Ưu điểm của phương pháp chuyển giao OTP bằng tin nhắn SMS là tin nhắn văn bản là một kênh truyền thơng phổ biến, có sẵn trong gần như tất cả các thiết bị cầm tay với lượng người sử dụng khá lớn. Đây cũng là một lợi thế so sánh lớn của loại công cụ này so với việc sử dụng các loại thiết bị phân phối OTP khác. Trên thực tế thì loại cơng cụ này có nhiều tiềm năng để phổ biến tới nhiều người tiêu dùng với tổng chi phí thấp. Tất nhiên cũng với một số trường hợp khác thì giá của mỗi tin nhắn thường xuyên cho mỗi một OTP không hẳn đã phù hợp.
Cách thức gửi nhận OTP qua tin nhắn văn bản cũng đã bộc lộ một số vấn đề, đó là nó khơng được bảo vệ cần thiết để chống lại các cuộc tấn công mà sự tinh vi đang ngày càng gia tăng. Các tin nhắn có thể được mã hóa bằng cách sử dụng một số tiêu chuẩn như A5/x, điều mà theo báo cáo của một số nhóm người tấn cơng có thể giải mã trong vòng vài phút hoặc vài giây, hoặc nó khơng được mã hố bởi những nhà cung cấp dịch vụ khi nhận và gửi đi tới tất cả. Ngoài các mối đe doạ từ người tấn công, các nhà mạng điện thoại di động cũng là một thành phần trong việc đảm bảo sự tin cậy. Ví dụ trong trường hợp chuyển vùng, qua nhiều hơn một nhà mạng điện thoại di động đơn lẻ rất cần phải tạo được sự tin tưởng. Vì bất cứ ai đánh cắp được thơng tin này, đều có thể gắn kết với những người tấn công, chẳng hạn như các cuộc tấn công “man- in- the- middle”. Giải pháp cho vấn đề là xác thực
“Out of Band”, trong đó sử dụng một kênh riêng biệt cho yếu tố xác thực thứ hai, đang trở thành một thực tiễn tốt nhất cho vấn đề xác thực hai yếu tố.
2.5.3. Tạo OTP sử dụng token
Token là một thiết bị dùng để xác thực người dùng thay cho cơ chế ID/Username và mật khẩu đăng nhập. Mỗi thiết bị token đều phân biệt nhau và được nhà cung cấp dịch vụ gán với một người dùng cụ thể. OTP có thể được sinh trên token.
Thiết bị token hoạt động theo phương thức tự tạo các dãy số ngẫu nhiên (OTP) và có giá trị chỉ trong một khoảng thời gian nhất định (thường dưới 1 phút). Chẳng hạn, khi người dùng muốn đăng nhập vào trang web ngân hàng - nơi đã cung cấp thiết bị token, để thực hiện giao dịch, người dùng phải nhập dãy số OTP trên thiết bị token vào ơ mật khẩu thì mới được truy cập. Nếu sau thời gian qui định trên thiết bị token, OTP này sẽ khơng cịn giá trị, và nếu người dùng vẫn chưa đăng nhập hay hồn tất giao dịch thì họ phải nhấn nút hay thiết bị token sẽ tự động tạo ra OTP mới và người dùng nhập OTP mới này để đăng nhập hay hoàn tất giao dịch.
Thiết bị Token gồm 2 loại chính: thẻ EMV và E-Token
+ Thẻ EMV: là dạng thẻ chíp có cơng dụng tạo OTP, khơng có khả năng dùng để chi tiêu như các loại thẻ thanh tốn khác. EMV là chuẩn thẻ thơng minh do 3 liên minh thẻ lớn nhất thế giới là Europay, Master Card và Visa International đưa ra. Quá trình chuyển đổi sang chuẩn EMV trên toàn thế giới đã và đang diễn ra từ vài năm nay. Việt Nam nằm trong khu vực có hạn áp dụng từ 1/1/2006, nhưng tới thời điểm này, mới chỉ có VPBank đã thực hiện phát hành thẻ EMV. Các ngân hàng khác chưa cơng bố kế hoạch chuyển đổi chính thức.