Ứng dụng (OTP) cho hệ thống giao dịch trực tuyến

Một phần của tài liệu Nghiên cứu, tìm hiểu phương pháp xác thực dùng mật khẩu sử dụng một lần (OTP) và ứng dụng trong giao dịch trực tuyế (Trang 42 - 49)

CHƯƠNG 2: PHƯƠNG PHÁP XÁC THỰC SỬ DỤNG MẬT KHẨU MỘT LẦN (OTP)

2.5 Một số ứng dụng OTP trong thực tế hiện nay

2.5.2. Ứng dụng (OTP) cho hệ thống giao dịch trực tuyến

Hiện nay, ngoài việc ứng dụng trong giao dịch ngân hàng Internet Banking thì mật khẩu OTP còn được sử dụng trong các lĩnh vực khác nhau như thanh toán giao dịch thương mại điện tử, trong giao dịch chứng khoán,...

Thương mại điện tử (E-Commerce) là hình thức mua bán hàng hóa và dịch vụ thông qua mạng máy tính toàn cầu đã phát triển để đáp ứng được nhu cầu của người mua hàng. Theo nghĩa hẹp, thương mại điện tử đơn giản chỉ là việc tiến hành các hoạt động mua bán hàng hóa, dịch vụ thông qua các phương tiện điện tử, mạng viễn thông như điện thoại, máy vi tính, mạng Internet, mạng truyền hình,... Theo nghĩa rộng hơn, thương mại điện tử không

chỉ dừng lại ở việc mua bán hàng hóa và dịch vụ, mà nó còn mở rộng cả về quy mô và lĩnh vực ứng dụng.

Hình2.13. Website Thương mại điện tử

Website thương mại điện tử hiện nay là một trong những thành phần quan trọng đối với một hệ thống thương mại điện tử. Website thương mại điện tử không giống với các cổng thông tin điện tử thông thường khác, mà Website thương mại điện tử là một loại hình Website động với các chức năng chuyên biệt nhằm cho phép thực hiện các giao dịch qua môi trường Internet như: giỏ hàng, đơn hàng, quản lý thông tin khách hàng, quản lý đơn hàng,....

Website thương mại điện tử đáp ứng đầy đủ những tính năng, hỗ trợ cho quy trình xử lý, quản lý được các sản phẩm, các quá trình mua hàng và thanh toán được thuận tiện, an toàn hơn.

Để dễ dàng có được sản phẩm phù hợp, thuận tiện không tốn thời gian hay chi phí đi lại, khách hàng có thể sử dụng các hình thức thanh toán điện tử, trực tuyến được cung cấp trên các Website thương mại điện tử của doanh nghiệp. Về cơ bản, thanh toán điện tử trực tuyến có thể hiểu là việc trả tiền và nhận tiền cho các sản phẩm, hàng hóa, và dịch vụ khi giao dịch được thực

hiện qua mạng Internet. Hiện nay, các Website thương mại điện tử cung cấp cho khách hàng nhiều hình thức thanh toán trực tuyến khá thuận tiện như khách hàng có thể sử dụng thẻ tín dụng, thẻ ghi nợ, ví điện tử,... thông qua việc liên kết thanh toán giữa Website thương mại điện tử với các ngân hàng mà khách hàng có tài khoản thẻ. Website thương mại điện tử được xây dựng nhằm giải quyết vấn đề thương mại trên môi trường điện tử thay vì hình thức mua bán truyền thống, việc mua bán điện tử, thanh toán giá trị sản phẩm trực tuyến qua hình thức như ATM, ví điện tử, tiền điện tử,... phải được thực hiện và nâng cao vấn đề về bảo mật cho các giao dịch.

Thương mại điện tử và thành phần của nó như Website thương mại điện tử mang lại nhiều lợi ích cho doanh nghiệp trong mở rộng quy mô thị trường, tiết kiệm chi phí, tăng lợi nhuận, giảm chi phí giao dịch,...còn đối với người tiêu dùng, thương mại điện tử giúp cho khách hàng, người tiêu dùng có nhiều sự lựa chọn khi mua các sản phẩm và sử dụng các dịch vụ từ phía nhà cung cấp, thông tin được cập nhật liên tục, phong phú, sản phẩm với giá cả cạnh tranh, giao dịch thuận tiện mọi lúc, mọi nơi,... Bên cạnh những lợi ích mang lại đó, thương mại điện tử cùng với Website thương mại điện tử có những hạn chế nhất định, đặc biệt về vấn đề an toàn, bảo mật trong hoạt động thương mại điện tử . Đối với các Website thương mại điện tử hiện nay khi được xây dựng và mở rộng thì vấn đề đảm bảo an toàn cho khách hàng khi giao dịch, cho hệ thống Website được quan tâm, chú trọng, đã có nhiều giải pháp đã được áp dụng để nâng cao an toàn cho hệ thống Website thương mại điện tử và cho người dùng. Tuy nhiên, trước thực tế vài năm gần đây vấn đề về an ninh mạng diễn ra khá phức tạp, nhiều cuộc tấn công vào các Website được thực hiện, vẫn còn tiềm ẩn những nguy cơ mất an toàn trong môi trường hoạt động thương mại điện tử, những hành vi lừa đảo, gian lận có thể thực hiện được, các tấn công khác như phát tán mã độc hại nhằm mục đích đánh

cắp thông tin tài khoản, phá hoại hệ thống, hay tấn công từ chối dịch vụ ở mức cao hơn làm ngưng trệ hoạt động của hệ thống thông tin của tổ chức, doanh nghiệp vẫn có thể diễn ra.

Hơn thế nữa, mục tiêu mà những kẻ tấn công trên mạng nhằm vào thường liên quan đến quá trình thanh toán trực tuyến, với các mục đích khác nhau như lừa đảo, đánh cắp thông tin tài khoản cá nhân, tài khoản ngân hàng mà khách hàng sử dụng trong giao dịch để sử dụng vào các mục đích bất hợp pháp. Vấn đề quản lý rủi ro, hạn chế các nguy cơ gây mất an toàn cho hoạt động thương mại điện tử, đặc biệt trong thanh toán giao dịch trực tuyến trên các Website thương mại điện tử trở nên quan trọng hơn bao giờ hết.

Nói riêng trong lĩnh vực thương mại điện tử, đối với hệ thống thanh toán trực tuyến của các Website thương mại điện tử, vấn đề về xác thực là một yêu cầu quan trọng về bảo mật đối với thanh toán trực tuyến, nhằm xác định được danh tính của người mua trong quá trình thanh toán. Thông tin quan trọng nhất của khách hàng để có thể truy cập dịch vụ và thực hiện giao dịch trực tuyến là danh tính trực tuyến (Online Identity), với mục đích sử dụng thông tin này để chứng thực một người đúng là khách hàng đã đăng ký với nhà cung cấp dịch vụ trước khi họ truy cập, thực hiện giao dịch trực tuyến.

Mục tiêu tấn công của các Hackers đều muốn tìm cách đánh cắp hoặc chiếm được danh tính trực tuyến của các khách hàng. Các tấn công phổ biến được tận dụng như Phishing, là một hình thức lừa đảo trực tuyến sử dụng thư điện tử giả mạo lừa người dùng cung cấp thông tin truy cập, giao dịch trên một Website trực tuyến nào đó như tài khoản đăng nhập giao dịch, tài khoản thẻ tín dụng. Ngoài ra, còn một số hình thức tấn công khác như sử dụng Keylogger, tấn công Bruteforce để tìm mật khẩu người dùng,...

Phương pháp xác thực trước đây mà các Website thương mại điện tử sử dụng là xác thực người dùng bằng Username/Password, là một phương pháp xác thực một nhân tố. Khi các hành vi lừa đảo ngày càng tinh vi, phức tạp, các nguy cơ mất an toàn trên mạng Internet gia tăng thì hệ thống xác thực sử dụng Username/Password không còn đủ mạnh để bảo vệ được thông tin của khách hàng. Trên thực tế hiện nay có nhiều công nghệ và phương pháp để xác thực danh tính trong giao dịch trực tuyến. Những phương pháp đó là sử dụng mật khẩu, số định danh cá nhân, chứng thư số, các thiết bị bảo mật vật lý như Smart Card, thiết bị phần cứng sinh mật khẩu OTP, sử dụng đặc điểm sinh trắc học để bảo vệ danh tính. Với mỗi phương pháp thì mức độ bảo mật khác nhau, phụ thuộc vào môi trường sử dụng, công nghệ triển khai như xác thực sử dụng sinh trắc học thường sử dụng trong điều kiện đòi hỏi bảo mật rất cao, nhưng chi phí triển khai lại khá tốn kém.

Phương pháp xác thực đa nhân tố sẽ đảm bảo an toàn hơn phương pháp xác thực đơn nhân tố để hạn chế và chống lại các nguy cơ lừa đảo, giả mạo.

Các website thương mại điện tử đều lựa chọn nhà cung cấp dịch vụ thanh toán (cổng thanh toán) tin cậy để tránh được những rủi ro mất an toàn từ Internet khi không có một bên thứ ba đảm bảo giao dịch trực tuyến. Những cổng thanh toán trực tuyến như Paypal, Onepal,...đều sử dụng cơ chế xác thực động đa nhân tố, kết hợp với thông tin giao dịch được mã hóa theo giao thức SSL là giao thức bảo mật phổ biến hiện nay trong các hoạt động thương mại điện tử.

Hình2.14. Cổng thanh toán sử dụng xác thực với OTP

Trên các Website thương mại điện tử hiện nay, để xác thực danh tính khách hàng thanh toán giao dịch khi mua hàng thường sử dụng phương pháp xác thực hai nhân tố là mật khẩu OTP. Một số dịch vụ xác thực hai nhân tố sử dụng nền tảng xác thực thẻ thông minh Smart Card, nhưng phổ biến là sử dụng mật khẩu một lần OTP được gửi tới điện thoại di động hay Email đã được đăng ký từ trước của khách hàng. Việc khách hàng sử dụng e-Banking hay Internet Banking, Mobile Banking sẽ rất thuận tiện và an toàn khi sử dụng xác thực hai nhân tố, chỉ cần sử dụng mật khẩu OTP có giá trị nhất định trong một phiên giao dịch là có thể đảm bảo an toàn cho khách hàng bởi vì nó được kết hợp giữa Username/Password hoặc mã PIN của chủ tài khoản với mật khẩu OTP cùng quyền sở hữu thiết bị di động nhận OTP hay các thiết bị phần cứng Token sinh OTP.

Thông thường, quá trình sử dụng mật khẩu một lần OTP khi khách hàng thực hiện một thanh toán trực tuyến sẽ gồm một số bước như sau:

Bước 1: Khách hàng lựa chọn mặt hàng cần mua sau đó thực hiện thanh toán.

Bước 2: Chuyển sang giai đoạn thanh toán, Website TMĐT sẽ yêu cầu khách hàng nhập tài khoản gồm Username và Pasword mà khách hàng đã đăng ký từ

trước. Nếu đăng nhập thành công, Website sẽ gửi mật khẩu OTP qua tin nhắn tới số điện thoại di động đã khách hàng đăng ký.

Bước 3: Khách hàng nhập mật khẩu OTP đã nhận được để xác thực thông tin thanh toán.

Hình2.15. Nhập mật khẩu OTP xác thực thông tin thanh toán

Bước 4: Sau khi nhập đúng mật khẩu OTP để xác thực thông tin thanh toán, khách hành sẽ được xác nhận là đã thanh toán thành công.

Qua các bước sử dụng mật khẩu OTP trong thanh toán trực tuyến cho thấy phương pháp xác thực này đảm bảo an toàn tốt hơn cho danh tính của khách hàng so với phương pháp xác thực với Username/Password, mật khẩu OTP trong mỗi phiên giao dịch là khác nhau (sử dụng một lần cho mỗi phiên giao dịch), với thời gian hợp lệ nhất định, tránh rủi ro khi tài khoản người dùng bị lộ nhưng sẽ không thực hiện thành công nếu không có được mã OTP.

Ngoài việc hỗ trợ xác thực trong thanh toán giao dịch ngân hàng, giao dịch thương mại điện tử, nó còn được sử dụng hỗ trợ xác thực đăng nhập sử dụng máy tính cá nhân và trong xác thực đăng nhập tài khoản thư điện tử,….

Một phần của tài liệu Nghiên cứu, tìm hiểu phương pháp xác thực dùng mật khẩu sử dụng một lần (OTP) và ứng dụng trong giao dịch trực tuyế (Trang 42 - 49)

Tải bản đầy đủ (PDF)

(59 trang)