SMS OTP (One Time Password) – Mật khẩu gửi một lần bằng SMS là phương thức xác thực phổ biến trong giao dịch ngân hàng hiện nay. Tuy nhiên, một số chuyên gia kỹ thuật cho rằng xác thực tin nhắn là một giải pháp kỹ thuật lạc hậu và không thực sự an toàn. Tin tặc có thể sử dụng điểm yếu của SMS OTP để lấy cắp mã OTP rồi thực hiện giao dịch trên thiết bị lạ mà chủ tài khoản không hề hay biết. Trong những năm gần đây, tin tặc đã lợi dụng điểm yếu của SMS OTP và gây ra nhiều vụ mất tài khoản ngân hàng.

Ngân hàng cho rằng ứng dụng ebank được cài đặt thông qua các giao dịch như đăng ký dịch vụ hoặc chuyển đổi thiết bị (điện thoại di động, máy tính bảng), ngân hàng cho rằng nếu chủ tài khoản phải đến quầy giao dịch sẽ quá bất tiện và liên quan đến kỹ thuật số Các xu hướng không tương thích. Vì vậy, chẳng hạn, nếu bạn muốn chuyển các giao dịch ngân hàng điện tử sang điện thoại thông minh mới, hầu hết các ngân hàng sẽ yêu cầu bạn nhập mật khẩu được xác thực bằng SMS OTP hoặc gửi qua email.

Thực hiện các giao dịch ngân hàng thông qua phương thức xác thực SMS OTP. Ảnh: Quỳnh Trang .

– Khi chia sẻ với VnExpress về ngân hàng số, giám đốc ngân hàng số của ngân hàng thừa nhận xác thực tin nhắn không phải là giải pháp hoàn hảo. Tuy nhiên, ngân hàng vẫn chưa sử dụng vì nó dung hòa được hai yếu tố an toàn và tiện lợi cho người dùng.

Ngoài ra, theo ngân hàng, nếu khách hàng đang sử dụng điện thoại di động chính hãng chưa bẻ khóa hoặc cài đặt ứng dụng không rõ nguồn gốc thì phương thức SMS OTP vẫn an toàn.

Nhưng không thể phủ nhận rằng việc chụp lại các tin nhắn SMS của người dùng sẽ ngày càng gây ra nhiều tổn thất về tiền bạc. Từ năm 2016, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã ban hành hướng dẫn khuyến nghị các tổ chức giảm việc sử dụng SMS OTP như một cấp độ bảo mật thứ hai và chuyển dần sang các hình thức xác minh danh tính khác. . Ngành ngân hàng Việt Nam thực tế đã thiết lập các cấp độ bảo mật khác, mã thông báo phần cứng / phần mềm, chữ ký số, sinh trắc học… Nhưng những giải pháp này khó áp dụng rộng rãi tại Việt Nam. Vì chưa đáp ứng được “tiện lợi” và “tiết kiệm”.

Là một thiết bị bảo mật mã thông báo cứng tạo OTP để xác thực giao dịch có tính bảo mật cao hơn xác thực SMS. Thiết bị chỉ có kích thước bằng ổ USB flash và có thể tạo ra các chuỗi ký tự ngẫu nhiên và kết nối với hệ thống ngân hàng, do đó về mặt lý thuyết, nó có thể tránh được nguy cơ bị hacker đánh cắp mã OTP khi đang điều khiển điện thoại. — Tuy nhiên, người dùng sẽ phải trả hàng trăm nghìn đồng cho thiết bị, điều mà ngân hàng cho rằng không dễ được nhiều người chấp nhận. Ngoài ra, đối với hầu hết mọi người, việc mang và mang theo thiết bị giao dịch cứng bên mình không phải là một giải pháp thiết thực. Không có mã thông báo cứng, cho dù bạn ở đâu, bạn cũng không thể giao dịch.

Thiết bị mã thông báo cứng. Ảnh: Identity Automation.

Phó tổng giám đốc của một ngân hàng giấu tên nói với VnExpress, “Chưa kể, trong số những người chạy đua làm ngân hàng số, khi bạn thêm rào cản trong giao dịch sẽ làm tăng chi tiêu.” Ngoài ra, ngân hàng cũng khuyến khích Và khuyến khích khách hàng sử dụng Smart OTP (mã thông báo phần mềm) – một ứng dụng di động cho phép người dùng chủ động nhận ủy quyền. Mật khẩu dùng một lần, so với gửi OTP qua SMS, OTP thông minh không chỉ có thể giúp các ngân hàng giảm một phần chi phí cho các nhà khai thác thanh toán mạng, mà còn được coi là an toàn hơn; thứ ba, các nhà khai thác mạng và tin nhắn không được mã hóa vẫn có thể phù hợp, Smart OTP giải quyết được vấn đề này, tuy nhiên giải pháp này không chỉ áp dụng cho người dùng điện thoại thông minh và không áp dụng cho tất cả các khách hàng của ngân hàng, hiện một số ngân hàng Việt Nam đã chuyển sang ứng dụng Smart. Hard token nhưng những khách hàng cần thực hiện nhiều giao dịch và có nhu cầu (sẵn sàng trả phí). Hầu hết các ngân hàng khác vẫn sử dụng phương thức SMS OTP truyền thống.

Ngoài ra, để thay thế xác thực bằng SMS, một số ngân hàng đang xem xét phương pháp xác thực chữ ký số thử nghiệm. Tin nhắn với dữ liệu văn bản hoặc hình ảnh thay vì “chữ ký mới” để xác định người thực hiện giao dịch. Khi đó, người sử dụng chữ ký số sẽ nhận được một thiết bị phần cứng mã hóa toàn bộ dữ liệu và thông tin để thực hiện các giao dịch điện tử.

Tuy nhiên, hiện tại không có hệ thống quản lý chữ ký tập trung. Những con số, khoản chi mà cá nhân có thể sử dụng mỗi năm cũng đã mất ít nhất 1 triệu đồngÔng. Do đó, ứng dụng vẫn đang trong giai đoạn thử nghiệm và mức độ phổ biến chưa cao. Chuyển đổi, là cấp độ bảo mật thứ ba bên cạnh SMS OTP. Nhờ đó, ngân hàng sẽ chủ động thu thập dữ liệu sinh trắc học của khách hàng và nhận dạng khách hàng trong từng giao dịch dựa trên cơ sở dữ liệu này. Khách hàng, chưa kể đầu tư lớn vào hệ thống cơ sở hạ tầng. Do đó, theo một lãnh đạo ngân hàng, việc triển khai kế hoạch trên diện rộng có thể mất vài năm.

Là một phần của SMS OTP, bảo vệ tích cực dữ liệu cá vẫn là một phương pháp phổ biến. Đối với tài khoản cá nhân và tài khoản ngân hàng, các chuyên gia kỹ thuật khuyên người dùng điện thoại thông minh không nên bẻ khóa hoặc cài đặt các ứng dụng lạ. Vì iPhone hoặc điện thoại thông minh Android đã bẻ khóa sẽ cài đặt các ứng dụng không xác định nên phần mềm gián điệp sẽ luôn là kẽ hở để đánh cắp dữ liệu và thông tin của khách hàng.

Quỳnh Trang