-
Chân dung cán bộ Viettel đầu tiên được phong Anh hùng lực lượng vũ trang: Là nữ, sinh năm 1985
-
Bộ Chính trị bổ nhiệm đồng chí Phạm Gia Túc giữ chức vụ Chánh Văn phòng Trung ương Đảng
-
Vị đại gia khét tiếng vừa bị công an khám xét: Sở hữu tòa Bạch dinh 50.000m2 có sân bay riêng và bộ sưu tập Mercedes cổ, làm loạt dự án BĐS nghìn tỷ tại Thanh Hoá
-
Bão số 6 có thể hình thành ngay đêm nay, hướng thẳng vào đất liền nước ta
-
Trẻ em, người không có tài khoản ngân hàng nhận quà 100.000 đồng dịp Quốc khánh 2/9 như thế nào?
-
Bằng Kiều lên tiếng về thông tin nhạy cảm
-
Đinh La Thăng, Trịnh Văn Quyết không được đặc xá dịp 2 - 9 năm 2025
-
Nghỉ lễ 2/9: Nơi làm thêm nhận tiền triệu, chỗ nghỉ trọn vẹn vẫn có thưởng
-
Trải nghiệm có 1-0-2 tại Triển lãm thành tựu đất nước 80 năm
-
2 người phụ nữ liệt toàn thân sau khi làm đẹp bằng botox tại nhà
-
Thủ tướng Thái Lan bị phế truất
-
Bộ Công an xuất quân bảo vệ Lễ kỷ niệm 80 năm Cách mạng Tháng Tám, Quốc khánh 2/9
-
Chủ tịch nước đặc xá cho 13.920 người dịp 80 năm Quốc khánh
-
Hàng chục ống kính điện thoại livestream bủa vây, ông Ba Minh sống thế nào?
-
TP HCM cấp kinh phí tặng 100.000 đồng cho người dân dịp Quốc khánh 2 - 9
-
Xôn xao thông tin nam sinh Đắk Lắk viết Facebook trước khi nghi tự tử
-
Tiểu thư Quỳnh Anh lên đồ như công chúa cùng Duy Mạnh đi đu chiến sĩ A80, khoe ảnh "thắng đời 1-0"
-
Ngoài nhận quà 100.000 đồng, tài khoản an sinh xã hội VNeID để làm gì
-
Quang Hải ôm eo, kề má thơm Chu Thanh Huyền cực tình gây sốt cõi mạng
-
Tháng 7 âm 2 con giáp cần tận dụng thời cơ tốt để làm giàu, 1 con giáp lại cần chú ý chuyện tiền nong
Kinh tế
15/10/2020 19:33Vì sao các ngân hàng vẫn xác thực giao dịch bằng tin nhắn OTP?
SMS OTP (one time password) – mật khẩu dùng một lần gửi qua tin nhắn là hình thức xác thực phổ biến trong giao dịch ngân hàng hiện nay. Tuy nhiên, một số chuyên gia công nghệ cho rằng xác thực bằng tin nhắn là giải pháp công nghệ lỗi thời và chưa thực sự an toàn. Hacker có thể tận dụng điểm yếu của SMS OTP để đọc trộm mã OTP, sau đó thực hiện giao dịch trên một thiết bị lạ mà chủ tài khoản không hề hay biết. Trong vài năm qua, một số vụ mất tiền tài khoản ngân hàng cũng đã xảy ra do hacker khai thác điểm yếu của phương thức SMS OTP.
Với một số giao dịch như đăng ký dịch vụ hay thay đổi thiết bị (điện thoại, máy tính bảng) để cài đặt ứng dụng ebank, các ngân hàng cho rằng nếu yêu cầu chủ tài khoản phải đến tận quầy thì quá bất tiện và không phù hợp với xu thế số hóa. Do đó, ví dụ bạn muốn chuyển giao dịch ebank sang một điện thoại thông minh mới, hầu hết ngân hàng sẽ yêu cầu nhập mật khẩu được xác thực bằng SMS OTP hoặc gửi qua email.

Chia sẻ với VnExpress, giám đốc ngân hàng số của một nhà băng thừa nhận, xác thực bằng tin nhắn chưa phải là giải pháp hoàn hảo. Tuy nhiên, các ngân hàng vẫn phải sử dụng do nó hài hòa được hai yếu tố bảo mật và tiện lợi cho người dùng.
Bên cạnh đó, theo lập luận của các ngân hàng, nếu khách hàng sử dụng điện thoại chính hãng, không bẻ khoá cũng như cài đặt ứng dụng không rõ nguồn gốc thì phương thức SMS OTP vẫn đảm bảo an toàn.
Nhưng không thể phủ nhận ngày càng có nhiều vụ việc mất tiền thông qua chiếm được tin nhắn SMS của người dùng. Từ năm 2016, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) Mỹ đã ban hành hướng dẫn nhằm khuyến nghị các đơn vị giảm việc sử dụng SMS OTP như một lớp bảo mật thứ hai và chuyển dần sang các hình thức xác thực khác.
Giới ngân hàng Việt thực tế đã dựng thêm các lớp bảo mật khác, từ hard/soft token, chữ ký số, sinh trắc học... nhưng những giải pháp này đều khó ứng dụng rộng rãi ở Việt Nam vì chưa đáp ứng tính "tiện lợi", "tiết kiệm".
Như Hard token - một thiết bị bảo mật tạo mã OTP để xác thực giao dịch, có độ bảo mật cao hơn xác thực bằng SMS. Thiết bị này kích thước như một USB, có thể tạo ra chuỗi ký tự ngẫu nhiên và kết nối với hệ thống của ngân hàng nên về lý thuyết, sẽ tránh được rủi ro hacker đánh cắp mã OTP khi kiểm soát được điện thoại.
Tuy nhiên, khách hàng sẽ phải bỏ ra khoản phí từ vài trăm ngàn đồng cho một thiết bị, điều này, theo các ngân hàng, không phải dễ chấp nhận với nhiều người. Bên cạnh đó, việc cất giữ và mang theo bên mình một thiết bị cứng để giao dịch cũng không phải là giải pháp thuận tiện với số đông. Không mang theo hard token, mọi lúc mọi nơi, bạn sẽ không thể thực hiện giao dịch.

Phó tổng giám đốc một ngân hàng xin giấu tên nói với VnExpress: "Chưa kể, trong bối cảnh nhà nhà đua làm ngân hàng số, khi bạn thêm một rào cản trong giao dịch, tăng chi phí khi khách hàng trải nghiệm sử dụng dịch vụ, tức bạn giảm tính cạnh tranh của ngân hàng mình so với đối thủ", vị này nói.
Bên cạnh đó, các nhà băng đang đẩy mạnh và khuyến khích khách hàng dùng phương thức Smart OTP (soft token) - ứng dụng trên di động cho phép người dùng chủ động lấy mã xác thực dùng một lần. So với gửi OTP qua tin nhắn SMS, Smart OTP không chỉ giúp nhà băng bớt phần nào chi phí trả cho nhà mạng mà còn được đánh giá là an toàn hơn.
Trong khi SMS OTP phải thực hiện thông qua đối tác thứ ba là nhà mạng và những tin nhắn không được mã hoá vẫn có rủi ro bị chiếm đoạt, Smart OTP giải quyết được bài toán này. Tuy nhiên, giải pháp này cũng chỉ áp dụng được cho những người dùng sử dụng điện thoại thông minh, không phải cho tất cả khách hàng của nhà băng.
Hiện một số ngân hàng Việt Nam đã chuyển sang áp dụng Smart OTP, một số đơn vị triển khai hard-token nhưng với khách hàng có giao dịch số tiền lớn và có nhu cầu (sẵn sàng trả phí). Còn lại phần lớn vẫn áp dụng phương thức truyền thống SMS OTP.
Ngoài ra, để thay thế việc xác thực bằng tin nhắn, một số ngân hàng tính đến cách thí điểm phương thức xác thực bằng chữ ký số - thông tin đi kèm dữ liệu văn bản hay hình ảnh thay thế cho "chữ ký tươi" để định danh người thực hiện giao dịch. Người dùng chữ ký số theo đó được cấp một thiết bị cứng mã hóa tất cả dữ liệu, thông tin để thực hiện các giao dịch điện tử.
Tuy nhiên, hiện nay chưa có hệ thống quản lý tập trung chữ ký số và chi phí để một cá nhân sử dụng cũng mất tối thiểu 1 triệu đồng mỗi năm. Vì thế, việc áp dụng vẫn đang ở giai đoạn thí điểm và tính phổ cập chưa cao.
Ngoài ra, một vài ngân hàng cũng đang nghiên cứu việc sử dụng dữ liệu sinh trắc học để nhận diện người thực hiện giao dịch, như lớp bảo mật thứ ba bên cạnh SMS OTP. Theo đó, nhà băng sẽ chủ động thu thập dữ liệu sinh trắc học của khách hàng và dựa trên cơ sở dữ liệu này để nhận diện khách hàng mỗi lần thực hiệ giao dịch.
Tuy nhiên, phương án này cũng đòi hỏi nhiều thời gian để thu thập đủ dữ liệu sinh trắc học của khách hàng, chưa kể mất nhiều chi phí đầu tư vào hệ thống hạ tầng. Vì thế, theo lãnh đạo một nhà băng, việc triển khai rộng rãi phương án này có thể mất tới vài năm.
Trong bối cảnh SMS OTP vẫn là phương thức phổ biến, để chủ động bảo vệ cho dữ liệu cá nhân và tài khoản ngân hàng, chuyên gia công nghệ khuyến cáo người dùng điện thoại thông minh không bẻ khóa hay cài đặt ứng dụng không rõ nguồn gốc. Bởi, điện thoại iphone đã bị bẻ khoá hay smartphone hệ điều hành android cài đặt ứng dụng không rõ nguồn gốc – sẽ luôn là kẽ hở cho các phần mềm gián điệp đánh cắp dữ liệu và thông tin của khách hàng.
Theo Quỳnh Trang (VnExpress.net)








- Nữ NSND giàu bậc nhất làng cải lương lần đầu công khai có chồng, ở biệt thự như cung điện, đi Roll Royce (29/08/25 22:55)
- Tuyển Thái Lan thua đau ở chung kết, ngậm ngùi nhìn cường địch "cuỗm mất" cúp vô địch Đông Nam Á (29/08/25 22:38)
- Bắt khẩn cấp “bầu” Đoan, Chủ tịch Tập đoàn bất động sản ở Thanh Hóa (29/08/25 22:25)
- Bắt tạm giam Cục trưởng Cục An toàn thực phẩm Bộ Y tế Trần Việt Nga (29/08/25 22:10)
- Các địa phương bắt đầu thu thập thông tin người dân để chi trả 100.000 đồng dịp 2/9 (29/08/25 21:55)
- Cách xem diễu binh 2/9 tại nhà với camera 360 độ, tùy chỉnh góc quay tùy thích (29/08/25 21:35)
- Nghìn người háo hức chờ đón Tổng duyệt diễu binh, diễu hành (29/08/25 21:26)
- Diễn biến mới trong quá trình điều tra vụ bắn chết người trên Quốc lộ 9 (29/08/25 21:12)
- Chủ tịch nước sẽ tham dự lễ kỷ niệm 80 năm chiến thắng phát xít tại Trung Quốc (29/08/25 20:59)
- Ông "bầu" bị điều tra, CLB Thanh Hóa được đề nghị chuyển giao cho LĐBĐ tỉnh (29/08/25 20:50)




