انواع احراز هویت در PSD2 و نقش SCA در امنیت هویت دیجیتال

انواع احراز هویت در PSD2 | حفاظت از هویت دیجیتال

فهرست مطالب

کارگروه راهکارهای دیجیتال

مقدمه: نگاهی دقیق‌تر به حفاظت از هویت دیجیتال

در دنیای امروز که به دنیای دیجیتال معروف است، نقش احراز هویت بیش از پیش برجسته شده است. هر تعامل مالی در فضای آنلاین مستلزم اطمینان از هویت دقیق شخص درخواست‌دهنده است تا امنیت تراکنش و حفظ حریم خصوصی تضمین شود. با اجرای مقررات PSD (دستورالعمل خدمات پرداخت اتحادیه اروپا)، به‌ویژه نسخه به‌روز شده آن یعنی PSD2، اهمیت احراز هویت چندوجهی بیش از گذشته مطرح شده است. این قوانین به‌گونه‌ای تدوین شده‌اند که امنیت مصرف‌کنندگان افزایش پیدا کند و ریسک تقلب کاهش یابد. از این رو، روش‌های متنوع و پیشرفته احراز هویت به‌کار گرفته می‌شوند. هدف این مقاله، ارائه یک بررسی جامع و متفاوت از «انواع احراز هویت در PSD2» در چارچوب مقررات PSD است تا با مفاهیم پراهمیت و پیچیدگی‌های آن بیشتر آشنا شویم.

چیستی و ضرورت احراز هویت در PSD

«احراز هویت» یعنی فرآیند تأیید این‌که فردی که وارد سیستم یا انجام تراکنش می‌شود، همان کسی است که ادعا می‌کند. این مرحله ابتدایی اما حیاتی، از سوءاستفاده‌های احتمالی جلوگیری می‌کند و اعتماد را میان مشتری و ارائه‌دهنده خدمات بالا می‌برد.

مقررات PSD2 که در سال ۲۰۱۸ به اجرا درآمد، برای حذف ضعف‌های امنیتی و حفاظت همه جانبه از مشتریان، الزام به «احراز هویت قوی مشتری» (Strong Customer Authentication – SCA) را معرفی کرد. بر اساس این الزام، ارائه‌دهندگان خدمات پرداخت باید حداقل از دو عامل مستقل برای تایید هویت استفاده کنند؛ چیزی که کاربر می‌داند، چیزی که دارد، و چیزی که هست.

دسته‌بندی انواع احراز هویت در PSD

با توجه به PSD2، همه ارائه‌دهندگان خدمات پرداخت می‌بایست مکانیسم‌های احراز هویت قوی (SCA) را پیاده‌سازی کنند. این وضعیت منجر به شکل‌گیری روش‌های متنوع احراز هویت می‌شود که در ادامه به آن‌ها خواهیم پرداخت.

۱. احراز هویت تک عاملی (Single-Factor Authentication)

احراز هویت تک عاملی یکی از ساده‌ترین روش‌های تأیید هویت است که در گذشته به‌طور گسترده‌ای مورد استفاده قرار می‌گرفت. در این روش، کاربر تنها با استفاده از یک منبع اطلاعاتی، نظیر رمز عبور، شناسایی می‌شود. این نوع احراز هویت مرسوم و راحت است، اما در برابر کلاهبرداران و تهدیدات امنیتی آسیب‌پذیر است.

معایب

  • آسیب‌پذیری بالا: روش‌های تک‌عاملی به‌طور معمول به‌راحتی قابل نفوذ هستند. کلاهبرداران می‌توانند با استفاده از روش‌های مختلفی مانند فیشینگ به اطلاعات ورودی کاربران دسترسی پیدا کنند.
  • عدم انعطاف‌پذیری: در صورت فراموشی رمز عبور، کاربر ممکن است با مشکلاتی مواجه شود و فرآیند بازیابی آن ممکن است زمان‌بر باشد.

۲. احراز هویت دو عاملی (Two-Factor Authentication)

احراز هویت دو عاملی (2FA) با استفاده از دو منبع متفاوت برای تایید هویت کاربران طراحی شده است. این روش به‌طور معمول شامل یک رمز عبور و یک کد تایید دیگر است که از طریق پیامک یا برنامه‌های کاربردی تلفن‌همراه احراز هویت ارسال می‌شود. این روش به‌طرز قابل توجهی امنیت بیشتری ارائه می‌دهد.

مزایا

  • سطح امنیت بالا: با وجود دو لایه تایید هویت، احتمال نفوذ به حساب کاربری به شدت کاهش می‌یابد.
  • بهبود تجربه کاربری: کاربر برای ایجاد امنیت بیشتر احساس راحتی بیشتری دارد، چرا که حتی اگر رمز عبور او لو برود، کد تأیید می‌تواند مانع از نفوذ شود.

معایب

  • نیاز به دستگاه دوم: کاربران برای دریافت کد تایید نیاز به دسترسی به یک دستگاه دیگر دارند، که می‌تواند مشکل‌ساز باشد.
  • مشکل‌های فنی: در برخی شرایط، مانند عدم دسترسی به شبکه یا عدم دریافت پیامک، کاربران ممکن است دچار مشکل شوند.

۳. احراز هویت چندعاملی (Multi-Factor Authentication)

احراز هویت چندعاملی (MFA) پیشرفته‌ترین شکل از احراز هویت‌ها است که انواع مختلفی از روش‌های تأیید هویت را ترکیب می‌کند. این روش از کاربر می‌خواهد که حداقل دو یا سه نوع از روش‌های تأیید هویت را ارائه دهد و این به‌طور قابل توجهی سطح امنیت را افزایش می‌دهد.

مزایا

  • امنیت بالا: با ترکیب روش‌ها، سطح بالاتری از امنیت ایجاد می‌شود و ریسک نفوذ به حداقل می‌رسد.
  • تنوع در انتخاب: مشتریان می‌توانند از روش‌های مختلف مانند بیومتریک، رمزهای عبور و پیامک استفاده کنند.

معایب

  • پیچیدگی: فرآیند احراز هویت ممکن است برای برخی کاربران پیچیده باشد و نیاز به آموزش داشته باشد.
  • زمان‌بر بودن: گاهی‌اوقات ممکن است فرآیند تأیید هویت زمان‌بر شود و کاربران را دچار خستگی کند.

۴. احراز هویت بیومتریک

احراز هویت بیومتریک به استفاده از ویژگی‌های منحصر به فرد بدن انسان، نظیر اثر انگشت، تشخیص چهره، یا شناسایی صدای فرد اشاره دارد. این روش به دلیل پیشرفت‌های فناوری، به‌خصوص در دستگاه‌های تلفن همراه، به‌طور فزاینده‌ای در حال محبوبیت است.

مزایا

  • دقت بالا: ویژگی‌های بیومتریک به‌طور معمول منحصر به فرد هستند و احتمال جعل آن‌ها به شدت پایین است.
  • راحتی: کاربران نیازی به به خاطر سپردن رمز عبور ندارند و تنها با استفاده از ویژگی‌های طبیعی بدن خود شناسایی می‌شوند.

معایب

  1. مسائل حریم خصوصی: جمع‌آوری و ذخیره‌سازی ویژگی‌های بیومتریک مسائل حریم خصوصی را به همراه دارد و در صورت نقض داده‌ها می‌تواند جدی شود.
  2. امکان خطای سیستمی: در برخی موارد، سیستم‌های بیومتریک ممکن است به دلایل مختلف دقت لازم را نداشته باشند و کاربری که در واقع حق دسترسی دارد، نتواند وارد شود.

۵. احراز هویت مبتنی بر موقعیت جغرافیایی

احراز هویت مبتنی بر موقعیت جغرافیایی یکی دیگر از روش‌های نوین است که از اطلاعات موقعیت جغرافیایی کاربر برای تشخیص هویت استفاده می‌کند. این روش به‌طور خاص در مواقعی که کاربر از یک موقعیت غیرمعمول سعی می‌کند به حساب خود دسترسی پیدا کند، قابل استفاده است.

مزایا

  • امنیت اضافی: اگر کاربری از یک مکان غیر معمول سعی در ورود به حساب خود داشته باشد، سیگنال‌های هشدار ایجاد می‌شود.
  • تجربه شخصی‌سازی‌شده: کاربران می‌توانند تجربه‌ای همسو با موقعیت جغرافیایی خود داشته باشند.

معایب

  • عدم دقت: در برخی موارد، اطلاعات موقعیت جغرافیایی ممکن است دقت لازم را نداشته باشد.
  • مسائل حریم خصوصی: استفاده از اطلاعات جغرافیایی نیازمند افزایش حریم خصوصی و رضایت کاربران است.

احراز هویت بدون رمز عبور (Passwordless Authentication)

یکی از گرایش‌های مهم در حوزه امنیت احراز هویت، حرکت به سمت روش‌های بدون رمز عبور است. این رویکرد که فرصت‌های جدید تکنولوژیکی را به کار می‌گیرد، بر اساس ارسال لینک‌های یک‌بارمصرف، ایمیل‌های تأیید یا سامانه‌های بیومتریک عمل می‌کند. این روش در حال تبدیل شدن به روندی تحولی است زیرا

  • تجربه کاربری را روان‌تر می‌کند.
  • حملات مرتبط با افشا یا سرقت پسوردها را به شدت کاهش می‌دهد.

اما مهم است که این روش‌ها به‌درستی و همراه با دیگر لایه‌های امنیتی مورد استفاده قرار گیرند.

جمع‌بندی

احراز هویت در مقررات PSD و به‌ویژه PSD2، نقش بی‌بدیلی در تضمین امنیت دنیای مالی دیجیتال دارد. روش‌های مختلف، از رمز عبورهای ساده گرفته تا فناوری‌های پیشرفته بیومتریک، هر کدام مزایا و محدودیت‌هایی دارند که باید در انتخاب و اجرا به دقت در نظر گرفته شوند. آینده احراز هویت در گرو توسعه مدل‌های چندلایه، فناوری‌های نوین و توجه به سهولت کاربر همراه با حفظ حریم خصوصی است.

در نهایت، انواع احراز هویت که در چارچوب PSD تعریف می‌شوند، ستون‌های اصلی امنیت و اعتماد در تعاملات پرداخت آنلاین و خدمات مالی محسوب می‌شوند و جایگاه ویژه‌ای در تحول دیجیتال خدمات مالی خواهند داشت.

منابع

https://www.airwallex.com/blog/strong-customer-authentication-a-guide-for-merchants

https://www.beyondidentity.com/resource/psd2-compliance-requirements-how-to-meet-them-with-passwordless-authentication

https://www.ravelin.com/insights/ultimate-guide-psd2-strong-customer-authentication

https://www.rippling.com/blog/types-of-authentication