Sunday, January 22, 2017

Đánh giá các loại OTP được sử dụng phổ biến hiện nay

Ngoài việc "kêu gào" người sử dụng dịch vụ ebanking rằng: "Bất cứ giao dịch online nào đòi hỏi nhập OTP đều sẽ khiến khách hàng mất tiền" thì ngân hàng cũng phải có trách nhiệm lựa chọn giải pháp OTP sao cho đảm bảo bảo mật cho dịch vụ ebanking cũng như các dịch vụ thanh toán trực tuyến khác. 

Định Nghĩa

  • OTP - One Time Password là mật khẩu sử dụng một lần và được coi là lớp bảo vệ thứ hai cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến hay e-mail, mạng xã hội.
  • Mã xác thực OTP là một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự. Nhưng khác mật khẩu thông thường, mã xác thực OTP được tạo ra ngẫu nhiên không phải từ người dùng, chỉ sử dụng được một lần và sau đó không còn tác dụng. Thậm chí, thời hạn của mật khẩu OTP thường rất ngắn, có thể chỉ sau 30 giây, 60 giây hay một vài phút, nó sẽ vô tác dụng và lại được thay thế bằng mã mới.
  • OTP được sử dụng nhiều và rất phổ biến. Để chuyển tiền hay thực hiện một giao dịch trực tuyến, người dùng không chỉ dùng tài khoản và mật khẩu để đăng nhập mà còn cần nhập đúng mã xác thực OTP mới hoàn tất được giao dịch. Nhiều nhà cung cấp dịch vụ thư điện tử như Google hay mạng xã hội Facebook cũng sử dụng OTP là mật khẩu đăng nhập thứ hai, được yêu cầu sau khi nhập đúng mật khẩu cá nhân. Vì khi để lộ hay bị đánh cắp tài khoản và mật khẩu chính, kẻ xấu cũng không thể đăng nhập hay thực hiện giao dịch, chuyển tiền nếu không có mã OTP.
  • Có nhiều cách để người dùng nhận mã OTP, có thể thông qua thiết bị hay ứng dụng tạo mã, hoặc được nhà cung cấp gửi đến thông qua tin nhắn SMS, điện thoại hay e-mail.

Phân loại OTP

OTP Matrix

OTP-Matrix-ACB.jpg
  • OTP Matrix – Thẻ xác thực là thẻ được một vài ngân hàng phát hành dùng để xác thực giao dịch qua Ebanking. Trên mỗi thẻ có in một bảng ma trận số gồm 64 ô số (8×8) khác nhau, và một số serial của thẻ. Khi khách hàng đăng ký sử dụng thẻ, nhân viên ngân hàng sẽ tiến hành đăng ký số serial kết nối với tài khoản Ebanking của khách hàng. Sau khi đăng ký thẻ xác thực, mỗi lần thực hiện giao dịch trên Ebanking, để xác thực lệnh hệ thống yêu cầu khách hàng nhập vào 3 tọa độ ô số ngẫu nhiên được chọn từ Thẻ xác thực.
  • Giả sử khách hàng có thẻ ma trận trên và hệ thống yêu cầu khách hàng nhập giá trị của các ô H3, D5, C4 thì các giá trị hợp lệ khách hàng cần nhập vào sẽ là 64, F3, 32

Ưu điểm:
  • Gọn nhẹ dễ mang theo
  • Chi phí triển khai thấp

Nhược điểm:
  • Dễ dàng bị sao chép thông tin
  • Nếu hacker cài keylog capture đủ số lần nhất định thì sẽ tạo lại được nội dung của thẻ Xác thực. => Vì lý do này nên các ngân hàng thường khuyến cáo đổi thẻ xác thực hàng năm, hoặc ngắn hơn.

SMS OTP

Screen-Shot-2016-08-13-at-3-36-8053-3246-1471078676.png
Mã xác thực OTP được ngân hàng hay nhà cung cấp dịch vụ gửi dưới dạng tin nhắn SMS đến số điện thoại mà người dùng đã đăng ký. So với Token Key, hình thức này đơn giản và phổ biến hơn nhiều. Không chỉ các ngân hàng, Google, Facebook hay Apple cũng sử dụng SMS OTP làm lớp bảo vệ thứ hai khi đăng nhập tài khoản.
Ưu điểm:
  • Dễ triển khai
  • Chi phí thấp (Tốn thêm chi phí gửi SMS)
  • Thuận tiện cho hầu hết khách hàng vì hầu như ai cũng dùng điện thoại di động

Nhược điểm:
  • Không nhận được mã SMS OTP khi điển thoại mất sóng, hoặc khi đi nước ngoài mà không cài đặt dịch vụ roaming.
  • Hiện nay việc sử dụng smartphone để giao dịch ebanking phổ biến, nên việc nhận SMS OTP trên chính điện thoại đang thực hiện giao dịch không đạt chuẩn 2-factor authentication. => Rủi ro khi điện thoại bị chiếm quyền điều khiển.
  • Dễ dàng bị đánh cắp bằng các thiết bị thu phát sóng GSM, Vì SMS không được mã hoá.

Smart OTP hay Smart Token

11-2804-1471078676.jpg
  • Đây là hình thức kết hợp giữa Token Key và SMS OTP, là một ứng dụng có thể cài đặt được trên smartphone, máy tính bảng Android hay iOS. Tại Việt Nam, Vietcombank và TPBank đang sử dụng hình thức này bên cạnh SMS OTP. Còn Google cũng cung cấp ứng dụng tạo mã xác thực OTP mang tên Google Authenticator.
  • Giống như Token Key, ứng dụng này trên điện thoại có khả năng tự sinh ra mã xác thực ngẫu nhiên sau một khoảng thời gian. Không như SMS OTP, Smart OTP hay Smart Token có thể cung cấp mã xác thực kể cả nơi không có sóng điện thoại và Internet. 
  • Dù vậy, để có thể cài đặt các ứng dụng này và bắt đầu nhận được mã OTP, người dùng phải đăng ký với ngân hàng, nhà cung cấp dịch vụ hoặc xác thực thông qua SMS OTP. Bên cạnh đó, không thể có hai hoặc nhiều thiết bị sử dụng chung một ứng dụng tạo mã OTP.

Ưu điểm:
  • Chi phí triển khai thấp
  • Thuận tiện cho khách hàng sử dụng

Nhược điểm:
  • Vừa giao dịch và vừa lấy OTP trên smartphone không đạt chuẩn 2-factor authentication. => Rủi ro khi điện thoại bị cài malware hoặc chiếm quyền điều khiển. 
  • Nếu code không tốt có thể gây nhiều rủi ro bảo mật cho khách hàng lẫn ngân hàng. 

Token Key (Token Card)
crisp-8105-1471078676.jpg
Đây là thiết bị điện tử có khả năng tạo ra mã xác thực OTP. Nó tự động sinh ra các mã ngẫu nhiên sau mỗi phút mà không cần đến kết nối mạng Internet. Tuy nhiên, mỗi tài khoản ngân hàng  phải đăng ký sử dụng một Token riêng và không dùng chung được. Sau một thời gian định kỳ, ngân hàng sẽ yêu cầu người dùng đổi một Token mới.
Ưu điểm:
  • Gọn nhẹ dễ dàng mang theo như một móc gắn chìa khoá
  • Sử dụng được mà không cần kết nối

Nhược điểm:
  • Là thiết bị rời và thường nhỏ gọn, Token Key dễ bị đánh cắp hoặc thất lạc. Một số loại thông dụng với thiết kế đơn giản cũng dễ bị xem trộm mật mã OTP.
  • Chi phí triển khai khá cao.
  • Pin của token chỉ hoạt động được một thời gian

change-pin-2.jpg
Đối với Token Key của HSBC có độ mật khá cao vì Token Key còn có thêm lớp bảo mật bằng mã PIN trước khi đọc được OTP.

FIDO U2F

"U2F là chữ viết tắt của Universal 2nd Factor, hiểu nôm na đây là công nghệ xác minh hai bước có thể sử dụng ở mọi nơi. Công nghệ U2F do Google Security Team cùng với Yubico và NXP sáng chế và sau đó bàn giao lại cho FIDO Alliance. Tôi không tham gia sáng chế ra công nghệ này, nhưng tôi có hỗ trợ đánh giá bộ giao thức U2F. So với các công nghệ tương đương như SMS OTP hay RSA SecurID, U2F có những sáng tạo độc đáo làm cho nó an toàn và dễ sử dụng hơn." Trích từ https://vnhacker.blogspot.com/2016/08/fido-u2f-cong-nghe-xac-minh-hai-buoc.html


Ưu điểm:

  • Phòng chống được các tấn công phishing như vụ việc của vietcombank năm trước 
  • Có thể dùng một thiết bị cho nhiều tài khoản khác nhau hoặc nhiều ngân hàng khác nhau tại Việt Nam(Nếu Ngân Hàng Nhà Nước có chủ trương). 
  • Có nhiều loại thiết bị khác nhau hỗ trợ các giao thức như NFC, USB/USB-C, Bluetooth ... 
  • Chi phí triển khai thấp vì đây là chuẩn mở 


Khuyết điểm: 

  • Giá thiết bị cao nhưng có thể sử dụng cho nhiều tài khoản. 
  • Dễ dàng bị người khác đánh cắp và sử dụng => Có thiết bị FIDO U2F hỗ trợ bảo mật bằng vân tay, password nhưng hơi cồng kềnh và giá thành cũng cao hơn. 



Posted by at No comments:
Labels: , , ,
Subscribe to: Posts (Atom)