OTP là từ viết tắt của One Time Password, có nghĩa là mật khẩu sử dụng một lần. Thời gian tồn tại của mã OTP rất ngắn, thường trong vòng 30 giây, sau đó mã không còn hiệu lực. Mã OTP thường xuất hiện khi người dùng thực hiện các giao dịch thanh toán như chuyển khoản, mua hàng online… OTP chỉ được sử dụng một lần duy nhất trong giao dịch. Vì thế, ngay cả trong trường hợp bạn để lộ mã OTP cũ thì kẻ gian cũng không thực hiện giao dịch trên tài khoản của bạn được. Đây được coi là hình thức bảo mật 2 lớp ngoài lớp mật khẩu người dùng đăng ký khi sử dụng.
Mã OTP thường xuất hiện khi người dùng thực hiện các giao dịch thanh toán như chuyển khoản, mua hàng online. (Ảnh minh họa: Internet) |
Hiện nay có 3 hình thức xác thực OTP được dùng phổ biến trong giao dịch trực tuyến là SMS OTP, Token key và Smart OTP.
SMS OTP là hình thức xác thực được sử dụng nhiểu nhất. Mã OTP sẽ được gửi bằng tin nhắn SMS về số điện thoại đã đăng ký của khách hàng. Hầu hết các ngân hàng và doanh nghiệp lớn đều sử dụng hình thức SMS OTP để tạo lớp bảo mật thứ hai cho tài khoản của khách hàng. Tuy nhiên, hạn chế của hình thức này là SMS OTP không thể sử dụng được khi điện thoại bị mất sóng hay không cài đặt dịch vụ chuyển vùng quốc tế khi ra nước ngoài.
Token key là một thiết bị có thể tạo ra mã OTP mà không cần kết nối Internet. Nhưng đây là thiết bị rời, nhỏ gọn nên dễ bị đánh cắp hoặc làm rơi, cần được bảo quản cẩn thận. Mỗi tài khoản ngân hàng phải dùng một Token key riêng và người dùng được yêu cầu đổi Token key mới sau một thời gian quy định.
Smart OTP là một hình thức kết hợp giữa SMS OTP và Token key, được tích hợp với ứng dụng trênaSmartphone, máy tính bảng. Hầu hết các ngân hàng lớn tại Việt Nam như BIDV, VietinBank, Vietcombank,.. đều đang sử dụng hình thức xác thực bằng Smart OTP và dần thay thế SMS OTP. Để sử dụng Smart OTP, người dùng phải đăng ký với ngân hàng. Một ưu điểm của hình thức xác thực Smart OTP là không thể có nhiều thiết bị sử dụng chung một ứng dụng tạo ra mã OTP, do vậy tính bảo mật được đảm bảo tuyệt đối.
Bảo mật bằng việc xác thực qua mã OTP được coi là hình thức bảo mật an toàn, tuy nhiên bạn cần bảo vệ mã OTP này, tránh để lộ mã OTP và mật khẩu của ứng dụng thanh toán. Các ngân hàng và tổ chức thanh toán đều khuyến cáo khách hàng của mình không giao dịch thanh toán trên các máy tính lạ, hay cung cấp mật khẩu, mã OTP cho bất kỳ ai. Trong trường hợp phát hiện mật khẩu bị lộ hay điện thoại bị mất, phải thông báo khẩn cấp tới ngân hàng để khóa chức năng thanh toán online của tài khoản.
Sự ra đời của mã OTP nhằm giúp ngăn chặn, giảm thiểu những rủi ro tài khoản của người dùng bị tấn công khi mật khẩu bị lộ hoặc hacker xâm nhập. Do đó, chỉ có kẻ gian mới yêu cầu bạn cung cấp OTP qua điện thoại hoặc tin nhắn. Những đối tượng này có thể giả dạng thành nhân viên của đơn vị nào đó gọi điện thoại, thông báo bạn trúng thưởng hoặc vì một lý do bất kỳ và bắt bạn đọc mã OTP vừa gửi đến. Khi cung cấp mã OTP cho chúng, đồng nghĩa bạn vừa đánh mất tài khoản.
Sau khi tài khoản bị đánh cắp, đối tượng lừa đảo có thể đổi thông tin tài khoản và đánh cắp tiền dễ dàng. Tùy vào độ bảo mật của bên cung cấp dịch vụ bạn sử dụng, có thể gây cản trở chúng trong một thời gian. Trường hợp này, nếu có xác thực tài khoản chính chủ, người dùng có thể khóa tài khoản tự động (nếu có) hoặc liên hệ ngay đến bộ phận chăm sóc khách hàng để nhờ hỗ trợ.
Để tránh sự phát hiện của cơ quan chức năng, quá trình rút tiền từ tài khoản ngân hàng, các đối tượng đã sử dụng nhiều thủ đoạn để che giấu nhận dạng ngoại hình, đi rút tiền mặt tại các máy ATM của nhiều ngân hàng trên các địa bàn khác nhau.
Bộ Công an cảnh báo đến các tổ chức, cá nhân, doanh nghiệp cần nâng cao cảnh giác, tăng cường bảo mật thông tin trên các website, e-mail và thiết bị điện tử… xác lập quy trình đăng nhập nhiều bước, nhận cảnh báo sớm, không để các đối tượng lợi dụng, có những hành vi vi phạm pháp luật.
Đ.P
Đã đến lúc loại bỏ hình thức xác thực qua SMS OTP?
Những vụ mất tiền trong tài khoản ngân hàng thời gian gần đây đã dấy lên hồi chuông báo động về phương thức xác thực thanh toán bằng mã OTP gửi qua tin nhắn đến điện thoại (SMS OTP).