Smartcard an toàn hơn thẻ từ (với công nghệ hiện nay có thể dễ dàng làm giả thẻ từ). Nhiều ngân hàng hiện đã chuyển sang dùng smartcard có chip bảo vệ.
Một ưu điểm phụ của việc áp dụng smartcard đó là khả năng dùng cho xác thực trực tuyến. Việc này yêu cầu người dùng phải có thiết bị đọc smartcard. Với khả năng lưu chứa thông tin chứng nhận và sinh chữ ký cho giao dịch, smartcard được xem là thiết bị xác thực tốt nhất. Có lẽ các tổ chức tài chính cuối cùng sẽ chuyển sang dùng smartcard, nhưng chi phí triển khai cơ sở hạ tầng cộng với chi phí trang bị thiết bị đọc thẻ cho người dùng có thể là trở ngại ban đầu.
Nguyên tắc xác thực với smartcard là "ký" bằng mật mã. Chữ ký này được xử lý bảo mật bằng chip trong smartcard. Mật mã không bao giờ rời khỏi cái vỏ an toàn của smartcard nên cung cấp mức bảo mật cao nhất. Việc truy cập các chức năng
smartcard có thể được bảo vệ bằng mã PIN.
Có 2 loại thiết bị đọc smartcard: kết nối và không kết nối.
• Loại kết nối có thể giao tiếp trực tiếp với thiết bị đầu cuối của người dùng (qua USB, Bluetooth, ...) để trao đổi khóa. Bộ đọc kết nối yêu cầu cài đặt phần mềm trên thiết bị đầu cuối của người dùng để thuận tiện trao đổi dữ liệu giữa thiết bị đọc và
máy chủ xác thực.
• Loại không kết nối không có giao tiếp trực tiếp với thiết bị đầu cuối của người dùng; người dùng phải trung chuyển thông tin giữa phía xác thực và thiết bị đọc.
Người dùng nhập vào mật mã trên thiết bị đọc thông qua bàn phím và trình ứng dụng smartcard sẽ sinh khóa mã hóa rút gọn (thường là 6-11 chữ số) rồi hiển thị kết quả cho người dùng.
Bộ đếm ATC (Application Transaction Counter - bộ đếm giao dịch ứng dụng) được dùng để sinh khóa mã hóa. ATC tăng lên mỗi khi sinh một khóa. Máy chủ xác thực dùng thuật toán đồng bộ ATC và cho phép một khoảng sai lệch nhất định khi kiểm tra khóa mã hoá. Thường giải pháp xác thực smartcard được triển khai với ít nhất 2 trình ứng dụng, mỗi cái dùng một ATC riêng: một để xác thực và một để cho phép thẻ tín dụng ở thiết bị đầu cuối của người bán đề phòng tình huống việc đồng bộ ATC bị trục trặc.
SMS TỐT CHO NGÂN HÀNG
Sự “lỏng lẻo” của pasword, đặc biệt là password có liên quan đến tài chính, kích thích tin tặc. Số vụ tấn công liên quan đến mã số thẻ tín dụng (một dạng password) và
thông tin tài khoản ngân hàng (bao gồm password đăng nhập) không ngừng tăng. Theo một báo cáo mới đây của Symantec, thông tin tài khoản ngân hàng được giá nhất trên thị trường “đen”, có thể lên đến 400USD.
Để bảo vệ khách hàng và bảo vệ mình, nhiều ngân hàng đã áp dụng phương thức xác thực hai khóa cho dịch vụ giao dịch trực tuyến của mình. Đặc biệt, do sự phổ biến của ĐTDĐ, nhiều ngân hàng ở châu Âu và châu Á chọn phương thức xác thực qua SMS nhằm tạo tiện lợi cho khách hàng.
Vibha Coburn, giám đốc Citibank Online Singapore, nói: “Chúng tôi chọn SMS vì hiện nay hầu như ai cũng có ĐTDĐ. Nó tiện lợi, dễ dùng và linh hoạt, khách hàng không cần mang theo thêm một thiết bị nào khác để giao dịch ngân hàng trực tuyến”.
Ngoài Citibank Singapore và Hongkong, có thể kể thêm một số ngân hàng tên tuổi khác cũng chọn SMS như: Standard Chartered, OCBC, Commonwealth Bank... Có một số ý kiến e ngại việc xác thực qua SMS bị lệ thuộc vào mức độ phủ sóng của mạng di động, nhưng việc này cũng đâu khác gì sự lệ thuộc vào đường truyền
Internet để thực hiện giao dịch trực tuyến.
Hiện tại, SMS là giải pháp bảo mật khá lý tưởng (rẻ, tiện lợi, an toàn hơn) cho giao dịch trực tuyến. Một số dịch vụ ngân hàng và chứng khoán trực tuyến tại Việt Nam hiện cũng đã áp dụng phương thức xác thực này.
<!--[if !vml]-->
<!-- [endif]-->