One-Time-Password (OTP) là một mật khẩu chỉ sử dụng một lần, thường được sử dụng trong các hệ thống xác thực hai yếu tố (2FA) để tăng cường bảo mật. OTP có thể được gửi qua tin nhắn SMS, email, hoặc được tạo bởi một ứng dụng tạo OTP như Google Authenticator. Mỗi mã OTP chỉ có giá trị trong một thời gian ngắn hoặc chỉ sử dụng cho một lần đăng nhập, sau đó nó sẽ vô hiệu.
Trang 1BÁO CÁO THỰC HÀNH
ĐỀ TÀI
TÊN ĐỀ TÀI : ONE TIME PASSWORD
Trang 2LỜI MỞ ĐẦU
Ngày nay với sự phát triển nhanh chóng về số lượng các dịch vụ trực tuyến dẫn đến số lượng ngày càng tăng về nhu cầu xác thực nhận dạng kỹ thuật số khác nhau mà mỗi ngườidùng cần quản lý Kết quả là nhiều người dùng cảm thấy quá tải với thông tin đăng nhập, điều này tác động tiêu cực đến khả năng quản lý chúng một cách an toàn Phương thức xác thực phổ biến nhất vẫn là sử dụng các kí tự làm mật khẩu Để tránh việc nhớ những mật khẩu khó, người dùng có xu hướng đặt mật khẩu theo tên chính mình, tên nhân vật nổi tiếng yêu thích, hay ngày sinh nhật,… điều này làm cho tính bảo mật thấp đi, làm cho
kẻ tấn công có thể dự đoán được Hầu hết các chuyên gia bảo mật đều đánh giá là việc sử dụng mật khẩu không còn an toàn trước các thủ đoạn tấn công tinh vi hiện nay Mật khẩu
có thể bị nghe lén, bị đánh cắp hoặc bị phá mã
Một số giải pháp đã được phát triển để tăng cường tính bảo mật, loại bỏ nhu cầu người dùng tạo và quản lý mật khẩu, một giải pháp điển hình dựa trên việc tạo mật khẩu một lần, tức là mật khẩu chỉ sử dụng một phiên hoặc một giao dịch Đây là phương pháp được giới thiệu để tăng cường độ an toàn trong quá trình xác thực người dùng, xác thực các giao dịch, đặc biệt là các giao dịch trong thanh toán trực tuyến trong các hệ thống ngân hàng đang được sử dụng phổ biến hiện nay
Đề tài “Tìm hiểu về OTP và ứng dụng” được lựa chọn với mục đích nghiên cứu về mật khẩu sử dụng một lần và ứng dụng trong thực tiễn
Trang 3CHƯƠNG 1: TỔNG QUAN VỀ OTP
1.1 Khái quát về mật khẩu và xác thực sử dụng mật khẩu
1.1.1 Khái niệm mật khẩu
Mật khẩu hay đôi khi được gọi là mật mã, là một lượng thông tin mật nào
đó, mà chỉ có người dùng và hệ mật được biết, người dùng cần phải nhớ, thường làmột chuỗi kí tự, được sử dụng để xác nhận, chứng minh tính chính xác một người nào đó khi đăng nhập vào một hệ thống, một dịch vụ hay một ứng dụng
1.1.2 Phương pháp xác thực sử dụng mật khẩu
Nhằm kiểm soát quyền truy cập ở mực hệ thống Mỗi người sử dụng muốn vào được mạng để sử dụng tài nguyên đều phải đăng ký tên và mật khẩu Sự kết hợp giữa username và password có thể nói là cách xác thực mật khẩu cơ bản nhất
và cũng là phổ biến nhất Với phương thức xác thực này, thông tin cặp username
và password nhập vào được đối chiếu với dữ liệu trên hệ thống, nếu trùng khớp username và password thì người dùng được xác thực còn nếu không người dùng sẽ
bị từ chối hoặc cấm quyền truy cập
1.1.3 Độ an toàn mật khẩu
Thông thường, để dò tìm mật khẩu, các người tấn công thường sử dụng cáchthức tấn công vét cạn(Brute-force), là cách thức sử dụng các công cụ để tự động thử nghiệm lần lượt các chuỗi kí tự cho đến khi ta tìm ra mật khẩu đúng Do vậy, nếu sử dụng các mật khẩu quá đơn giản hay quá ngắn, việc sử dụng phương pháp tấn công dựa trên từ điển hoặc vét cạn có thể giúp người tấn công dễ dàng dò rfa mật khẩu của người dùng mà không mất quá nhiều thời gian
Độ an toàn của mật khẩu phụ thuộc vào độ dài của mật khẩu và kích thước tập kí tự:
● Độ dài của mật khẩu phải từ 8 kí tự trở lên Khi độ dài của mật khẩu đủ lớn, khả năng bị đoán hoặc tấn công vét cạn giảm đi
● Mật khẩu không nên chứa các từ đơn giản, dễ đoán, như tên người thân, tên con vật yêu thích, hoặc ngày tháng năm sinh Các mật khẩu như vậy thường
dễ dàng bị dò tìm thông qua tấn công dựa trên từ điển
● Mật khẩu phải là tổ hợp của các chữ cái in hoa, in thường, chữ số và kí tự đặc biệt Khi số loại ký tự được sử dụng tăng lên, số tổ hợp mật khẩu có thể trở lên rất lớn làm cho việc thực hiện tấn công vét cạn không khả thi
1.2 Giới thiệu về OTP
1.2.1 Định nghĩa OTP
Trang 4Mật khẩu sử dụng một lần hay còn gọi là OTP (One Time Password), là mậtkhẩu chỉ được sử dụng một lần hoặc chỉ có giá trị trong một phiên làm việc OTP
có thể được sử dụng một lần trong xác thực người dùng cho một phiên làm việc hoặc xác thực một giao dịch của người dùng OTP thường được sử dụng trong các giao dịch điện tử hoặc các hệ thống xác thực có độ bảo mật cao
OTP thường có độ dài từ 6 đến 8 ký tự chữ số OTP thường được dùng để làm bảo mật 2 lớp trong các giao dịch xác minh đăng nhập, đặc biệt là giao dịch với tài khoản ngân hàng OTP giúp ngăn chặn, giảm thiểu những rủi ro khi bị tấn công khimật khẩu bị lộ hoặc các kẻ tấn công xam nhập
1.2.2 Nguyên ký hoạt động
Nguyên lý hoạt động của OTP như sau: sau khi đã đăng kí dịch vụ, mỗi lần muốn đăng nhập hay xác thực , người dùng sẽ được cấp một mã OTP được tạo ra bởi đầuđọc thẻ và thẻ thông minh hay thiết bị tạo mật khẩu cầm tay (Token) nhờ vào kết nối internet với máy chủ của dịch vụ cung cấp OTP hoặc cũng có thể thông qua thẻOTP in sẵn hay điện thoại di động mà không cần đến kết nối internet Mã OTP nàyđược dùng để xác thực giao dịch một lần duy nhất Thậm chí khi sử dụng thì sau khoảng 30 giây đến 2 phút, mã xác nhận này cũng không còn hiệu lực, và cũng không thể sử dụng nó cho bất kì giao dịch nào khác
Quá trình tạo OTP mới sẽ lập lại khi người dùng yêu cầu xác thực đối với hệ thốngđược bảo mật bằng OTP
1.2.3 Ưu điểm và nhược điểm OTP
OTP có nhiều ưu điểm so với mật khẩu truyền thống Cụ thể:
● Khả năng chống lại các cuộc tấn công: Xác thực OTP cung cấp những lợi thế khác biệt so với việc chỉ sử dụng mật khẩu tĩnh Không giống như mật khẩu truyền thống, OTP không dễ bị tấn công-trong đó tin tặc chặn việc truyền dữ liệu ( như người dùng gửi mật khẩu của họ), ghi lại và sử dụng nó
để truy cập vào hệ thống hoặc tài khoản của chính họ Khi người dùng có quyền truy cập vào tài khoản của họ bằng OTP, mã sẽ trở nên không hợp lệ
và do đó kẻ tấn công không thể sử dụng lại
● Khó đoán: OTP thường được tạo bằng các thuật toán sử dụng sự ngẫu nhiên Điều này khiến những kẻ tấn công khso đoán và sử dụng chúng thànhcông OTP có thể chỉ có hiệu lực trong thời gian ngắn, yêu cầu người dùng
có kiến thức về OTP trước đó hoặc cung cấp cho người dùng một thử thách(
ví dụ: “vui lòng nhập số thứ hai và thứ năm”) Tất cả các biện pháp này làm giảm thêm bề mặt tấn công của môi trường khi so sánh với xác thực chỉ bằng mật khẩu
● Giảm rủi do khi mật khẩu bị xâm phạm: Người dùng không áp dụng các biện pháp bảo mật manh mẽ có xu hướng tái chế các thông tin đăng nhập
Trang 5giống nhau Nếu những thông tin đăng nhập này bị dò rỉ hoặc rơi vào tay kẻ xấu, dữ liệu bị đánh cắp và gian lận là những mối đe dọa đáng kể đối với người dùng trên mọi phương diện Bảo mật OTP giúp ngăn chặnvi phạm truy cập, ngay cả khi kẻ tấn công đã có được bộ thông tin đăng nhập hợp lệ.
● Dễ dàng áp dụng: Mật mã dùng một lần cũng dễ dàng cho các tổ chức tích hợp vào chiến lược xác thực của họ Mặc dù bản chất khó hiểu của những
mã này khiến mọi người khó ghi nhớ, nhưng điện thoại, mã thông báo và các công nghệ khác có thể truy cập rộng rãi để các nhóm bảo mật sử dụng
và phân phối cho nhân viên của họ
Nhược điểm:
● Mã OTP có thể bị lộ nếu chủ tài khoản không giữ thông tin cẩn thận
● Giao dịch thông qua hệ thống internet có thể bị hacker tấn công
● Với hình thức OTP Token, bảo mật hơn nhưng phải trả thêm phí làm máy Token
1.3 Mô hình sử dụng OTP
Có hai mô hình sử dụng OTP phổ biến hiện nay là:
● Mô hình server-based: Trong mô hình này, server sẽ tạo ra OTP và gửi cho người dùng Người dùng sẽ nhập mã OTP được gửi đến để xác thực
● Mô hình client-based: Trong mô hình này, người dùng sẽ tự tạo ra OTP bằng cách
sử dụng một ứng dụng di động hoặc phần mềm trên máy tính Mã OTP được tạo ra
sẽ được nhập vào hệ thống để xác thực
1.3.1 Mô hình server-based
Giải thích hình minh họa:
Trong hình minh họa, chúng ta có thể thấy người dùng đang sử dụng ứng dụng trênmáy tính của mình để đăng nhập vào một ứng dụng nào đó Ứng dụng sẽ gửi yêu cầu xác thực đến server Server sẽ tạo ra mã OTP dựa trên secret key Mã OTP sau đó sẽ được gửiđến người dùng Người dùng sẽ nhập mã OTP vào ứng dụng Ứng dụng sẽ gửi mã OTP đến server để xác thực Nếu mã OTP hợp lệ, người dùng sẽ được xác thực và có thể đăng nhập vào ứng dụng
Trang 6Cụ thể, trong hình minh họa, chúng ta có thể thấy các thành phần sau:
● Server: Là máy chủ lưu trữ dữ liệu của ứng dụng, bao gồm cả secret key
● Máy tính của người dùng: Là nơi người dùng sử dụng để đăng nhập vào ứng dụng
● Ứng dụng: Là phần mềm cho phép người dùng đăng nhập vào ứng dụng
Quy trình xác thực trong mô hình server-based như sau:
1 Người dùng nhập thông tin đăng nhập (tên người dùng, mật khẩu)
2 Ứng dụng gửi yêu cầu xác thực đến server
3 Server tạo ra mã OTP dựa trên secret key
4 Server gửi mã OTP đến người dùng
5 Người dùng nhập mã OTP vào ứng dụng
6 Ứng dụng gửi mã OTP đến server để xác thực
Nếu mã OTP hợp lệ, người dùng sẽ được xác thực và có thể đăng nhập vào ứng dụng
Ưu điểm của mô hình server-based
● Dễ dàng triển khai và quản lý: Server là nơi lưu trữ dữ liệu của ứng dụng, bao gồm
cả secret key Do đó, việc triển khai và quản lý mô hình này tương đối đơn giản
● Có thể áp dụng cho nhiều ứng dụng khác nhau: Mô hình này có thể áp dụng cho nhiều ứng dụng khác nhau, không phụ thuộc vào loại ứng dụng hay nền tảng.Nhược điểm của mô hình server-based
● Có thể bị tấn công nếu server bị xâm nhập: Nếu server bị xâm nhập, kẻ tấn công cóthể lấy được secret key và tạo ra mã OTP hợp lệ
● Người dùng cần có kết nối Internet để nhận được mã OTP: Nếu người dùng không
có kết nối Internet, họ sẽ không thể nhận được mã OTP để xác thực
1.4 Mô hình client-based
Trong mô hình client-based, người dùng sẽ tự tạo ra OTP bằng cách sử dụng ứng dụngclient Mô hình này có tính bảo mật cao hơn mô hình server-based, nhưng cũng khó triển khai và quản lý hơn Mô hình này chỉ áp dụng được cho các ứng dụng cho phép người dùng cài đặt ứng dụng client trên thiết bị của mình
Ứng dụng client
Ứng dụng client là một ứng dụng di động hoặc phần mềm trên máy tính được sử dụng để tạo mã OTP Ứng dụng này sẽ nhận được secret key từ hệ thống và sử dụng secret key để tạo ra mã OTP Mã OTP sẽ được hiển thị trên ứng dụng client Người dùng
có thể nhập mã OTP này vào hệ thống để xác thực
Secret key
Secret key là một chuỗi ký tự bí mật được sử dụng để tạo ra mã OTP Secret key được lưu trữ trên thiết bị của người dùng Secret key là yếu tố quan trọng nhất trong mô
Trang 7hình client-based Nếu secret key bị lộ, kẻ tấn công có thể tạo ra mã OTP hợp lệ và truy cập vào tài khoản của người dùng.
Quy trình xác thực trong mô hình client-based như sau:
1 Người dùng nhập thông tin đăng nhập (tên người dùng, mật khẩu)
2 Ứng dụng client tạo ra mã OTP dựa trên secret key
3 Người dùng nhập mã OTP vào ứng dụng
4 Ứng dụng gửi mã OTP đến hệ thống để xác thực
Nếu mã OTP hợp lệ, người dùng sẽ được xác thực và có thể đăng nhập vào ứng dụng
Ưu điểm của mô hình client-based
● Tính bảo mật cao hơn mô hình server-based: Trong mô hình client-based, secret key được lưu trữ trên thiết bị của người dùng Do đó, ngay cả khi server bị xâm nhập, kẻ tấn công cũng không thể lấy được secret key để tạo ra mã OTP hợp lệ
● Không cần có kết nối Internet để tạo mã OTP: Người dùng có thể tạo mã OTP ngay cả khi không có kết nối Internet
Nhược điểm của mô hình client-based
● Khó triển khai và quản lý: Việc triển khai và quản lý mô hình này tương đối phức tạp hơn so với mô hình server-based
● Chỉ áp dụng được cho một số ứng dụng nhất định: Mô hình này chỉ áp dụng được cho các ứng dụng cho phép người dùng cài đặt ứng dụng client trên thiết bị của mình
Trang 8CHƯƠNG 2: CÁCH THỨC SINH VÀ CHUYỂN GIAO MÃ
OTP2.1.Một số phương pháp sinh mã OTP
2.1.1 Thuật toán HOTP
Thuật toán HOTP (HMAC-Based One-Time Password Algorithm) là một thuật toán sinh mật khẩu một lần (OTP) dựa trên hàm băm mật mã HMAC (Hash-based Message Authentication Code)
Cơ chế hoạt động
Thuật toán HOTP sử dụng một hàm băm mật mã HMAC để tính toán mã OTP dựa trên một giá trị bí mật (secret key) và một giá trị đếm (counter) Giá trị đếm là một số nguyên không âm, tăng dần theo thời gian
Công thức tính mã OTP của thuật toán HOTP như sau:
OTP = HMAC(secret_key, counter)
● Tăng giá trị đếm theo từng giây
● Tăng giá trị đếm theo từng phút
● Tăng giá trị đếm theo từng giờ
Độ dài mã OTP
Độ dài mã OTP của thuật toán HOTP có thể được đặt tùy theo yêu cầu Tuy nhiên, độ dài
mã OTP thường là 6 hoặc 8 ký tự
Tính bảo mật
Thuật toán HOTP được coi là một thuật toán sinh OTP an toàn Điều này là do:
● Giá trị bí mật được chia sẻ giữa người dùng và hệ thống là một chuỗi ký tự bí mật, khó bị đoán hoặc bẻ khóa
● Giá trị đếm tăng dần theo thời gian, làm cho mã OTP chỉ hợp lệ trong một khoảng thời gian ngắn
Ứng dụng
Trang 9Thuật toán HOTP được sử dụng trong nhiều ứng dụng xác thực hai yếu tố (2FA), chẳng hạn như:
● Xác thực đăng nhập tài khoản trực tuyến
2.1.2 Thuật toán TOTP
Thuật toán TOTP (Time-based One-Time Password Algorithm) là một thuật toán sinh mật khẩu một lần (OTP) dựa trên thời gian hiện tại
*Cơ chế hoạt động
Thuật toán TOTP sử dụng một hàm băm mật mã HMAC để tính toán mã OTP dựa trên một giá trị bí mật (secret key) và thời gian hiện tại Thời gian hiện tại được biểu diễn dướidạng một số nguyên không âm, được chia cho một số chia cố định
Công thức tính mã OTP của thuật toán TOTP như sau:
OTP = HMAC(secret_key, counter)
Trong đó:
● secret_key là giá trị bí mật được chia sẻ giữa người dùng và hệ thống
● counter là thời gian hiện tại được biểu diễn dưới dạng một số nguyên không âm
● HMAC() là hàm băm mật mã HMAC
Số chia cố định
Số chia cố định là một số nguyên không âm, được sử dụng để chia thời gian hiện tại Số chia cố định thường là 30, 60 hoặc 86400 (tương ứng với 1 phút, 1 giờ hoặc 24 giờ)
Độ dài mã OTP
Trang 10Độ dài mã OTP của thuật toán TOTP có thể được đặt tùy theo yêu cầu Tuy nhiên,
độ dài mã OTP thường là 6 hoặc 8 ký tự
Tính bảo mật
Thuật toán TOTP được coi là một thuật toán sinh OTP an toàn Điều này là do:
● Giá trị bí mật được chia sẻ giữa người dùng và hệ thống là một chuỗi ký tự bí mật,
khó bị đoán hoặc bẻ khóa
● Thời gian hiện tại được biểu diễn dưới dạng một số nguyên không âm, làm cho mã
OTP chỉ hợp lệ trong một khoảng thời gian ngắn
Thuật toán TOTP là một thuật toán sinh OTP an toàn và hiệu quả, được sử dụng trong
nhiều ứng dụng xác thực hai yếu tố
So sánh thuật toán HOTP và TOTP
Cả thuật toán HOTP và TOTP đều là các thuật toán sinh OTP an toàn và hiệu quả Tuy
nhiên, giữa hai thuật toán này có một số điểm khác biệt cơ bản như sau:
Giá trị đếm Tăng dần theo thời gian Biểu diễn dưới dạng một số nguyên không âm,
được chia cho một số chia cố định
Trang 11Xác thực đăng nhập tài khoản trực tuyến, xác thực truy cập ứng dụng di động, xác thực giao dịch tài chính
Nhìn chung, thuật toán TOTP được coi là an toàn hơn thuật toán HOTP Điều này là do thuật toán TOTP sử dụng thời gian hiện tại làm nguồn duy nhất để tạo ra mã OTP Thời gian hiện tại là một giá trị duy nhất và không thể dự đoán được, làm cho mã OTP của
thuật toán TOTP khó bị tấn công hơn
2.2 Các phương pháp chuyển giao OTP
2.2.1 Chuyển giao bằng giấy
Chuyển giao OTP bằng giấy là phương pháp chuyển giao mã OTP qua đường bưu điện
hoặc dịch vụ chuyển phát nhanh Phương pháp này thường được sử dụng cho các trường hợp sau:
● Người dùng không có điện thoại thông minh hoặc máy tính có kết nối internet
● Người dùng không có quyền truy cập vào điện thoại thông minh hoặc máy tính có kết nối internet trong thời gian yêu cầu OTP
● Người dùng cần xác thực OTP cho một giao dịch hoặc dịch vụ không yêu cầu xác thực tức thời
Để chuyển giao OTP bằng giấy, người dùng cần thực hiện các bước sau:
1 Liên hệ với nhà cung cấp dịch vụ OTP để yêu cầu chuyển giao
2 Cung cấp cho nhà cung cấp dịch vụ OTP các thông tin cần thiết, bao gồm:
● Họ tên, địa chỉ, số điện thoại của người nhận OTP
● Số tài khoản hoặc mã khách hàng của người nhận OTP
3 Nhà cung cấp dịch vụ OTP sẽ gửi mã OTP đến địa chỉ của người nhận bằng đường
bưu điện hoặc dịch vụ chuyển phát nhanh
Ưu điểm của phương pháp chuyển giao OTP bằng giấy:
● Phương pháp này có thể áp dụng cho mọi đối tượng người dùng, kể cả những
người không có điện thoại thông minh hoặc máy tính có kết nối internet
● Phương pháp này có độ bảo mật cao, vì mã OTP được gửi đến người nhận qua
đường bưu điện hoặc dịch vụ chuyển phát nhanh, khó bị đánh cắp hoặc giả mạo
Nhược điểm của phương pháp chuyển giao OTP bằng giấy:
Trang 12● Phương pháp này có thời gian chuyển giao chậm hơn các phương pháp chuyển giao OTP khác, vì mã OTP cần được gửi qua đường bưu điện hoặc dịch vụ chuyển phát nhanh.
● Phương pháp này có thể phát sinh chi phí, tùy thuộc vào nhà cung cấp dịch vụ OTP
và dịch vụ chuyển phát nhanh
Một số lưu ý khi sử dụng phương pháp chuyển giao OTP bằng giấy:
● Người dùng cần kiểm tra kỹ mã OTP khi nhận được, để đảm bảo mã OTP là chính xác
● Người dùng cần bảo quản mã OTP cẩn thận, để tránh bị đánh cắp hoặc giả mạo.Dưới đây là một số ví dụ về các dịch vụ sử dụng phương pháp chuyển giao OTP bằng giấy:
● Dịch vụ ngân hàng điện tử: Một số ngân hàng tại Việt Nam cung cấp dịch vụ chuyển giao OTP bằng giấy cho khách hàng không có điện thoại thông minh hoặc máy tính có kết nối internet
● Dịch vụ thanh toán điện tử: Một số ví điện tử tại Việt Nam cung cấp dịch vụ
chuyển giao OTP bằng giấy cho khách hàng không có điện thoại thông minh hoặc máy tính có kết nối internet
● Dịch vụ chứng khoán trực tuyến: Một số công ty chứng khoán tại Việt Nam cung cấp dịch vụ chuyển giao OTP bằng giấy cho khách hàng không có điện thoại thôngminh hoặc máy tính có kết nối internet
2.2.2 Chuyển giao bằng tin nhắn sms và cuộc gọi
Chuyển giao OTP bằng tin nhắn SMS là phương pháp chuyển giao mã OTP phổ biến nhấthiện nay Phương pháp này sử dụng mạng di động để gửi mã OTP đến số điện thoại của người dùng
Ưu điểm của phương pháp chuyển giao OTP bằng tin nhắn SMS:
● Phương pháp này có thời gian chuyển giao nhanh chóng, chỉ trong vài giây
● Phương pháp này không phát sinh chi phí, vì người dùng đã đăng ký dịch vụ tin nhắn SMS với nhà mạng di động
Nhược điểm của phương pháp chuyển giao OTP bằng tin nhắn SMS:
● Phương pháp này có độ bảo mật thấp hơn các phương pháp chuyển giao OTP khác,
vì mã OTP có thể bị đánh cắp hoặc giả mạo nếu kẻ gian có được số điện thoại của người dùng
Cách thức chuyển giao OTP bằng tin nhắn SMS
Để chuyển giao OTP bằng tin nhắn SMS, nhà cung cấp dịch vụ OTP sẽ gửi mã OTP đến số điện thoại của người dùng Mã OTP thường có độ dài 6 chữ số và có giá trị trong một khoảng thời gian nhất định, thường là 30 giây hoặc 1 phút
Trang 13Chuyển giao OTP bằng cuộc gọi
Chuyển giao OTP bằng cuộc gọi là phương pháp chuyển giao mã OTP bằng cách gọi điện đến số điện thoại của người dùng Phương pháp này thường được sử dụng cho các trường hợp sau:
● Người dùng không có điện thoại thông minh hoặc máy tính có kết nối internet
● Người dùng không có quyền truy cập vào điện thoại thông minh hoặc máy tính có kết nối internet trong thời gian yêu cầu OTP
Ưu điểm của phương pháp chuyển giao OTP bằng cuộc gọi:
● Phương pháp này có độ bảo mật cao hơn phương pháp chuyển giao OTP bằng tin nhắn SMS, vì mã OTP được đọc qua điện thoại, khó bị đánh cắp hoặc giả mạo.Nhược điểm của phương pháp chuyển giao OTP bằng cuộc gọi:
● Phương pháp này có thời gian chuyển giao chậm hơn phương pháp chuyển giao OTP bằng tin nhắn SMS, vì mã OTP cần được đọc qua điện thoại
Cách thức chuyển giao OTP bằng cuộc gọi
Để chuyển giao OTP bằng cuộc gọi, nhà cung cấp dịch vụ OTP sẽ gọi điện đến số điện thoại của người dùng và đọc mã OTP Người dùng cần ghi nhớ mã OTP và nhập vào
hệ thống để xác thực
Lưu ý khi sử dụng phương pháp chuyển giao OTP bằng tin nhắn SMS và cuộc gọi
● Người dùng cần bảo quản số điện thoại của mình cẩn thận, để tránh bị kẻ gian đánhcắp hoặc giả mạo
● Người dùng cần nhập mã OTP chính xác và đúng thời hạn để tránh bị từ chối giao dịch
2.2.3 Sử dụng Token
Chuyển giao OTP sử dụng Token là phương pháp chuyển giao mã OTP bằng thiết bị Token Thiết bị Token là một thiết bị điện tử nhỏ gọn, có chứa một chip bảo mật Mã OTP được tạo ra bởi chip bảo mật và được hiển thị trên màn hình của thiết bị Token
Ưu điểm của phương pháp chuyển giao OTP sử dụng Token:
● Phương pháp này có độ bảo mật cao, vì mã OTP được tạo ra bởi chip bảo mật, khó
bị đánh cắp hoặc giả mạo
● Phương pháp này có thể sử dụng cho nhiều thiết bị khác nhau, kể cả điện thoại thông minh, máy tính bảng, máy tính xách tay
Nhược điểm của phương pháp chuyển giao OTP sử dụng Token:
Trang 14● Phương pháp này có thời gian chuyển giao chậm hơn phương pháp chuyển giao OTP bằng tin nhắn SMS hoặc cuộc gọi, vì người dùng cần nhập mã OTP từ thiết bịToken.
● Phương pháp này có thể phát sinh chi phí, tùy thuộc vào nhà cung cấp dịch vụ Token
Cách thức chuyển giao OTP sử dụng Token
Để chuyển giao OTP sử dụng Token, người dùng cần thực hiện các bước sau:
1 Đăng ký sử dụng dịch vụ Token với nhà cung cấp dịch vụ OTP
2 Nhận thiết bị Token từ nhà cung cấp dịch vụ OTP
3 Kích hoạt thiết bị Token bằng cách nhập mã kích hoạt được cung cấp bởi nhà cung cấp dịch vụ OTP
4 Khi cần xác thực giao dịch, người dùng cần nhập mã OTP được hiển thị trên màn hình thiết bị Token
Các loại Token
Có hai loại Token chính:
● Token vật lý: Là thiết bị Token có dạng vật lý, có thể cầm nắm được
● Token phần mềm: Là thiết bị Token được cài đặt trên thiết bị điện tử, chẳng hạn như điện thoại thông minh, máy tính bảng, máy tính xách tay
Lưu ý khi sử dụng phương pháp chuyển giao OTP sử dụng Token
● Người dùng cần bảo quản thiết bị Token cẩn thận, để tránh bị mất hoặc hư hỏng
● Người dùng cần thay pin cho thiết bị Token định kỳ, để tránh thiết bị Token hết pin
● Dịch vụ thanh toán điện tử: Một số ví điện tử tại Việt Nam cung cấp dịch vụ
chuyển giao OTP sử dụng Token cho khách hàng
● Dịch vụ chứng khoán trực tuyến: Một số công ty chứng khoán tại Việt Nam cung cấp dịch vụ chuyển giao OTP sử dụng Token cho khách hàng
2.2.4 Sử dụng điện thoại di động
Chuyển giao OTP sử dụng điện thoại di động là phương pháp chuyển giao mã OTP bằng cách sử dụng ứng dụng OTP trên điện thoại di động Ứng dụng OTP là một ứng dụng điện thoại di động được sử dụng để tạo mã OTP
Ưu điểm của phương pháp chuyển giao OTP sử dụng điện thoại di động:
Trang 15● Phương pháp này có thời gian chuyển giao nhanh chóng, chỉ trong vài giây.
● Phương pháp này có thể sử dụng cho nhiều thiết bị khác nhau, kể cả điện thoại thông minh, máy tính bảng, máy tính xách tay
● Phương pháp này có thể phát triển các tính năng bảo mật cao hơn, chẳng hạn như xác thực sinh trắc học, để tăng cường bảo mật
Nhược điểm của phương pháp chuyển giao OTP sử dụng điện thoại di động:
● Phương pháp này có độ bảo mật thấp hơn phương pháp sử dụng Token, vì mã OTP
có thể bị đánh cắp hoặc giả mạo nếu kẻ gian có được quyền truy cập vào điện thoại
di động của người dùng
Cách thức chuyển giao OTP sử dụng điện thoại di động
Để chuyển giao OTP sử dụng điện thoại di động, người dùng cần thực hiện các bước sau:
1 Tải xuống và cài đặt ứng dụng OTP từ cửa hàng ứng dụng
2 Đăng ký tài khoản OTP với nhà cung cấp dịch vụ OTP
3 Nhập mã kích hoạt được cung cấp bởi nhà cung cấp dịch vụ OTP
4 Khi cần xác thực giao dịch, người dùng cần mở ứng dụng OTP và sao chép mã OTP
Các loại ứng dụng OTP
Có hai loại ứng dụng OTP chính:
● Ứng dụng OTP của nhà cung cấp dịch vụ OTP: Là ứng dụng OTP được cung cấp bởi nhà cung cấp dịch vụ OTP
● Ứng dụng OTP của bên thứ ba: Là ứng dụng OTP được phát triển bởi bên thứ ba, không phải nhà cung cấp dịch vụ OTP
Lưu ý khi sử dụng phương pháp chuyển giao OTP sử dụng điện thoại di động
● Người dùng cần bảo quản điện thoại di động của mình cẩn thận, để tránh bị mất hoặc hư hỏng
● Người dùng cần cài đặt mật khẩu hoặc xác thực sinh trắc học cho ứng dụng OTP,
để tăng cường bảo mật
Dưới đây là một số ví dụ về các dịch vụ sử dụng phương pháp chuyển giao OTP sử dụng điện thoại di động:
● Dịch vụ ngân hàng điện tử: Hầu hết các ngân hàng tại Việt Nam đều cung cấp dịch
vụ chuyển giao OTP sử dụng điện thoại di động cho khách hàng
● Dịch vụ thanh toán điện tử: Hầu hết các ví điện tử tại Việt Nam đều cung cấp dịch
vụ chuyển giao OTP sử dụng điện thoại di động cho khách hàng
● Dịch vụ chứng khoán trực tuyến: Hầu hết các công ty chứng khoán tại Việt Nam đều cung cấp dịch vụ chuyển giao OTP sử dụng điện thoại di động cho khách hàng
Trang 162.2.5 Chuyển giao sử dụng gmail
Chuyển giao OTP sử dụng Gmail là phương pháp chuyển giao mã OTP bằng cách sử dụng dịch vụ xác thực hai bước (2FA) của Gmail Dịch vụ 2FA của Gmail sử dụng mã OTP được tạo ra bởi ứng dụng Google Authenticator để xác thực người dùng
Ưu điểm của phương pháp chuyển giao OTP sử dụng Gmail:
● Phương pháp này có độ bảo mật cao, vì mã OTP được tạo ra bởi ứng dụng Google Authenticator, khó bị đánh cắp hoặc giả mạo
● Phương pháp này có thể sử dụng cho nhiều thiết bị khác nhau, kể cả điện thoại thông minh, máy tính bảng, máy tính xách tay
Nhược điểm của phương pháp chuyển giao OTP sử dụng Gmail:
● Phương pháp này có thời gian chuyển giao chậm hơn phương pháp sử dụng Token,
vì người dùng cần nhập mã OTP từ ứng dụng Google Authenticator
● Phương pháp này có thể phát sinh chi phí, tùy thuộc vào nhà cung cấp dịch vụ 2FAcủa Gmail
Cách thức chuyển giao OTP sử dụng Gmail
Để chuyển giao OTP sử dụng Gmail, người dùng cần thực hiện các bước sau:
1 Kích hoạt dịch vụ 2FA của Gmail
2 Tải xuống và cài đặt ứng dụng Google Authenticator từ cửa hàng ứng dụng
3 Đăng ký tài khoản 2FA với Google
4 Nhập mã kích hoạt được cung cấp bởi Google
5 Khi cần xác thực giao dịch, người dùng cần mở ứng dụng Google Authenticator vàsao chép mã OTP
Lưu ý khi sử dụng phương pháp chuyển giao OTP sử dụng Gmail
● Người dùng cần bảo quản điện thoại di động của mình cẩn thận, để tránh bị mất hoặc hư hỏng
● Người dùng cần cài đặt mật khẩu hoặc xác thực sinh trắc học cho ứng dụng GoogleAuthenticator, để tăng cường bảo mật
Dưới đây là một số ví dụ về các dịch vụ sử dụng phương pháp chuyển giao OTP sử dụng Gmail:
● Dịch vụ ngân hàng điện tử: Một số ngân hàng tại Việt Nam cung cấp dịch vụ chuyển giao OTP sử dụng Gmail cho khách hàng
● Dịch vụ thanh toán điện tử: Một số ví điện tử tại Việt Nam cung cấp dịch vụ chuyển giao OTP sử dụng Gmail cho khách hàng
● Dịch vụ chứng khoán trực tuyến: Một số công ty chứng khoán tại Việt Nam cung cấp dịch vụ chuyển giao OTP sử dụng Gmail cho khách hàng
Trang 17Về cơ bản, phương pháp chuyển giao OTP sử dụng Gmail tương tự như phương pháp chuyển giao OTP sử dụng ứng dụng OTP Tuy nhiên, phương pháp này có một số ưu điểm và nhược điểm riêng.
Ưu điểm của phương pháp này là có độ bảo mật cao, vì mã OTP được tạo ra bởi ứng dụngGoogle Authenticator, khó bị đánh cắp hoặc giả mạo Ngoài ra, phương pháp này cũng cóthể sử dụng cho nhiều thiết bị khác nhau
Nhược điểm của phương pháp này là có thời gian chuyển giao chậm hơn phương pháp sử dụng Token, vì người dùng cần nhập mã OTP từ ứng dụng Google Authenticator Ngoài
ra, phương pháp này cũng có thể phát sinh chi phí, tùy thuộc vào nhà cung cấp dịch vụ 2FA của Gmail
CHƯƠNG 3: ỨNG DỤNG VÀ VẤN ĐỀ AN TOÀN CỦA
OTP
3.1 Một số ứng dụng của OTP trong cuộc sống hiện nay
3.1.1 Ứng dụng trong giao dịch ngân hàng
Ứng dụng của OTP trong giao dịch ngân hàng rất đa dạng, bao gồm:
1 Xác thực người dùng
OTP là phương pháp xác thực hai yếu tố (2FA) phổ biến nhất hiện nay 2FA là một phương pháp bảo mật yêu cầu người dùng cung cấp hai yếu tố để xác thực danh tính của
họ Yếu tố thứ nhất thường là mật khẩu hoặc mã PIN, yếu tố thứ hai là OTP
Khi người dùng thực hiện một giao dịch ngân hàng, hệ thống sẽ yêu cầu người dùng nhập
mã OTP Mã OTP được gửi đến số điện thoại hoặc ứng dụng OTP của người dùng Nếu
mã OTP chính xác, giao dịch sẽ được thực hiện
2 Tăng cường bảo mật giao dịch
OTP giúp tăng cường bảo mật giao dịch ngân hàng bằng cách thêm một lớp bảo mật thứ hai Nếu kẻ gian có được mật khẩu hoặc mã PIN của người dùng, họ vẫn không thể thực hiện giao dịch nếu không có mã OTP
3 Giúp người dùng kiểm soát tài khoản