SMS OTP (One Time Password) – Mật khẩu gửi một lần bằng SMS là phương thức xác thực phổ biến trong giao dịch ngân hàng hiện nay. Tuy nhiên, một số chuyên gia kỹ thuật cho rằng xác thực tin nhắn là một giải pháp kỹ thuật lỗi thời và không thực sự an toàn. Tin tặc có thể sử dụng điểm yếu của SMS OTP để lấy cắp mã OTP rồi thực hiện giao dịch trên các thiết bị lạ mà chủ tài khoản không hề hay biết. Trong những năm gần đây, tin tặc cũng đã làm mất nhiều tài khoản ngân hàng do những điểm yếu của SMS OTP.

Ứng dụng ebank được cài đặt thông qua các giao dịch như đăng ký dịch vụ hoặc chuyển đổi thiết bị (điện thoại di động, máy tính bảng), ngân hàng cho rằng nếu chủ tài khoản buộc phải đến quầy giao dịch sẽ quá bất tiện và không phù hợp với xu thế số. tương thích. Ví dụ, nếu bạn muốn chuyển các giao dịch ngân hàng điện tử sang điện thoại thông minh mới, hầu hết các ngân hàng sẽ yêu cầu bạn gửi mật khẩu xác thực qua SMS OTP hoặc qua email.

Các giao dịch ngân hàng được thực hiện thông qua phương thức xác thực SMS OTP. Ảnh: Quỳnh Trang .

– Giám đốc ngân hàng số chia sẻ với VnExpress về ngân hàng số thừa nhận xác thực tin nhắn không phải là giải pháp hoàn hảo. Tuy nhiên, ngân hàng vẫn chưa sử dụng vì tính đến hai yếu tố an toàn và tiện lợi cho người dùng.

Ngoài ra, theo ngân hàng, nếu khách hàng đang sử dụng điện thoại di động chính hãng, không bẻ khóa và cài đặt ứng dụng không rõ nguồn gốc thì phương thức SMS OTP vẫn an toàn.

Tuy nhiên, không thể phủ nhận rằng ngày càng có nhiều trường hợp tiền mất tật mang do chụp được tin nhắn SMS của người dùng. Từ năm 2016, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã ban hành hướng dẫn khuyến nghị các tổ chức giảm sử dụng SMS OTP như một cấp độ bảo mật thứ hai và chuyển dần sang các hình thức xác thực khác. Ngành ngân hàng Việt Nam thực tế đã thiết lập các cấp độ bảo mật khác, mã thông báo phần cứng / phần mềm, chữ ký số, sinh trắc học … Nhưng những giải pháp này khó áp dụng rộng rãi tại Việt Nam. Vì chưa đáp ứng được “tiện lợi” và “tiết kiệm”.

Là một mã thông báo cứng – một thiết bị bảo mật tạo OTP để xác thực các giao dịch có tính bảo mật cao hơn so với xác thực SMS. Thiết bị có kích thước chỉ bằng một chiếc thẻ nhớ USB, có thể tạo chuỗi ký tự ngẫu nhiên, và kết nối với hệ thống ngân hàng nên về mặt lý thuyết sẽ tránh được nguy cơ bị hacker đánh cắp mã OTP khi đang điều khiển điện thoại. — Tuy nhiên, người dùng sẽ phải trả hàng trăm nghìn đồng cho thiết bị, điều mà ngân hàng cho rằng không dễ được nhiều người chấp nhận. Ngoài ra, đối với hầu hết mọi người, việc mang và mang theo thiết bị giao dịch cứng bên mình không phải là một giải pháp thiết thực. Không có mã thông báo cứng, cho dù bạn ở đâu, bạn cũng không thể giao dịch.

Thiết bị mã thông báo cứng. Ảnh: Tự động hóa nhận dạng.

Phó chủ tịch của một ngân hàng giấu tên nói với VnExpress: “Chưa kể, trong trường hợp của ngân hàng số, khi bạn thêm rào cản vào giao dịch, bạn sẽ làm tăng chi phí. Ông nói:” Khi Khi khách hàng sử dụng dịch vụ đồng nghĩa với việc bạn giảm khả năng cạnh tranh của ngân hàng trong cuộc cạnh tranh. “Ngoài ra, ngân hàng cũng khuyến khích và khuyến khích khách hàng sử dụng Smart OTP (mã thông báo phần mềm) – một ứng dụng di động cho phép người dùng chủ động lấy một mã đăng nhập duy nhất. So với gửi OTP qua SMS, OTP thông minh không chỉ giúp ngân hàng giảm bớt một phần thanh toán Chi phí của nhà điều hành mạng cũng được coi là an toàn hơn. Thứ ba, nhà điều hành mạng và các tin nhắn không được mã hóa có thể vẫn phù hợp, Smart OTP giải quyết vấn đề này. Tuy nhiên, giải pháp này chỉ áp dụng cho người dùng điện thoại thông minh x, không Áp dụng cho tất cả khách hàng ngân hàng .—— Hiện một số ngân hàng Việt Nam đã chuyển sang ứng dụng Smart Trong OTP, một số đơn vị đang triển khai mã thông báo cố định, nhưng dùng cho khách hàng có nhu cầu và khối lượng giao dịch lớn (sẵn sàng trả phí) . Các ngân hàng khác vẫn sử dụng phương thức SMS OTP truyền thống. Ngoài ra, để thay thế xác minh danh tính bằng SMS, một số ngân hàng đang xem xét thử nghiệm phương pháp xác minh danh tính thông qua chữ ký số. Tin nhắn với dữ liệu văn bản hoặc hình ảnh, thay vì “mới “Chữ ký” được sử dụng để xác định người thực hiện giao dịch. Một thiết bị phần cứng được cung cấp cho người dùng chữ ký số, thiết bị này mã hóa tất cả dữ liệu và thông tin để thực hiện giao dịch điện tử.

Tuy nhiên, hiện chưa có hệ thống quản lý chữ ký tập trung. Cá nhân hàng năm Ít nhất 1 triệu đồng Việt Nam bị mất theo số liệu và phí hiện cóÔng. Do đó, ứng dụng vẫn đang trong giai đoạn thử nghiệm và mức độ phổ biến chưa cao.

Ngoài ra, một số ngân hàng vẫn đang nghiên cứu việc sử dụng dữ liệu sinh trắc học để xác định người thực hiện giao dịch. Bản dịch là cấp độ bảo mật thứ ba bên cạnh SMS OTP. Do đó, ngân hàng sẽ chủ động thu thập dữ liệu sinh trắc học của khách hàng và xác định khách hàng trong mọi giao dịch dựa trên cơ sở dữ liệu này. Khách hàng, chưa kể đến việc đầu tư lớn vào hệ thống cơ sở hạ tầng. Do đó, theo một quan chức ngân hàng, việc triển khai kế hoạch trên diện rộng có thể mất vài năm.

Là một phần của SMS OTP, bảo vệ tích cực dữ liệu cá vẫn là một phương pháp phổ biến. Đối với tài khoản cá nhân và tài khoản ngân hàng, các chuyên gia kỹ thuật khuyên người dùng điện thoại thông minh không nên bẻ khóa hoặc cài đặt các ứng dụng lạ. Bởi một chiếc điện thoại thông minh iPhone hoặc Android đã bẻ khóa có cài đặt ứng dụng không xác định-phần mềm gián điệp sẽ luôn là kẽ hở để đánh cắp thông tin và dữ liệu khách hàng.

Quỳnh Trang