Mã xác thực OTP là gì
Như tên gọi, mã xác thực One Time Password (OTP) là một dạng mật khẩu sử dụng một lần với một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự. Mã này có thể tồn tại trong một khoảng thời gian rất ngắn trước khi vô tác dụng và được thay thế bằng một mã mới.
Mã OTP được sử dụng phổ biến ngày nay để phục vụ như là lớp xác thực thứ hai
|
Đây thực sự là điều cần thiết trong thời đại an toàn thông tin luôn được đặt lên hàng đầu. Ngay cả khi tin tặc ăn cắp được thông tin tài khoản và mật khẩu, đặc biệt trong lĩnh vực tài chính, thì các hoạt động giao dịch chuyển tiền gian lận đều không thể thực hiện nếu như không có mã OTP.
Ở thời điểm hiện tại có hai cách phổ biến để người dùng có thể nhận mã OTP. Đầu tiên, thông qua thiết bị hoặc ứng dụng tạo mã. Thứ hai, được gửi trực tiếp từ nhà cung cấp dịch vụ thông qua tin nhắn SMS, điện thoại hoặc email.
Các phương thức nhận mã OTP phổ biến
Hiện nay có một số phương thức khác nhau được sử dụng để cung cấp các mã OTP, tùy thuộc vào các dịch vụ mà người dùng sử dụng.
Phổ biến và đơn giản nhất là gửi mã OTP qua tin nhắn SMS (SMS OTP). Với cách này, dịch vụ sẽ gửi một tin nhắn SMS đến số điện thoại mà chủ sở hữu tài khoản đăng ký. SMS OTP chủ yếu được sử dụng bởi các ngân hàng hay các công ty lớn như Apple, Microsoft, Facebook hay Google.
Token Key là một trong những cách thức giúp chủ sở hữu nhận được mã OTP
|
Cuối cùng là Smart OTP. Về cơ bản đây là sự kết hợp của hai phương thức SMS OTP và Token Key lại với nhau, được cung cấp thông qua một dạng ứng dụng dành cho thiết bị tablet hoặc smartphone vận hành trên nền tảng iOS hoặc Android. Ứng dụng có khả năng tự tạo ra mã OTP ngẫu nhiên trong một khoảng thời gian nhất định, kể cả khi không có sóng điện thoại hay internet.
Nhiều cảnh báo về độ an toàn với OTP
Sự tiện lợi của mã OTP là vậy, nhưng vẫn còn đó những nhược điểm xảy ra dành cho độ an toàn của OTP được nhiều chuyên gia bảo mật thế giới khuyến cáo.
Với SMS OTP, người dùng sẽ không thể nhận được mã trong trường hợp điện thoại mất sóng, hay di chuyển ra nước ngoài mà không cài đặt dịch vụ chuyển vùng quốc tế. Nhưng quan trọng hơn, mã OTP nhận được có thể bị tin tặc đánh chặn và ăn cắp thông tin bằng cách khai thác lỗi của các hệ thống viễn thông.
Cụ thể, năm ngoái, một nhóm nghiên cứu của công ty bảo mật PT (Mỹ) đã khai thác thành công lỗ hổng trong giao thức báo hiệu số 7 - SS7 (Signaling System #) nhằm đánh chặn mã OTP. SS7 là lỗ hổng đã được đưa ra cảnh báo nhiều lần nhưng nhiều công ty hoạt động trong ngành viễn thông vẫn tỏ ra làm ngơ. Thật đáng buồn khi nhiều dịch vụ lại xây dựng cơ chế bảo mật dựa trên hạ tầng viễn thông.
Thông qua lỗ hổng SS7, tin tặc có thể đánh chặn các mã OTP được gửi đến khách hàng
|
Theo chuyên gia bảo mật Karsten Nohl của Research Labs, lỗ hổng SS7 được biết đến từ năm 2015 và phương thức báo hiệu này được sử dụng bởi hơn 800 công ty viễn thông trên toàn thế giới.
Token Key là thiết bị rời có một thiết kế nhỏ gọn giống như USB nên rất dễ bị kẻ gian ăn cắp hoặc thất lạc. Một số Token Key có thiết kế đơn giản nên rất dễ bị xem trộm mã OTP, trong khi một số có thiết kế hiện đại hơn thì có thể khiến người dùng cảm thấy rườm rà khi mang bên mình.
Cũng theo anh Hồng Phúc, nếu sử dụng Smart OTP thì người dùng tuyệt đối phải sử dụng trên một chiếc smartphone "an toàn", nghĩa là không nên bẻ khóa máy hoặc tự ý cài thêm các phần mềm lạ vào máy vì như thế sẽ giúp cho tin tặc có thể kiểm soát được Smart OTP, và lấy trộm mã bảo vệ của người dùng từ đó thực hiện các lệnh chuyển tiền trái phép.
Bình luận (0)