OTP Là Gì Và Được Gửi Trong Trường Hợp Nào

Trong cuộc sống hằng ngày, chúng ta ít nhất 1 lần đã được gửi những mã OTP khi giao dịch online qua internet, vậy mã OTP là gì và được gửi trong những trường hợp như nào, hãy cùng Vua Nệm tìm hiểu qua bài viết dưới đây.

1. OTP là gì và thường gửi trong trường hợp nào?

Cách mạng công nghiệp khoa học của thế giới đang trên đà phát triển mạnh mẽ, sự ra đời của hàng loạt các ứng dụng công nghệ, các dịch vụ online qua internet ngày càng được nhiều doanh nghiệp áp dụng và khách hàng cũng cảm thấy rất nhanh chóng, thuận tiện khi giao dịch qua internet.

Vì vậy, để đảm bảo tính an toàn và bảo mật thì các mã OTP đã được tạo ra làm tăng độ tin cậy trong các nghiệp vụ qua internet.

Hiểu đơn giản, OTP cũng giống như mật khẩu, tuy nhiên nó lại chỉ được dùng một lần duy nhất, là viết tắt của chữ One Time Password trong tiếng Anh.

Mã OTP có thể được cung cấp dưới dạng một dãy các con số hoặc các ký tự, thường được các tổ chức, ngân hàng hay ứng dụng,…gửi đến thông qua số điện thoại của bạn nhằm đảm bảo tính chính xác của các giao dịch khi nó sắp hoàn thành.

Thông thường, các mã OTP được gửi đến điện thoại của bạn có hiệu lực trong thời gian rất ngắn, chỉ khoảng từ 30s – 2 phút, cũng có thể là 10 phút hay 15 phút, nếu bạn không nhập chính xác hoặc quá thời gian OTP sẽ mất hiệu lực.

OTP được coi là lớp bảo mật thứ 2 trong các giao dịch phát sinh để tăng cường lớp bảo mật.

Bạn sẽ thường được gửi OTP trong một số trường hợp như sau:

• Thực hiện các giao dịch qua mạng
• Đăng ký các dịch vụ số ngân hàng: internet banking, chuyển tiền online, thanh toán các dịch vụ,…
• Đăng ký các tài khoản mạng xã hội: Facebook, Tiktok,…
• Xác minh đăng nhập các tài khoản ứng dụng
• Các dịch vụ thanh toán trực tuyến như: thanh toán qua các ví điện tử Momo, 
• Hoặc khi bạn bị quên mật khẩu của 1 tài khoản nào đó, bạn cũng có thể nhấn quên mật khẩu và mã OTP sẽ được gửi về số điện thoại bạn đăng ký để có thể tạo mật khẩu mới,….

2. Phân biệt với nghĩa của OTP trong Kpop?

Ngày nay, giới trẻ cũng hay sử dụng thuật ngữ OTP là viết tắt của những từ One True Pairing trong tiếng Anh, thuật ngữ này có nghĩa khác hoàn toàn với mã OTP nêu ở trên.

OTP được sử dụng rất nhiều trong cộng đồng fan Kpop, được hiểu là sự ghép cặp và ghép nhóm giữa các thành viên trong nhóm

Ví dụ trong nhóm nhạc BTS thì có một số thành viên được fan OTP nhiệt tình là V và JungKook.

2.1. OTP hoạt động như thế nào?

Như đã nói ở trên, OTP chỉ được sử dụng 1 lần và không thể tái sử dụng, nó được gọi là mật khẩu động. Trên thực tế, xác suất đoán được mật khẩu động khó hơn rất nhiều so với mật khẩu tĩnh. Đó cũng là lý do tại sao các tổ chức trên thế giới thường sử dụng OTP để bảo mật các thiết bị quan trọng và các giao dịch của họ. Và một khi OTP mất hiệu lực, thì nó sẽ miễn nhiễm với các cuộc tấn công .

Khi người dùng nhập OTP mà họ đã nhận được (hoặc được tạo cục bộ bằng TOTP), máy chủ một lần nữa sẽ tạo OTP, vì thời hạn có hiệu lực của OTP thường 30s – 2 phút, do đó máy chủ yêu cầu bạn nhập OTP trong vòng thời gian từ 30s – 2 phút.

2.2. Xác thực hai yếu tố hoạt động bằng OTP

• Người dùng VPN (mạng riêng ảo) cố gắng truy cập mạng nội bộ và trước tiên cần xác thực trên tường lửa bằng cách chèn tên người dùng và mật mã 
• Tường lửa hoạt động như một tác nhân xác thực, nhận thông tin xác thực và chuyển cho Trình quản lý xác thực để xác thực.
• Sau khi Trình quản lý xác thực nhận được một mật mã và xác thực nó thì nó sẽ gửi phản hồi trở lại tường lửa cho dù xác thực thành công hay thất bại.
• Trên cơ sở phản hồi nhận được từ trình quản lý xác thực, tường lửa cho phép hoặc từ chối người dùng truy cập vào mạng.

2.3. Các loại mã OTP

Có 3 loại mã OTP thường được sử dụng hiện nay:

• SMS OTP

Đúng như tên gọi, thì đây là loại mã sẽ được gửi trực tiếp đến số điện thoại của bạn qua tin nhắn.

Ví dụ như khi bạn thanh toán trực tuyến hay chuyển tiền online trực tiếp từ tài khoản ngân hàng thì bạn sẽ phải dùng mã OTP để xác thực. Hầu hết các ngân hàng tại Việt Nam cũng như trên thế giới sử dụng phương pháp này như Techcombank, Vietcombank, BIDV, ngân hàng số Cake,…

Bên cạnh đó, mã OTP cũng sẽ được gửi về tin nhắn để bạn có thể hoàn thành đăng ký các tài khoản mạng xã hội như Facebook, Twitter,…hay khi bạn quên và muốn đổi mật khẩu ở các trang này.

SMS OTP chỉ được gửi về số điện thoại khi số đó đã được bạn đăng ký trước đó tại các ngân hàng, các trang mạng xã hội,….

• Token

Token thì khác so với SMS OTP, đây có thể hiểu là một thiết bị điện tử hoặc phần mềm được cài đặt sẵn cung cấp những chữ ký số hay chữ ký điện tử đã được mã hóa thành các con số.

Và với hình thức này, mặc dù bạn không có kết nối internet cũng có thể tạo ra được 

Ví dụ trên thị trường hiện nay có một vài ngân hàng sử dụng như: Sacombank, ACB,…Tuy nhiên, khi sử dụng dịch vụ này thì bạn sẽ phải mất thêm phí để làm máy Token.

• Smart OTP

Đây là sự kết hợp của 2 loại vừa nói ở trên, là một ứng dụng tạo râ mã OTP cài đặt trên điện thoại. Ứng dụng này được sử dụng như Token sau khi bạn đã đăng ký tài khoản thành công.

Ví dụ thay vì chờ OTP được gửi về thông qua máy chủ thì nay nhiều ngân hàng và các dịch vụ trực tuyến đã cho phép người dùng được cài đặt 1 ứng dụng để có thể tự tạo mã OTP ngay trên điện thoại hay máy tính bảng của mình.

Bên cạnh đó, còn một loại OTP in sẵn. Đó là một tờ giấy in sẵn các mật khẩu OTP hoặc dưới dạng thẻ cào, khi thực hiện giao dịch bạn có thể lấy luôn những mã có sẵn đó và ngay lập tức mã bạn đã dùng bị vô hiệu hóa.

Tuy nhiên, hình thức này hiện nay không còn phổ biến nữa do nguy cơ bị đánh cắp giấy chứa OTP là rất cao.

3. Có thể hack mã OTP không?  Rủi ro xảy ra khi mã OTP bị đánh cắp ?

OTP không thể nói là mã bảo mật an toàn tuyệt đối và không thể bị hack, mọi hệ thống đều sẽ tồn tại những lỗ hổng bảo mật mà chúng ta không thể tránh hoàn toàn được.

Từ những lỗ hổng đó, hacker sẽ lợi dụng  và có thể khai thác nhằm đánh cắp mã OTP, gây thiệt hại cho người dùng.

Ví dụ trong trường hợp các  thiết bị của bạn bị gằn phần mềm mã độc có khả năng đọc tin nhắn từ xa, trường hợp này khá phổ biến hiện nay, và khi đó hacker sẽ đọc được tin nhắn gửi mã OTP về máy của bạn để lấy cắp thông tin thực hiện các giao dịch mà bạn không hề hay biết.

Đặc biệt trong trường hợp tin tặc đã biết được tài khoản và mật khẩu đăng nhập của bạn, chúng có thể đăng nhập vào tài khoản và tự lấy mã OTP thông qua đọc trộm tin nhắn và nhân lúc người dùng ngủ say, không còn sử dụng điện thoại mà không để ý tin nhắn gửi đến thực hiện giao dịch gây tổn thất lớn.

Còn với việc sử dụng smart OTP thì tin tặc sẽ gặp khó khăn hơn chút, do việc cài đặt và sử dụng ứng dụng đã “đóng đinh” với một thiết bị duy nhất và việc sử dụng, cài đặt ứng dụng sang một thiết bị khác thường khá phức tạp.

Tuy nhiên, nếu các ứng dụng smart OTP chứa các lỗ hổng bảo mật thì hạker cũng vẫn có thể khai thác lấy cắp OTP trên ứng dụng, đặc biệt trong trường hợp người dùng sử dụng ứng dụng không được bảo vệ bằng mật khẩu, sẽ xảy ra trường hợp bị người bên cạnh lấy cắp điện thoại nén xem mã OTP dùng cho mục đích bất chính.

Trên thực tế, có rất nhiều trường hợp đã bị kẻ xấu lợi dụng để lấy cắp mã OTP. Dưới đây là một ví dụ hay xảy ra ở các giao dịch ngân hàng.

Vào ngày 4/9/2020, tài khoản của ông Trần Việt Luận ở Thành phố Hồ Chí Minh đã chuyển 406 triệu cho tài khoản của 1 người phụ nữ thụ hưởng tại ngân hàng MSB, SEABANK chỉ trong vòng 7 phút mà ông không hề hay biết.

Bởi vì toàn bộ quá trình xác thực chuyển khoản đều được thực hiện ở trên 1 thiết bị khác và ông không hề nhận được 1 tin nhắn nào chỉ đến khi ra ngân hàng giao dịch ông mới phát hiện ra chuyện này.

Trong sự cố trên, đại diện của Vietcombank cho biết đây là trường hợp bị nghi ngờ giả mạo giao dịch qua ứng ứng VCB Digibank và có thể nói việc đòi lại tiền là rất khó khăn và phức tạp.

Theo CEO Bkav, ông Quảng cho biết, điểm yếu lớn nhất của phương pháp SMS OTP là tính chống chối bỏ và đây là lỗ hổng bảo mật để hacker có thể xâm nhập gây nên vụ việc trên

4. Ưu và nhược điểm của mã OTP ngày nay

• Ưu điểm

Khả năng an toàn trước các cuộc tấn công

Ưu điểm lớn nhất mà OTP cung cấp trái ngược với mật khẩu tĩnh là chúng an toàn trước các cuộc tấn công phát lại. Nói đơn giản, các tin tặc sử dụng thủ thuật để lấy OTP của bạn không thể áp dụng lại nó, vì nó không còn hợp lệ cho các lần đăng nhập tiếp theo

Khó đoán được mã 

Các mã OTP được tạo bởi các thuật toán mang tính ngẫu nhiên, điều này giúp các kẻ tấn công rất khó để đoán trúng và sử dụng thành công mật khẩu của bạn, an toàn hơn rất nhiều so vơi các mật khẩu tĩnh mà người dùng đặt để có thể dễ nhớ khi đăng nhập vào các tài khoản

Giảm được rủi ro khi bị lộ thông tin mật khẩu tĩnh

Như đã nói ở trên, mã OTP được coi như lớp bảo mật kép, khi kẻ xấu có được những thông tin đăng nhập hợp lệ thì chúng cũng vẫn phải có thêm mã OTP để có thể nắm hết và thực hiện các tác vụ trên tài khoản của bạn.

Thuận tiện khi sử dụng

Mã OTP rất dễ dàng tích hợp vào các chiến lược xác thực trong các tổ chức. Bởi OTP không cần phải ghi nhớ, mà bạn chỉ cần có các thiết bị công nghệ truy cập rộng rãi để các nhóm bảo mật dễ dàng sử dụng và phân phối cho nhân viên

• Nhược điểm

Các mã OTP có thể bị lộ khi người dùng không cẩn thận có thể bị lợi dụng đánh cắp thông tin.

Các giao dịch qua hệ thống mạng Internet có thể bị tin tặc tấn công, lộ mã OTP trong quá trình truyền mã

Với mã OTP sử dụng Token, có thể tốn thêm các chi phí để mua thiết bị và cũng có thể dễ bị đánh cắp, hư hỏng hoặc bị mất.

5. Những lưu ý khi sử dụng mã OTP để tránh bị lộ thông tin

• Thứ nhất, bạn tuyết đối không nhấp vào các đường link hoặc file lạ được gửi thông qua email, số điện thoại hay các website, phần mềm chat dù đó là người quen của bạn gửi bời vì có thể tài khoản của họ đã bị hack và hacker làm theo cách như vậy để phát tán mã độc
• Thứ hai, nên kiểm tra thật kỹ các trang web mà bạn đăng nhập các tài khoản trực tuyến, bởi hiện nay có rất nhiều website được giả mạo giống trang web chính thống của các công ty, nếu bạn không để ý mà nhập thông tin vào đây rất dễ bị chiếm đoạt tài khoản
• Thứ ba, tuyệt đối không để lộ thông tin đăng nhập của bạn cho bất kỳ ai, kể cả là người thân thông qua mạng internet, bởi đó có thể là hacker đang lợi dụng để khai thác thông tin của bạn’
• Thứ tư, bạn cũng nên thay đổi mật khẩu định kỳ cho các tài khoản, nhất là các tài khoản ngân hàng.
• Thứ năm, không chia sẻ mã OTP cho bất kỳ ai.

Tóm lại, công nghệ càng phát triển cũng kéo theo nhiều vấn đề khi giao dịch qua môi trường mạng, mỗi người chúng ta hãy trau dồi cho mình những kiến thức để tự bảo vệ mình khỏi các cuộc tấn công và các mánh khóe ngày càng tinh vị của những kẻ xấu.

XEM THÊM:

• Blockchain là gì? Những điều cần biết về Blockchain
• Ví điện từ là gì? Top ví điện tử phổ biến hiện nay

6. Lời kết

Qua bài viết trên, bạn đã biết OTP là gì vai trò quan trọng của OTP trong bảo mật, những ưu điểm và hạn chế, cách sử dụng mã OTP sao cho an toàn và bảo thông tin của mình trước các cuộc tấn công gây ra những thiệt hại nghiêm trọng.

Vấn đề bảo mật ngày nay cũng được các chuyên gia an ninh mạng đang cố gắng khắc phục nhưng có thể thấy không có gì là hoàn toàn không có lỗ hổng, vì vậy hãy nắm bắt các kiến thức để tự bảo vệ mình khỏi những kẻ hacker .