چالش احراز هویت در بستر پیشخوان بانک آینده

نود فناوری – بانک آینده با کمک شرکت ارتباط فردا سرویس جدید و جذابی با عنوان Ayandeh+ ‌(پیشخوان خدمات بانکی) ارایه کرده است که در آن خدمات کانال شعبه و کانال نوین (بانکداری اینترنتی و موبایلی) بانک آینده به صورت مجازی و بر بستر اینترنت و تلفن همراه به مشتریان ارایه شده است. از نظر کسب‌وکار و سرویس ارایه این خدمت بسیار ارزشمند است، زیرا خدمات شعب بانک آینده را به صورت ۲۴*۷ به مشتری ارایه می‌کند و حتی در ازای سرویس‌هایی که نیاز به ردوبدل کردن فیزیکی اسناد و وجوه نقد باشد، مامور شعبه بانک با حضور در محل مشتری، خدمات را به مشتریان ارایه می‌کند.

زاویه دید ما در بررسی‌ پیرامون سرویس آینده‌پلاس، مساله اساسی و پیچیده احراز هویت مشتری در هنگام استفاده از این سرویس است؛ نقطه حساسی که اگر به‌درستی مدیریت نشود می‌تواند یک سرویس جذاب و پر زرق و برق را زمین‌گیر کند و برای مشتریان این بانک مساله‌ساز شود.

نکته‌ای که در موضوع احراز هویت از راه دور در این سرویس وجود دارد و می‌توان بر آن ایراد گرفت، این است که اگر فردی به هر دلیلی بتواند به رمز ورود و کد یک مشتری دیگر دسترسی داشته باشد (برای مثال به ایمیل، موبایل و بسترهایی این‌چنینی که پیشخوان برای ارسال کد تایید از آن استفاده می‌کند)، تمامی خدمات بانکی مشتری در اختیار ‌فرد نفوذی قرار می‌گیرد.

در حال حاضر برخی مشتریان بانک آینده یا از وجود چنین سرویسی و امکان فعال‌سازی آن بدون مراجعه حضوری به بانک مطلع نیستند، یا اگر هم بدانند نیازی به استفاده از آن ندارند. در چنین شرایطی اگر فردی بتواند با استفاده از اطلاعات شخصی مانند شماره شناسنامه، کد ملی و… که توسط کاربر مرکز تماس شرکت ارتباط فردا قبل از ارسال نام کاربری و رمز عبور پرسیده می‌شود پاسخ درست بدهد و از طریقی به موبایل صاحب حساب دسترسی پیدا کند، سرویس پیشخوان اجازه سوءاستفاده از حساب مشتری را برای عامل نفوذی تسهیل می‌کند. در این حالت خطر بزرگی متوجه مشتری و دارنده حساب نزد بانک آینده است، این در حالی است که باید دید بانک در چنین شرایطی قبول مسوولیت می‌کند یا خیر.

اکنون بانک آینده حدود یک درصد از سهم بازار را در اختیار دارد. این به معنای نیم میلیون مشتری است که اگر متوسط مبلغ مانده در حساب این مشتریان را تنها یک میلیون تومان در نظر بگیریم، با حجم پولی معادل ۵۰۰ میلیارد تومان مواجه هستیم که به‌طور بالقوه تحت ریسک است، بنابراین با یک تحلیل هزینه- فایده می‌توان به این نتیجه رسید که مجریان این طرح می‌بایست از فناوری‌های نوین و امن در فرایند احراز هویت بهره ببرند نه اینکه هزینه ریسک را به گردن مشتری بیندازند. لذا در این یادداشت مساله احراز هویت و روش‌های مدرن آن که لازم است بانک‌ها در ارایه خدمات خود به آن توجه داشته باشند، بررسی شده است.

شناسایی هویت مشتریان همواره یکی از چالش‌های پایه‌ای در ارایه خدمات در صنعت بانکداری بوده است. روش‌های کلاسیک مورد استفاده در شعب فیزیکی هنوز براساس رویت و تطابق کارت شناسایی (چیزی که دارید + کسی که هستید) و تطابق امضای کاغذی (چیزی که می‌دانید + کسی که هستید) و در مواردی نیز با تطابق اثر انگشت (کسی که هستید) کار می‌کند. در کانال‌های دیجیتالی و مدرن، مهم‌ترین روش‌های متداول همچنان استفاده از گذرواژه (چیزی که می‌دانید)، و کارت و توکن فیزیکی (چیزی که دارید) است. در کانال‌های غیرحضوری مبتنی بر صدا، بیشتر از روش‌های ورود پین و پرسیدن سوال در خصوص اطلاعات شخصی یا بانکی مشتری (چیزی که می‌دانید) استفاده می‌شود و روشی مانند کنترل کالرآیدی (جایی که هستید) آن را تقویت می‌کند. بنابراین برای شناسایی و احراز هویت مشتری در کانال‌های فیزیکی و دیجیتالی موجود، بانک‌ها معمولا از روش‌های تطابق کارت شناسایی، امضا، کلید یا کارت فیزیکی، کلمه عبور یا پین و رمز یک‌بار مصرف و توکن استفاده می‌کنند. در کنار این روش‌های کلاسیک، ابزارهای نوین و مبتنی بر فناوری به عنوان روش‌های جایگزین یا مکمل بیش از پیش مورد توجه و استفاده قرار می‌گیرند. مهم‌ترین این ابزارها به این شرح است:

روش‌های بیومتریک: در این روش‌ها از عواملی چون حسگرهای اثرانگشت و اسکنرهای عنبیه و… استفاده می‌شود. شواهد بیومتریک ممکن است تنها برای احراز هویت استفاده شوند۱‌، یا همزمان برای شناسایی و احراز هویت به کار روند ۲٫ در حالت دوم، هنگامی که اسکن عامل بیومتریک انجام شد، باید نتایج با دیتابیس قبلی مقایسه شود و بهترین نتیجه نزدیک به آن شناسایی شود. در این حالت علاوه بر صرف زمان بیشتر، نرخ خطا در نتیجه به هر دو شکل نرخ پذیرش اشتباه ۳ و نرخ رد اشتباه ۴ افزایش می‌یابد. به‌طور کلی دو دسته اصلی از روش‌های بیومتریک در شناسایی و احراز هویت مورد استفاده قرار می‌گیرند:‌

روش‌های مبتنی بر رمزنگاری: در این دسته از روش‌ها، از الگوریتم‌های رمزنگاری برای اطمینان از هویت کاربر استفاده می‌شود. مزیت مهم این دسته از روش‌ها در توانایی تایید اصالت و یکپارچگی کل پیام (همزمان با شناسایی و احراز هویت کاربر) و ویژگی عدم انکار قوی‌تر آنهاست. از سوی دیگر این دسته از روش‌های احراز هویت، قابلیت استفاده در ابزارهای خودکار متصل به اینترنت چیزها را نیز به‌خوبی فراهم می‌کنند. مهم‌ترین روش‌های مورد استفاده در این خانواده عبارتند از امضای دیجیتال و استفاده از فناوری ‌blockchain‌.

روش‌های مبتنی بر شبکه‌ اجتماعی: با توجه به گسترش و همه‌گیری شبکه‌های اجتماعی، می‌توان از ظرفیت و اعتماد متقابل میان افراد در این شبکه برای مقاصدی چون اعتبارسنجی یا احراز هویت کاربران استفاده کرد. در این روش، ادعای یک کاربر ناشناخته برای تعدادی از کاربران شناخته‌شده در شبکه‌ اجتماعی ارسال می‌شود و با تایید اکثریت این درخواست‌ها، درخواست اصلی نیز معتبر تلقی خواهد شد. این روش به‌خصوص زمانی کارآمد و مفید است که موضوع احراز هویت یک کاربر برای بار نخست در میان باشد. استفاده از اعتماد و تایید متقابل کاربران شناخته‌شده دیگر برای تایید هویت کاربر جدید، می‌تواند نقش عامل مکمل را ایفا کند و اعتماد کافی برای برخی از انواع تعاملات با کاربر را ایجاد کند. این مکانیزم روندی مشابه استشهاد محلی در برخی دعاوی یا امضای تضامنی اسناد توسط ضامن‌ها دارد.

بنابراین می‌توان این‌گونه جمع‌بندی کرد که مساله احراز هویت، به‌خصوص با افزودن کانال‌های جدید مانند پیشخوان، که در کنار شعب فیزیکی و ۵‌VTM ‌های بانک آینده، خدمات شعبه را ارایه کرده و به نوعی با مفاهیم omnichannel نیز گره خورده‌اند، در بخش احراز هویت هنوز راه درازی در پیش دارند و نمی‌توان با روش‌های ساده و ابتدایی که در اینترنت‌بانک و موبایل‌بانک استفاده می‌شدند، این مساله را کانال حساسی همچون پیشخوان به پیش برد و بانک ناگزیر به استفاده از روش‌های جدیدی است که به برخی از آنها در این یادداشت اشاره شد.

Verification1.

Recognition2.

FAR3.

FRR4.

Virtual teller machine5.

منبع: هفته نامه عصر ارتباط