Trong một số trường hợp, mật khẩu OTP cũng được in ra giấy, với mỗi giao dịch trực tuyến, người dùng được yêu cầu nhập một giá trị OTP cụ thể từ danh sách đã in sẵn.Hình 2.3 minh họa một thẻ chơi games với OTP in sẵn:
Hình 2.3: Thẻ mật khẩu OTP với mật khẩu in sẵn của VinaGame.
Nhằm bảo vệ người chơi trước nạn trộm cắp tài khoản, vật phẩm trong game, công ty VinaGame [20] đã đưa ra giải pháp mật khẩu sử dụng 1 lần (One Time Password - OTP) áp dụng trên game "Võ lâm truyền kỳ" do công ty cung cấp. Trên mỗi thẻ người ta in sẵn 48 mật khẩu OTP theo cách ngẫu nhiên. Việc đăng nhập các tài khoản mà người sử dụng đã đăng kí tại website của nhà cung cấp dịch vụ, chỉ được thực hiện thành công bằng các mật khẩu này. Khi thoát khỏi game, mật khẩu vừa được sử dụng sẽ tự huỷ sau 1 đến 5 phút do người chơi định sẵn.
Tuy vậy phương pháp này vẫn có hạn chế khi kẻ trộm đánh cắp thẻ và có thể xâm nhập vào tài khoản của khách hàng.
NGUYỄN VIỆT HUY D09CNPM2 Page | 28 2.2.2.Chuyển giao OTP bằng tin nhắn SMS
Một công nghệ phổ biến thường được sử dụng cho việc cung cấp các OTP là tin nhắn văn bản. Từ các hệ thống xác thực tin nhắn SMS , một mật khẩu OTP được sinh và gửi thông qua một tin nhắn văn bản đến điện thoại di động của người dùng. Tương tự như với thẻ bảo mật, người dùng phải nhập OTP đã nhận được nhập vào giao diện đăng nhập nhằm xác minh tính chính xác và khẳng định đủ an toàn để truy nhập hệ thống dịch vụ hoặc ứng dụng.
Phương pháp này là một trong các phương pháp thông dụng nhất mà các ngân hàng thường sử dụng. Đầu tiên, khách hàng đăng ký dịch vụ cùng với số điện thoại cho ngân hàng.Khi thực hiện giao dịch, khách hàng nhập thông tin thanh toán, máy chủ của ngân hàng sẽ tạo OTP và gửi cho khách hàng thông qua một tổng đài bằng tin nhắn SMS. Sau khi khách hàng nhận được tin nhắn chứa OTP , khách hàng sẽ phải nhập OTP vào để máy chủ xác thực. Máy chủ kiểm tra OTP, nếu đúng và trong thời gian hợp lệ thì sẽ thực hiện giao dịch, nếu không sẽ có báo lỗi. Hình 2.4 minh họa quá trình chuyển giao OTP bằng tin nhắn SMS.
NGUYỄN VIỆT HUY D09CNPM2 Page | 29
Ưu điểm của phương pháp chuyển giao OTP bằng tin nhắn SMS là tin nhắn văn bản là một kênh truyền thông phổ biến, có sẵn trong gần như tất cả các thiết bị cầm tay với lượng người sử dụng khá lớn. Đây cũng là một lợi thế so sánh lớn của loại công cụ này so với việc sử dụng các loại thiết bị phân phối OTP khác. Trên thực tế thì loại công cụ này có nhiều tiềm năng để phổ biến tới nhiều người tiêu dùng với tổng chi phí thấp. Tất nhiên cũng với một số trường hợp khác thì giá của mỗi tin nhắn thường xuyên cho mỗi một OTP không hẳn đã phù hợp.
Cách thức gửi nhận OTP qua tin nhắn văn bản cũng đã bộc lộ một số vấn đề, đó là nó không được bảo vệ cần thiết để chống lại các cuộc tấn công mà sự tinh vi đang ngày càng gia tăng. Các tin nhắn có thể được mã hóa bằng cách sử dụng một số tiêu chuẩn như A5/x, điều mà theo báo cáo của một số nhóm tin tặc có thể giải mã trong vòng vài phút hoặc vài giây, hoặc nó không được mã hoá bởi những nhà cung cấp dịch vụ khi nhận và gửi đi tới tất cả. Ngoài các mối đe doạ từ tin tặc, các nhà mạng điện thoại di động cũng là một thành phần trong việc đảm bảo sự tin cậy. Ví dụ trong trường hợp chuyển vùng, qua nhiều hơn một nhà mạng điện thoại di động đơn lẻ rất cần phải tạo được sự tin tưởng. Vì bất cứ ai đánh cắp được thông tin này, đều có thể gắn kết với những kẻ tấn công, chẳng hạn như các cuộc tấn công “man-in-the- middle”. Giải pháp cho vấn đề là xác thực “Out of Band”, trong đó sử dụng một kênh riêng biệt cho yếu tố xác thực thứ hai, đang trở thành một thực tiễn tốt nhất cho vấn đề xác thực hai yếu tố.
2.2.3.Tạo OTP sử dụng token
Token là một thiết bị dùng để xác thực người dùng thay cho cơ chế ID/Username và mật khẩu đăng nhập. Mỗi thiết bị token đều phân biệt nhau và được nhà cung cấp dịch vụ gán với một người dùng cụ thể. OTP có thể được sinh trên token.
Thiết bị token hoạt động theo phương thức tự tạo các dãy số ngẫu nhiên (OTP) và có giá trị chỉ trong một khoảng thời gian nhất định (thường dưới 1 phút). Chẳng hạn, khi người dùng muốn đăng nhập vào trang web ngân hàng - nơi đã cung cấp thiết bị token,
NGUYỄN VIỆT HUY D09CNPM2 Page | 30
để thực hiện giao dịch, người dùng phải nhập dãy số OTP trên thiết bị token vào ô mật khẩu thì mới được truy cập. Nếu sau thời gian qui định trên thiết bị token, OTP này sẽ không còn giá trị, và nếu người dùng vẫn chưa đăng nhập hay hoàn tất giao dịch thì họ phải nhấn nút hay thiết bị token sẽ tự động tạo ra OTP mới và người dùng nhập OTP mới này để đăng nhập hay hoàn tất giao dịch. Có thể tham khảo một số dịch vụ dùng thiết bị token: www.payoo.com.vn,www.fpts.com.vn.
Thiết bị Token gồm 2 loại chính: thẻ EMV và E-Token
Thẻ EMV: là dạng thẻ chíp có công dụng tạo OTP, không có khả năng dùng để chi tiêu như các loại thẻ thanh toán khác. EMV là chuẩn thẻ thông minh do 3 liên minh thẻ lớn nhất thế giới là Europay, Master Card và Visa International đưa ra. Các liên minh này đã khuyến cáo các nước về việc cần thiết phải chuyển đổi từ thẻ từ có tính bảo mật thấp sang thẻ chíp có tính năng bảo mật cao hơn rất nhiều. Khuyến cáo này được đưa ra từ năm 2004, sau những con số thiệt hại do gian lận thẻ ngày càng lớn.
Sau mốc thời gian quy định, nếu ngân hàng nào còn sử dụng thẻ từ, có thể chịu phạt lên tới 50 ngàn USD một năm tính theo các vụ gian lận thẻ. Mức phạt này áp dụng cho cả ngân hàng phát hành thẻ và ngân hàng chấp nhận thẻ.
Quá trình chuyển đổi sang chuẩn EMV trên toàn thế giới đã và đang diễn ra từ vài năm nay. Việt Nam nằm trong khu vực có hạn áp dụng từ 1/1/2006, nhưng tới thời điểm này, mới chỉ có VPBank đã thực hiện phát hành thẻ EMV. Các ngân hàng khác chưa công bố kế hoạch chuyển đổi chính thức. Hình 2.5 minh họa thẻ EMV:
NGUYỄN VIỆT HUY D09CNPM2 Page | 31
Hình 2.5: Minh họa thẻ EMV
Về mặt kỹ thuật, thẻ chíp có nhiều tính năng hơn thẻ từ. Một thẻ chíp có thể sử dụngnhư là một thẻ ngân hàng, chứng minh thư, thẻ tín dụng, cũng có thể dùng để trả phí giao thông hay lưu trữ thông tin về y tế, bảo hiểm xã hội, thông tin cá nhân...
E-Token: là thiết bị có công dụng tạo OTP dựa trên sự kết nối thiết bị với máy tính mà khách hàng đang thực hiện giao dịch. E-Token là một thiết bị nhận dạng số, được tích hợp những giải pháp phần mềm bảo mật chuyên dụng, theo đúng chuẩn quốc tế và kết nối với máy tính thông qua cổng giao tiếp USB.E-Token cho phép cả người dùng lẫn người quản trị bảo mật và quản lý hiệu quả quá trình chứng thực người dùng hệ thống bằng cách lưu trữ và sinh mật khẩu, chứng chỉ số và mã hóa tất cả thông tin đăng nhập (cả khóa chung và khóa riêng).E-Token cung cấp nền tảng bảo mật an toàn, hiệu quả, dễ sử dụng và triển khai trên diện rộng.Hình 2.6 minh họa thiết bị E-Token:
NGUYỄN VIỆT HUY D09CNPM2 Page | 32
Hình 2.6: Minh họa thiết bị E-Token
Dưới đây là những lợi ích chính của E-Token:
a) Đăng nhập hệ thống, đăng nhập trình ứng dụng, đăng nhập mạng ... b)Mã hóa thư điện tử và tạo chữ ký số ...
c) Bảo mật máy tính cá nhân: bảo vệ khởi động máy và mã hóa tập tin thư mục... d)Thương mại điện tử theo mô hình B2B và B2C: chứng thực và ký giao dịch cho các ứng dụng thương mại điện tử ...
e) Kết hợp giải pháp truy cập máy chủ từ xa, mạng riêng ảo, chứng thực dựa trên 2 yếu tố sử dụng E-Token và công nghệ mật mã tiên tiến.
f) Hỗ trợ các dịch vụ tài chính trên mạng: chứng thực, ký giao dịch ngân hàng điện tử và các ứng dụng thương mại ...
g)Hỗ trợ các dịch vụ trên mạng: chính phủ điện tử, chăm sóc sức khỏe, đào tạo trực tuyến...
NGUYỄN VIỆT HUY D09CNPM2 Page | 33 2.2.4. Tạo OTP sử dụng điện thoại di động
a)Giới thiệu về MOTP
Ngoài việc sử dụng các loại token, người dùng còn có thể dùng ngay chiếc điện thoại di động của mình, cùng phần mềm miễn phí “mật khẩu dùng một lần di động” (Mobile One Time Password – MOTP) để tạo OTP.
Mỗi khi muốn truy cập vào hệ thống mạng nội bộ qua SSL VPN, người dùng phải nhập mã PIN (đã biết trước) vào điện thoại di động để tạo ra mật khẩu đăng nhập. Sau khi thực hiện kết nối SSL VPN, trình đăng nhập xuất hiện yêu cầu nhập username và password. Lúc này người dùng nhập username (đã biết trước) và mật khẩu vừa được tạo trên điện thoại di động để đăng nhập vào mạng nội bộ. Hình 2.7 mô tả mô hình kết nối SSL VPN đến Vigor2950 có điện thoại hỗ trợ xác thực:
NGUYỄN VIỆT HUY D09CNPM2 Page | 34
b)Cài đặt và sử dụng ứng dụng MOTP
Bộ định tuyến Vigor2950 của hãng DrayTek (Firmware v3.2.6_RC5) tích hợp sẵn cơ chế mật khẩu dùng một lần trong xác thực kết nối SSL và VPN (theo giao thức PPTP, L2TP) là một trong những ứng dụng MOTP điển hình sử dụng trên điện thoại di động[21]. Hình 2.8 minh họa quá trình cài đặt phần mềm sinh OTP trên iPhone để xác thực với bộ định tuyến Vigor2950.
Sau khi cài đặt xong phần mềm MOTP vào điện thoại, bước tiếp theo và cũng quan trọng nhất là người dùng phải thiết lập cùng thời gian trên cả điện thoại và Vigor2950. Nếu thời gian sai lệch sẽ dẫn đến việc tạo mật khẩu sai – 1 phút là thời gian tối đa để người dùng nhập mật khẩu được tạo ra từ điện thoại vào ô mật khẩu đăng nhập trên màn hình máy tính, khi thực hiện một kết nối SSL VPN. Ở đây để xác lập thời gian chính xác, trên Vigor2950 người dùng thiết lập đồng bộ thời gian với máy chủ ntp.org, chọn “time zone” GMT+7; và người dùng nên “canh” thời gian trên Vigor2950 vừa nhảy qua phút mới thì chỉnh ngay lại thời gian trên điện thoại.
NGUYỄN VIỆT HUY D09CNPM2 Page | 35
Hình 2.8: Cài đặt phần mềm sinh OTP trên iPhone với Vigor2950.
Sau khi người dùng thiết lập xong các thông số SSL VPN trên Vigor2950, phần thông số ở mục SSL VPN\User Account là phần mà người dùng cần quan tâm. Tại ô nhập username, người dùng nhấn chọn Enable Mobile One-Time Password (mOTP), lúc này hai ô Pin Code và Secret sẽ hiện ra, ô password sẽ ẩn đi.
Với giải pháp SSL VPN kết hợp cơ chế “mật khẩu dùng một lần di động”, việc truy cập từ xa vào mạng nội bộ sẽ tin cậy, an toàn và bảo mật hơn.
NGUYỄN VIỆT HUY D09CNPM2 Page | 36 2.3.Kết chương
Chương 2 đã trình bày các phương pháp sinh mật khẩu sử dụng một lần (OTP) và các phương pháp chuyển giao chúng đến người sử dụng. Có 3 phương pháp sinh OTP thông dụng, bao gồm phương pháp sinh sử dụng thời gian đồng bộ, sinh sử dụng thuật toán và sinh OTP dựa trên giao thức thách thức - trả lời. Các phương pháp chuyển giao OTP đến người sử dụng gồm phương pháp in ra giấy, gửi OTP bằng tin nhắn SMS, sử dụng token và phương pháp MOTP. Mỗi phương pháp sinh và chuyển giao OTP đều có những đặc trưng và các ưu, nhược điểm riêng. Do đó, theo yêu cầu bảo mật cụ thể của mỗi hệ thống mà ta lựa chọn một phương pháp phù hợp.
NGUYỄN VIỆT HUY D09CNPM2 Page | 37
CHƯƠNG 3. ỨNG DỤNG OTP TRONG XÁC THỰC GIAO DỊCH NGÂN HÀNG TRỰC TUYẾN
3.1.Xác thực giao dịch ngân hàng trực tuyến sử dụng OTP chuyển giao qua SMS 3.1.1.Mô tả kịch bản thử nghiệm 3.1.1.Mô tả kịch bản thử nghiệm
Ngày nay, nhiều ngân hàng đã ứng dụng các phương pháp xác thực giao dịch trực tuyến sử dụng OTP khác nhau.Mỗi phương pháp sinh và chuyển giao OTP có ưu và nhược điểm riêng như đã phân tích ở chương 2 và do đó chúng có khả năng ứng dụng với mức độ khác nhau. Trong số các phương pháp chuyển giao OTP,đó phương pháp chuyển giao OTP qua SMS được nhiều ngân hàng sử dụng vì tính cơ động trong giao dịch của nó. Hình 3.1 mô tảmô hình nhận OTP qua SMS.
NGUYỄN VIỆT HUY D09CNPM2 Page | 38 Kịch bản thử nghiệm:
Trước khi có thể thực hiện các giao dịch trực tuyến có xác thực bằng OTP, người dùng cần thực hiện các thủ tục đăng ký tài khoản giao dịch trực tuyến, gồm username, passwordvà số điện thoại với ngân hàng. Sau đó, người dùng sẽ sử dụng các thông tin này khi giao dịch chuyển tiền trên trang thanh toán trực tuyếncủa ngân hàng đó. Kịch bản thực hiện giao dịch trực tuyến có xác thực bằng OTP gồm các bước sau:
1. Người dùng đăng nhập vào trang thanh toán trực tuyến của ngân hàng sử dụng username và password đã đăng ký.
2. Hệ thống xác thực thông tin tài khoản người dùng; Nếu chính xác sẽ cho người dùng truy cập vào hệ thống.
3. Người dùngvào ứng dụng chuyển tiền trực tuyến. Giao diện chuyển tiền trực tuyến xuất hiện.
4. Người dùng sẽ nhập lần lượt các thông tin của giao dịch vào giao diện chuyển tiền trực tuyến bao gồm: tài khoản người nhận, số tiền chuyển khoản, nội dung chuyển tiền; và người dùng sẽ lựa chọn “Gửi tin nhắn SMS” trong ô “Hình thức nhận mã giao dịch”.
5. Người dùng nhấn vào nút “Chấp nhận”. Giao diện xác thực OTP xuất hiện. Đồng hồ đếm lùi 1 phút (thời gian sống hợp lệ của OTP) bắt đầu chạy.
6. Một tin nhắn sẽ được gửi từ tổng đài của hệ thống tới điện thoại của người dùng chứa mã giao dịch OTP. Người dùng nhập mã OTP nhận được từ tin nhắn SMS vào ô xác thực và nhấn nút “Chấp nhận”. Nếu người dùng nhập đúng OTP và trong khoảng thời gian cho phép thì giao diện giao dịch thành công xuất hiện. Nếu người dùng nhập sai thì hệ thống sẽ yêu cầu người dùng nhập lại OTP.
NGUYỄN VIỆT HUY D09CNPM2 Page | 39 3.1.2.Cài đặt
Chương trình thử nghiệm được cài đặt trên hệ điều hành Microsoft Windows, ngôn ngữ C# trên phần mềm lập trình Microsoft Visual Studio kết hợp với hệ quản trị cơ sở dữ liệu My SQL để hệ thống có thể truy xuất cơ sở dữ liệu.
Thuật toán băm SHA – 1 được sử dụng để tạo ra OTP. Cơ sở dữ liệu được sử dụng để xác thực người dùng, lưu lịch sử giao dịch. Cơ sở dữ liệu lưu trữ username, password, tên chủ tài khoản, số tiền hiện có và các lần giao dịch.
Phần mềm bên server được xây dựng dưới dạng web server. Phía server dựa vào OTP đã gửi tới di động người dùng để đưa ra quyết định cho phép người dùng thanh toán hay từ chối yêu cầu này. Phần mềm này tương tác với cơ sở dữ liệu lưu thông tin của người dùng cũng như tài khoản của họ. Chương trình sử dụng một điện thoại mô phỏng một tổng đài để gửi tin nhắn chứa OTP.
NGUYỄN VIỆT HUY D09CNPM2 Page | 40 3.1.3.Kết quả
Trong phần demo, một trang chủ Banking và hai trang khác nhau được cài đặt. Trang chủ có hiển thịdanh sách hai trang này trên trang web của mình để người sử dụng có thể click để vào trang. Ban đầu người dùng phải đăng nhập vào trang chủ với