SMS OTP (One Time Password) – Mật khẩu gửi một lần bằng SMS là phương thức xác thực phổ biến trong giao dịch ngân hàng hiện nay. Tuy nhiên, một số chuyên gia kỹ thuật cho rằng xác thực tin nhắn là một giải pháp kỹ thuật lỗi thời và không thực sự an toàn. Tin tặc có thể sử dụng điểm yếu của SMS OTP để lấy cắp mã OTP rồi thực hiện giao dịch trên thiết bị lạ mà chủ tài khoản không hề hay biết. Trong những năm gần đây, tin tặc cũng đã làm mất nhiều tài khoản ngân hàng do những điểm yếu của SMS OTP.
Ngân hàng cho rằng ứng dụng ebank được cài đặt thông qua các giao dịch như đăng ký dịch vụ hoặc chuyển đổi thiết bị (điện thoại di động, máy tính bảng). Ngân hàng cho rằng nếu chủ tài khoản buộc phải đến quầy giao dịch sẽ quá bất tiện và Không tương thích với xu hướng kỹ thuật số. Vì vậy, chẳng hạn, nếu bạn muốn chuyển các giao dịch ngân hàng điện tử sang một điện thoại thông minh mới, hầu hết các ngân hàng sẽ yêu cầu bạn nhập mật khẩu được xác thực bằng SMS OTP hoặc gửi qua email. Phương pháp xác thực. Ảnh: Quỳnh Trang .
– Khi chia sẻ với VnExpress về ngân hàng số, giám đốc ngân hàng số của ngân hàng thừa nhận xác thực tin nhắn không phải là giải pháp hoàn hảo. Tuy nhiên, ngân hàng vẫn chưa sử dụng vì tính đến hai yếu tố an toàn và tiện lợi cho người dùng.
Ngoài ra, theo ngân hàng, nếu khách hàng đang sử dụng điện thoại chính hãng mà không mở khóa hoặc cài đặt ứng dụng không rõ nguồn gốc thì phương thức SMS OTP vẫn an toàn.
Nhưng không thể phủ nhận rằng việc chụp lại các tin nhắn SMS của người dùng sẽ ngày càng gây ra nhiều tổn thất về tiền bạc. Từ năm 2016, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã ban hành hướng dẫn khuyến nghị các tổ chức giảm việc sử dụng SMS OTP như một cấp độ bảo mật thứ hai và chuyển dần sang các hình thức xác minh danh tính khác. . .
Ngành ngân hàng Việt Nam thực sự đã thiết lập được bảo mật, mã thông báo phần cứng / phần mềm, chữ ký số, sinh trắc học và các cấp độ khác, nhưng các giải pháp này khó được sử dụng rộng rãi ở Việt Nam. Vì chưa thành hiện thực “tiện lợi” và “tiết kiệm”.
Là một mã thông báo cứng, thiết bị bảo mật tạo OTP để xác thực giao dịch có tính bảo mật cao hơn xác thực qua SMS. Thiết bị có kích thước chỉ bằng một ổ USB flash và có thể tạo ra các chuỗi ký tự ngẫu nhiên và kết nối với hệ thống ngân hàng nên về mặt lý thuyết, nó sẽ tránh được nguy cơ bị hacker đánh cắp mã OTP khi đang điều khiển điện thoại. — Tuy nhiên, người dùng sẽ phải trả hàng trăm nghìn đồng cho thiết bị và ngân hàng cho biết điều này không dễ để nhiều người chấp nhận. Ngoài ra, đối với hầu hết mọi người, việc mang và mang theo thiết bị giao dịch cứng bên mình không phải là một giải pháp thiết thực. Không có mã thông báo cứng, cho dù bạn ở đâu, bạn cũng không thể giao dịch.
Thiết bị mã thông báo cứng. Ảnh: Identity Automation.
Phó tổng giám đốc của một ngân hàng giấu tên nói với VnExpress, “Chưa kể, trong số những người chạy đua làm ngân hàng số, khi bạn thêm rào cản trong giao dịch sẽ làm tăng chi tiêu.” Ngoài ra, ngân hàng cũng khuyến khích Và khuyến khích khách hàng sử dụng Smart OTP (mã thông báo phần mềm) – một ứng dụng di động cho phép người dùng chủ động lấy. So với gửi OTP qua SMS, Smart OTP không chỉ giúp ngân hàng giảm một phần chi phí trả cho nhà mạng mà còn được xem là nhiều hơn Sự an toàn. Hoàn thành thứ ba thông qua đối tác, nhà mạng và tin nhắn không mã hóa vẫn phù hợp, Smart OTP giải quyết vấn đề này, tuy nhiên giải pháp này chỉ áp dụng cho người dùng smartphone, không phải tất cả khách hàng của ngân hàng. Uống rượu và truy cập ứng dụng thông minh. Trong OTP, một số đơn vị triển khai hard token, nhưng chúng được sử dụng với những khách hàng có khối lượng giao dịch lớn và những người có nhu cầu (sẵn sàng trả phí). Hầu hết các ngân hàng khác vẫn sử dụng phương thức SMS OTP truyền thống.
Ngoài ra, để thay thế xác thực bằng SMS, một số ngân hàng đang xem xét các phương pháp xác thực chữ ký số thử nghiệm. Tin nhắn có dữ liệu văn bản hoặc hình ảnh, thay vì “chữ ký mới”, để xác định người thực hiện giao dịch. Khi đó, người sử dụng chữ ký số sẽ nhận được một thiết bị phần cứng mã hóa toàn bộ dữ liệu và thông tin để thực hiện các giao dịch điện tử.
Tuy nhiên, hiện tại không có hệ thống quản lý chữ ký tập trung. Những con số và chi phí mà cá nhân có thể sử dụng mỗi năm cũng đã mất ít nhất 1 triệu đồngÔng. Do đó, ứng dụng vẫn đang trong giai đoạn thử nghiệm và mức độ phổ biến chưa cao.
Ngoài ra, một số ngân hàng vẫn đang nghiên cứu việc sử dụng dữ liệu sinh trắc học để xác định người thực hiện giao dịch. Bản dịch là cấp độ bảo mật thứ ba bên cạnh SMS OTP. Nhờ đó, ngân hàng sẽ chủ động thu thập dữ liệu sinh trắc học của khách hàng và nhận dạng khách hàng trong từng giao dịch dựa trên cơ sở dữ liệu này.
Tuy nhiên, kế hoạch này cũng cần nhiều thời gian để thu thập đủ dữ liệu sinh trắc học từ khách hàng, chưa kể đến việc đầu tư lớn cho hệ thống cơ sở hạ tầng. Do đó, theo một lãnh đạo ngân hàng, việc triển khai kế hoạch trên diện rộng có thể mất vài năm.
Là một phần của SMS OTP, bảo vệ tích cực dữ liệu cá vẫn là một phương pháp phổ biến. Đối với tài khoản cá nhân và tài khoản ngân hàng, các chuyên gia kỹ thuật khuyên người dùng điện thoại thông minh không nên bẻ khóa hoặc cài đặt các ứng dụng lạ. Vì iPhone hoặc điện thoại thông minh Android đã bẻ khóa sẽ cài đặt các ứng dụng không xác định nên phần mềm gián điệp sẽ luôn là kẽ hở để đánh cắp dữ liệu và thông tin của khách hàng.
Quỳnh Trang