چگونه احراز هویت دو مرحله‌ای به امنیت پرداخت کمک می‌کند؟

احراز هویت می‌تواند نقش حیاتی در پرداخت‌ها ایفا کند و از مشتریان در برابر متقلب‌های حوزه پرداخت محافظت نماید. این فرآیند، تایید هویت صاحب حساب در یک تراکنش است. در پرداخت‌ها، احراز هویت به عنوان یک مکانیزم اصلی در محافظت از پذیرندگان عمل می‌کند. از طرفی در بازارهای جهانی، تقلب و کلاهبرداری یک مسئله مهم بوده که به اشکال مختلفی رخ میدهد.

مطابق نظر شرکت داده محور استاتیستا (Statista) کسب‌و کارهای تجارت الکترونیک در سال ۲۰۲۳ حدود ۴۸ میلیارد دلار آمریکا را به دلیل کلاهبرداری در پرداخت‌های آنلاین در سطح جهان از دست داده‌اند. این موضوع نیاز به سیستم‌های امنیتی پرداخت قوی و نقش حیاتی آنها در محافظت از کسب‌و کارها و مصرف‌کنندگان را خاطر نشان می‌سازد. از این رو احراز هویت دو مرحله‌ای یک راهکار قدرتمند برای حل این مشکل است.

این روش یک لایه امنیتی دوم به ورود به سیستم و تراکنش‌ها اضافه می‌کند. به جای تکیه صرف بر رمز عبور، به اطلاعات اضافی نیاز دارد. بر همین اساس در این مقاله موضوع مهم احراز هویت دو مرحله‌ای و نحوه عملکرد و نقش آن در امنیت پرداخت بررسی شده است.

احراز هویت و احراز هویت دومرحله ای: آنچه کسب و کارها باید بدانند

احراز هویت فرآیندی است که طی آن تایید می‌شود یک شخص یا سیستم همان کسی است که ادعا می‌کند. به زبان ساده، این روشی است که یک سیستم هویت شما را از طریق اطلاعات احراز هویتی که ارائه می‌دهید، تایید می‌کند. به طور سنتی، این کار از طریق نام کاربری و رمز عبور انجام می‌شد. این رویکرد، احراز هویت تک عاملی نامیده می‌شود. این روش فقط به یک لایه تایید متکی است.

با این حال، از آنجایی که امروزه سرقت رمزهای عبور آسان‌تر شده است، احراز هویت دو مرحله‌ای ضروری شده است. همانطور که از نامش پیداست، شامل دو مرحله برای تایید هویت شماست. استانداردهای بانکی برای تکمیل ورود به سیستم یا پرداخت، به دو عامل احراز هویت مجزا نیاز دارند. بنابراین، ابتدا رمز عبور خود را وارد می‌کنید. سپس، باید از یک بررسی دوم عبور کنید. این می‌تواند یک کد موقت باشد که به تلفن شما ارسال می‌شود یا توسط یک برنامه تولید می‌شود. گاهی اوقات، ممکن است اسکن بیومتریک مانند اثر انگشت درخواست شود.

کد احراز هویت دو مرحله‌ای یا دوعاملی یک کد یکبار مصرف است. این کد ثابت می‌کند که کاربری که اقدام می‌کند، صاحب واقعی حساب است. اگر تا به حال پس از وارد کردن رمز عبور، یک OTP در تلفن خود دریافت کرده‌اید، قبلاً از احراز هویت دوعاملی استفاده کرده‌اید.

نحوه‌ی عملکرد احراز هویت دو مرحله‌ای

احراز هویت دو مرحله‌ای یک مرحله اضافی به تایید هویت شما هنگام ورود یا پرداخت اضافه می‌کند. هر لایه در احراز هویت دو مرحلهای نقش منحصر به فردی را ایفا می‌کند. مرحله اول می‌تواند چیزی ساده مانند رمز عبور شما باشد. مرحله دوم ممکن است شامل تلفن شما، یک برنامه روی دستگاه شما یا اثر انگشت باشد. وقتی هر دو مرحله تکمیل شوند، سیستم می‌داند که شخصی که به حساب دسترسی پیدا می‌کند واقعاً شما هستید. این بررسی دوگانه بسیاری از انواع رایج کلاهبرداری را مسدود می‌کند.

فرض کنید در حال ورود به حساب فروشگاه آنلاین خود هستید. پس از وارد کردن رمز عبور، از شما خواسته می‌شود کدی را که به تلفن همراه شما ارسال می‌شود وارد کنید. این کد که اغلب OTP نامیده می‌شود، به عنوان عامل دوم در احراز هویت دوعاملی عمل می‌کند. اگر کسی رمز عبور شما را داشته باشد اما تلفن شما را نداشته باشد، نمی‌تواند فرآیند را تکمیل کند.

برای انجام این کار، سیستم‌ها از ابزارهای مختلفی استفاده می‌کنند. یک گزینه TOTP یا رمز عبور یکبار مصرف مبتنی بر زمان است که توسط برنامه‌هایی مانند Google Authenticator یا Authy ایجاد می‌شود. گزینه محبوب دیگر OTP پیامکی است که از طریق پیامک ارسال می‌شود.

بررسی رایج‌ترین روش‌های احراز هویت در احراز هویت دومرحله ای

• رمزهای عبور یکبار مصرف پیامکی  (OTP)

OTP پیامکی یکی از رایج‌ترین روش‌های احراز هویت دو مرحله‌ای است. پس از وارد کردن رمز عبور، یک کد منحصر به فرد از طریق پیامک به شماره تلفن همراه ثبت شده شما ارسال می‌شود. سپس برای تکمیل فرآیند ورود یا پرداخت، باید این کد را وارد کنید. استفاده از احراز هویت دو مرحله‌ای روشی بسیار ساده است. تقریباً هر کاربر تلفن همراه می‌تواند یک پیامک دریافت کند. این امر استفاده از آن را آسان و به طور گسترده در دسترس قرار می‌دهد.

با این حال، این روش دارای برخی آسیب‌پذیری‌های امنیتی شناخته شده است. مهاجمان می‌توانند از آسیب‌پذیری‌های مخابراتی، مانند تعویض سیم‌کارت یا بدافزار، برای رهگیری این پیام‌ها سوءاستفاده کنند. با وجود همه این خطرات، این روش همچنان یک گزینه ترجیحی برای احراز هویت دو مرحله‌ای است.

• برنامه‌های احراز هویت (TOTP)

رمزهای عبور یکبار مصرف مبتنی بر زمان یا TOTPها، کدهایی هستند که هر ۳۰ ثانیه به‌روزرسانی می‌شوند. این امر پیش‌بینی یا استفاده مجدد از آنها را برای کلاهبرداران دشوار می‌کند. برای تنظیم آن، یک کد QR را اسکن می‌کنید که برنامه را به حساب شما متصل می‌کند. پس از اتصال، هر بار که وارد سیستم می‌شوید، برنامه را باز می‌کنید و از کد ۶ رقمی فعلی استفاده می‌کنید.

برنامه‌های احراز هویت، مانند Google Authenticator، Microsoft Authenticator  و غیره، از پیامک ایمن‌تر هستند. کدها مستقیماً روی دستگاه شما ایجاد می‌شوند. آنها از طریق هیچ شبکه‌ای ارسال نمی‌شوند، بنابراین رهگیری آنها دشوارتر است. تنها اشکال آن کمی تلاش است. شما باید برنامه را نصب کنید و هر بار که وارد سیستم می‌شوید، آن را باز کنید. با این حال، وقتی کاربران به آن عادت کنند، این فرآیند سریع و قابل اعتماد می‌شود.

• احراز هویت بیومتریک

احراز هویت دو مرحله‌ای بیومتریک از ویژگی‌های بیولوژیکی شخصی شما به عنوان لایه دوم تایید استفاده می‌کند. این مهم شامل اسکن اثر انگشت، تشخیص چهره یا تشخیص صدا می‌شود. اکثر تلفن‌های هوشمند مدرن از قبل از احراز هویت بیومتریک پشتیبانی می‌کنند. بسیاری از کاربران از اثر انگشت یا تشخیص چهره برای دسترسی به تلفن‌های خود استفاده می‌کنند. همین ویژگی‌ها را می‌توان در برنامه‌های پرداخت نیز استفاده کرد. به عنوان مثال، ممکن است با استفاده از اثر انگشت خود، انتقال بانکی را تایید کنید یا ممکن است با تشخیص چهره، پرداخت از طریق کیف پول را مجاز کنید.

روش‌های بیومتریک سریع و راحت هستند. نیازی به تایپ کد یا حمل توکن نیست. همچنین، داده‌های بیومتریک منحصر به فرد و تکثیر آنها دشوار است که آن را به انتخابی ایمن تبدیل می‌کند. تنها محدودیت، سخت‌افزار است. دستگاه‌ها باید از این ویژگی‌ها پشتیبانی کنند. همچنین، کاربران باید به نحوه ذخیره و محافظت سیستم از اطلاعات بیومتریک خود اعتماد نمایند.

• تایید هویت مبتنی بر ایمیل

برخی از پلتفرم‌ها یک کد یکبار مصرف یا لینک ورود به سیستم را به آدرس ایمیل ثبت شده شما ارسال می‌کنند. برای تکمیل ورود یا تراکنش، باید این کد ایمیل شده را وارد کنید یا روی لینک کلیک کنید. استفاده و پیاده‌سازی این روش آسان است. برای کسانی که ممکن است با استفاده از برنامه‌ها یا بیومتریک راحت نباشند، به خوبی کار می‌کند. با این حال، امنیت آن کاملاً به حساب ایمیل شما بستگی دارد. اگر کسی به صندوق ورودی شما دسترسی پیدا کند، می‌تواند این کدها را رهگیری کند. به همین دلیل، بهتر است به عنوان یک روش پشتیبان به جای شکل اصلی احراز هویت دوعاملی استفاده شود.

• سایر روش‌های نوظهور

روش‌های جدید احراز هویت دو مرحله‌ای نیز در حال افزایش محبوبیت هستند. یک نمونه، تاییدیه‌های اعلان‌های فوری است. در این حالت، شما یک اعلان روی تلفن خود دریافت می‌کنید. برای تایید ورود خود، کافی است روی «بله، من هستم» کلیک نمایید.

روش دیگر، احزار هویت دومرحله لایو یا آنی است که یک چالش در لحظه اضافه می‌کند. این چالش می‌تواند شامل یک سؤال پویا، یک اسکن بیومتریک زنده یا یک مرحله تایید فوری دیگر باشد. این ابزارهای نوظهور نیز با همین هدف عمل می‌کنند – اضافه کردن یک لایه امنیتی فعال. آنها تایید می‌کنند که فردی که در همان لحظه با سیستم در تعامل است، معتبر می‌باشد.

مزایای احراز هویت دو مرحله‌ای برای امنیت پرداخت

پیاده‌سازی احراز هویت دو مرحله‌ای مزایای زیادی برای امنیت پرداخت فراهم کرده است که هم برای فروشندگان و هم برای مشتریان عملیاتی قابل اعمال میباشد.

• بهبود امنیت و پیشگیری از کلاهبرداری

بزرگترین مزیت این است که احراز هویت دو مرحله‌ای خطر کلاهبرداری را کاهش می‌دهد. این امر یک مرحله اضافی در فرآیند اضافه می‌کند. مهاجمان اکنون برای نفوذ به سیستم به دو چیز جداگانه نیاز دارند. حتی اگر کسی رمز عبور یا شماره کارت را سرقت کند، هنوز نمی‌تواند پرداخت را تکمیل کند. آنها همچنین بهOTP، اثر انگشت یا فاکتور دوم نیاز دارند. این بررسی مازاد بسیاری از تراکنش‌های غیرمجاز را قبل از وقوع مسدود می‌کند.

داده‌های صنعت ثابت می‌کند که احراز هویت دو مرحله‌ای چقدر خوب کار می‌کند. گوگل دریافته است که احراز هویت دو مرحله‌ای بین ۷۳٪ تا ۱۰۰٪ حملات خودکار ربات‌ها را متوقف می‌کند. نشان داده شده است که کلیدهای امنیتی تقریبا تمام تلاش‌های فیشینگ هدفمند را مسدود می‌کنند و یکی از ایمن‌ترین اشکال احراز هویت دو مرحله‌ای را ارائه می‌دهند. مایکروسافت همچنین گزارش داد که حساب‌های دارای احراز هویت چند مرحله‌ای ۹۹.۹٪ کمتر احتمال هک شدن دارند. این ارقام نشان می‌دهد که مرحله دوم چقدر کمک می‌کند. این امر فرآیندهای پرداخت را ایمن‌تر کرده و از هر دو طرف محافظت می‌کند.

• تراکنش‌های تقلبی کم و برگشت وجه کمتر

فروشندگان آنلاین به دلیل کلاهبرداری و برگشت وجه پول خود را از دست می‌دهند. وقتی کسی از کارت ه سرقت رفته استفاده می‌کند، فروشنده ممکن است محصول را از دست بدهد و هیچ وجهی دریافت نکند. چنین کلاهبرداری همچنین به اعتماد مشتری آسیب می‌رساند. احراز هویت دو مرحله‌ای می‌تواند از این امر جلوگیری کند. این امر به تایید اینکه خریدار صاحب واقعی حساب یا کارت است، کمک می‌کند. به عنوان مثال، اگر یک وب‌سایت برای هر خرید بزرگ یک OTP ارسال کند، کلاهبرداران را فراری می‌دهد. آنها نمی‌توانند بدون تلفن خریدار واقعی، تراکنش را تکمیل کنند.

احراز هویت دو عاملی یکی از بهترین ابزارها برای جلوگیری از کلاهبرداری در پرداخت آنلاین است. فروشندگانی که از احراز هویت دو مرحله‌ای در هنگام پرداخت استفاده کردند، پرداخت‌های ناموفق کمتری داشتند. آنها همچنین شاهد برگشت وجه کمتری بودند که باعث صرفه‌جویی در هزینه و ایجاد اعتماد می‌شود.

• اعتماد و اطمینان مشتری

وقتی یک کسب و کار از احراز هویت دو مرحله‌ای استفاده می‌کند، مشتریان احساس امنیت بیشتری می‌کنند. آنها می‌دانند که پلتفرم، امنیت را جدی می‌گیرد. حتی اگر هکری رمز عبور آنها را به دست آورد، مرحله دوم، مانند یک رمز یکبار مصرف (OTP) حساب را ایمن نگه می‌دارد. در هند، مردم انتظار دارند که در طول تراکنش‌ها رمز یکبار مصرف دریافت کنند. اگر آن را دریافت نکنند، ممکن است نگران باشند که مشکلی پیش آمده باشد.

این مرحله اضافی آرامش خاطر را به همراه دارد. این امر به کاربران اطمینان می‌دهد که سیستم از آنها محافظت می‌کند. با گذشت زمان، این امر اعتماد و اعتبار ایجاد می‌کند. مشتریان وب‌سایت‌ها و برنامه‌هایی را ترجیح می‌دهند که پول و داده‌هایشان در آنها ایمن باشد. این اعتماد می‌تواند برای کسب و کارها نسبت به دیگران مزیت رقابتی ایجاد نماید.

جمع‌بندی

دنیای پرداخت دیجیتال همچنان در حال رشد است. این بدان معناست که امنیت پرداخت باید همگام با آن پیش برود. احراز هویت دو مرحلهای یا دو عاملی روشی قابل اعتماد و ساده برای محافظت از کاربران و مشاغل است. عامل دوم، مانند یک رمز یکبار مصرف یا اثر انگشت، به جلوگیری از تقلب و کلاهبرداری و تایید هویت کاربر کمک می‌کند. مزایای احراز هویت دو مرحله‌ای فراتر از متوقف کردن حملات است.

این روش اعتماد ایجاد می‌کند. مشتریان احساس امنیت می‌کنند. فروشندگان شاهد برگشت وجه کمتری هستند. برای مثال در هند، جایی که رمزهای یک‌بار مصرف (OTP) استاندارد هستند، این مرحله دوم بخشی از یک تجربه پرداخت ایمن میباشد. از طرفی برای کسب‌و کارها، استفاده از احراز هویت دو مرحله‌ای یک حرکت هوشمندانه است. از مشتریان شما برند شما محافظت می‌کند و سیستم‌های شما را بهرز و منطبق با قانون نگه می‌دارد.

مشتریان انتظار تراکنش‌های ایمن دارند – و احراز هویت دو مرحله‌ای این اطمینان خاطر را برای آنان فراهم میکند. همه این موارد نشان از اهمیت احراز هویت دو مرحله‌ای داشته که نقش شایان توجهی در امنیت پرداخت دارد. بدین منظور آکادمی گروه ملی انفورمانیک به عنوان بازوی آموزشی بانک مرکزی و شرکتهای تابعه گروه اقدام به برگزاری بوتکمپ های تخصصی و ورکشاپ ها یا کارگاههای آموزشی با محوریت امنیت و بخشهای آن در حوزه های مختلف صنعت فینتک به خصوص حوزه پرداخت نموده است و نقش موثری در آموزش امنیت در صنعت مالی و بانکی کشور دارد.

لذا برای آگاهی و کسب اطلاع نسبت به این آموزشهای تخصصی و نحوه برگزاری آنها با آکادمی گروه ملی انفورماتیک در تماس باشید و آکادینو را در شبکه های اجتماعی دنبال کنید.

منابع

https://www.enkash.com/resources/blog/two-factor-authentication-enhances-payment-security