SMS OTP (One Time Password) – Mật khẩu gửi một lần bằng SMS là phương thức xác thực phổ biến trong giao dịch ngân hàng hiện nay. Tuy nhiên, một số chuyên gia kỹ thuật cho rằng xác thực tin nhắn là một giải pháp kỹ thuật lỗi thời và không thực sự an toàn. Tin tặc có thể sử dụng điểm yếu của SMS OTP để đánh cắp mã OTP rồi thực hiện giao dịch trên thiết bị lạ mà chủ tài khoản không hề hay biết. Trong thời gian qua, tin tặc lợi dụng điểm yếu của SMS OTP khiến nhiều tài khoản ngân hàng bị mất.
Thông qua việc đăng ký dịch vụ hoặc chuyển đổi thiết bị (điện thoại di động, máy tính xách tay, máy tính bảng) và các giao dịch khác để cài đặt ứng dụng ngân hàng điện tử, ngân hàng cho rằng nếu chủ tài khoản buộc phải đến quầy giao dịch sẽ quá bất tiện và liên quan đến xu hướng số Không tương thích. Vì vậy, chẳng hạn, nếu bạn muốn chuyển các giao dịch ngân hàng điện tử sang điện thoại thông minh mới, hầu hết các ngân hàng sẽ yêu cầu bạn nhập mật khẩu được xác thực bằng SMS OTP hoặc gửi qua email.
Thực hiện các giao dịch ngân hàng thông qua phương thức xác thực SMS OTP. Ảnh: Quỳnh Trang .
– Khi chia sẻ với VnExpress về ngân hàng số, giám đốc ngân hàng số của ngân hàng thừa nhận xác thực tin nhắn không phải là giải pháp hoàn hảo. Tuy nhiên, ngân hàng vẫn chưa sử dụng vì tính đến hai yếu tố an toàn và tiện lợi cho người dùng.
Ngoài ra, theo ngân hàng, nếu khách hàng đang sử dụng điện thoại chính hãng chưa bẻ khóa hoặc cài đặt ứng dụng không rõ nguồn gốc thì phương thức SMS OTP vẫn an toàn.
Nhưng không thể phủ nhận rằng việc chụp lại các tin nhắn SMS của người dùng sẽ ngày càng thất thoát nhiều tiền hơn. Từ năm 2016, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã ban hành hướng dẫn khuyến nghị các tổ chức giảm việc sử dụng SMS OTP như một cấp độ bảo mật thứ hai và chuyển dần sang các hình thức xác minh danh tính khác. . .
Ngành ngân hàng Việt Nam thực sự đã thiết lập được bảo mật, mã thông báo phần cứng / phần mềm, chữ ký số, sinh trắc học và các cấp độ khác, nhưng các giải pháp này khó áp dụng rộng rãi ở Việt Nam. Vì chưa đáp ứng được “tiện lợi” và “tiết kiệm”.
Là một mã thông báo cứng – một thiết bị bảo mật tạo OTP để xác thực các giao dịch có tính bảo mật cao hơn so với xác thực SMS. Thiết bị có kích thước chỉ bằng một ổ USB flash và có thể tạo ra các chuỗi ký tự ngẫu nhiên và kết nối với hệ thống ngân hàng nên về mặt lý thuyết, nó sẽ tránh được nguy cơ bị hacker đánh cắp mã OTP khi đang điều khiển điện thoại. — Tuy nhiên, người dùng sẽ phải trả hàng trăm nghìn đồng cho thiết bị, điều mà ngân hàng cho rằng không dễ được nhiều người chấp nhận. Ngoài ra, đối với hầu hết mọi người, việc mang và mang theo thiết bị giao dịch cứng bên mình không phải là một giải pháp thiết thực. Không có mã thông báo cứng, cho dù bạn ở đâu, bạn cũng không thể giao dịch.
Thiết bị mã thông báo cứng. Ảnh: Tự động hóa nhận dạng.
Phó tổng giám đốc của một ngân hàng giấu tên nói với VnExpress, “Chưa kể, khi á quân là ngân hàng số, khi bạn thêm rào cản giao dịch sẽ làm tăng chi phí.” Khi khách hàng sử dụng dịch vụ đồng nghĩa với việc bạn đang làm giảm khả năng cạnh tranh của ngân hàng trong cuộc cạnh tranh. “Ngoài ra, ngân hàng cũng khuyến khích, khuyến khích khách hàng sử dụng Smart OTP (mã thông báo phần mềm) – một ứng dụng di động cho phép người dùng chủ động lấy một mã đăng nhập duy nhất. So với gửi OTP qua SMS, OTP thông minh không chỉ có thể giúp ngân hàng giảm bớt nhân viên mạng. Nó cũng được coi là an toàn hơn.
Mặc dù SMS OTP nên được thực hiện thông qua các đối tác, thứ ba, nhà khai thác mạng và các tin nhắn không được mã hóa vẫn có thể phù hợp. Smart OTP giải quyết được vấn đề này. Tuy nhiên, Giải pháp này chỉ áp dụng cho người dùng điện thoại thông minh, không áp dụng cho tất cả khách hàng ngân hàng.
Hiện một số ngân hàng Việt Nam đã chuyển sang ứng dụng Smart, trong OTP, một số đơn vị đang triển khai mã thông báo cố định nhưng với lượng giao dịch lớn hơn Và những khách hàng có nhu cầu (sẵn sàng trả tiền) cùng sử dụng. Hầu hết các ngân hàng khác vẫn sử dụng phương thức SMS OTP truyền thống, ngoài ra, để thay thế xác thực SMS, một số ngân hàng đang xem xét thử nghiệm phương thức xác thực chữ ký số với Tin nhắn có dữ liệu văn bản hoặc hình ảnh thay vì “chữ ký mới” để xác định người thực hiện giao dịch. Sau đó, cung cấp cho người dùng chữ ký điện tử một thiết bị phần cứng mã hóa tất cả dữ liệu và thông tin để thực hiện giao dịch điện tử .
Tuy nhiên, hiện nay chưa có hệ thống quản lý chữ ký tập trung, mỗi năm cá nhân thiệt hại ít nhất 1 triệu đồng về số liệu và chi phí.Ông. Do đó, ứng dụng vẫn đang trong giai đoạn thử nghiệm và mức độ phổ biến chưa cao. Bản dịch là cấp độ bảo mật thứ ba bên cạnh SMS OTP. Do đó, ngân hàng sẽ chủ động thu thập dữ liệu sinh trắc học của khách hàng và xác định khách hàng trong mỗi giao dịch dựa trên cơ sở dữ liệu. Khách hàng, chưa kể đến việc đầu tư lớn vào hệ thống cơ sở hạ tầng. Do đó, theo một quan chức ngân hàng, việc triển khai kế hoạch trên diện rộng có thể mất vài năm.
Là một phần của SMS OTP, bảo vệ tích cực dữ liệu cá vẫn là một phương pháp phổ biến. Đối với tài khoản cá nhân và tài khoản ngân hàng, các chuyên gia kỹ thuật khuyên người dùng điện thoại thông minh không nên bẻ khóa hoặc cài đặt các ứng dụng lạ. Vì iPhone hoặc điện thoại thông minh Android đã mở khóa được cài đặt một phần mềm gián điệp-ứng dụng không xác định sẽ luôn là kẽ hở để đánh cắp dữ liệu và thông tin của khách hàng.