Chương 2 MỘT SỐ KHÁI NIỆM VỀ OTP CÁC PHƯƠNG PHÁP
2.5. Các phương pháp chuyển giao OTP
2.5.3. Tạo OTP sử dụng token
Token là một thiết bị dùng để xác thực người dùng thay cho cơ chế ID/Username và mật khẩu đăng nhập. Mỗi thiết bị token đều phân biệt nhau và được nhà cung cấp dịch vụ gán với một người dùng cụ thể. OTP có thể được sinh trên token.
Thiết bị token hoạt động theo phương thức tự tạo các dãy số ngẫu nhiên (OTP) và có giá trị chỉ trong một khoảng thời gian nhất định (thường dưới 1 phút). Chẳng hạn, khi người dùng muốn đăng nhập vào trang web ngân hàng - nơi đã cung cấp thiết bị token, để thực hiện giao dịch, người dùng phải nhập dãy số OTP trên thiết bị token vào ô mật khẩu thì mới được truy cập. Nếu sau thời gian qui định trên thiết bị token, OTP này sẽ không còn giá trị, và nếu người dùng vẫn chưa đăng nhập hay hoàn tất giao dịch thì họ phải nhấn nút hay thiết bị token sẽ tự động tạo ra OTP mới và người dùng nhập OTP mới này để đăng nhập hay hoàn tất giao dịch.
Thiết bị Token gồm 2 loại chính: thẻ EMV và E-Token
+ Thẻ EMV: là dạng thẻ chíp có công dụng tạo OTP, không có khả năng dùng để chi tiêu như các loại thẻ thanh toán khác. EMV là chuẩn thẻ thông minh do 3 liên minh thẻ lớn nhất thế giới là Europay, Master Card và Visa International đưa ra. Quá trình chuyển đổi sang chuẩn EMV trên toàn thế giới đã và đang diễn ra từ vài năm nay. Việt Nam nằm trong khu vực có hạn áp dụng từ 1/1/2006, nhưng tới thời điểm này, mới chỉ có VPBank đã thực hiện phát hành thẻ EMV. Các ngân hàng khác chưa công bố kế hoạch chuyển đổi chính thức.
Hình 17: Minh họa thẻ EMV
Về mặt kỹ thuật, thẻ chíp có nhiều tính năng hơn thẻ từ. Một thẻ chíp có thể sử dụngnhư là một thẻ ngân hàng, chứng minh thư, thẻ tín dụng, cũng có thể dùng để trả phí giao thông hay lưu trữ thông tin về y tế, bảo hiểm xã hội, thông tin cá nhân...
+ E-Token: là thiết bị có công dụng tạo OTP dựa trên sự kết nối thiết bị với máy tính mà khách hàng đang thực hiện giao dịch. E-Token là một thiết bị nhận dạng số, được tích hợp những giải pháp phần mềm bảo mật chuyên dụng, theo đúng chuẩn quốc tế và kết nối với máy tính thông qua cổng giao tiếp USB.E-Token cho phép cả người dùng lẫn người quản trị bảo mật và quản lý hiệu quả quá trình chứng thực người dùng hệ thống bằng cách lưu trữ và sinh mật khẩu, chứng chỉ số và mã hóa tất cả thông tin đăng nhập (cả khóa chung và khóa riêng). E-Token cung cấp nền tảng bảo mật an toàn, hiệu quả, dễ sử dụng và triển khai trên diện rộng.
Hình 18: Minh họa thiết bị E-Token 2.5.4. Tạo OTP sử dụng điện thoại di động 2.5.4. Tạo OTP sử dụng điện thoại di động
Ngoài việc sử dụng các loại token, người dùng còn có thể dùng ngay chiếc điện thoại di động của mình, cùng phần mềm miễn phí “mật khẩu dùng một lần di động” (Mobile One Time Password - MOTP) để tạo OTP.
Mỗi khi muốn truy cập vào hệ thống mạng nội bộ qua SSL VPN, người dùng phải nhập mã PIN (đã biết trước) vào điện thoại di động để tạo ra mật khẩu đăng nhập. Sau khi thực hiện kết nối SSL VPN, trình đăng nhập xuất hiện yêu cầu nhập username và password. Lúc này người dùng nhập username (đã biết trước) và mật khẩu vừa được tạo trên điện thoại di động để đăng nhập vào mạng nội bộ.
Hình 19: Mô hình kết nối SSL VPN đến Vigor2950 có điện thoại hỗ trợ xác thực có điện thoại hỗ trợ xác thực
Cài đặt và sử dụng ứng dụng MOTP
Bộ định tuyến Vigor2950 của hãng DrayTek (Firmware v3.2.6_RC5) tích hợp sẵn cơ chế mật khẩu dùng một lần trong xác thực kết nối SSL và VPN (theo giao thức PPTP, L2TP) là một trong những ứng dụng MOTP điển hình sử dụng trên điện thoại di động [21].
Sau khi cài đặt xong phần mềm MOTP vào điện thoại, bước tiếp theo và cũng quan trọng nhất là người dùng phải thiết lập cùng thời gian trên cả điện thoại và Vigor2950. Nếu thời gian sai lệch sẽ dẫn đến việc tạo mật khẩu sai - 1 phút là thời gian tối đa để người dùng nhập mật khẩu được tạo ra từ điện thoại vào ô mật khẩu đăng nhập trên màn hình máy tính, khi thực hiện một kết nối SSL VPN. Ở đây để xác lập thời gian chính xác, trên Vigor2950 người dùng thiết lập đồng bộ thời gian với máy chủ ntp.org, chọn “time zone” GMT+7; và người dùng nên “canh” thời gian trên Vigor2950 vừa nhảy qua phút mới thì chỉnh ngay lại thời gian trên điện thoại.
Hình 20: Cài đặt phần mềm sinh OTP trên iPhone với Vigor2950.
Sau khi người dùng thiết lập xong các thông số SSL VPN trên Vigor2950, phần thông số ở mục SSL VPN\User Account là phần mà người dùng cần quan tâm. Tại ô nhập username, người dùng nhấn chọn Enable Mobile One-Time Password (mOTP), lúc này hai ô Pin Code và Secret sẽ hiện ra, ô password sẽ ẩn đi.
2.5.5. Chuyển giao OTP sử dụng gmail
Một công nghệ phổ biến thường được sử dụng cho việc cung cấp các OTP là tin nhắn văn bản. Từ các hệ thống xác thực tin nhắn gmail, một mật khẩu OTP được sinh và gửi thông qua một tin nhắn văn bản đến gmail của người dùng. Tương tự như với thẻ bảo mật, người dùng phải nhập OTP đã nhận được nhập vào giao diện đăng nhập nhằm xác minh tính chính xác và khẳng định đủ an toàn để truy nhập hệ thống dịch vụ hoặc ứng dụng.
Đầu tiên, khách hàng đăng ký dịch vụ cùng với gmail cho ngân hàng. Khi thực hiện giao dịch, khách hàng nhập thông tin thanh toán, máy chủ của ngân hàng sẽ tạo OTP và gửi cho khách hàng thông qua một tổng đài bằng tin nhắn gmail. Sau khi khách hàng nhận được tin nhắn chứa OTP, khách hàng sẽ phải nhập OTP vào để máy chủ xác thực. Máy chủ kiểm tra OTP, nếu đúng thì sẽ thực hiện giao dịch, nếu không sẽ có báo lỗi.
Kết luận
Nội dung chính của chương 2 đã trình bày các khái niệm cơ bản về mật khẩu sử dụng 1 lần OTP, các phương pháp sinh mật khẩu và các phương pháp chuyển giao chúng đến người sử dụng. Mỗi phương pháp sinh và chuyển giao OTP đều có những đặc trưng và các ưu, nhược điểm riêng. Do đó, theo yêu cầu bảo mật cụ thể của mỗi hệ thống mà người dùng có thể lựa chọn một phương pháp phù hợp.
Chương 3
XÂY DỰNG CHƯƠNG TRÌNH ỨNG DỤNG XÁC THỰC SỬ DỤNG OTP TRONG GIAO DỊCH NGÂN HÀNG TRỰC TUYẾN
Trong chương này, luận văn trình bày các mô hình sử dụng mật khẩu OTP sử dụng trong ngân hàng giao dịch trực tuyển để đảm bảo tính bảo mật cho người dùng, nghiên cứu thử nghiệm việc xác thực giao dịch ngân hàng trực tuyến sử dụng OTP sử dụng phương thức chuyển giao qua gmail.
3.1 Đặt vấn đề
Ngày nay, nhiều ngân hàng đã ứng dụng các phương pháp xác thực giao dịch trực tuyến sử dụng OTP khác nhau. Mỗi phương pháp sinh và chuyển giao OTP có ưu và nhược điểm riêng và do đó chúng có khả năng ứng dụng với mức độ khác nhau. Trong số các phương pháp chuyển giao OTP, phương pháp chuyển giao OTP qua SMS được nhiều ngân hàng sử dụng vì tính cơ động trong giao dịch của nó.
Hình 21: Mô hình nhận OTP qua gmail
Trước khi có thể thực hiện các giao dịch trực tuyến có xác thực bằng OTP, người dùng cần thực hiện các thủ tục đăng ký tài khoản giao dịch trực tuyến, gồm username, password và gmail với ngân hàng. Sau đó, người dùng sẽ sử dụng các thông tin này khi giao dịch chuyển tiền trên trang thanh toán trực tuyến của ngân hàng đó.
3.2 Mô hình sử dụng giao dịch trực tuyến của ngân hàng Eximbank 3.2.1 Giới thiệu Mobile OTP: 3.2.1 Giới thiệu Mobile OTP:
Mobile OTP là ứng dụng tạo mật khẩu dùng một lần do Eximbank phát triển và được cung cấp miễn phí cho khách hàng sử dụng để xác thực cho các giao dịch thực hiện trên Internet Banking.
3.2.2 Hướng dẫn sử dụng Mobile OTP:
a) Đăng ký dịch vụ:
Khách hàng đăng ký sử dụng dịch vụ Internet Banking chọn phương thức xác thực Mobile OTP.
Đối với khách hàng đang sử dụng phương thức xác thực SMS OTP, liên hệ điểm giao dịch Eximbank gần nhất để đổi sang phương thức xác thực Mobile OTP. b) Cài đặt ứng dụng:
Để sử dụng Mobile OTP khách hàng cần download và cài đặt ứng dụng EIB Mobile về điện thoại theo các bước sau:
Điện thoại iPhone: từ biểu tượng Appstore trên màn hình chính, tìm kiếm ứng dụng EIB Mobile và tải ứng dụng về máy.
Điện thoại sử dụng hệ điều hành Android: từ biểu tượng CH Play trên màn hình chính, khách hàng tìm kiếm ứng dụng với từ khóa EIB Mobile và tải ứng dụng về máy. Điện thoại sử dụng Java hoặc hệ điều hành Symbian: soạn tin nhắn theo cú pháp SET EIB MB gửi 8149 để tải ứng dụng về máy điện thoại.
c) Đăng nhập và kích hoạt dịch vụ:
Sau khi đăng ký thành công, khách hàng sẽ nhận được mật khẩu đăng nhập Mobile OTP qua E-mail đăng ký dịch vụ. Để kích hoạt dịch vụ, khách hàng thực hiện theo các bước sau:
B1: Chọn nút “Kích hoạt” và đăng nhập với tên đăng nhập và mật khẩu nhận được từ Email của Eximbank.
B2: Nhập mật khẩu mới (sau khi đăng nhập thành công). Mật khẩu này dùng để xác thực khi thực hiện chức năng “Đồng bộ OTP”.
B3: Kích hoạt dịch vụ: Sau khi hoàn tất B2 Eximbank sẽ gửi tin nhắn yêu cầu kích hoạt đến thuê bao đăng ký dịch vụ. Để kích hoạt dịch vụ soạn tin nhắn theo cú pháp sau: MO {mã số OTP} gửi 8149 (mã số OTP được gửi trong tin nhắn yêu cầu kích hoạt).
B4: Đồng bộ OTP: Sau khi kích hoạt dịch vụ thành công, khách hàng chọn “Đồng bộ OTP” và nhập mật khẩu để thực hiện đồng bộ dữ liệu trước khi sử dụng.
→ Hoàn tất quá trình kích hoạt, ứng dụng Mobile OTP sẽ hiển thị OTP là dãy 8 số với thời gian hiệu lực cho mỗi dãy số OTP là 60 giây.
Hình 23: Hướng dẫn đăng nhập và kích hoạt dịch vụ
d) Sử dụng Mobile OTP để xác thực giao dịch trên Internet Banking Eximbank: B1: Khách hàng thực hiện giao dịch trên Internet Banking.
B3: Nhập mã xác thực OTP bao gồm 8 chữ số từ ứng dụng trên điện thoại di động. B4: Chọn “Thực hiện” để hoàn tất giao dịch.
Hình 24: Hướng dẫn sử dụng Mobile OTP để xác thực giao dịch trên Internet
e) Những lưu ý khi sử dụng Mobile OTP:
Khách hàng sẽ thực hiện đồng bộ OTP trong các trường hợp sau: Sau khi kích hoạt thành công dịch vụ.
Khi nhận được thông báo “Dữ liệu tạo số OTP đã hết hạn”. B1: Chọn nút “Đồng bộ OTP”
B2: Nhập mật khẩu đăng, sau đó chọn nút “Xác nhận”. B3: Nhận thông báo kết quả đồng bộ OTP thành công.
Quy trình các bước thực hiện cấp lại mật khẩu (trong trường quên mật khẩu hoặc dịch vụ bị khóa do nhập sai mật khẩu) như sau:
B1: Chọn nút “Đồng bộ OTP” B2: Chọn “Quên mật khẩu” B3: Chọn nút “Xác nhận”
B4: Tạo mật khẩu thành công. Khách hàng kiểm tra E-mail để nhận mật khẩu mới.
Quy trình các bước thực hiện Đổi mật khẩu (trong trường hợp khách hàng muốn thay đổi mật khẩu đang sử dụng):
B1: Chọn chức năng “Đổi mật khẩu”
B2: Nhập mật khẩu hiện tại, mật khẩu mới, xác nhận mật khẩu mới và chọn “Thực hiện”
B3: Thông báo đổi mật khẩu thành công.
Hình 27: Hướng dẫn đổi mật khẩu
3.3 Kết quả xây dựng mô hình thực nghiệm
Trên cơ sở các lý thuyết và các mô hình tham khảo, luận văn sẽ trình bày kết quả khi xây dựng một mô hình thực nghiệm mô phỏng các thao tác cơ bản trong giao dịch trực tuyến thông qua việc sinh OTP qua Gmail. Chương trình thực nghiệm mô phỏng các thao tác giao dịch trực tuyến sử dụng xác thực trực tuyến cho người dùng bằng OTP được xây dựng một số mô đun trên môi trường lập trình Java. Các mô đun được mô tả qua kịch bản thực hiện giao dịch trực tuyến có xác thực bằng OTP gồm các bước sau:
1. Người dùng đăng nhập vào trang thanh toán trực tuyến của ngân hàng sử dụng username và password đã đăng ký.
Hình 28: Người dùng đăng nhập vào hệ thống
2. Hệ thống xác thực thông tin tài khoản người dùng; Nếu chính xác sẽ cho người dùng truy cập vào hệ thống.
3. Người dùng vào ứng dụng chuyển khoản. Giao diện chuyển khoản xuất hiện. Người dùng sẽ nhập lần lượt các thông tin của giao dịch vào giao diện chuyển tiền trực tuyến bao gồm: tên tài khoản người nhận, số tài khoản người nhận, số tiền bằng chữ, số tiền bằng số, nội dung chuyển khoản...
Hình 29: Người dùng nhập thông tin chuyển khoản
Người dùng nhấn vào nút “Hoàn Thành”. Giao diện xác thực OTP xuất hiện.
4. Một tin nhắn sẽ được gửi từ tổng đài của hệ thống tới gmail của người dùng chứa mã giao dịch OTP. Người dùng nhập mã OTP nhận được từ tin nhắn gmail vào ô xác thực và nhấn nút “Chấp nhận”. Nếu người dùng nhập đúng OTP thì giao diện giao dịch thành công xuất hiện. Nếu người dùng nhập sai thì hệ thống sẽ yêu cầu người dùng nhập lại OTP.
5. Giao dịch thành công
Hình 31: Người dùng chuyển khoản thành công
3.4. Cài đặt
Chương trình thử nghiệm được cài đặt trên hệ điều hành Microsoft Windows, ngôn ngữ Java trên phần mềm lập trình Netbeans 6.9 kết hợp với hệ quản trị cơ sở dữ liệu My SQL để hệ thống có thể truy xuất cơ sở dữ liệu.
Thuật toán SHA-1 được sử dụng để tạo ra OTP. Cơ sở dữ liệu được sử dụng để xác thực người dùng, lưu lịch sử giao dịch. Cơ sở dữ liệu lưu trữ username, password, tên chủ tài khoản, số tiền hiện có và các lần giao dịch.
Hình 32: Mô tả lịch sử giao dịch
Phần mềm bên server được xây dựng dưới dạng web server. Phía server dựa vào OTP đã gửi tới di động người dùng để đưa ra quyết định cho phép người dùng thanh toán hay từ chối yêu cầu này. Phần mềm này tương tác với cơ sở dữ liệu lưu thông tin của người dùng cũng như tài khoản của họ. Chương trình sử dụng một gmail mô phỏng một tổng đài để gửi tin nhắn chứa OTP.
Kết luận
Trong chương này, chúng ta đã tiến hành xây dựng và thử nghiệm chương trình thử nghiệm về xác thực giao dịch ngân hàng trực tuyến sử dụng OTP chuyển giao qua gmail. Phương pháp sinh và chuyển giao OTP được cài đặt có khả năng cung cấp tính bảo mật cao cho xác thực giao dịch trực tuyến. Các ứng dụng này có khả năng triển khai rộng rãi trong thực tế do không đòi hỏi bổ sung phần cứng hay phần mềm phức tạp.
KẾT LUẬN
Mật khẩu sử dụng một lần (OTP) là mật khẩu chỉ được sử dụng một lần duy nhất để xác thực một giao dịch hoặc một phiên làm việc. Do OTP chỉ được sử dụng một lần nên có độ an toàn cao hơn so với mật khẩu truyền thống, tránh được các dạng tấn công như nghe lén. Luận văn nghiên cứu về mật khẩu sử dụng một lần, các kỹ thuật sinh và chuyển giao mật khẩu một lần và ứng dụng vào xác thực các giao thức trực tuyến ứng dụng tại các ngân hàng. Các kết quả chính của luận văn:
+ Nghiên cứu tổng quan về mật khẩu sử dụng một lần và ứng dụng của mật khẩu sử dụng một lần.
+ Nghiên cứu các phương pháp sinh mật khẩu sử dụng một lần dựa trên thời gian, dựa trên thuật toán; phương pháp sinh mật khẩu bằng Token và điện thoại di động; các phương pháp chuyển giao mật khẩu sử dụng một lần bằng giấy, bằng tin nhắn SMS.
+ Nghiên cứu các ứng dụng của OTP trong các giao dịch ngân hàng trực tuyến tại Việt Nam, cài đặt thử nghiệm mô phỏng phương pháp chuyển giao OTP