Mã xác thực OTP và những rủi ro tiềm ẩn

Khác mật khẩu thông thường, mã xác thực OTP được tạo ra ngẫu nhiên không phải từ người dùng, chỉ sử dụng được một lần và sau đó không còn tác dụng. Nhưng không phải vì vậy mà nó không có những lỗ hổng.

Mã xác thực OTP là gì
Như tên gọi, mã xác thực One Time Password (OTP) là một dạng mật khẩu sử dụng một lần với một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự. Mã này có thể tồn tại trong một khoảng thời gian rất ngắn trước khi vô tác dụng và được thay thế bằng một mã mới.
Mã OTP được sử dụng phổ biến ngày nay để phục vụ như là lớp xác thực thứ hai Ảnh: AFP
Với những lợi thế như vậy, OTP được sử dụng khá phổ biến như là lớp bảo vệ thứ hai cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến, email hay mạng xã hội. Khi muốn chuyển tiền hay thực hiện một giao dịch trực tuyến, ngoài tên tài khoản và mật khẩu đăng nhập, người dùng còn phải thực hiện thao tác nhập đúng mã xác thực OTP để hoàn tất.
Đây thực sự là điều cần thiết trong thời đại an toàn thông tin luôn được đặt lên hàng đầu. Ngay cả khi tin tặc ăn cắp được thông tin tài khoản và mật khẩu, đặc biệt trong lĩnh vực tài chính, thì các hoạt động giao dịch chuyển tiền gian lận đều không thể thực hiện nếu như không có mã OTP.
Ở thời điểm hiện tại có hai cách phổ biến để người dùng có thể nhận mã OTP. Đầu tiên, thông qua thiết bị hoặc ứng dụng tạo mã. Thứ hai, được gửi trực tiếp từ nhà cung cấp dịch vụ thông qua tin nhắn SMS, điện thoại hoặc email.
Các phương thức nhận mã OTP phổ biến
Hiện nay có một số phương thức khác nhau được sử dụng để cung cấp các mã OTP, tùy thuộc vào các dịch vụ mà người dùng sử dụng.
Phổ biến và đơn giản nhất là gửi mã OTP qua tin nhắn SMS (SMS OTP). Với cách này, dịch vụ sẽ gửi một tin nhắn SMS đến số điện thoại mà chủ sở hữu tài khoản đăng ký. SMS OTP chủ yếu được sử dụng bởi các ngân hàng hay các công ty lớn như Apple, Microsoft, Facebook hay Google.
Token Key là một trong những cách thức giúp chủ sở hữu nhận được mã OTP Ảnh: AFP
Theo anh Nguyễn Hồng Phúc - một chuyên gia bảo mật hoạt động độc lập thì hiện nay ngân hàng còn cung cấp một thiết bị gọi là Token Key, có khả năng tạo ra mã OTP ngẫu nhiên một cách tự động với thời gian sử dụng khoảng 1 phút mà không cần kết nối tài khoản. Mỗi khách hàng phải đăng ký sử dụng một Token riêng mà không thể dùng chung, và ngân hàng sẽ yêu cầu khách hàng thay thế Token Key sau một khoảng thời gian định kỳ.
Cuối cùng là Smart OTP. Về cơ bản đây là sự kết hợp của hai phương thức SMS OTP và Token Key lại với nhau, được cung cấp thông qua một dạng ứng dụng dành cho thiết bị tablet hoặc smartphone vận hành trên nền tảng iOS hoặc Android. Ứng dụng có khả năng tự tạo ra mã OTP ngẫu nhiên trong một khoảng thời gian nhất định, kể cả khi không có sóng điện thoại hay internet.
Nhiều cảnh báo về độ an toàn với OTP
Sự tiện lợi của mã OTP là vậy, nhưng vẫn còn đó những nhược điểm xảy ra dành cho độ an toàn của OTP được nhiều chuyên gia bảo mật thế giới khuyến cáo.
Với SMS OTP, người dùng sẽ không thể nhận được mã trong trường hợp điện thoại mất sóng, hay di chuyển ra nước ngoài mà không cài đặt dịch vụ chuyển vùng quốc tế. Nhưng quan trọng hơn, mã OTP nhận được có thể bị tin tặc đánh chặn và ăn cắp thông tin bằng cách khai thác lỗi của các hệ thống viễn thông.
Cụ thể, năm ngoái, một nhóm nghiên cứu của công ty bảo mật PT (Mỹ) đã khai thác thành công lỗ hổng trong giao thức báo hiệu số 7 - SS7 (Signaling System #) nhằm đánh chặn mã OTP. SS7 là lỗ hổng đã được đưa ra cảnh báo nhiều lần nhưng nhiều công ty hoạt động trong ngành viễn thông vẫn tỏ ra làm ngơ. Thật đáng buồn khi nhiều dịch vụ lại xây dựng cơ chế bảo mật dựa trên hạ tầng viễn thông.
Thông qua lỗ hổng SS7, tin tặc có thể đánh chặn các mã OTP được gửi đến khách hàng Ảnh chụp màn hình
“Cách thức mà chúng tôi thực hiện đánh chặn thông qua lỗ hổng SS7 có thể dùng để thiết lập lại tài khoản của mọi dịch vụ dùng xác thực SMS OTP. Nguy hiểm hơn, mã OTP bị đánh cắp có thể gây tổn hại cho hệ thống tài chính, ngân hàng hay các dịch vụ thanh toán trực tuyến. Vấn đề trở nên phức tạp khi nhiều chuyên gia bảo mật lại vận động người dùng kích hoạt SMS OTP như một hàng rào bảo vệ. Tuy nhiên, chúng tôi khuyến cáo bạn không nên làm thế!”, Giám đốc kỹ thuật PT, Alex Mathews, cho biết.
Theo chuyên gia bảo mật Karsten Nohl của Research Labs, lỗ hổng SS7 được biết đến từ năm 2015 và phương thức báo hiệu này được sử dụng bởi hơn 800 công ty viễn thông trên toàn thế giới.
Token Key là thiết bị rời có một thiết kế nhỏ gọn giống như USB nên rất dễ bị kẻ gian ăn cắp hoặc thất lạc. Một số Token Key có thiết kế đơn giản nên rất dễ bị xem trộm mã OTP, trong khi một số có thiết kế hiện đại hơn thì có thể khiến người dùng cảm thấy rườm rà khi mang bên mình.
Cũng theo anh Hồng Phúc, nếu sử dụng Smart OTP thì người dùng tuyệt đối phải sử dụng trên một chiếc smartphone "an toàn", nghĩa là không nên bẻ khóa máy hoặc tự ý cài thêm các phần mềm lạ vào máy vì như thế sẽ giúp cho tin tặc có thể kiểm soát được Smart OTP, và lấy trộm mã bảo vệ của người dùng từ đó thực hiện các lệnh chuyển tiền trái phép.
Top

Bạn không thể gửi bình luận liên tục. Xin hãy đợi
60 giây nữa.