر ارسال میشود و او مدت زمان بسیار کوتاهی، مثلا ۳۰ یا ۶۰ ثانیه (گاهی تا ۱۲۰ ثانیه)، فرصت دارد تا از کد استفاده کند وگرنه منقضی میشود و دیگر قابل استفاده نخواهد بود.
OTP مبتنی بر رویداد (HOTP)
این نوع از OTP، یک رمز یکبار مصرف است که با انجام دادن یک کار مانند فشار دادن دکمه یا ورود به سیستم تولید میشود و تا زمانی که استفاده نشود و یا درخواست جدیدی ارسال نشود ؛ قابل استفاده باقی میماند.
سادگی به همراه سرعت؛ مزایای استفاده از احراز هویت پیامکی
احراز هویت OTP همین حالا هم در بسیار از سازمانها در سراسر جهان استفاده میشود. حالا بیایید در ادامه ببینیم که چه مزیتهایی باعث شده است تا احراز هویت پیامکی برای اکثر کسبوکارها محبوب باشد؟
- سادگی و سهولت در استفاده: انسانها معمولا شیفته سادگی هستند، مخصوصا اگر پای کار با ابزارهای دیجیتال در میان باشد. کار با احراز هویت پیامکی برای هر دو طرف ساده است؛ هم برای کاربر نهایی و هم برای کسبکارها. کاربران نیازی به تنظیمات پیچیده یا نصب اپلیکیشن ندارند. فقط کافی است کد ارسال شده به موبایل را وارد کنند تا بتوانند وارد حساب کاربری خود شوند و یا تراکنشی صورت بگیرد. برای کسبوکارها هم استفاده از وب سرویس ارسال کد OTP بهترین روش است، زیرا به تجهیزات فنی خاصی احتیاج ندارد.
- سازگاری گسترده با انواع گوشیها: یکی از مزایای استفاده از وب سرویس احراز هویت پیامکی این است که تمامی کاربران میتوانند از آن استفاده کنند، حتی آنهایی که گوشی هوشمند ندارند. این بر خلاف سایر روشهای احراز هویت است که معمولا به گوشی هوشمند احتیاج دارد.
- تایید سریع و فوری: کدهای OTP در فرایند احراز هویت پیامکی تقریبا خیلی سریع ارسال میشوند و کاربران نیز میتوانند بدون معطلی وارد حساب خود شوند. همین سرعت، تجربه کاربری روانی را ایجاد میکند و در عین حال امنیت حساب و اطلاعات کاربران را هم حفظ میکند.
- افزایش حس امنیت در کاربران: وجود لایههای مختلف احراز هویت مانند احراز هویت پیامکی و دریافت یک کد اختصاصی روی گوشی، باعث میشود کاربران احساس امنیت بیشتری داشته باشند و همچنین مطمئن شوند که کسی به غیر از خودشان به حساب کاربری دسترسی ندارد.
- مقرون بهصرفه برای کسبوکارها: برای بسیاری از سازمانها و کسبوکارها، مخصوصا اگر کوچک باشند، استفاده از وب سرویس احراز هویت پیامکی راهحلی ساده و کمهزینه برای تامین امنیت است، زیرا به زیرساخت پیچیدهای نیاز ندارد و معمولا قیمت مناسبی دارد.

معایب و ریسکهای امنیتی احرازهویت پیامکی
با وجود تمام مزایایی که گفتیم، اما امنیت احراز هویت پیامکی آنقدرها که فکر میکنیم کامل و دقیق نیست. بیایید ببینیم که احراز هویتی پیامکی چه معایبی میتواند داشته باشد و چرا نمیتوان تنها به آن بسنده کرد؟
- خطر امنیتی تعویض سیمکارت (SIM Swap): مشکلات احراز هویت پیامکی شاید آن زمانی آشکار شود که کاربری بخواهد سیم کارت خودش را عوض کند. شاید برایتان جالب باشد بدانید کلاهبرداری از طریق تعویض سیمکارت هر سال در حال افزایش است. برای مثال، طبق آمار FBI، فقط در سال ۲۰۲۱ مجرمان سایبری حدود ۶۸ میلیون دلار سرقت کردهاند. هکرها میتوانند با فریب اپراتورها کد احراز هویت دو مرحلهای (2FA) را دریافت کنند و به این صورت به حسابهای کاربر دسترسی داشته باشند.
- ضعف فنی پروتکلSS7: شبکه موبایل از پروتکلی به نام SS7 استفاده میکند. این پروتکل ممکن است گاهی دارای ضعفهای امنیتی باشد که در این صورت هکرها میتوانند پیامکها، رمزهای یکبار مصرف OTP تماسهای کاربران را رهگیری کنند. نکتهی ترسناک اینجاست که انجام این حمله چندان هم سخت نیست! یک هکر فقط به یک کامپیوتر لینوکسی و ابزار توسعهی SS7 نیاز دارد که بهراحتی در اینترنت قابل دانلود است.
- خطرات مهندسی اجتماعی (فیشینگ و اسمیشینگ): در فرایند امنیت OTP پیامکی، معمولا ضعیفترین حلقه خود کاربر است. هکرها میتوانند با ترفندهایی کاربران را فریب دهند تا خودشان رمز یکبار مصرف را در اختیار آنها قرار دهند. نوع پیامکی این حملات که به آن اسمیشینگ (Smishing) گفته میشود در سالهای اخیر افزایش پیدا کرده. البته که سازمانها میتوانند با آموزش کاربران جلوی این حملات را بگیرند.
- هزینهی بالای ارسال پیامک برای سازمانها: احراز هویت پیامکی شاید برای کاربران راحت و مقرون به صرفه باشد، زیرا هم سریع است و هم با هر مدل گوشی امکانش فراهم است؛ اما برای سازمانها هزینهبر است. شرکتها باید برای هر OTP هزینه پرداخت کنند و این موضوع میتواند ماهانه هزینههای زیادی روی دست سازمانها بگذارد. از طرفی، بسیاری از پیامکها اصلا به دست کاربر نمیرسند، در حالی که هزینهی آنها پرداخت شده است. قیمت پیامک بسته به اپراتور و تعداد ارسالها متفاوت است. بدتر از همه اینکه خسارت ناشی از حملات امنیتی به دلیل ضعف SMS OTP میتواند برای یک سازمان بسیار سنگین و حتی فاجعهبار باشد.
- اختلال در تجربهی کاربری: هر چند که استفاده از احراز هویت پیامکی تجربه کاربری ساده و مطلوبی را فراهم میکند، اما این احتمال هم وجود دارد که به خاطر ضعف اینترنت و عدم پوشش اینترنت در برخی از مناطق جغرافیایی، شرکت نتواند کد را ارسال کند و یا ارسال آن بیش از دو دقیقه طول بکشد. این تاخیر هم آن کسبوکار را میتواند غیرقابل اعتماد نشان دهد و هم باعث از دست رفتن یک تراکنش یا اقدام شود.
هوش مصنوعی؛ نسل جدید امنیت دیجیتال فراتر از پیامک
همانطور که گفتیم OTP و احراز هویت دو مرحلهای پیامکی، به دلیل استقرار آسان و تجربه کاربری مطلوب، برای اکثر سازمانها گزینهای مطلوب محسوب میشود. علاوه بر این، بسیاری از کاربران برای ورود به اپلیکیشنها، باز کردن ایمیل و انتقال وجه به این روش احراز هویت عادت کردهاند؛ اما با توجه به اینکه تکنیکهای هکرها برای حمله و نفوذ روز به روز پیشرفتهتر میشود، احراز هویت از طریق پیامک به تنهایی کافی نیست و باید با یک لایهی قویتر جایگزین یا تکمیل شود.
بیشتر بخوانید: تضمین امنیت داده در APIهای هوش مصنوعی
احراز هویت بیومتریک؛ ترکیب امنیت بالا و تجربه کاربری آسان
در بسیاری از سازمانهای پیشرفته، MFA پیامکی تنها به عنوان یکی از لایههای فرایند احراز هویت در کنار ابزارهای احراز هویت بیومتریک استفاده میشود. در فرایند احراز هویت بیومتریک، از ویژگیهای منحصر به فرد کاربر مانند چهره، اثر انگشت و اسکن چشم برای احراز هویت استفاده میشود. یکی از این سرویسهای احراز هویت هوشمند، فراشناسا است که به کمک قابلیتهای خود به سازمانهای مختلف کمک میکند تا فرایند احراز هویت را به صورت چندلایه پیش ببرند.
به عنوان مثال، قابلیت فناوری تشخیص زندهبودن (Liveness) اطمینان پیدا میکند که فردی که جلوی دوربین قرار گرفته یک انسان زنده و هوشیار است و همین ویژگی، امکان سوء استفاده و جعل هویت به کمک عکس، ویدئو، ماسک و دیپفیک را از بین میبرد. علاوه بر این، فناوری تطبیق دقیق چهره (Verification) بررسی میکند که چهره متعلق به همان شخصی است که ادعا میکند.
به طور کلی میتوان گفت که احراز هویت بیومتریک و هوشمند در کنار OTP پیامکی، میتواند یک چارچوب امنیتی چندلایه و تطبیقی ایجاد کند؛ چارچوبی که هم در برابر تهدیدات پیچیده امروزی مقاوم است و هم اعتماد کاربران را در تعامل با سرویسهای دیجیتال افزایش میدهد.
جمعبندی
احراز هویت پیامکی نقطه شروع خوبی برای تامین امنیت احراز هویت محسوب میشود، اما نقطه پایان نیست. در دنیایی که تهدیدات سایبری روزبهروز پیچیدهتر میشود، تکیه صرف بر احراز هویت پیامکی میتواند سازمانها را در معرض خطرات جدی قرار دهد. بنابراین در چنین شرایطی سازمانها باید به فکر راهکارهای جامعتری باشند، ترکیب احراز هویت OTP با سیستمهای احراز هویت بیومتریک و فناوریهای مبتنی بر هوش مصنوعی مانند تشخیص چهره و زندهسنجی نه تنها میتواند سد دفاعی مستحکمی را در برابر تهدیدات سایبری بسازد، بلکه تجربه کاربری ساده و روانی را نیز برای کاربران فراهم میکند. بنابراین میتوان گفت آینده امنیت دیجیتال در گرو استفاده هوشمندانه از ترکیب این فناوریهاست و سازمانها و کسبوکارهایی که چند روش احراز هویت را با هم ترکیب میکنند، امنیت بیشتری را میتوانند برای کاربران و سازمان خود فراهم کنند.








