کارگروه راهکارهای دیجیتال
مقدمه: نگاهی دقیقتر به حفاظت از هویت دیجیتال
در دنیای امروز که به دنیای دیجیتال معروف است، نقش احراز هویت بیش از پیش برجسته شده است. هر تعامل مالی در فضای آنلاین مستلزم اطمینان از هویت دقیق شخص درخواستدهنده است تا امنیت تراکنش و حفظ حریم خصوصی تضمین شود. با اجرای مقررات PSD (دستورالعمل خدمات پرداخت اتحادیه اروپا)، بهویژه نسخه بهروز شده آن یعنی PSD2، اهمیت احراز هویت چندوجهی بیش از گذشته مطرح شده است. این قوانین بهگونهای تدوین شدهاند که امنیت مصرفکنندگان افزایش پیدا کند و ریسک تقلب کاهش یابد. از این رو، روشهای متنوع و پیشرفته احراز هویت بهکار گرفته میشوند. هدف این مقاله، ارائه یک بررسی جامع و متفاوت از «انواع احراز هویت در PSD2» در چارچوب مقررات PSD است تا با مفاهیم پراهمیت و پیچیدگیهای آن بیشتر آشنا شویم.

چیستی و ضرورت احراز هویت در PSD
«احراز هویت» یعنی فرآیند تأیید اینکه فردی که وارد سیستم یا انجام تراکنش میشود، همان کسی است که ادعا میکند. این مرحله ابتدایی اما حیاتی، از سوءاستفادههای احتمالی جلوگیری میکند و اعتماد را میان مشتری و ارائهدهنده خدمات بالا میبرد.
مقررات PSD2 که در سال ۲۰۱۸ به اجرا درآمد، برای حذف ضعفهای امنیتی و حفاظت همه جانبه از مشتریان، الزام به «احراز هویت قوی مشتری» (Strong Customer Authentication – SCA) را معرفی کرد. بر اساس این الزام، ارائهدهندگان خدمات پرداخت باید حداقل از دو عامل مستقل برای تایید هویت استفاده کنند؛ چیزی که کاربر میداند، چیزی که دارد، و چیزی که هست.
دستهبندی انواع احراز هویت در PSD
با توجه به PSD2، همه ارائهدهندگان خدمات پرداخت میبایست مکانیسمهای احراز هویت قوی (SCA) را پیادهسازی کنند. این وضعیت منجر به شکلگیری روشهای متنوع احراز هویت میشود که در ادامه به آنها خواهیم پرداخت.
۱. احراز هویت تک عاملی (Single-Factor Authentication)
احراز هویت تک عاملی یکی از سادهترین روشهای تأیید هویت است که در گذشته بهطور گستردهای مورد استفاده قرار میگرفت. در این روش، کاربر تنها با استفاده از یک منبع اطلاعاتی، نظیر رمز عبور، شناسایی میشود. این نوع احراز هویت مرسوم و راحت است، اما در برابر کلاهبرداران و تهدیدات امنیتی آسیبپذیر است.
معایب
- آسیبپذیری بالا: روشهای تکعاملی بهطور معمول بهراحتی قابل نفوذ هستند. کلاهبرداران میتوانند با استفاده از روشهای مختلفی مانند فیشینگ به اطلاعات ورودی کاربران دسترسی پیدا کنند.
- عدم انعطافپذیری: در صورت فراموشی رمز عبور، کاربر ممکن است با مشکلاتی مواجه شود و فرآیند بازیابی آن ممکن است زمانبر باشد.
۲. احراز هویت دو عاملی (Two-Factor Authentication)
احراز هویت دو عاملی (2FA) با استفاده از دو منبع متفاوت برای تایید هویت کاربران طراحی شده است. این روش بهطور معمول شامل یک رمز عبور و یک کد تایید دیگر است که از طریق پیامک یا برنامههای کاربردی تلفنهمراه احراز هویت ارسال میشود. این روش بهطرز قابل توجهی امنیت بیشتری ارائه میدهد.
مزایا
- سطح امنیت بالا: با وجود دو لایه تایید هویت، احتمال نفوذ به حساب کاربری به شدت کاهش مییابد.
- بهبود تجربه کاربری: کاربر برای ایجاد امنیت بیشتر احساس راحتی بیشتری دارد، چرا که حتی اگر رمز عبور او لو برود، کد تأیید میتواند مانع از نفوذ شود.
معایب
- نیاز به دستگاه دوم: کاربران برای دریافت کد تایید نیاز به دسترسی به یک دستگاه دیگر دارند، که میتواند مشکلساز باشد.
- مشکلهای فنی: در برخی شرایط، مانند عدم دسترسی به شبکه یا عدم دریافت پیامک، کاربران ممکن است دچار مشکل شوند.
۳. احراز هویت چندعاملی (Multi-Factor Authentication)
احراز هویت چندعاملی (MFA) پیشرفتهترین شکل از احراز هویتها است که انواع مختلفی از روشهای تأیید هویت را ترکیب میکند. این روش از کاربر میخواهد که حداقل دو یا سه نوع از روشهای تأیید هویت را ارائه دهد و این بهطور قابل توجهی سطح امنیت را افزایش میدهد.
مزایا
- امنیت بالا: با ترکیب روشها، سطح بالاتری از امنیت ایجاد میشود و ریسک نفوذ به حداقل میرسد.
- تنوع در انتخاب: مشتریان میتوانند از روشهای مختلف مانند بیومتریک، رمزهای عبور و پیامک استفاده کنند.
معایب
- پیچیدگی: فرآیند احراز هویت ممکن است برای برخی کاربران پیچیده باشد و نیاز به آموزش داشته باشد.
- زمانبر بودن: گاهیاوقات ممکن است فرآیند تأیید هویت زمانبر شود و کاربران را دچار خستگی کند.
۴. احراز هویت بیومتریک
احراز هویت بیومتریک به استفاده از ویژگیهای منحصر به فرد بدن انسان، نظیر اثر انگشت، تشخیص چهره، یا شناسایی صدای فرد اشاره دارد. این روش به دلیل پیشرفتهای فناوری، بهخصوص در دستگاههای تلفن همراه، بهطور فزایندهای در حال محبوبیت است.
مزایا
- دقت بالا: ویژگیهای بیومتریک بهطور معمول منحصر به فرد هستند و احتمال جعل آنها به شدت پایین است.
- راحتی: کاربران نیازی به به خاطر سپردن رمز عبور ندارند و تنها با استفاده از ویژگیهای طبیعی بدن خود شناسایی میشوند.
معایب
- مسائل حریم خصوصی: جمعآوری و ذخیرهسازی ویژگیهای بیومتریک مسائل حریم خصوصی را به همراه دارد و در صورت نقض دادهها میتواند جدی شود.
- امکان خطای سیستمی: در برخی موارد، سیستمهای بیومتریک ممکن است به دلایل مختلف دقت لازم را نداشته باشند و کاربری که در واقع حق دسترسی دارد، نتواند وارد شود.
۵. احراز هویت مبتنی بر موقعیت جغرافیایی
احراز هویت مبتنی بر موقعیت جغرافیایی یکی دیگر از روشهای نوین است که از اطلاعات موقعیت جغرافیایی کاربر برای تشخیص هویت استفاده میکند. این روش بهطور خاص در مواقعی که کاربر از یک موقعیت غیرمعمول سعی میکند به حساب خود دسترسی پیدا کند، قابل استفاده است.
مزایا
- امنیت اضافی: اگر کاربری از یک مکان غیر معمول سعی در ورود به حساب خود داشته باشد، سیگنالهای هشدار ایجاد میشود.
- تجربه شخصیسازیشده: کاربران میتوانند تجربهای همسو با موقعیت جغرافیایی خود داشته باشند.
معایب
- عدم دقت: در برخی موارد، اطلاعات موقعیت جغرافیایی ممکن است دقت لازم را نداشته باشد.
- مسائل حریم خصوصی: استفاده از اطلاعات جغرافیایی نیازمند افزایش حریم خصوصی و رضایت کاربران است.
احراز هویت بدون رمز عبور (Passwordless Authentication)
یکی از گرایشهای مهم در حوزه امنیت احراز هویت، حرکت به سمت روشهای بدون رمز عبور است. این رویکرد که فرصتهای جدید تکنولوژیکی را به کار میگیرد، بر اساس ارسال لینکهای یکبارمصرف، ایمیلهای تأیید یا سامانههای بیومتریک عمل میکند. این روش در حال تبدیل شدن به روندی تحولی است زیرا
- تجربه کاربری را روانتر میکند.
- حملات مرتبط با افشا یا سرقت پسوردها را به شدت کاهش میدهد.
اما مهم است که این روشها بهدرستی و همراه با دیگر لایههای امنیتی مورد استفاده قرار گیرند.
جمعبندی
احراز هویت در مقررات PSD و بهویژه PSD2، نقش بیبدیلی در تضمین امنیت دنیای مالی دیجیتال دارد. روشهای مختلف، از رمز عبورهای ساده گرفته تا فناوریهای پیشرفته بیومتریک، هر کدام مزایا و محدودیتهایی دارند که باید در انتخاب و اجرا به دقت در نظر گرفته شوند. آینده احراز هویت در گرو توسعه مدلهای چندلایه، فناوریهای نوین و توجه به سهولت کاربر همراه با حفظ حریم خصوصی است.
در نهایت، انواع احراز هویت که در چارچوب PSD تعریف میشوند، ستونهای اصلی امنیت و اعتماد در تعاملات پرداخت آنلاین و خدمات مالی محسوب میشوند و جایگاه ویژهای در تحول دیجیتال خدمات مالی خواهند داشت.
منابع
https://www.airwallex.com/blog/strong-customer-authentication-a-guide-for-merchants
https://www.ravelin.com/insights/ultimate-guide-psd2-strong-customer-authentication