Như đã được đề cập, với sự phát triển không ngừng của các dịch vụ ngân hàng, việc cung cấp các dịch vụ bảo mật đi kèm là vô cùng quan trọng và cần thiết. Các ngân hàng đã và đang coi vấn đề bảo mật là mối quan tâm hàng đầu trong hoạt động của mình. Hàng loạt các phương pháp bảo mật, xác thực được ra mắt và nhanh chóng
đưa vào trong chuỗi các sản phẩm cung cấp cho khách hàng. Đăng nhập bằng user và password vẫn là hình thức xác thực đang được áp dụng tại tất cả các ứng dụng ngân hàng hiện nay, đi cùng với nó là các hình thức xác thực OTP dùng để xác thực khi thực hiện giao dịch chuyển tiền, thanh toán hóa đơn qua ứng dụng. Hiện nay có 3 hình thức xác thực OTP được dùng phổ biến trong giao dịch trực tuyến là SMS OTP, Token key và Smart OTP.
SMS OTP là hình thức xác thực được sử dụng nhiểu nhất. Mã OTP sẽ được gửi bằng tin nhắn SMS về số điện thoại đã đăng ký của khách hàng. Hầu hết các ngân hàng và doanh nghiệp lớn đều sử dụng hình thức SMS OTP để tạo lớp bảo mật thứ hai cho tài khoản của khách hàng. Tuy nhiên, một hạn chế của hình thức này là SMS OTP không thể sử dụng được khi điện thoại bị mất sóng hay không cài đặt dịch vụ chuyển vùng quốc tế khi ra nước ngoài.
Token key là một thiết bị có thể tạo ra mã OTP mà không cần kết nối Internet. Tuy nhiên, đây là một thiết bị rời, nhỏ gọn nên dễ bị đánh cắp hoặc rơi mất nên cần được bảo quản cẩn thận. Mỗi tài khoản ngân hàng sẽ phải dùng một Token key riêng và người dùng sẽ được yêu cầu đổi Token key mới sau một thời gian quy định.
Smart OTP là một hình thức kết hợp giữa SMS OTP và Token key, được tích hợp với ứng dụng trên Smartphone, máy tính bảng. Hiện nay, hầu hết các ngân hàng lớn tại Việt Nam như BIDV, VietinBank, Vietcombank,.. đều đang sử dụng hình thức xác thực bằng Smart OTP và dần thay thế cho việc sử dụng SMS OTP. Để sử dụng Smart OTP, người dùng cần phải đăng ký với ngân hàng. Một ưu điểm của hình
thức xác thực Smart OTP là không thể có nhiều thiết bị sử dụng chung một ứng dụng
tạo ra mã OTP, do vậy tính bảo mật được đảm bảo tuyệt đối.
Khóa luận tốt nghiệp GVHD: Ths. Nguyễn Thanh Thụy
dụng thanh toán. Các ngân hàng và tổ chức thanh toán đều khuyến cáo khách hàng của mình không giao dịch thanh toán trên các máy tính lạ, hay cung cấp mật khẩu, mã OTP cho bất kỳ ai. Trong trường hợp phát hiện mật khẩu bị lộ hay điện thoại bị mất, khách hàng cần phải thông báo khẩn cấp tới ngân hàng để khóa chức năng thanh toán online của tài khoản. Điều này sẽ đảm bảo an toàn cho tài khoản của khách hàng.
Xác thực sinh trắc học, đây cũng là một hình thức đang dần được triển khai trên ứng dụng Mobile Banking của một số ngân hàng như Vietcombank, Ngân hàng TMCP Hàng Hải Việt Nam (MSB)... điển hình là dùng dấu vân tay. Không có hai người trên trái đất có cùng dấu vân tay. Thậm chí mỗi ngón tay cho cùng một người có một mô hình khác nhau. Điều này thậm chí đúng cho cặp song sinh giống hệt nhau (Smith, 2005) [3]. Vì điều này, trên thực tế, xác thực dấu vân tay là một cách rất để phân biệt người dùng. Kẻ trộm có thể lấy cắp mật khẩu, mã PIN hoặc khóa, nhưng chúng sẽ không thể giả mạo dấu vân tay của chúng ta. Với bảo mật vân tay, chúng ta sẽ không phải lo vân tay của mình có thể bị dò ra như đối với mật khẩu, cũng sẽ không phải lo quên dấu vân tay của mình như có thể quên mật khẩu. Tất cả những yếu tố này không chỉ giúp bảo mật vân tay cung cấp một mức độ bảo mật cao, mà còn cho phép kiểm soát chặt chẽ hơn các thiết bị, tài sản của mình. Tuy nhiên hình thức nãy cũng đang tồn tại những nhược điểm khiến cho việc triển khai chưa được rộng rãi. Ngày 26/10/2019, Vietcombank đã phải tạm dừng cung cấp dịch vụ xác thực bằng dấu vân tay do trước đó, hãng điện thoại Samsung đã phát đi thông báo
chính thức về vấn đề lỗi phát sinh liên quan đến các thiết bị Samsung Galaxy mới có trang bị chức năng cảm biến vân tay siêu âm. Các dòng máy bị ảnh hưởng bao gồm Samsung Galaxy Note 10/10+, Samsung Galaxy S10/S10+/S10 5G. Lỗi này xuất hiện khi máy nhận diện nhầm mẫu hoa văn 3D trên miếng dán màn hình hoặc vỏ điện thoại là vân tay người dùng. Từ đó, có thể thiết bị sẽ được mở bởi 1 dấu vân tay chưa được đăng ký. Một số thiết bị chất lượng thấp thường có thể sẽ không nhận thể nhận diện được nếu ngón tay của người dùng đổ mồ hôi hoặc dính bẩn. Hình thức xác thực này cũng đòi hỏi hệ thống xác thực phức tạp hơn, tốn chi phí hơn về công nghệ.