Các phương thức xác thực

Một phần của tài liệu GIẢI PHÁP PHÁT TRIỂN DỊCH VỤ NGÂN HÀNG ĐIỆN TỬ TẠI CÁC CHI NHÁNH NGÂN HÀNG NÔNG NGHIỆP VÀ PHÁT TRIỂN NÔNG THÔN TRÊN ĐỊA BÀN THÀNH PHỐ HỒ CHÍ MINH.PDF (Trang 38)

1. Phương thức mật khẩu một lần (One Time Password- OTP)

- OTP là phương thức xác thực mật khẩu một lần. Mật khẩu được gửi tới khách hàng qua SMS hoặc qua thiết bị bảo mật Token Key.

- Token Key là thiết bị sinh mã xác thực ngẫu nhiên dùng để thay thế chữ ký của khách hàng trong mỗi lần thực hiện chuyển khoản trên Internet Banking, mà mã xác thực này chỉ có giá trị sử dụng một lần. Mỗi khi khách hàng nhấn nút trên Token Key, thiết bị sẽ hiển thị một mã xác thực có thời gian tồn tại 3 phút để khách hàng nhập vào hệ thống. Token sẽ tự động thay đổi mật khẩu sau đó.

- Các dạng xác thực theo phương thức mật khẩu một lần:

Ký xác nhận với PTXT OTP SMS (Tên truy cập + Mật khẩu tĩnh + OTP SMS): Trong quá trình giao dịch thanh toán và chuyển tiền, Ngân hàng sẽ gửi một tin nhắn có mã xác thực đến số di động mà khách hàng đã cung cấp để khách hàng nhập vào phần xác thực thanh toán để hoàn tất giao dịch.

Ký xác nhận với PTXT OTP Token (Tên truy cập + Mật khẩu tĩnh + OTP Token) : Trong quá trình giao dịch thanh toán và chuyển tiền, đến bước xác thực, khách hàng sẽ nhấn nút trên Token Key. Token Key sẽ cho ra một mã số, khách hàng nhập vào phần xác thực thanh toán để hoàn tất giao dịch.

Ký xác nhận với PTXT OTP Ma trận (Tên truy cập + Mật khẩu tĩnh + OTP Ma trận): Ngân hàng sẽ cung cấp cho khách hàng một thẻ ma trận. mật mã là các giá trị ở các hàng tương ứng trên ma trận. Vd: OTP Ma trận trên là các giá trị ở các hàng cột G1, H8, A3. Tương ứng với các giá trị phải nhập là BEE935.

2. Phương thức xác thực bằng chứng thư số (chỉ áp dụng cho Internet Banking) Ký xác nhận với PTXT Chứng thư số (Tên truy cập + Mật khẩu tĩnh + CA):

Trong quá trình giao dịch thanh toán và chuyển tiền, đến bước xác thực, ngân hàng sẽ yêu cầu khách hàng nhập chứng thư điện tử đẻ tạo chữ ký cho giao dịch.

3. Xác thực hai phương thức (Two Factor Authentication)

Để xác thực, hệ thống ATTT sử dụng nhiều nhân tố khác nhau như hat you have (cái bạn có, chẳng hạn mật khẩu, token), hat you know (cái bạn biết – bao gồm các câu hỏi) hay hat you are (cái bạn làm)... Hệ thống 2 A sử dụng 2 nhân tố xác thực thuộc hai nhóm khác nhau kể trên để xác thực giúp tăng tính an toàn. Đại diện của phương thức này là Token Pin. Token PIN yêu cầu khách hàng phải nhập mã PIN thì mới sinh được OTP.

Ngoài ra, để an toàn và phòng chống hình thức tấn công Man-In-The-Middle, nhà cung cấp dịch vụ có thể cung cấp cho khách hàng các loại thiết bị Token PIN - có tính năng sinh OTP dạng thách thức/đáp ứng (Challenge/Response). Giải pháp này yêu cầu khi thực hiện giao dịch khách hàng phải nhập một vài thông tin như số tiền, số tài khoản và số PINvào thiết bị để sinh OTP, sau đó khách hàng gửi mã OTP để hệ thống xác thực. Nếu có bất kỳ thay đổi thông tin nào trên đường truyền thì hệ thống sẽ xác thực sai, vì khi hệ thống xác thực tính toán với những thông tin đã được sửa đổi thì sẽ ra một số OTP khác với số OTP mà khách hàng gửi đi.

Thiết nghĩ, Việc sử dụng OTP thông qua SMS chỉ nên áp dụng cho việc truy cập vào hệ thống để truy vấn thông tin tài khoản, hoặc các giao dịch có giá trị thấp. Còn với các giao dịch có giá trị cao nên áp dụng Token và cao cấp hơn hướng tới việc sử dụng Token PIN - có tính năng sinh OTP dạng thách thức/đáp ứng (Challenge/Response) . Hệ

thống bảo mật này giúp khách hàng không bị đánh cắp thông tin cá nhân và dữ liệu bởi những phần mềm nội gián, hay bị nhìn trộm mật khẩu vì chỉ duy nhất người có mật khẩu và người sở hữu thiết bị bảo mật Token mới có thể truy cập vào kênh ngân hàng trực tuyến. Và dù bị tấn công bởi hình thức mới nhất Man-In-The-Middle thì khi những thông tin đã được sửa đổi hệ thống xác thực sẽ ra một số OTP khác với số OTP mà khách hàng gửi đi. Như vậy sẽ hạn chế được việc khách hàng bị tấn công bởi hình thức trên.

KẾT LUẬN CHƯƠNG 1

Chương 1 đã nêu khái quát những khái niệm cơ bản cũng như các giai đoạn phát triển của Ngân hàng điện tử. Với những tiện ích, ưu điểm của các sản phẩm Ngân hàng điện tử cho thấy việc phát triển dịch vụ này tại các NHTM Việt Nam trong xu thế hội nhập hiện nay là tất yếu. Tuy nhiên, để phát triển dịch vụ Ngân hàng hiện đại, các NHTM cần đánh giá được các điều kiện để phát triển dịch vụ này trong môi trường hiện nay, cũng như nghiên cứu để có thể cung cấp dịch vụ NHĐT, đáp ứng được các chỉ tiêu phát triển, mang sản phẩm tốt nhất đến khách hàng. Các ngân hàng cũng nên quan tâm đến các phương thức tấn công của tõi phạm mạng để áp dụng phương thức xác thực hợp lý. Ngoài ra, vấn đề về pháp lý và công nghệ cũng góp phần không kém trong việc triển khai thành công dịch vụ Ngân hàng điện tử.

Chương 1 đã đưa ra mô hình để đánh giá sự phát triển của dịch vụ ngân hàng điện tử. Chương 2 sẽ đánh giá thực trạng cung ứng dịch vụ ngân hàng điện tử của Ngân hàng Nông nghiệp và Phát triển Nông thôn khu vực TP.HCM dựa trên mô hình này.

Chương 2: THỰC TRẠNG PHÁT TRIỂN DỊCH VỤ NGÂN HÀNG ĐIỆN TỬ TẠI CÁC CHI NHÁNH NGÂN HÀNG NÔNG NGHIỆP VÀ PHÁT

TRIỂN NÔNG THÔN TRÊN ĐỊA BÀN TP.HCM

2.1. THỰC TRẠNG PHÁT TRIỂN DỊCH VỤ NGÂN HÀNG ĐIỆN TỬ TẠI CÁC CHI NHÁNH AGRIBANK TRÊN ĐỊA BÀN TP.HCM

Hiện tại, trong lĩnh vực ngân hàng điện tử, Ngân hàng Nông Nghiệp và Phát Triển Nông Thôn đang cung cấp hai dòng sản phẩm là: Internet Banking và Mobile Banking.

2.1.1. Mô tả dịch vụ 2.1.1.1. Internet Banking

Một phần của tài liệu GIẢI PHÁP PHÁT TRIỂN DỊCH VỤ NGÂN HÀNG ĐIỆN TỬ TẠI CÁC CHI NHÁNH NGÂN HÀNG NÔNG NGHIỆP VÀ PHÁT TRIỂN NÔNG THÔN TRÊN ĐỊA BÀN THÀNH PHỐ HỒ CHÍ MINH.PDF (Trang 38)

(163 trang)