Khác mật khẩu thông thường, mã xác thực OTP được tạo ra ngẫu nhiên không phải từ người dùng, chỉ sử dụng được một lần và sau đó không còn tác dụng. Nhưng không phải vì vậy mà nó không có những lỗ hổng.
Mã xác thực One Time Password (OTP) là một dạng mật khẩu sử dụng một lần với một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự. Mã này có thể tồn tại trong một khoảng thời gian rất ngắn trước khi vô tác dụng và được thay thế bằng một mã mới.
Với những lợi thế như vậy, OTP được sử dụng khá phổ biến như là lớp bảo vệ thứ hai cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến, email hay mạng xã hội. Khi muốn chuyển tiền hay thực hiện một giao dịch trực tuyến, ngoài tên tài khoản và mật khẩu đăng nhập, người dùng còn phải thực hiện thao tác nhập đúng mã xác thực OTP để hoàn tất.
Đây thực sự là điều cần thiết trong thời đại an toàn thông tin luôn được đặt lên hàng đầu. Ngay cả khi tin tặc ăn cắp được thông tin tài khoản và mật khẩu, đặc biệt trong lĩnh vực tài chính, thì các hoạt động giao dịch chuyển tiền gian lận đều không thể thực hiện nếu như không có mã OTP.
Ở thời điểm hiện tại có hai cách phổ biến để người dùng có thể nhận mã OTP. Đầu tiên, thông qua thiết bị hoặc ứng dụng tạo mã. Thứ hai, được gửi trực tiếp từ nhà cung cấp dịch vụ thông qua tin nhắn SMS, điện thoại hoặc email.
Có thể nói, xác thực bằng tin nhắn chưa phải là giải pháp hoàn hảo. Tuy nhiên, các ngân hàng vẫn phải sử dụng do nó hài hòa được hai yếu tố bảo mật và tiện lợi cho người dùng.
Bên cạnh đó, theo lập luận của các ngân hàng, nếu khách hàng sử dụng điện thoại chính hãng, không bẻ khoá cũng như cài đặt ứng dụng không rõ nguồn gốc thì phương thức SMS OTP vẫn đảm bảo an toàn.
Nhưng không thể phủ nhận ngày càng có nhiều vụ việc mất tiền thông qua chiếm được tin nhắn SMS của người dùng.
Điển hình, ngày 4/9, ông Trần Việt Luận, một khách hàng của Vietcombank đã trở thành nạn nhân của tin tặc chiếm đoạt tài sản. Trả lời báo chí, ông Luận cho biết tuy không thực hiện giao dịch hay nhận được mã OTP, hacker vẫn lấy cắp của ông 406 triệu đồng trong tài khoản ngân hàng.
Trong công văn phản hồi vụ việc, Vietcombank cho biết tài khoản trên ứng dụng VCB Digibank của nạn nhân đã bị kích hoạt, thực hiện lệnh chuyển tiền trên một thiết bị khác. Phía ngân hàng cũng dẫn văn bản của nhà mạng xác nhận đã có 8 tin nhắn được gửi tới số điện thoại của ông Luận, cả 4 giao dịch chuyển tiền đều hợp lệ.
Dựa vào các thông tin được hai bên cung cấp, các chuyên gia bảo mật cho rằng sơ hở để hacker tấn công không phải ở thiết bị người dùng mà có thể là khâu xác thực bằng SMS.
Trên thực tế, nhiều ngân hàng trên thế giới, đặc biệt ở các nước phát triển đã thay thế phương thức xác thực lỗi thời này.
Tại châu Âu , nhiều ngân hàng Đức như Postbank, Raiffeisen, Volksbank,…đã dừng gửi OTP qua SMS. Luật pháp của Liên minh châu Âu EU cũng quy định trong Chỉ thị về dịch vụ thanh toán mới (PSD2) vào năm 2019, phương thức gửi OTP qua SMS không đáp ứng được yêu cầu của EU.
Thay vì chọn gửi mã OTP thông qua SMS, nhiều ngân hàng trên thế giới đã chuyển sang dùng chữ ký số, nhận diện sinh trắc học làm phương thức xác thực an toàn hơn.
Chữ ký số sử dụng khá đơn giản, dễ dàng với người dùng cuối ngay cả khi họ không hiểu rõ về mặt kỹ thuật. Quá trình trình ký và xác thực nhanh không ảnh hưởng nhiều đến tốc độ đặc biệt trong giao dịch điện tử.
Tuy nhiên, phương án này cũng đòi hỏi nhiều thời gian để thu thập đủ dữ liệu sinh trắc học của khách hàng, chưa kể mất nhiều chi phí đầu tư vào hệ thống hạ tầng. Vì thế, việc triển khai rộng rãi phương án này có thể mất tới vài năm.
PV (th)
Bảo mật bằng OTP vẫn có thể bị chiếm tài khoản ngân hàng |
Cảnh báo nguy cơ mất tiền oan từ tin nhắn OTP |
Mất gần 50 triệu đồng vì bị lừa chiếm mã OTP |