Phương thức xác thực OTP mới được nhiều ngân hàng áp dụng từ tháng 7 bảo mật hơn SMS OTP thế nào?

ictnews Theo chuyên gia bảo mật, với phương thức xác thực Soft OTP vừa được hàng loạt ngân hàng triển khai áp dụng, OTP (mã khóa bí mật dùng một lần để xác thực giao dịch online) được tạo ngay trên ứng dụng điện thoại nên đảm bảo an toàn, ít rủi ro hơn so với qua SMS truyền thống. Từ giữa năm nay, nhiều ngân hàng như Techcombank, Vietcombank, Vietinbank, ABBank... đã chuyển đổi hoặc bổ sung thêm phương thức xác thực Soft OTP nhằm đảm bảo an ninh, an toàn hơn cho các giao dịch ngân hàng điện tử (Ảnh minh họa: Internet)Từ tháng 4/2019, Techcombank đã sớm triển khai việc xác thực qua hình thức Smart OTP thay thế hoàn toàn cho SMS OTP và Token OTP. Tiếp đó, vào tháng 6/2019, VietinBank đã thông báo tới các khách hàng cho biết: “VietinBank chính thức triển khai Soft OTP (Soft Token) thay thế cho SMS OTP/ RSA Token để xác thực giao dịch Ngân hàng điện tử trên 100 triệu đồng tại iPay Mobile”.Cũng trong tháng 6/2019, MSB đã ra thông báo từ ngày 1/7/2019, MSB cung cấp thêm tính năng Đăng nhập/Xác thực bằng sinh trắc học(vân tay/khuôn mặt) và Soft Token (Soft OTP) khi khách hàng giao dịch online.Cùng với Techcombank, VietinBank và MSB, từ đầu tháng 7 này, nhiều ngân hàng khác như Vietcombank, VPBank, TPBank, ABBank, BIDV… đã thông báo chuyển đổi hoặc bổ sung phương thức xác thực mới đối với dịch vụ ngân hàng điện tử.Trao đổi với ICTnews về Soft OTP, giải pháp xác thực mới được hàng loạt ngân hàng tại Việt Nam triển khai cung cấp cho các khách hàng sử dụng dịch vụ ngân hàng điện tử, ông Nguyễn Minh Đức – CEO Công ty cổ phần An toàn thông tin CyRadar nhấn mạnh, so với phương thức xác thực SMS OTP được sử dụng phổ biến trước đây thì phương thức xác thực bằng mã OTP được tạo ra từ phần mềm không những an toàn, ít rủi ro hơn mà còn tiện lợi hơn cho người dùng. “ SMS về lý thuyết được chứng minh là có thể vẫn bị tấn công, do giao thức Signaling System 7 có điểm yếu. Với Soft OTP, nhờ xác thực qua mã OTP được tạo từ App trên điện thoại nên kể cả khi người dùng đi nước ngoài họ vẫn có thể giao dịch được, trong khi với SMS có thể không nhận được. Đặc biệt, mã OTP được sinh ra trên điện thoại  ít rủi ro hơn so với việc được truyền tới điện thoại, không phải đối mặt với nguy cơ mất thông tin trên đường truyền”, ông Nguyễn Minh Đức phân tích.Vị chuyên gia bảo mật này cũng chia sẻ thêm, nếu so với phương thức xác thực bằng thiết bị tạo mã - Token OTP thì OTP phần mềm cũng tiện lợi hơn nhiều, do người dùng không phải mang thêm 1 thiết bị, không tốn chi phí mua thiết bị. Ở góc độ của ngân hàng, VietinBank khẳng định, Soft OTP là giải pháp cho phép khách hàng xác thực nhanh chóng và an toàn khi thực hiện giao dịch tài chính trên ứng dụng VietinBank iPay Mobile. Mã xác thực giao dịch OTP được hệ thống sinh ngẫu nhiên cho khách hàng theo thời gian, căn cứ trên các thông tin KH và thông tin từng giao dịch. Sau đó, mã OTP sẽ tự động được điền vào tại màn hình xác thực giao dịch trên iPay Mobile, nhờ đó gia tăng trải nghiệm, rút ngắn thời gian thao tác giao dịch trên iPay Mobile và gia tăng thêm độ bảo mật, an toàn cho khách hàng.Mã OTP trong giải pháp Soft OTP có độ bảo mật cao, được sinh từ một hệ thống sinh mã độc lập, theo thuật toán riêng, không thể làm giả, hoặc can thiệp thay đổi nội dung mã và chỉ có hiệu lực trong vòng 30s. Trường hợp người sử dụng cố ý chỉnh sửa hoặc nhập sai mã Soft OTP quá 5 lần, dịch vụ Soft OTP sẽ tự động bị khóa trong vòng 24 giờ. Soft OTP cũng không cho phép cài đặt trên các máy điện thoại bị can thiệp vào phần cứng hoặc firmware (như jailbreak/ root). Thêm vào đó, giải pháp Soft OTP cũng cung cấp cơ chế cài đặt thêm mã PIN mỗi lần sử dụng Soft OTP (là mã tĩnh, giống như mã PIN của thẻ ATM) để phòng ngừa các rủi ro do bị mất thông tin tài khoản.Còn theo MSB - ngân hàng vừa bổ sung 2 phương thức xác thực sinh  trắc học (vân tay/khuôn mặt) và Soft Token khách hàng giao dịch online, với tính năng sinh trắc học, người dùng có thể sử dụng khuôn mặt hoặc vân tay để nhận diện, qua đó giúp các giao dịch trở nên nhanh chóng hơn và không lo mất hay lộ mật khẩu. Đối với tính năng Soft Token, do mã OTP sẽ được tạo ngay trên ứng dụng MSB để xác thực các giao dịch online nên không những sẽ đảm bảo an toàn hơn so với SMS OTP mà còn hạn chế gián đoạn giao dịch vì hoàn toàn không cần đến 3G hay roaming.Thống kê của Câu lạc bộ chữ ký số và giao dịch điện tử Việt Nam thuộc Hiệp hội An toàn thông tin Việt Nam – VNISA, tính đến tháng 1/2019, trong các giải pháp xác thực giao dịch trực tuyến, đại đa số các ngân hàng sử dụng giải pháp xác thực bằng mã khóa bí mật sử dụng một lần (OTP). Cụ thể, khảo sát của Câu lạc bộ n??y t??i 35 ngân hàng cho thấy, cả 35 ngân hàng khi đó đều sử dụng giải pháp xác thực OTP, trong đó có 8 ngân hàng sử dụng cả 2 giải pháp là OTP và chữ ký số.Giải pháp xác thực OTP được cung cấp cho người dùng theo các phương thức gồm tin nhắn điện thoại qua SMS (SMS OTP), thiết bị tạo mã OTP (Token OTP) và phần mềm tạo mã OTP (Soft OTP). Tuy nhiên, trong giai đoạn trước đây các ngân hàng tại Việt Nam chủ yếu cung cấp mã xác thực OTP cho các người dùng giao dịch trực tuyến thông qua tin nhắn SMS hoặc thẻ cứng.

Nguồn bài viết : sxmb