SMS OTP bị chê thiếu an toàn nhưng các ngân hàng Việt vẫn dùng vì nó dung hòa được bài toán "bảo mật và tiện lợi".

SMS OTP (one time password) – mật khẩu dùng một lần gửi qua tin nhắn là hình thức xác thực phổ biến trong giao dịch ngân hàng hiện nay. Tuy nhiên, một số chuyên gia công nghệ cho rằng xác thực bằng tin nhắn là giải pháp công nghệ lỗi thời và chưa thực sự an toàn. Hacker có thể tận dụng điểm yếu của SMS OTP để đọc trộm mã OTP, sau đó thực hiện giao dịch trên một thiết bị lạ mà chủ tài khoản không hề hay biết. Trong vài năm qua, một số vụ mất tiền tài khoản ngân hàng cũng đã xảy ra do hacker khai thác điểm yếu của phương thức SMS OTP.

Với một số giao dịch như đăng ký dịch vụ hay thay đổi thiết bị (điện thoại, máy tính bảng) để cài đặt ứng dụng ebank, các ngân hàng cho rằng nếu yêu cầu chủ tài khoản phải đến tận quầy thì quá bất tiện và không phù hợp với xu thế số hóa. Do đó, ví dụ bạn muốn chuyển giao dịch ebank sang một điện thoại thông minh mới, hầu hết ngân hàng sẽ yêu cầu nhập mật khẩu được xác thực bằng SMS OTP hoặc gửi qua email.

Một giao dịch ngân hàng được thực hiện bằng phương thức xác thực SMS OTP. Ảnh: Quỳnh Trang.

Chia sẻ với VnExpress, giám đốc ngân hàng số của một nhà băng thừa nhận, xác thực bằng tin nhắn chưa phải là giải pháp hoàn hảo. Tuy nhiên, các ngân hàng vẫn phải sử dụng do nó hài hòa được hai yếu tố bảo mật và tiện lợi cho người dùng.

Bên cạnh đó, theo lập luận của các ngân hàng, nếu khách hàng sử dụng điện thoại chính hãng, không bẻ khoá cũng như cài đặt ứng dụng không rõ nguồn gốc thì phương thức SMS OTP vẫn đảm bảo an toàn.

Nhưng không thể phủ nhận ngày càng có nhiều vụ việc mất tiền thông qua chiếm được tin nhắn SMS của người dùng. Từ năm 2016, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) Mỹ đã ban hành hướng dẫn nhằm khuyến nghị các đơn vị giảm việc sử dụng SMS OTP như một lớp bảo mật thứ hai và chuyển dần sang các hình thức xác thực khác.

Giới ngân hàng Việt thực tế đã dựng thêm các lớp bảo mật khác, từ hard/soft token, chữ ký số, sinh trắc học... nhưng những giải pháp này đều khó ứng dụng rộng rãi ở Việt Nam vì chưa đáp ứng tính "tiện lợi", "tiết kiệm".

Như Hard token - một thiết bị bảo mật tạo mã OTP để xác thực giao dịch, có độ bảo mật cao hơn xác thực bằng SMS. Thiết bị này kích thước như một USB, có thể tạo ra chuỗi ký tự ngẫu nhiên và kết nối với hệ thống của ngân hàng nên về lý thuyết, sẽ tránh được rủi ro hacker đánh cắp mã OTP khi kiểm soát được điện thoại.

Tuy nhiên, khách hàng sẽ phải bỏ ra khoản phí từ vài trăm ngàn đồng cho một thiết bị, điều này, theo các ngân hàng, không phải dễ chấp nhận với nhiều người. Bên cạnh đó, việc cất giữ và mang theo bên mình một thiết bị cứng để giao dịch cũng không phải là giải pháp thuận tiện với số đông. Không mang theo hard token, mọi lúc mọi nơi, bạn sẽ không thể thực hiện giao dịch.

Một thiết bị hard token. Ảnh: Identity Automation.

Phó tổng giám đốc một ngân hàng xin giấu tên nói với VnExpress: "Chưa kể, trong bối cảnh nhà nhà đua làm ngân hàng số, khi bạn thêm một rào cản trong giao dịch, tăng chi phí khi khách hàng trải nghiệm sử dụng dịch vụ, tức bạn giảm tính cạnh tranh của ngân hàng mình so với đối thủ", vị này nói.

Bên cạnh đó, các nhà băng đang đẩy mạnh và khuyến khích khách hàng dùng phương thức Smart OTP (soft token) - ứng dụng trên di động cho phép người dùng chủ động lấy mã xác thực dùng một lần. So với gửi OTP qua tin nhắn SMS, Smart OTP không chỉ giúp nhà băng bớt phần nào chi phí trả cho nhà mạng mà còn được đánh giá là an toàn hơn.

Trong khi SMS OTP phải thực hiện thông qua đối tác thứ ba là nhà mạng và những tin nhắn không được mã hoá vẫn có rủi ro bị chiếm đoạt, Smart OTP giải quyết được bài toán này. Tuy nhiên, giải pháp này cũng chỉ áp dụng được cho những người dùng sử dụng điện thoại thông minh, không phải cho tất cả khách hàng của nhà băng.

Hiện một số ngân hàng Việt Nam đã chuyển sang áp dụng Smart OTP, một số đơn vị triển khai hard-token nhưng với khách hàng có giao dịch số tiền lớn và có nhu cầu (sẵn sàng trả phí). Còn lại phần lớn vẫn áp dụng phương thức truyền thống SMS OTP.

Ngoài ra, để thay thế việc xác thực bằng tin nhắn, một số ngân hàng tính đến cách thí điểm phương thức xác thực bằng chữ ký số - thông tin đi kèm dữ liệu văn bản hay hình ảnh thay thế cho "chữ ký tươi" để định danh người thực hiện giao dịch. Người dùng chữ ký số theo đó được cấp một thiết bị cứng mã hóa tất cả dữ liệu, thông tin để thực hiện các giao dịch điện tử.

Tuy nhiên, hiện nay chưa có hệ thống quản lý tập trung chữ ký số và chi phí để một cá nhân sử dụng cũng mất tối thiểu 1 triệu đồng mỗi năm. Vì thế, việc áp dụng vẫn đang ở giai đoạn thí điểm và tính phổ cập chưa cao.

Ngoài ra, một vài ngân hàng cũng đang nghiên cứu việc sử dụng dữ liệu sinh trắc học để nhận diện người thực hiện giao dịch, như lớp bảo mật thứ ba bên cạnh SMS OTP. Theo đó, nhà băng sẽ chủ động thu thập dữ liệu sinh trắc học của khách hàng và dựa trên cơ sở dữ liệu này để nhận diện khách hàng mỗi lần thực hiệ giao dịch.

Tuy nhiên, phương án này cũng đòi hỏi nhiều thời gian để thu thập đủ dữ liệu sinh trắc học của khách hàng, chưa kể mất nhiều chi phí đầu tư vào hệ thống hạ tầng. Vì thế, theo lãnh đạo một nhà băng, việc triển khai rộng rãi phương án này có thể mất tới vài năm.

Trong bối cảnh SMS OTP vẫn là phương thức phổ biến, để chủ động bảo vệ cho dữ liệu cá nhân và tài khoản ngân hàng, chuyên gia công nghệ khuyến cáo người dùng điện thoại thông minh không bẻ khóa hay cài đặt ứng dụng không rõ nguồn gốc. Bởi, điện thoại iphone đã bị bẻ khoá hay smartphone hệ điều hành android cài đặt ứng dụng không rõ nguồn gốc – sẽ luôn là kẽ hở cho các phần mềm gián điệp đánh cắp dữ liệu và thông tin của khách hàng.

Theo Quỳnh Trang (VnExpress.net)