CHƯƠNG 2: CƠ SỞ LÝ THUYẾT CỦA MẬT KHẨU MỘT LẦN OTP
2.1. Khái quát về OTP
2.1.4. Các hình thức sử dụng OTP và mức độ an toàn
OTP-USB là một thiết bị nhỏ gọn có hình dáng giống như một chiếc USB, dùng để tạo ra mã token có dạng mã OTP chỉ sử dụng một lần, mỗi giao dịch sẽ được tạo ngẫu nhiên một mã không theo quy luật nào. Trong lĩnh vực ngân hàng thì thiết bị này có vai trò khá quan trọng. Mỗi thiết bị sẽ được gắn với một tài khoản ngân hàng, người dùng sẽ đặt mã PIN cho thiết bị này. Khi người dùng thực hiện một giao dịch trực tuyến: chuyển tiền, nạp tiền, rút tiền,… tại bước cuối cùng, hệ thống sẽ yêu cầu người dùng nhập OTP. Lúc này, thiết bị sẽ tạo ngẫu nhiên một mã OTP, người dùng sẽ lấy mã trên thiết bị và nhập vào hệ thống để hoàn tất giao dịch.
Với đặc điểm nhỏ gọn, người sử dụng có thể cầm thiết bị đi mọi nơi. Ngoài ra, thiết bị này rất dễ sử dụng, nó tạo ra mã OTP có thời gian hiệu lực trong một khoảng thời gian nhất định nên có tính bảo mật cao, dù có bị lộ mã OTP thì cũng bị vô hiệu hóa với các giao dịch sau đó.
Tuy nhiên, chi phí để mua thiết bị này dao động từ 200.000 đến 400.000 đồng.
Khi thực hiện bất kỳ giao dịch nào cũng cần phải có thiết bị này bên cạnh nên sẽ tương đối bất tiện trong một vài trường hợp.
2.1.4.2. SMS OTP
Xác thực SMS, còn được gọi là xác thực hai yếu tố dựa trên SMS và OTP, cho phép người dùng xác minh danh tính của họ bằng mã OTP được gửi qua tin nhắn văn bản. Sau khi xác nhận thực hiện giao dịch, tại bước cuối cùng người dùng sẽ nhận được một tin nhắn văn bản có kèm theo mã OTP. Người dùng chỉ cần nhập mã đó vào ứng dụng hoặc trang web để hoàn tất giao dịch.
Hình thức xác thực SMS này vẫn đang được các tổ chức tiếp tục sử dụng vì nó an toàn hơn mật khẩu do người dùng tự tạo ra. Người dùng có xu hướng sử dụng cùng
một mật khẩu cho nhiều tài khoản khác nhau, lưu trữ kém và hay quên chúng. Xác thực SMS giúp giảm thiểu sự phụ thuộc của người dùng vào mật khẩu, khiến những kẻ xấu khó đánh cắp thông tin đăng nhập và hack tài khoản hơn. Xác thực qua SMS giúp người dùng loại bỏ rắc rối trong việc ghi nhớ các mật khẩu của các tài khoản khác nhau.
Xác thực SMS cũng có rất nhiều nhược điểm như đánh tráo SIM. Kẻ xấu có thể liên hệ với công ty viễn thông và dựa vào thông tin cá nhân đã thu thập được để yêu cầu chuyển sang số điện thoại khác, do đó họ có quyền truy cập vào bất kỳ mã xác thực SMS nào được gửi đến số điện thoại đó. Hack SIM cũng gây ra rủi ro bảo mật.
Những kẻ xấu giả mạo tín hiệu của tháp tín hiệu di động và hệ thống SS7 để xem thông tin có trong các tin nhắn riêng tư. Khi người dùng bị mất điện thoại di động, việc xác thực qua SMS rủi ro rất cao nếu thiết bị đó được đăng nhập vào các tài khoản mạng xã hội và ứng dụng ngân hàng. Hiện nay, việc lừa đảo qua các tin nhắn SMS đang rất phổ biến. Những kẻ xấu sẽ đóng giả là một tổ chức uy tín, ví dụ như ngân hàng, để yêu cầu người dùng cung cấp các thông tin cá nhân, thông tin nhạy cảm, sau đó họ sẽ sử dụng thông tin đó để truy cập trái phép. Ngoài ra, còn có thủ đoạn tinh vi hơn đó là thông qua hình thức chuyển cuộc gọi. Đối tượng lừa đảo giả danh nhân viên chăm sóc khách hàng của các tổ chức uy tín sau đó yêu cầu người dùng xác nhận trên điện thoại cá nhân bằng cách nhập trên bàn phím cú pháp **21*Số điện thoại kẻ lừa đảo#OK. Bản chất của cú pháp này là tính năng chuyển hướng cuộc gọi sang số thuê bao khác. Sau khi đã thực hiện lệnh chuyển cuộc gọi thành công, đối tượng lừa đảo sẽ đăng nhập các ứng dụng ngân hàng, ví điện tử,… và chọn quên mật khẩu, chọn tính năng nhận cuộc gọi thông báo mã OTP để lấy được mật khẩu. Yếu tố chi phí cũng là một nhược điểm của xác thực SMS. Mỗi nhà mạng sẽ có giá khác nhau tùy thuộc vào số lượng tin nhắn SMS.
2.1.4.3. Email
Phương thức Email OTP xác thực người dùng bằng cách gửi mã OTP đến địa chỉ email đã đăng ký. Khi người dùng cố gắng đăng nhập hay thực hiện bất kỳ dịch vụ nào, máy chủ sẽ gửi OTP đến địa chỉ email đã đăng ký và yêu cầu người dùng nhập đúng mã đó.
Phương thức này cũng đảm bảo tính bảo mật cao hơn so với mật khẩu tĩnh do người dùng tự tạo và nó cũng rất dễ sử dụng. Chỉ cần người dùng nhập đúng email cần đăng ký để nhận mã xác thực, sau đó khi cần xác thực, hệ thống sẽ tự động gửi mã OTP về đúng email đã được đăng ký.
Tuy nhiên, phương thức này cũng vẫn còn nhiều hạn chế. Khi email của người dùng bị lộ mật khẩu hoặc bị đánh cắp thì đồng nghĩa với việc các ứng dụng người dùng đã đăng ký xác thực qua email này cũng không còn an toàn. Gửi email chứa mã OTP phụ thuộc khá nhiều vào máy chủ email. Có trường hợp đã quá thời gian nhập mã xác thực mà người dùng vẫn chưa nhận được email có mã hoặc email rơi vào tin nhắn rác, tin nhắn spam.
2.1.4.4. Smart OTP
Trong các hình thức cung cấp mã OTP được dùng phổ biến hiện nay, Smart OTP là một hình thức được các ngân hàng, doanh nghiệp cung cấp dịch vụ thanh toán điện tử chú trọng phát triển do độ bảo mật tối ưu của nó. Smart OTP là một phần mềm được cài trên các thiết bị di động, cho phép người dùng có thể chủ động lấy mã xác thực bất kỳ lúc nào. Ngày 31/03/2017, Ngân hàng Nhà nước đã ký quyết định
“Ban hành kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng. Theo đó, từ 01/01/2019 các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán trên mạng Internet phải triển khai áp dụng các giải pháp công nghệ xác thực mới trong thanh toán trực tuyến trên Internet” [10].
Trong các giải pháp xác thực được nhắc đến trong kế hoạch có bao gồm hình thức Smart OTP. Hình thức Smart OTP nhanh chóng được các ngân hàng triển khai thực hiện và dần thay thế cho phương thức xác thực SMS OTP. Ngày 16/02/2019 ngân hàng Techcombank chính thức triển khai phương thức xác thực Smart OTP và đến tháng 04/2019 ngân hàng này đã thay thế hoàn toàn SMS OTP bằng hình thức xác thực Smart OTP. Đầu năm 2020, ngân hàng Vietcombank cũng đã ra mắt phương thức xác thực Smart OTP.
Mỗi tài khoản ngân hàng sẽ sử dụng một tài khoản riêng cho Smart OTP và không được dùng chung với các tài khoản ngân hàng khác. Để sử dụng hình thức này, đầu tiên người dùng cần phải đăng ký tài khoản, sau đó kích hoạt tài khoản đó thành
công. Ví dụ, muốn sử dụng hình thức Smart OTP để xác thực khi thực hiện các giao dịch trên ứng dụng của ngân hàng Vietcombank, người dùng cần phải thực hiện đủ hai giao dịch tài chính để kích hoạt thành công Smart OTP. Một đặc điểm riêng của Smart OTP đó là không cần kết nối Internet vẫn có thể tạo ra mã xác thực OTP, khắc phục được những bất tiện của hình thức xác thực SMS OTP và USB OTP. Hiện tại, Smart OTP có hai hình thức chính: hình thức sử dụng ứng dụng độc lập và hình thức tích hợp. Với hình thức ứng dụng độc lập, người dùng cần tải và cài đặt ứng dụng Smart OTP riêng để có thể nhận mã. Khi thực hiện các giao dịch trên ứng dụng ngân hàng, tại bước nhập mã xác thực, người dùng cần mở ứng dụng Smart OTP đã cài đặt và kích hoạt, copy mã, sau đó quay lại ứng dụng ngân hàng để nhập mã xác thực cho giao dịch. Với hình thức tích hợp, Smart OTP được cài đặt sẵn trong ứng dụng của ngân hàng. Tại bước nhập mã xác thực, ứng dụng ngân hàng sẽ hiển thị luôn mã OTP trên màn hình và người dùng chỉ cần ấn xác thực mã để hoàn tất giao dịch, thay cho việc phải chuyển giữa hai ứng dụng để lấy mã xác thực.
So với hai phương thức còn lại, hình thức Smart OTP có tính bảo mật cao hơn.
Những kẻ lừa đảo rất khó có thể đánh cắp được mã OTP do nó có tài khoản riêng.
Khi sử dụng hình thức này, người dùng sẽ không mất thời gian chờ đợi trả về tin nhắn chứa mã OTP. Tuy nhiên, trải nghiệm khách hàng với hình thức này chưa được tối ưu và chỉ phù hợp với những khách hàng sử dụng điện thoại thông minh.
Trong thời đại công nghệ thì yếu tố nhanh gọn và bảo mật luôn được đặt lên hàng đầu. Các thiết bị thông minh đã trở nên rất phổ biến, vậy nên đa số mọi người đều thực hiện các giao dịch tài chính trên các thiết bị này. Hình thức USB OTP không còn được sử dụng nhiều do nó là một thiết bị cầm tay rời, đem lại khá nhiều bất tiện, độ bảo mật không cao. Hình thức SMS OTP hiện nay vẫn đang được sử dụng rất phổ biến tuy nhiên nó lại có rất nhiều lỗ hổng về bảo mật mà kẻ xấu có thể lợi dụng để đánh cắp thông tin người dùng. Nhiều người vẫn rất dễ dàng tin vào các tin nhắn lừa đảo, giả danh, từ đó thông tin nhạy cảm, thông tin cá nhân bị đánh cắp. Vậy nên, cách an toàn nhất hiện nay đó là sử dụng smart OTP.