CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ HỆ THỐNG ỨNG DỤNG PHẦN MỀM CUNG CẤP DỊCH VỤ TRUNG GIAN THANH TOÁN VÀ MOBILE
1.2. Giới thiệu hệ thống ứng dụng phần mềm cung cấp dịch vụ Trung gian thanh toán và Mobile Money
1.2.3. Vai trò của công cụ Smart OTP trong hệ thống ứng dụng phần mềm cung cấp dịch vụ Trung gian thanh toán và Mobile Money
Hiện nay, tại Việt Nam đa số các ngân hàng và một số ví điện tử như MoMo, Shopee pay,… đều đang sử dụng phương thức xác thực SMS OTP. Mặc dù phương thức xác thực SMS OTP từ lâu đã được các chuyên gia công nghệ đánh giá là mức độ an toàn không cao nhưng các doanh nghiệp vẫn lựa chọn sử dụng vì nó cân bằng được hai đặc tính tiện lợi và bảo mật. Phương thức SMS OTP để lộ rất nhiều điểm yếu, kẻ xấu có thể lợi dụng những điểm này để lấy trộm mã OTP và thực hiện các giao dịch trên một thiết bị khác mà chủ tài khoản không thể biết. Trong thời gian qua, tình trạng khách hàng bị mất tiền trong tài khoản ngân hàng xảy ra tương đối nhiều do tin tặc đã khai thác được lỗ hổng bảo mật của phương thức SMS OTP. Ông Nguyễn Tử Quảng, CEO Bkav cho biết, có ít nhất hai cách để hacker lấy được mã OTP trong SMS người dùng. Thứ nhất, lừa nạn nhân truy cập vào một trang web giả mạo và nhập mã OTP trên đó để chiếm được mã; thứ hai, hacker có thể lừa nạn nhân cài đặt các ứng dụng gián điệp vào điện thoại thông minh, các ứng dụng này sẽ theo dõi mọi hoạt động, thông tin của người dùng bao gồm cả các tin nhắn SMS có chứa OTP và các thông tin đăng nhập trên các ứng dụng ngân hàng điện tử. Theo quan điểm của các ngân hàng, nếu khách hàng sử dụng các điện thoại thông minh chính hãng, không
bị bẻ khóa, không sử dụng các ứng dụng không uy tín thì phương thức xác thực SMS OTP vẫn đảm bảo được tính an toàn. Dù vậy, trong thực tế số vụ việc bị đánh cắp tiền trong tài khoản ngân hàng do bị lộ mã OTP có trong các tin nhắn SMS của người dùng có xu hướng tiếp tục tăng. Các lớp bảo mật khác có độ an toàn cao hơn như chữ ký số, hard token, sinh trắc học,… đã được áp dụng tại một số ngân hàng ở Việt Nam, tuy nhiên các cách thức này chưa được sử dụng phổ biến do không đáp ứng được yếu tố tiết kiệm, tiện lợi. Ví dụ như hard token, là một thiết bị tạo mã OTP cầm tay, nhỏ gọn có kích thước giống USB, về mặt lý thuyết thì so sánh với SMS OTP nó có độ bảo mật cao hơn. Tuy nhiên, khách hàng sẽ phải bỏ ra một số tiền khoảng vài trăm nghìn đồng để sử dụng thiết bị này và nếu không mang theo thiết bị này bên người thì người dùng sẽ không thể thực hiện xác thực.
Theo xu thế hiện nay, các ngân hàng đang khuyến khích và thúc đẩy khách hàng chuyển sang sử dụng phương thức Smart OTP để xác thực. Một số ngân hàng đã thay thế hoàn toàn phương thức xác thực SMS OTP bằng phương thức xác thực Smart OTP bởi phương thức này có độ bảo mật cao hơn, thuận lợi và tiết kiệm chi phí hơn so với phương thức khác. Trong tương lai, Smart OTP sẽ trở nên phổ biến hơn và sẽ thay thế hoàn toàn các phương thức xác thực cũ. Vì vậy, mức độ bảo mật an toàn của phương thức này cần phải được đặc biệt chú trọng và phát triển.
Trong hệ thống ứng dụng phần mềm cung cấp dịch vụ Trung gian thanh toán và Mobile Money, tất cả các giao dịch quan trọng: giao dịch thanh toán, giao dịch yêu cầu thanh toán, giao dịch duyệt thanh toán, giao dịch xác nhận tạo tài khoản chính- phụ, giao dịch cập nhật thông tin bảo mật, thông tin nhạy cảm đều được xác thực hai nhân tố. Cụ thể các hình thức xác thực được sử dụng trong từng loại giao dịch được trình bày trong bảng sau:
STT Hình thức xác thực Loại giao dịch
1 SMS - Giao dịch xác nhận thuê bao tồn tại
- Giao dịch xác nhận tạo tài khoản chính – phụ
2 SMS, SmartOTP, Email
- Giao dịch nạp/rút/chuyển tiền/thanh toán/mua hàng/đổi mật khẩu qua kênh Mobile App/Web App
- Giao dịch duyệt thanh toán, mua hàng, nạp/rút/chuyển tiền của KHDN
3 USSD OTP
- Giao dịch nạp/rút/chuyển tiền/thanh toán/mua hàng/đổi mật khẩu qua kênh USSD/SMS
- Giao dịch nạp/rút tiền mặt tại quầy Bảng 1.1. Các hình thức xác thực trong hệ thống
Với vai trò và tầm quan trọng của hình thức xác thực Smart OTP trong hệ thống như đã trình bày ở trên, đề tài “Nghiên cứu, nâng cao độ an toàn cho ứng dụng Smart OTP trong hệ thống ứng dụng phần mềm cung cấp dịch vụ Trung gian thanh toán và Mobile Money” sẽ thực hiện nghiên cứu cơ sở lý thuyết của mật khẩu sử dụng một lần OTP, trên cơ sở đó thực hiện xây dựng và phát triển ứng dụng xác thực an toàn dựa trên mật khẩu một lần OTP cho thiết bị di động.