هناك العديد من إجراءات الحمايه المتبعه ليد البنوك وهذه الإجراءات تكون في قمة التعقيد لذا تجعلنا نسال هلي هذه الإجراءات صنعت خصيصا لكي تقدم لنا الدعم والحمايه أم انها إهدار للوقت وزياده في المشاكل
استخدام لوحة المفاتيح الافتراضية
إلى وقت قريب كان موقع البنك الأهلي لا يسمح لك بادخال كلمة المرور الخاصة بحسابك الا عن طريق لوحة مفاتيح افتراضية (لوحة مفاتيح على الشاشة تستخدمها عن طريق الفأره او “الماوس”). لا أعلم ان كان هناك أي بنك لا يزال يستخدمها الى الآن، لكن عموماً هذه من اسوأ الطرق التي يمكن ان تُستخدم لادخال البيانات، فهي تبطيء المستخدم بشكل كبير، وتجعله يتردّد في العودة الى حسابه في المرات القادمة.
يتعذّر بعض المبرمجين بان لوحة المفاتيح الافتراضية تحمي المستخدم في حال كان جهازه مصاباً ببرنامج يقوم بالتنصّت على جميع ما يدخله في لوحة المفاتيح (الحقيقية)، لكن كم نسبة المستخدمين الذين يصابون بهذا النوع من البرنامج؟ وهل نقوم بتعقيد حياة الأغلبية من المستخدمين لاجل قلّة لا مبالية لم تهتم بتثبيت برامج مضاده للفيروسات في اجهزتهم؟
تعطيل زر العوده الى الخلف
لا تزال الكثير من مواقع البنوك “تطردك” منها في حال “تهوّرت” واستخدمت زر العودة الى الخلف (Back) الموجود في المتصفّح. يدّعي الكثير ان هذه الطريقة تحمي المستخدم بحيث لا يمكن لشخص آخر يستخدم نفس الجهاز من استخدام زر العودة الى الخلف للعودة الى العمليات التي قام بها المستخدم والعبث بها (على افتراض ان صاحب الحساب لم يقم بتسجيل خروجه من حسابه).
هناك أيضاً من يقول ان التقنيات المستخدمه لبرمجة مواقع البنوك لا تدعم العودة للصفحة السابقة عن طريق المتصفّح.
في كلا الحالتين، اقترح طريقتين لحل تلك المشكله:
- بدلاً من طرد المستخدم خارج النظام وطلب تسجيل الدخول من الجديد، يمكنك ارساله للصفحة الرئيسية لحسابه. اذا كان هناك تخوّف من ان يستعرض شخصاً آخر حساب هذا المستخدم في حال استخدم نفس الجهاز، فسيتمكّن من استعراض الحساب بأية حال باستخدام الروابط الموجوده أمامه، لن يحتاج فعلياً الى زر العودة الى الخلف.
- طلب ادخال كلمة المرور عند تنفيذ كل عملية حسّاسة في الحساب مثل التحويل.
حسناً لنفترض انه لا يمكن حل المشكله بأي من هاتين الطريقتين. يمكن للموقع على الأقل تنبيه المستخدم عندما يستخدم زر العودة في المتصفّح بأن فعل ذلك سيتسبّب في خروجه من النظام، بحيث يتمكّن من التراجع عن ذلك والاستمرار في تصفّح حسابه وتنفيذ العمليات. ففي النهاية المستخدم اعتاد على استخدام زر العودة الى الخلف في الأغلبية العظمى من مواقع الانترنت دون أية مشاكل.
دعم انترنت اكسبلورر فقط
هذه المشكله خاصة بالبنوك التي تملك موقعاً قديماً “أكل عليه النت وشرب” مثل موقع بنك الرياض. لا أصدّق انه لا يزال هناك موقع بنك (أو اي موقع آخر في الحياة) يجبر مستخدميه على استخدام متصفّح معيّن.
بعض مدراء المواقع البعيدين جداً عن الانترنت يعتقدون انه يجب ايجاد معايير ومقاييس معينه لتطوير موقعهم، وهو أمر جميل، لكن الاعتقاد ان دعم متصفّح واحد فقط لضمان أعلى جوده ودرجة أمان ممكنه هو ضمن احد تلك المعايير والمقاييس هو أمر في قمة الكلمة التي لا استطيع كتابتها هنا.
أقول لهذا النوع من المدراء (بالعامّي): “من جدّكم؟”. لن اتحدّث عن نسبة الناس الذين يستخدمون متصفّحي فايرفوكس وكروم، فنحن في عام 2011 ولسنا في عام 2000، أي ان دعم الثلاث متصفّحات تلك (اكسبلورر، فايرفوكس، كروم) بشكل كامل هو أمر بديهي لا يحتمل النقاش، ولا يوجد مبرّر لعدم دعم أي واحد منها (قد استثني اكسبلورر 6 من هذه الجمله، لان فعلياً لا يستحق الدعم).
كلمات مرور مؤقته طويلة
اذا كنت في السعودية، فعلى الأغلب البنك الذي تتعامل معه يجبرك الآن -كخطوة اضافية- على ادخال كلمة مرور مؤقته يرسلها عن طريق رسالة نصيه الى جوالك. ليس لدي اعتراض على هذه الخطوة الاضافية بحد ذاتها، ولكن بعض البنوك تعقّد كلمة المرور المرسلة بشكل ليس له أي داع.
على سبيل المثال، عند محاولتي الدخول لحسابي في البنك الأهلي، يرسل لي البنك رسالة نصية تحتوي على كلمة مرور مكونه من 6 أرقام. بينما يرسل لي بنك الراجحي في الخطوة ذاتها كلمة مرور مكونة من 4 أرقام. قد يبدو الفرق بسيطاً هنا (رقمين فقط)، لكن فعلياً عملية الدخول لحسابي في البنك الأهلي أصعب بشكل ملحوظ من عملية الدخول لحسابي في بنك الراجحي، اذ ان حفظ وادخال 4 أرقام أسهل بكثير من حفظ وادخال 6 أرقام جديدة في كل مره تدخل بها الى حسابك.
في نهاية الأمر هي كلمة مرور مؤقته يفترض ان صلاحيتها ستنتهي في فترة قصيرة جداً، فلماذا تكون طويلة أصلاً؟ ماهي نسبة معرفة أحد الاشخاص لكلمة مرور الحساب وتخمين كلمة المرور المؤقته في الوقت ذاته؟
تفعيل المستفيد عن طريق الهاتف
تتبع بعض البنوك (أو كلها؟) اسلوب تفعيل المستفيد (الشخص الذي ستقوم بتحويل الأموال له) عن طريق الاتصال على رقم البنك من رقم هاتفك المسجّل بحسابك بعد أن تضيفه في الموقع، ومن ثم تقوم بتفعيله عن طريق الهاتف المصرفي كاجراء اضافي لحماية حسابك من تحويل المتطفلين لاموالك الى حسابات أخرى.
حسناً، جميل، ماذا لو كنت مسافراً خارج المملكة؟ والأسوأ: ماذا لو كنت أدرس خارج المملكة وأملك حسابي في البنك المحلي؟ لماذا لا يرسل البنك كلمة مرور مؤقته في رسالة نصّية الى الجوال المسجّل تسمح بتفعيل المستفيد بما ان الجوال هو وسيلة التحقّق هنا؟
منع “اللصق” في النماذج
أظرف اجراء حمايه واجهته هو الاجراء الموجود في موقع البنك الأهلي. فعندما أرغب في التحويل الى حساب آخر، لا استطيع أن “ألصق” (paste) رقم حساب نسخته من رسالة ايميل مثلا، لا استطيع أن “ألصقه” في خانة رقم الحساب في موقع البنك، لان موقع البنك لا يسمح بذلك، بل يجبرك على كتابته (24 حرف ورقم) بشكل يدوي، مما يرفع من نسبة خطأك عند نقلك لرقم الحساب (ويرفع ضغطك أيضاً).
لا أعلم سبب قيامهم بذلك، ولا أستطيع أن أجد أي مبرّر له، ولكن قد يكون المبرمج الذي أضاف هذه الخاصية يعتقد ان كلما عقّدت حياة المستخدم، كلما أصبحت أكثر أماناً.
خلاصة الموضوع
لا تجعل أي موقع أو جهة توهمك ان التعقيدات الموضوعه في طريقك هي اجراءات أمنيّة. كثير من هذه المواقع (حتى مواقع البنوك) فعلياً تقوم بتقليد المواقع الأخرى في نفس المجال فقط على افتراض انها تقوم بممارسات صحيحة يجب اتباعها، وهذا ما صارحني به عدة أشخاص عملوا على تطوير مواقع بعض البنوك المحلية.
اذا كان اي موقع يجعلك تتردّد في استخدامه، أو يقوم بالتأثير سلباً على مزاجك عند استخدامه، فهو ببساطة موقع سيء.
بالطبع تظل هناك اجراءات أمنية حقيقيه (مثل ارسال كلمة مرور مؤقته على جوالك) تقوم بحماية المستخدمين بشكل أفضل، لكنها لا يجب أبداً ان تصل الى المرحلة التي تشكّل بها مصدر ازعاج للمستخدم. يمكن دائماً الوصول الى حل وسط يضمن الحماية وسهولة الاستخدام للمستخدم.
هل هناك “طرق حماية” أخرى لم أذكرها في هذا الموضوع؟ شاركنا بها في التعليقات.