Phương thức xác thực OTP mới được nhiều ngân hàng áp dụng từ tháng 7 bảo mật hơn SMS OTP thế nào?

ictnews Theo chuyên gia bảo mật, với phương thức xác thực Soft OTP vừa được hàng loạt ngân hàng triển khai áp dụng, OTP (mã khóa bí mật dùng một lần để xác thực giao dịch online) được tạo ngay trên ứng dụng điện thoại nên đảm bảo an toàn, ít rủi ro hơn so với qua SMS truyền thống.

Phương thức xác thực Soft OTP nhiều ngân hàng đang dùng bảo mật thế nào? | Phương thức xác thực Soft OTP được nhiều ngân hàng áp dụng từ tháng 7 bảo mật hơn SMS OTP thế nào?

Từ giữa năm nay, nhiều ngân hàng như Techcombank, Vietcombank, Vietinbank, ABBank... đã chuyển đổi hoặc bổ sung thêm phương thức xác thực Soft OTP nhằm đảm bảo an ninh, an toàn hơn cho các giao dịch ngân hàng điện tử (Ảnh minh họa: Internet)

Từ tháng 4/2019, Techcombank đã sớm triển khai việc xác thực qua hình thức Smart OTP thay thế hoàn toàn cho SMS OTP và Token OTP. Tiếp đó, vào tháng 6/2019, VietinBank đã thông báo tới các khách hàng cho biết: “VietinBank chính thức triển khai Soft OTP (Soft Token) thay thế cho SMS OTP/ RSA Token để xác thực giao dịch Ngân hàng điện tử trên 100 triệu đồng tại iPay Mobile”.

Cũng trong tháng 6/2019, MSB đã ra thông báo từ ngày 1/7/2019, MSB cung cấp thêm tính năng Đăng nhập/Xác thực bằng sinh trắc học(vân tay/khuôn mặt) và Soft Token (Soft OTP) khi khách hàng giao dịch online.

Cùng với Techcombank, VietinBank và MSB, từ đầu tháng 7 này, nhiều ngân hàng khác như Vietcombank, VPBank, TPBank, ABBank, BIDV… đã thông báo chuyển đổi hoặc bổ sung phương thức xác thực mới đối với dịch vụ ngân hàng điện tử.

Trao đổi với ICTnews về Soft OTP, giải pháp xác thực mới được hàng loạt ngân hàng tại Việt Nam triển khai cung cấp cho các khách hàng sử dụng dịch vụ ngân hàng điện tử, ông Nguyễn Minh Đức – CEO Công ty cổ phần An toàn thông tin CyRadar nhấn mạnh, so với phương thức xác thực SMS OTP được sử dụng phổ biến trước đây thì phương thức xác thực bằng mã OTP được tạo ra từ phần mềm không những an toàn, ít rủi ro hơn mà còn tiện lợi hơn cho người dùng. “ SMS về lý thuyết được chứng minh là có thể vẫn bị tấn công, do giao thức Signaling System 7 có điểm yếu. Với Soft OTP, nhờ xác thực qua mã OTP được tạo từ App trên điện thoại nên kể cả khi người dùng đi nước ngoài họ vẫn có thể giao dịch được, trong khi với SMS có thể không nhận được. Đặc biệt, mã OTP được sinh ra trên điện thoại  ít rủi ro hơn so với việc được truyền tới điện thoại, không phải đối mặt với nguy cơ mất thông tin trên đường truyền”, ông Nguyễn Minh Đức phân tích.

Vị chuyên gia bảo mật này cũng chia sẻ thêm, nếu so với phương thức xác thực bằng thiết bị tạo mã - Token OTP thì OTP phần mềm cũng tiện lợi hơn nhiều, do người dùng không phải mang thêm 1 thiết bị, không tốn chi phí mua thiết bị.

 

Ở góc độ của ngân hàng, VietinBank khẳng định, Soft OTP là giải pháp cho phép khách hàng xác thực nhanh chóng và an toàn khi thực hiện giao dịch tài chính trên ứng dụng VietinBank iPay Mobile. Mã xác thực giao dịch OTP được hệ thống sinh ngẫu nhiên cho khách hàng theo thời gian, căn cứ trên các thông tin KH và thông tin từng giao dịch. Sau đó, mã OTP sẽ tự động được điền vào tại màn hình xác thực giao dịch trên iPay Mobile, nhờ đó gia tăng trải nghiệm, rút ngắn thời gian thao tác giao dịch trên iPay Mobile và gia tăng thêm độ bảo mật, an toàn cho khách hàng.

Mã OTP trong giải pháp Soft OTP có độ bảo mật cao, được sinh từ một hệ thống sinh mã độc lập, theo thuật toán riêng, không thể làm giả, hoặc can thiệp thay đổi nội dung mã và chỉ có hiệu lực trong vòng 30s. Trường hợp người sử dụng cố ý chỉnh sửa hoặc nhập sai mã Soft OTP quá 5 lần, dịch vụ Soft OTP sẽ tự động bị khóa trong vòng 24 giờ. Soft OTP cũng không cho phép cài đặt trên các máy điện thoại bị can thiệp vào phần cứng hoặc firmware (như jailbreak/ root). Thêm vào đó, giải pháp Soft OTP cũng cung cấp cơ chế cài đặt thêm mã PIN mỗi lần sử dụng Soft OTP (là mã tĩnh, giống như mã PIN của thẻ ATM) để phòng ngừa các rủi ro do bị mất thông tin tài khoản.

Còn theo MSB - ngân hàng vừa bổ sung 2 phương thức xác thực sinh  trắc học (vân tay/khuôn mặt) và Soft Token khách hàng giao dịch online, với tính năng sinh trắc học, người dùng có thể sử dụng khuôn mặt hoặc vân tay để nhận diện, qua đó giúp các giao dịch trở nên nhanh chóng hơn và không lo mất hay lộ mật khẩu. Đối với tính năng Soft Token, do mã OTP sẽ được tạo ngay trên ứng dụng MSB để xác thực các giao dịch online nên không những sẽ đảm bảo an toàn hơn so với SMS OTP mà còn hạn chế gián đoạn giao dịch vì hoàn toàn không cần đến 3G hay roaming.

Thống kê của Câu lạc bộ chữ ký số và giao dịch điện tử Việt Nam thuộc Hiệp hội An toàn thông tin Việt Nam – VNISA, tính đến tháng 1/2019, trong các giải pháp xác thực giao dịch trực tuyến, đại đa số các ngân hàng sử dụng giải pháp xác thực bằng mã khóa bí mật sử dụng một lần (OTP). Cụ thể, khảo sát của Câu lạc bộ này tại 35 ngân hàng cho thấy, cả 35 ngân hàng khi đó đều sử dụng giải pháp xác thực OTP, trong đó có 8 ngân hàng sử dụng cả 2 giải pháp là OTP và chữ ký số.

Giải pháp xác thực OTP được cung cấp cho người dùng theo các phương thức gồm tin nhắn điện thoại qua SMS (SMS OTP), thiết bị tạo mã OTP (Token OTP) và phần mềm tạo mã OTP (Soft OTP). Tuy nhiên, trong giai đoạn trước đây các ngân hàng tại Việt Nam chủ yếu cung cấp mã xác thực OTP cho các người dùng giao dịch trực tuyến thông qua tin nhắn SMS hoặc thẻ cứng.

 
List comment
 
Mờ mắt với lãi khủng, nhà đầu tư Việt bị 'hút máu' bởi tiền ảo đa cấp
icon

Dù nhận thấy rõ những rủi ro, nhiều nhà đầu tư vẫn bị mờ mắt bởi những lời hứa hẹn về lãi suất lớn. Đó cũng là lý do những mô hình “tiền ảo” đa cấp vẫn tồn tại dai dẳng tại Việt Nam.

 
Thêm Quảng Nam kêu gọi người dân cài ứng dụng khẩu trang điện tử Bluezone
icon

Trước việc Quảng Nam có thêm các ca mắc mới Covid-19 trong cộng đồng, UBND tỉnh này vừa đề nghị người dân trên địa bàn cài đặt, sử dụng ứng dụng khẩu trang điện tử Bluezone để được cảnh báo nguy cơ nhiễm Covid-19.

 
Bill Gates nhắn nhủ Elon Musk không phát ngôn linh tinh về Covid-19
icon

Tỷ phú Bill Gates cho rằng CEO Tesla Elon Musk nên gắn với lĩnh vực chuyên môn thay vì lan truyền tin thất thiệt về Covid-19.

 
Nóng: Facebook vừa mất ngôi công ty mạng xã hội lớn nhất thế giới
icon

Xét theo giá trị vốn hoá, Facebook lúc này không có giá trị bằng Tencent.

 
Bất chấp khuyến cáo, Tổng thống Trump chia sẻ video thuốc sốt rét trị được Covid-19
icon

Facebook, Twitter, YouTube vội vã xóa video chứa thông tin sai sự thật về phương pháp điều trị Covid-19 được Tổng thống Mỹ Donald Trump chia sẻ.  

 
 
Đến lượt Nhật Bản đề xuất cấm TikTok và các ứng dụng khác của Trung Quốc
icon

Sau khi Mỹ đe dọa cấm TikTok với lý do 'có thể rò rỉ thông tin cá nhân' và Ấn Độ vừa cấm cửa hàng loạt ứng dụng Trung Quốc, Đảng Dân chủ Tự do Nhật Bản cũng đưa ra khuyến nghị tương tự với chính phủ.

Tin giả về Covid-19 lại xuất hiện trên Facebook Việt Nam
icon

Giữa lúc dịch bệnh Covid-19 tại Việt Nam đang diễn biến phức tạp, vấn nạn tin giả trên Facebook lại tiếp tục hoành hành.

FPT SFlash – Bí quyết quản lý và giao việc của doanh nghiệp thời đại số
icon

Thay vì kiểm soát công việc rời rạc bằng các công cụ thủ công, số hóa nghiệp vụ giao nhận và quản lý công việc bằng giải pháp FPT SFlash sẽ giúp doanh nghiệp quản trị hiệu quả các dự án, tác vụ không theo quy trình. 

Đà Nẵng: “Đi từng ngõ, gõ từng nhà” tuyên truyền phòng dịch, hướng dẫn cài đặt Bluezone
icon

Để triển khai diện rộng Bluezone tại Đà Nẵng, một giải pháp Cục Tin học hóa, Bộ TT&TT đề nghị với Sở TT&TT là chính quyền cơ sở, các tổ chức đoàn thể, tổ dân phố đi từng ngõ, gõ từng nhà hướng dẫn người dân cài, dùng ứng dụng.

Điều gì đang chờ 'bộ tứ quyền lực' công nghệ Mỹ tại phiên điều trần 29/7?
icon

CEO của 4 'đại gia' công nghệ thế giới sẽ cùng nhau ngồi 'ghế nóng' trong phiên điều trần trước Quốc hội Mỹ ngày 29/7 tới đây. 

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123