Xã hội

Mã xác thực One Time Password và những rủi ro tiềm ẩn

Thứ 2, 15/08/2016 | 15:45:46
732 lượt xem

Khác mật khẩu thông thường, mã xác thực OTP được tạo ra ngẫu nhiên không phải từ người dùng, chỉ sử dụng được một lần và sau đó không còn tác dụng. Nhưng không phải vì vậy mà nó không có những lỗ hổng.

Mã xác thực OTP là gì
Như tên gọi, mã xác thực One Time Password (OTP) là một dạng mật khẩu sử dụng một lần với một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự. Mã này có thể tồn tại trong một khoảng thời gian rất ngắn trước khi vô tác dụng và được thay thế bằng một mã mới.
Mã OTP được sử dụng phổ biến ngày nay để phục vụ như là lớp xác thực thứ hai.
Với những lợi thế như vậy, OTP được sử dụng khá phổ biến như là lớp bảo vệ thứ hai cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến, email hay mạng xã hội. Khi muốn chuyển tiền hay thực hiện một giao dịch trực tuyến, ngoài tên tài khoản và mật khẩu đăng nhập, người dùng còn phải thực hiện thao tác nhập đúng mã xác thực OTP để hoàn tất.
Đây thực sự là điều cần thiết trong thời đại an toàn thông tin luôn được đặt lên hàng đầu. Ngay cả khi tin tặc ăn cắp được thông tin tài khoản và mật khẩu, đặc biệt trong lĩnh vực tài chính, thì các hoạt động giao dịch chuyển tiền gian lận đều không thể thực hiện nếu như không có mã OTP.
Ở thời điểm hiện tại có hai cách phổ biến để người dùng có thể nhận mã OTP. Đầu tiên, thông qua thiết bị hoặc ứng dụng tạo mã. Thứ hai, được gửi trực tiếp từ nhà cung cấp dịch vụ thông qua tin nhắn SMS, điện thoại hoặc email.
Các phương thức nhận mã OTP phổ biến
Hiện nay có một số phương thức khác nhau được sử dụng để cung cấp các mã OTP, tùy thuộc vào các dịch vụ mà người dùng sử dụng.
Phổ biến và đơn giản nhất là gửi mã OTP qua tin nhắn SMS (SMS OTP). Với cách này, dịch vụ sẽ gửi một tin nhắn SMS đến số điện thoại mà chủ sở hữu tài khoản đăng ký. SMS OTP chủ yếu được sử dụng bởi các ngân hàng hay các công ty lớn như Apple, Microsoft, Facebook hay Google.
Token Key là một trong những cách thức giúp chủ sở hữu nhận được mã OTP; ảnh: AFP
Theo anh Nguyễn Hồng Phúc - một chuyên gia bảo mật hoạt động độc lập thì hiện nay ngân hàng còn cung cấp một thiết bị gọi là Token Key, có khả năng tạo ra mã OTP ngẫu nhiên một cách tự động với thời gian sử dụng khoảng 1 phút mà không cần kết nối tài khoản. Mỗi khách hàng phải đăng ký sử dụng một Token riêng mà không thể dùng chung, và ngân hàng sẽ yêu cầu khách hàng thay thế Token Key sau một khoảng thời gian định kỳ.
 
Cuối cùng là Smart OTP. Về cơ bản đây là sự kết hợp của hai phương thức SMS OTP và Token Key lại với nhau, được cung cấp thông qua một dạng ứng dụng dành cho thiết bị tablet hoặc smartphone vận hành trên nền tảng iOS hoặc Android. Ứng dụng có khả năng tự tạo ra mã OTP ngẫu nhiên trong một khoảng thời gian nhất định, kể cả khi không có sóng điện thoại hay internet.
Nhiều cảnh báo về độ an toàn với OTP
Sự tiện lợi của mã OTP là vậy, nhưng vẫn còn đó những nhược điểm xảy ra dành cho độ an toàn của OTP được nhiều chuyên gia bảo mật thế giới khuyến cáo.
Với SMS OTP, người dùng sẽ không thể nhận được mã trong trường hợp điện thoại mất sóng, hay di chuyển ra nước ngoài mà không cài đặt dịch vụ chuyển vùng quốc tế. Nhưng quan trọng hơn, mã OTP nhận được có thể bị tin tặc đánh chặn và ăn cắp thông tin bằng cách khai thác lỗi của các hệ thống viễn thông.
Cụ thể, năm ngoái, một nhóm nghiên cứu của công ty bảo mật PT (Mỹ) đã khai thác thành công lỗ hổng trong giao thức báo hiệu số 7 - SS7 (Signaling System #) nhằm đánh chặn mã OTP. SS7 là lỗ hổng đã được đưa ra cảnh báo nhiều lần nhưng nhiều công ty hoạt động trong ngành viễn thông vẫn tỏ ra làm ngơ. Thật đáng buồn khi nhiều dịch vụ lại xây dựng cơ chế bảo mật dựa trên hạ tầng viễn thông.
Thông qua lỗ hổng SS7, tin tặc có thể đánh chặn các mã OTP được gửi đến khách hàng; ảnh chụp màn hình
“Cách thức mà chúng tôi thực hiện đánh chặn thông qua lỗ hổng SS7 có thể dùng để thiết lập lại tài khoản của mọi dịch vụ dùng xác thực SMS OTP. Nguy hiểm hơn, mã OTP bị đánh cắp có thể gây tổn hại cho hệ thống tài chính, ngân hàng hay các dịch vụ thanh toán trực tuyến. Vấn đề trở nên phức tạp khi nhiều chuyên gia bảo mật lại vận động người dùng kích hoạt SMS OTP như một hàng rào bảo vệ. Tuy nhiên, chúng tôi khuyến cáo bạn không nên làm thế!”, Giám đốc kỹ thuật PT, Alex Mathews, cho biết.
Theo chuyên gia bảo mật Karsten Nohl của Research Labs, lỗ hổng SS7 được biết đến từ năm 2015 và phương thức báo hiệu này được sử dụng bởi hơn 800 công ty viễn thông trên toàn thế giới.
Token Key là thiết bị rời có một thiết kế nhỏ gọn giống như USB nên rất dễ bị kẻ gian ăn cắp hoặc thất lạc. Một số Token Key có thiết kế đơn giản nên rất dễ bị xem trộm mã OTP, trong khi một số có thiết kế hiện đại hơn thì có thể khiến người dùng cảm thấy rườm rà khi mang bên mình.
Cũng theo anh Hồng Phúc, nếu sử dụng Smart OTP thì người dùng tuyệt đối phải sử dụng trên một chiếc smartphone "an toàn", nghĩa là không nên bẻ khóa máy hoặc tự ý cài thêm các phần mềm lạ vào máy vì như thế sẽ giúp cho tin tặc có thể kiểm soát được Smart OTP, và lấy trộm mã bảo vệ của người dùng từ đó thực hiện các lệnh chuyển tiền trái phép.
In
  • Từ khóa

Tin nổi bật

Hội đồng hương Thái Bình tại Hà Nội gặp mặt nhân dịp đầu xuân 2025

Hội đồng hương Thái Bình tại Hà Nội gặp mặt nhân dịp đầu xuân 2025

Khởi động tháng thanh niên và hưởng ứng trồng cây xuân Ất Tỵ

Khởi động tháng thanh niên và hưởng ứng trồng cây xuân Ất Tỵ

Công bố Nghị quyết, quyết định thành lập các cơ quan chuyên môn thuộc UBND tỉnh

Công bố Nghị quyết, quyết định thành lập các cơ quan chuyên môn thuộc UBND tỉnh

Phấn đấu khởi công dự án Nhà máy nhiệt điện LNG Thái Bình trong tháng 9 năm 2025

Phấn đấu khởi công dự án Nhà máy nhiệt điện LNG Thái Bình trong tháng 9 năm 2025

Đồng chí Nguyễn Mạnh Hùng, Phó Bí thư Tỉnh ủy, Chủ tịch UBND tỉnh dự lễ giao, nhận quân năm 2025 tại huyện Đông Hưng

Đồng chí Nguyễn Mạnh Hùng, Phó Bí thư Tỉnh ủy, Chủ tịch UBND tỉnh dự lễ giao, nhận quân năm 2025 tại huyện Đông Hưng

Đồng chí Nguyễn Tiến Thành, Phó Bí thư Thường trực Tỉnh ủy, Chủ tịch HĐND tỉnh dự lễ giao, nhận quân năm 2025 tại thành phố Thái Bình

Đồng chí Nguyễn Tiến Thành, Phó Bí thư Thường trực Tỉnh ủy, Chủ tịch HĐND tỉnh dự lễ giao, nhận quân năm 2025 tại thành phố Thái Bình

Đồng chí Nguyễn Khắc Thận, Bí thư Tỉnh ủy dự lễ giao nhận quân năm 2025 tại huyện Hưng Hà

Đồng chí Nguyễn Khắc Thận, Bí thư Tỉnh ủy dự lễ giao nhận quân năm 2025 tại huyện Hưng Hà

Khai mạc lễ hội đền Trần Thái Bình năm 2025

Khai mạc lễ hội đền Trần Thái Bình năm 2025

Giới thiệu phim

Trở về ngày yêu ấy - T3
Trở về ngày yêu ấy - T3

Người đại biểu nhân dân

Cử tri quan tâm theo dõi kỳ họp thứ chín, Hội đồng nhân dân tỉnh khóa XVII
Cử tri quan tâm theo dõi kỳ họp thứ chín, Hội đồng nhân dân tỉnh khóa XVII

Hôm nay 12/12, ngày làm việc cuối cùng của kỳ họp thứ chín, Hội đồng nhân dân tỉnh Thái Bình khóa XVII. Kỳ họp đã thu hút sự quan tâm theo dõi của đông đảo cử tri và nhân dân trong tỉnh. Các cử tri đều...

Góp Ý kiến vào Dự thảo văn kiện Đại hội Đảng

Đồng chí Bí thư Tỉnh ủy Thái Bình: Dự thảo Quy định là bước đột phá trong công tác cán bộ
Đồng chí Bí thư Tỉnh ủy Thái Bình: Dự thảo Quy định là bước đột phá trong công tác cán bộ

Sáng 14/9, đồng chí Nguyễn Quang Dương, Ủy viên Ban Chấp hành Trung ương Đảng, Phó Trưởng ban Tổ chức Trung ương dự và chủ trì hội nghị trực tuyến góp ý vào dự thảo quy định về thẩm quyền, trách nhiệm của...

DẠY HỌC TRỰC TUYẾN

DẠY HỌC TRÊN TRUYỀN HÌNH: NGỮ VĂN LỚP 12: ÔN TẬP ĐỀ SỐ 2 (PHẦN 2)
DẠY HỌC TRÊN TRUYỀN HÌNH: NGỮ VĂN LỚP 12: ÔN TẬP ĐỀ SỐ 2 (PHẦN 2)

VIDEO - CLIP ĐẶC SẮC

LỜI CHÚC TẾT CỦA CHỦ TỊCH UBND TỈNH THÁI BÌNH XUÂN ẤT TỴ 2025

LỜI CHÚC TẾT CỦA CHỦ TỊCH UBND TỈNH THÁI BÌNH XUÂN ẤT TỴ 2025

CHƯƠNG TRÌNH "XUÂN ĐẦM ẤM - TẾT YÊU THƯƠNG" Ở LÀNG TRẺ SOS

CHƯƠNG TRÌNH "XUÂN ĐẦM ẤM - TẾT YÊU THƯƠNG" Ở LÀNG TRẺ SOS

KHÁNH THÀNH NHÀ CHO HỘ NGHÈO

KHÁNH THÀNH NHÀ CHO HỘ NGHÈO

Trầm tích thời gian

Sự tích chùa, miếu làng Tiên Bá
Sự tích chùa, miếu làng Tiên Bá

Sân chơi văn hoá làng

Sân chơi Văn hóa làng 2019 - Số 6
Sân chơi Văn hóa làng 2019 - Số 6

Giới thiệu phim

Trở về ngày yêu ấy - T3
Trở về ngày yêu ấy - T3

Góc thư giãn

Trình diễn ánh sáng dưới lòng đất
Trình diễn ánh sáng dưới lòng đất

Ở độ sâu 180 mét so với mặt đất, một màn trình diễn ánh sáng nghệ thuật sống động đã diễn ra tại một nhà thờ muối nổi tiếng tại Colombia thu hút đông đảo du khách đến thưởng ngoạn.

Phóng sự ảnh

Niềm vui người trồng vải
Niềm vui người trồng vải

Tháng 6, các vườn trồng vải đã bắt đầu cho thu hoạch. Những cây vải đỏ ửng vòm lá, báo hiệu một vụ mùa thắng lợi, mang lại niềm vui cho người trồng.

Thông báo

Công bố công khai quyết toán ngân sách năm 2024 của Đài Phát thanh và Truyền hình Thái Bình
Công bố công khai quyết toán ngân sách năm 2024 của Đài Phát thanh và Truyền hình Thái Bình

Đài Phát thanh và Truyền hình Thái Bình có quyết định số 19 về công bố công khai quyết toán ngân sách năm 2024

Giá vàng
Tỷ giá
Lịch âm