Soft OTP – Phương thức xác thực mới của ngân hàng điện tử

Tại các nước trên thế giới cũng như ở Việt Nam, tội phạm công nghệ cao đang ngày càng trở nên nguy hiểm và khó lường, đặc biệt trong lĩnh vực ngân hàng điện tử. Mặc dù các ngân hàng và chuyên gia bảo mật đã đưa ra rất nhiều khuyến cáo nhưng vẫn liên tục xảy ra các vụ lừa đảo giao dịch, lấy thông tin cá nhân để chiếm đoạt tiền trong tài khoản của khách hàng.

Theo quy định mới đây của Ngân hàng Nhà nước, nhằm tăng cường an ninh bảo mật cho các dịch vụ ngân hàng điện tử trực tuyến, giảm thiểu rủi ro trong thanh toán, các giao dịch trực tuyến từ 100 triệu đồng trở lên sẽ không được sử dụng qua hình thức xác thực gửi về qua tin nhắn điện thoại (SMS OTP) mà sẽ phải áp dụng các biện pháp xác thực khác qua Token key, chữ ký số hoặc mã OTP bằng ứng dụng. 

Phương thức bảo mật mới 

Mã khóa bí mật dùng một lần để xác thực giao dịch online Soft OTP là giải pháp cho phép khách hàng xác thực nhanh chóng và an toàn khi thực hiện giao dịch tài chính trên ứng dụng iPay Mobile. Mã xác thực giao dịch OTP được hệ thống sinh ngẫu nhiên cho khách hàng theo thời gian, căn cứ trên các thông tin khách hàng và thông tin từng giao dịch. Sau đó, mã OTP sẽ tự động được điền vào tại màn hình xác thực giao dịch trên iPay Mobile, nhờ đó rút ngắn được thời gian giao dịch và làm gia tăng độ bảo mật, an toàn. 

Giải pháp xác thực OTP được cung cấp cho người dùng theo các phương thức gồm tin nhắn điện thoại qua SMS (SMS OTP), thiết bị tạo mã OTP (Token OTP) và phần mềm tạo mã 0TP (Soft OTP). Tuy nhiên, trong giai đoạn trước đây các ngân hàng tại Việt Nam chủ yếu cung cấp mã xác thực OTP cho các người dùng giao dịch trực tuyến thông qua tin nhắn SMS hoặc thẻ cứng. 

Soft OTP được nghiên cứu nhằm giúp đảm bảo an toàn và ít rủi ro hơn so với qua SMS truyền thống, nó được tạo ngay trên ứng dụng điện thoại, khách hàng có thể giao dịch tài chính qua iPay Mobile mọi lúc, mọi nơi, không cần có thiết bị xác thực RSA hay mã OTP gửi qua tin nhắn, không cần cài đặt thêm ứng dụng xác thực mới. Soft OTP có lợi thế không phụ thuộc vào sóng điện thoại của mạng viễn thông, khách hàng cũng không cần đăng ký dịch vụ chuyển vùng quốc tế (roaming) mà vẫn có thể thực hiện xác thực giao dịch tài chính trên iPay Mobile.

Độ bảo mật của mã OTP rất cao, được sinh từ hệ thống sinh mã độc lập, theo thuật toán riêng, không thể làm giả hay can thiệp thay đổi nội dung mã và chỉ có hiệu lực trong vòng 30s. Nếu người sử dụng chỉnh sửa hoặc nhập sai mã Soft OTP quá 05 lần, dịch vụ Soft OTP sẽ tự động bị khóa trong vòng 24 giờ. Sau đó, muốn sử dụng trở lại, khách hàng cần đăng ký, kích hoạt lại ứng dụng từ đầu. Soft OTP cũng không cho phép cài đặt trên các máy điện thoại bị can thiệp vào phần cứng hoặc firmware. Soft OTP cũng cung cấp cơ chế cài đặt thêm mã PIN mỗi lần sử dụng Soft OTP (là mã tĩnh, giống như mã PIN của thẻ ATM) để phòng ngừa các rủi ro do bị mất thông tin tài khoản. Với cơ chế sinh và xác thực OTP dựa trên các khóa bảo mật riêng tương ứng với từng khách hàng, từng thông tin giao dịch khi thực hiện. Ngoài ra, thuật toán sinh OTP còn dựa trên thời gian thực, đáp ứng các tiêu chuẩn quốc tế nhằm đảm bảo cho giao dịch an toàn.

Với phương thức xác thực sinh trắc học (vân tay/khuôn mặt) và Soft Token khách hàng giao dịch online, người dùng có thể sử dụng khuôn mặt hoặc vận tay để nhận diện,qua đó giúp các giao dịch trở nên nhanh chóng hơn và không lo mất hay lộ mật khẩu. Đối với tính năng Soft Token, do mã OTP sẽ được tạo ngay trên ứng dụng các ngân hàng để xác thực các giao dịch online nên không những sẽ đảm bảo an toàn hơn so với SMS OTP mà còn hạn chế gián đoạn giao dịch vì hoàn toàn không cần đến 3G hay roaming. 

Hiện nay, các ngân hàng Việt Nam đang tích cực chuyển đổi sang hình thức xác thực Soft OTP. Techcombank đã triển khai việc xác thực qua qua hình thức Smart OTP từ tháng 04/2019, thay thế hoàn toàn cho SMS OTP và Token OTP. Tháng 6/2019, Vietinbank đã triển khai Soft OTP (Soft Token) thay thế cho SMS OTP/RSA Token để xác thực giao dịch Ngân hàng điện tử trên 100 triệu đồng tại iPay Mobile. Từ tháng 1/7/2019, MSB cung cấp thêm tính năng Đăng nhập/Xác thực bằng sinh trắc học (vân tay/khuôn mặt) và Soft Token (Soft OTP) khi khách hàng giao dịch online. Nhiều ngân hàng khác như: Vietcombank,VPBank, TPBank, ABBank, BIDV… cũng thông báo chuyển đổi hoặc bổ sung phương thức xác thực mới đối với dịch vụ ngân hàng điện tử.

Theo thống kê của Câu lạc bộ Chữ ký số và giao dịch điện tử Việt Nam (thuộc Hiệp hội An toàn Thông tin Việt Nam – VNISA), tính đến tháng 1/2019, trong các giải pháp xác thực giao dịch trực tuyến, đại đa số các ngân hàng điện tử sử dụng giải pháp xác thực bằng mã khóa bí mật sử dụng một lần (OTP). Cụ thể, khảo sát của Câu lạc bộ này tại 35 ngân hàng cho thấy, cả 35 ngân hàng khi đó đều sử dụng giải pháp xác thực OTP, trong đó có 8 ngân hàng sử dụng cả 2 giải pháp là OTP và chữ ký số.

Theo các chuyên gia, so với phương thức xác thực SMS OTP được sử dụng phổ biến trước đây thì phương thức xác thực bằng mã OTP được tạo ra từ phần mềm không những an toàn, ít rủi ro hơn mà còn tiện lợi hơn cho người dùng. SMS lý thuyết được chứng minh là có thể vẫn bị tấn công. So với phương thức xác thực bằng thiết bị tạo mã – Token OTP thì OTP phần mềm cũng tiện lợi hơn nhiều, do người dùng không phải mang thêm một thiết bị, không tốn chi phí mua thiết bị.

Cách sử dụng dịch vụ xác thực Soft OTP

Để sử dụng giải pháp xác thực mới Soft OTP, khách hàng đăng ký Soft OTP, khách hàng đăng ký Soft OTP trên iPay Mobile của ngân hàng (mục cài đặt). Hệ thống yêu cầu khách hàng đọc hiểu về giải pháp, chấp nhận điều khoản sử dụng và xác thực yêu cầu bằng SMS OTP trước khi đăng ký. 

Khách hàng có thể chọn cài đặt mã PIN cho Soft OTP để tăng cường tính bảo mật. Mã PIN là một dãy số gồm 4 chữ số, do khách hàng lựa chọn. Mỗi giao dịch, trước khi chuyển sang bước xác thực giao dịch bằng Soft OTP, khách hàng phải nhập mã PIN một lần để xác nhận và mở Soft OTP.

Các ngân hàng khuyến cáo khách hàng nên sử dụng mã PIN để giao dịch an toàn và đảm bảo hơn khi đăng ký Soft OTP trong khi mã PIN cho Soft OTP là tùy chọn, không bắt buộc. Khách hàng có thể bật hoặc tắt mã PIN trong mục Cài đặt tại iPay mobile. 

Để đảm bảo an toàn, đối với khách hàng tự đăng ký qua iPay Mobile, hệ thống chỉ cho phép khách hàng sử dụng giải pháp xác thực mới Soft OTP sau khi đã thực hiện 03 giao dịch tài chính (dưới 100 triệu đồng) thành công (xác thực bằng SMS OTP/RSA Token) kể từ khi đăng ký thành công. 

Sau khi đăng ký và kích hoạt thành công, Soft OTP được cài đặt là phương thức xác thực duy nhất để khách hàng sử dụng khi thực hiện giao dịch tài chính trên iPay Mobile, cho đến khi khách hàng hủy đăng ký Soft OTP, hệ thống mới cho phép xác thực bằng SMS OTP hoặc RSA token. Khi sử dụng phương thức xác thực Soft OTP, khách hàng không cần lấy mã xác thực giao dịch từ tin nhắn SMS hay thẻ RSA, hệ thống sẽ tự động trả mã xác thực giao dịch về ứng dụng iPay Mobile, nếu không cài mã PIN, khách hàng chỉ cần nhấn nút Tiếp tục để hoàn tất giao dịch.

Mỗi mã xác thực Soft OTP có hiệu lực trong vòng 30 giây. Hết thời gian hiệu lực, hệ thống sẽ tự động sinh ra một mã xác thực mới và hiện thị trên màn hình xác nhận giao dịch. Thời gian hiệu lực để xác thực một giao dịch tối đa là 2 phút. Sau 2 phút, nếu không xác nhận giao dịch, khách hàng sẽ phải thực hiện lại giao dịch.

Trường hợp khách hàng có cài đặt mã PIN cho Soft OTP, trong mỗi phiên giao dịch, trước khi chuyển sang bước Xác thực giao dịch, hệ thống yêu cầu khách hàng nhập mã PIN một lần duy nhất để xác nhận và mở Soft OTP. Các giao dịch tiếp theo không yêu cầu phải nhập mã PIN, mã xác thực Soft OTP được tự động trả về ứng dụng iPay Mobile, khách hàng chỉ bấm nút Tiếp tục để hoàn tất giao dịch.

Nếu khách hàng nhập sai mã PIN quá 05 lần, hệ thống sẽ tự động hủy đăng ký Soft OTP. Muốn sử dụng Soft OYP, khách hàng phải thực hiện lại các bước đăng ký và kích hoạt Soft OTP như khi đăng ký mới. Nếu khách hàng quên hoặc mất mã PIN, ngân hàng không thể khôi phục được mã PIN cho khách hàng. Khách hàng phải hủy đăng ký Soft OTP, rồi đăng ký lại để tiếp tục sử dụng dịch vụ.

Khách hàng phải bật định vị trên thiết bị để sử dụng xác thực bằng Soft OTP, Khách hàng phải cài đặt mật mã để mở khóa màn hình trên thiết bị sử dụng Soft OTP. Khi thay đổi thiết bị sử dụng iPay Mobile, khách hàng phải kích hoạt lại Soft OTP trên thiết bị mới từ đầu theo từng bước như trên.

Theo Tạp chí Ngân hàng

Leave a Reply

Your email address will not be published. Required fields are marked *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.

Bạn không thể sao chép nội dung của trang này