توكن (Token) چيست؟

براي حل مشکلات مختلفي که در زمينه هاي گوناگون فناوري اطلاعات رخ مي دهد، راه حل هاي متفاوتي ارائه گرديده است. يکي از راه حل هاي ارائه شده که ميزان استفاده از آن به طور چشمگيري در حال رشد مي باشد، استفاده از ابزارهای امنيتي ( Secure Module) است.

به گزارش بانکی دات آی آر، توکن هاي هوشمند USB (USB Smart Token) ،بر خلاف توکن های OTP به عنوان نسل جديدي از ابزارهای امنيتي، به ابزارهایی فراگير تبديل شده اند و با قیمتهای پایین قابل تهیه می باشند. در حال حاضر دو نوع توکن پر کاربرد در ایران استفاده می شوند :

۱. توکن امضای دیجیتال                2. توکن رمزیاب OTP

۱. توکن امضای دیجیتال چیست و چه کاربردی دارد ؟

توکن امضای دیجیتال همانند یک فلش مموری می باشد که با نصب نرم افزاری گواهی امضا بر روی آن توسط مرکز صدور امضای دیجیتال، کاربر می تواند هنگام ورود یا فعالیت در وبسایت هایی که نیاز به تایید هویت دارند، استفاه شود. بعنوان مثال شما با خرید توکن امضای دیجیتال ST3 – یکی از پرفروش ترین توکن های وارداتی – می توانید یک امضای الکترونیکی انحصاری داشته باشد.

(با اتصال این دستگاه – که مشابه یک فلش مموری می باشد – به پورت USB کامپیوتر،

اطلاعات هویتی شخص از روی امضا خوانده شده و در اختیار سایت مورد نظر قرار خواهد گرفت.)

از مهمترین موارد استفاده توکن امضای دیجیتال می توان به :

•    شرکت در مناقصات و معاملات ( سامانه تدارکات الکترونیکی دولت )

•    بنگاه های املاک و خودرو (اعضای کانون سازمان ثبت اسناد و املاک کشور)

•    کانون سردفتران و دفتریاران اسناد رسمی

•    کاربران سامانه حمل و نقل برای دریافت کد رهگیری

•    اعضای سامانه جامع الکترونیک بازرگانان

•    ارسال اظهارنامه الکترونیک به اداره دارائی و امور مالیاتی

•    و همچنین کلیه اسنادی که نیاز به رمز نگاری دارند

اشاره نمود.

بصورت فنی تر می توان گفت این گونه توکن‌ها کلیدهای رمزنگاری، مانند امضا دیجیتال و در برخی مدل ها اطلاعات بیومتریک مثل اثرانگشت را در حافظه خود ذخیره می‌کنند. این توکن‌ها شامل چند کلید برای وارد کردن شماره شخصی شناسایی (PIN code) برای انجام عملیات ایجاد رمز عبور هستند. اتصال این توکن ها به صورت ارتباط USB است که این روش‌ها در انتقال کلید رمز تولید شده به سیستم دخالت دارند . درحال حاظر توکن های امضای دیجیتال بالاترین امنیت را در سرویسهای دیجیتالی دارا هستند.

۲. توکن رمزیاب OTP چیست و چه کاربردها و معایبی دارد ؟پ

توکِن امنیتی یا نشانهٔ امنیتی (Security Token) یا توکن رمزیاب ( OTP ) سخت ‌افزاری کوچکی است که برای ورود کاربر یک سرویس رایانه‌ای، به سامانه به‌ کار می‌رود. به عبارت دیگر، این دستگاه یک دستگاه فیزیکی است که در اختیار کاربران مجاز قرار می‌گیرد تا به راحتی بتوانند برای استفاده از یک سیستم کامپیوتری هویت آن‌ها تشخیص داده شود. توکن امنیتی با تولید رمز بصورت نرم افزاری و وارد نمودن آن در وب سایت مورد نظر – به عنوان مثال دسترسی به حساب بانکی از راه دور – کاربرد دارد همچنین از توکن به جای رمز عبور معمولی برای احراز هویت مشتری که خواهان ورود به سیستم است، نیز استفاده می شود. به عبارت دیگر به عنوان یک کلید الکترونیکی برای دسترسی عمل می‌کند. در حال حاضر این توکن ها جهت دسترسی و انتقال پول در حسابهای بانکی کاربرد دارد.

نحوه به کارگیری توکن OTP

۱.کمترین نیازمندی هر توکن داشتن یک مشخصه منحصر به فرد ذاتی است که در حافظه ذخیره شده‌است. این حافظه قابل دستکاری نیست و به بیان بهتر به گونه‌ای طراحی شده‌است که به صورت باز برای سایر کاربردهایی که توسط فروشندگان نشانه و سازمان‌های دیگر ارائه می‌شود، در دسترس نیست.

۲.کمترین نیازمندی در این نوع، اتصال به رسانه‌هایی مشابه شبکه‌های موبایل برای USSD، پیام کوتاه و صدا است، که تمام چیزهایی که نیاز است در شماره موبایل یا تلفن ثبت شده‌است. البته این سیستم در ایران چندان کاربردی نشده است.

نقاط ضعف این توکن OTP

ساده ترین مورد آسیب پذیری در وسایلی که شامل رمز هستند، گم شدن دستگاه کلید مخصوص یا فعال کننده تلفن هوشمند با توابع جامعیت کلید است. نشانه‌های غیرمتصل و نشانه‌هایی که از out-of-band استفاده می‌کنند، در مقابل حملات میانی آسیب پذیر هستند. در این نوع حمله، فرد کلاهبردار به عنوان یک عنصر میانی بین کاربر (نشانه) و سیستم اصلی (احراز هویت) قرار می‌گیرد. سپس مقدار نشانه را از کاربر درخواست کرده و خودش آن را به سیستم احراز هویت تحویل می‌دهد و خود را به جای کاربر نشانه جا می‌زند. تا زمانیکه مقدار نشانه از نظر ریاضی درست باشد، احراز هویت با موفقیت انجام می‌شود و فرد کلاهبردار قادر به دسترسی است. در سال ۲۰۰۶، Citibank اعلام کرد که کاربران سخت افزارهایی که بر اساس نشانه کار می‌کردند، قربانی حمله میانی توسط افراد اوکراینی گردیده‌اند.

برخی ها در سال های اخیر باتوجه به طولانی بودن پروسه استفاده از دستگاه رمزیاب استفاده از رمزهای یک بار مصرف را برای افزایش امنیت بانک ها توصیه می کنند. البته امروزه بجای دستگاه OTP از اپلیکشن های رمز ساز که قابلیت نصب بر روی موبایل را دارند استفاده می شود. مانند اپلیکشن رمز ساز بانک رفاه یا اپلیکشن رمزبان بانک ملی.

بانک های دارای توکن در ایران

در حال حاضر بانک های صادرات ، ملی و کشاورزی به مشتریانشان توکن”رمزیاب” ارائه می دهند.که هر کدام از سیستم هایشان نقاط قوت و ضعف مخصوص به خودشان را دارد.

اخبار منتخب بانکی دات آی آر:

==================

به اشتراک بگذارید
فریناز مختاری
فریناز مختاری
مقاله‌ها: 35586

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *