امنیت توکن امضای دیجیتال را جدی بگیرید
توکن امضای دیجیتال به عنوان یکی از مهمترین ابزارهای احراز هویت و امضا در سامانههای دولتی، شرکتی و تجاری کاربرد وسیعی دارد. این وسیله کوچک اما حیاتی، نقش کلیدی در حفاظت از هویت و داراییهای دیجیتال شما دارد. اگر تا امروز فکر میکردید توکن صرفاً یک “فلش” ساده است، این مقاله همان چیزی است که باید بخوانید! امنیت توکن امضای دیجیتال را جدی بگیرید.
در ادامه با مخاطرات امنیتی و راههای تضمین امنیت توکن همراه ما باشید.
مرتضی اسدی، شرکت رهسا
4 دقیقه مطالعه | 1 اردیبهشت 1404
فهرست مطالب
توکن امضای دیجیتال چیست و چرا اهمیت دارد؟
توکن امضای دیجیتال یک دستگاه سختافزاری است که کلید خصوصی شما را در خود ذخیره میکند و از آن برای ایجاد امضای دیجیتال در اسناد و سامانهها استفاده میکند. مهمترین قابلیت این ابزار، امنیت سطح بالا و نقش آن در جلوگیری از جعل هویت و مخدوش شدن اسناد است.
استفاده از توکن، کلید ورود شما به بسیاری سامانههای مهم مثل سامانه جامع تجارت، سامانه ثبت شرکتها، ثبتمن و بانک، حمل و نقل، مالیات و بسیاری دیگر است؛ بنابراین، هرگز نباید آن را در اختیار افراد غیرمجاز قرار داد.
مخاطرات و تهدیدات رایج مربوط به امنیت توکن امضای دیجیتال
الف) سرقت یا مفقودی توکن:
در صورت دسترسی غیرمجاز به توکن، فرد سودجو میتواند به نام شما معامله، ثبت شرکت یا تغییرات اساسی انجام دهد.
ب) دادن رمز عبور توکن به دیگران:
اگر رمز عبور توکن را افشا کنید، فرد مقابل میتواند بدون شما و تنها با داشتن توکن، وارد سامانههای مهم شود.
ج) دسترسی به اطلاعات حساب کاربری سامانههای کلیدی:
در اختیار گذاشتن اطلاعات ثبتنام یا رمز عبور به دیگران، مساویست با دادن کلید خانهتان به یک فرد غریبه! در سامانههایی مثل “ثبت من”، اطلاعاتی از سوابق ازدواج، املاک و حتی وکالتنامههای شما نمایش داده میشود.
د) نصب نرمافزارهای ناشناخته روی سیستم متصل به توکن:
هرگونه بدافزار یا کیلاگر روی سیستم متصل میتواند رمز و حتی دادههای حساس توکن را سرقت کند.
راهکارهای کلیدی برای حفظ امنیت توکن امضای دیجیتال
1. توکن خود را فقط نزد خود نگه دارید
هرگز آن را به همکاران، حسابداران یا اپراتورهای شرکت نسپارید. حتی اگر فرد معتمد است، بهتر است توکن دست صاحبش بماند.
2. رمز عبور توکن را بلافاصله تغییر دهید
پس از دریافت توکن، رمز اولیه کارخانه نوعاً ساده است. حتماً رمز را تغییر دهید.
برای تغییر رمز توکن epass3003 میتوانید مقاله “راهنمای تغییر رمز توکن epass3003” را مطالعه کنید.
3. رمز توکن را به کسی ندهید
هیچگاه رمز را یادداشت نکرده و به دیگران ندهید. حتی با یک اشتباه ساده و دادن رمز به دیگری، فرد سودجو میتواند در عرض چند دقیقه به اسناد و حسابهای حساس شما رخنه کند.
4. اطلاعات سامانهها را فاش نکنید
داده و رمز ورود به سامانههایی مثل سامانه ثبتمن را در اختیار دیگران نگذارید. اگر مجبور شدید، سریعاً پس از ورود، رمز عبور خود را تغییر دهید و پیامکهای تاییدیه را در دسترس هیچکس جز خودتان قرار ندهید.
نکته: هر کس با ورود به سامانه ثبت من با حساب کاربری شما، قادر است اطلاعات ثبتی، وکالتی، ملکی، سابقه تاهل و بسیاری موارد دیگر متعلق به شما را مشاهده کند.
5. از سیستم مطمئن استفاده کنید
توکن را به کامپیوترهای عمومی، کافینت و یا سیستم افراد غریبه متصل نکنید. احتمال نصب بدافزار یا جاسوس افزار زیاد است.
6. آنتی ویروس را فعال یا بروزرسانی کنید
همیشه از آخرین نسخه آنتیویروس قوی استفاده کنید و کامپیوتر خود را بروز نگه دارید.
اگر توکن، رمز یا اطلاعاتتان فاش شد چه کنید؟
- سریعاً رمز توکن را تغییر دهید.
- اگر توکن گم شد، به مراجع ذیربط (مانند دفاتر ثبت اسناد رسمی یا شرکت صادرکننده گواهی توکن) اطلاع دهید و نسبت به ابطال گواهی اقدام کنید.
- رمزهای ورود به سامانهها را تغییر دهید.
- دسترسیهای مشکوک را بررسی و اطلاعرسانی کنید.
- در صورت سوءاستفاده به پلیس یا نهاد مرتبط اطلاع دهید.
سوالات متداول (سوال و جواب)
1. آیا توکن امضای دیجیتال همان “فلش مموری” است؟
خیر، توکن نوعی حافظه با سیستم امنیتی بالا و چیپ اختصاصی است که کلید خصوصی را ایمن نگه میدارد و عملکردش کاملاً با فلش مموری متفاوت است.
2. آیا برای امنیت توکن کافیست رمز عبور پیچیده بگذارم؟
یک رمز عبور قوی مهم است اما کافی نیست؛ نگهداری فیزیکی، اتصال به سیستمهای امن و عدم افشای رمز هم ضروری است.
3. اگر توکن خود را اشتباهی به همکارم دادم، چه کنم؟
در اولین فرصت رمز را عوض کنید و ورودهای اخیر به سامانههای حساس را بررسی نمایید.
4. آیا امکان بازیابی رمز توکن وجود دارد؟
در اغلب توکنها (مثلاً ePass3003) اگر رمز توکن بیش از ۵ بار اشتباه وارد شود، توکن قفل میشود و باید برای باز کردن قفل آن فرآیند خاصی طی شود. برای بررسی نحوه باز کردن قفل توکن، مقاله آموزش تصویری نحوه استفاده از توکن epass3003 را مطالعه کرده یا با پشتیبانی شرکت رهسا تماس بگیرید.
خطاهای عمومی توکن امضای دیجیتال
1. مشکلات نصب و راهاندازی توکن:
هنگام استفاده از توکن امضای دیجیتال ePass3003، ممکن است با خطاهای مختلفی روبرو شوید. در این بخش، به بررسی رایجترین این خطاها و راهحلهای آنها میپردازیم.
- عدم شناسایی توکن توسط سیستم: اگر پس از اتصال توکن به پورت USB، آیکون سبز رنگ توکن در کنار ساعت سیستم نمایش داده نشد، ممکن است برنامه مدیریت توکن به طور خودکار نصب نشده باشد. برای رفع این مشکل:
نصب نشدن برنامه مدیریت توکن به دلیل غیرفعال بودن AutoRun: اگر AutoRun برای CD-ROM غیرفعال باشد، نصب خودکار انجام نمیشود. برای نصب دستی، مطابق روش بالا اقدام کنید.
- به “My Computer” مراجعه کرده و روی CD-ROM مربوط به توکن دوبار کلیک کنید تا برنامه مدیریت توکن نصب شود.
- مطمئن شوید که مجوز نصب برنامه را دارید. در صورت نیاز با مسئول IT سازمان خود تماس بگیرید.
- نصب نشدن برنامه مدیریت توکن به دلیل غیرفعال بودن AutoRun: اگر AutoRun برای CD-ROM غیرفعال باشد، نصب خودکار انجام نمیشود. برای نصب دستی، مطابق روش بالا اقدام کنید.
2. مشکلات مربوط به رمز عبور (PIN):
- فراموشی رمز عبور و قفل شدن توکن: رمز پیشفرض توکن 1234 است. اگر رمز را تغییر داده و فراموش کردهاید یا رمز را بیش از 5 بار اشتباه وارد کردهاید، توکن قفل میشود. برای رفع این مشکل:
- نرمافزار مدیریت توکن نسخه ادمین را دانلود و اجرا کنید.
- از منوی برنامه، گزینه “Unblock” را انتخاب کرده و با وارد کردن SO PIN (rokey)، رمز جدیدی برای توکن تعریف کنید.
- توجه: SO PIN را فقط 5 بار میتوانید اشتباه وارد کنید. در صورت اشتباه بیشتر، توکن “SO PIN Blocked” شده و غیرقابل استفاده میشود. در این حالت باید برای صدور مجدد گواهی امضا به دفاتر ثبتنام گواهی مراجعه کنید.
3. انقضای اعتبار توکن:
- خطای “token expired”: این خطا زمانی رخ میدهد که تاریخ اعتبار گواهی امضای دیجیتال شما به پایان رسیده باشد.
- همواره تاریخ انقضای گواهی خود را بررسی کنید و یک ماه قبل از انقضا برای تمدید آن اقدام نمایید.
4. اشتباه بودن نوع گواهی:
- خطای “در اعتبارسنجی آنلاین گواهی خطایی رخ داده است”: نوع گواهی باید با سامانه مورد استفاده سازگار باشد.
- مطمئن شوید که نوع گواهی (مثلاً شخص مستقل) با سامانه مورد نظر (مثلاً سامانه جامع تجارت) مطابقت داشته باشد.
- از پشتیبانی سامانه مربوطه نوع گواهی مورد نیاز را استعلام بگیرید.
- در صورتی که همه موارد فوق صحیح است، آخرین درایور توکن را نصب کنید.
5. تعداد گواهی روی توکن:
- تداخل گواهیها: برخی سامانهها (مانند بانکداری اینترنتی بانک ملت) ممکن است فقط با یک گواهی بر روی توکن کار کنند.
- شرایط گواهیهای روی توکن را از پشتیبانی سامانه مورد نظر استعلام بگیرید.
6. نادرست بودن مدت زمان اعتبار گواهی:
- عدم سازگاری مدت اعتبار گواهی با نرمافزار: برخی نرمافزارها (مانند نرمافزار حسابداری هلو برای سامانه مودیان مالیاتی) به گواهی با مدت اعتبار خاص (مثلاً دوساله) نیاز دارند.
- هنگام تهیه گواهی، مدت اعتبار مورد نیاز سامانههای مورد استفاده خود را در نظر بگیرید.
7. مشکلات عمومی عملکرد توکن در سامانهها:
- تداخل آنتیویروس و Security ویندوز: گاهی اوقات، آنتیویروس و Security ویندوز میتوانند مانع نصب پیشنیازها و تعامل توکن با سامانهها شوند.
- به طور موقت آنتیویروس و Security ویندوز را خاموش کنید.
- نصب نبودن برنامههای پیشنیاز سامانه: هر سامانه ممکن است به نرمافزارهای پیشنیاز خاصی برای شناسایی و تعامل با توکن نیاز داشته باشد.
- برنامههای پیشنیاز مورد نیاز هر سامانه را از پشتیبانی آن سامانه استعلام و نصب کنید (مانند دستینه برای سامانه جامع تجارت، جاوا برای ستاد ایران و بانک ملت).
- از نصب صحیح و بهروز بودن برنامه دستینه اطمینان حاصل کنید.
- از نصب صحیح و بهروز بودن برنامه دستینه اطمینان حاصل کنید.
- خطای جاوا: برخی سامانهها به برنامه جاوا نیاز دارند.
- در صورت مشاهده خطای مربوط به جاوا، برنامه Java JRE8 را نصب کنید.
جمعبندی و توصیه پایانی
امنیت توکن امضای دیجیتال، امنیت کسبوکار، دارایی و اعتبار شماست. با کمی بیدقتی ممکن است ضررهای مالی، سوءاستفاده اعتباری یا حتی مشکلات حقوقی و قانونی رخ دهد. پس همیشه:
توکن، رمز توکن و اطلاعات سامانهها را نزد خود نگه دارید و اصول امنیتی را رعایت کنید!