Mã xác thực OTP ngày càng mất an toàn và giải pháp mới là gì?

Một nghiên cứu của hãng bảo mật Kaspersky năm 2022 cho kết quả 74% người dùng Việt Nam thích mật khẩu dùng một lần (OTP) qua SMS cho mọi giao dịch điện tử. Thế nhưng, những chiêu trò lừa đảo gần đây cho thấy nhiều điểm yếu của mã OTP.

Mã OTP và nguy cơ lừa đảo

Mã OTP hiện đang được đông đảo người dùng Việt sử dụng như là bước xác thực thứ hai (sau mật khẩu) khi đăng nhập một tài khoản dịch vụ mạng (email, mạng xã hội, OTT…) hoặc khi muốn thực hiện một giao dịch (thanh toán, chuyển tiền…). Nó được xem là yếu tố bảo mật cuối cùng trước khi việc đăng nhập tài khoản hoặc lệnh giao dịch được thực thi. Điều này khiến mã OTP thành đích ngắm của tội phạm mạng.

Rất nhiều trò lừa đảo gần đây đều nhắm đến việc thu thập mã OTP của người dùng: dọa khóa SIM do chưa chuẩn hóa thông tin thuê bao; mạo danh ngân hàng thu thập thông tin; phát tán tin nhắn mạo danh ngân hàng; giả mạo website của các doanh nghiệp, ngân hàng, sàn giao dịch điện tử…; giả danh công an, viện kiểm sát, tòa án; chuyển nhầm tiền vào tài khoản ngân hàng; dịch vụ lấy lại tài khoản Facebook, Telegram…

Chúng đều có điểm chung là dụ nạn nhân cung cấp mã OTP để chiếm đoạt tài khoản hoặc thực thi một lệnh chuyển tiền.

Táo tợn hơn, gần đây còn xuất hiện cả chiêu lừa cài app giả mạo hòng chiếm quyền điều khiển điện thoại từ xa. Từ đó, tội phạm mạng có thể âm thầm thực hiện các thao tác chuyển tiền. Không ít người dùng đã bị mất hàng tỉ đồng.

“Các vụ tấn công này đã phần nào cho thấy điểm yếu của hệ thống xác thực sử dụng OTP” – ông Vũ Ngọc Sơn, giám đốc công nghệ Công ty an ninh mạng NCS, nói và cho hay OTP thường được sử dụng thành yếu tố thứ hai trong các giao dịch xác thực haiyếu tố, trong đó yếu tố đầu tiên là mật khẩu.

Các Giải pháp an toàn hơn

Giải pháp thay thế OTP, theo ông Đỗ Ngọc Duy Trác, tổng giám đốc Công ty an ninh mạng VinCSS, xác thực không mật khẩu là công nghệ duy nhất hiện nay giải quyết trọn vẹn cả ba khía cạnh của xác thực, đó là an toàn, chi phí hợp lý và mang lại trải nghiệm tốt cho người dùng.

Một trong những ứng dụng phổ biến của công nghệ nêu trên là công nghệ Passkeys theo chuẩn của Liên minh xác thực trực tuyến thế giới (FIDO). Passkeys là một phương pháp xác thực mới được đề xuất bởi Apple, Google và Microsoft nhằm thay thế mật khẩu truyền thống. Passkeys sử dụng công nghệ khóa công khai (public key) để xác thực người dùng.

Theo ông Vũ Ngọc Sơn, giải pháp đang được người dùng yêu thích hơn cả là sử dụng xác thực sinh trắc học – theo đó các giao dịch ngoài mã OTP, mật khẩu thì cần có thêm xác thực khuôn mặt hoặc vân tay. Đây cũng là giải pháp được nhiều chuyên gia khuyến nghị. “Tuy nhiên, trên thực tế, ngoài các giao dịch ngân hàng còn rất nhiều giao dịch khác như dịch vụ công trực tuyến, dịch vụ mua bán trực tuyến cũng đang sử dụng OTP là hình thức xác thực chủ đạo. Thiết bị giao dịch theo đó cũng đa dạng hơn, từ smartphone, tablet đến máy tính, không phải lúc nào hình thức xác thực bằng sinh trắc học cũng có sẵn trên các thiết bị này”, ông Sơn nói.

Nhận thấy điểm yếu của OTP, một số giải pháp đã được đưa ra, trong đó có giải pháp tách số điện thoại/email nhận OTP ra một điện thoại vật lý khác với điện thoại được thực hiện giao dịch, hoặc giải pháp sử dụng ứng dụng smart OTP cài trên một điện thoại khác. Điều này đã được nhiều người dùng. Tuy nhiên, đa số lại cho rằng giải pháp này bất tiện khi phải dùng nhiều thiết bị khác nhau.

Passkeys hiện đã được tích hợp sẵn trên nhiều thiết bị chạy hệ điều hành Android và iOS, MacOS. Người dùng có thể kích hoạt Passkeys từ chương trình quản lý tài khoản của mình (Google) hoặc trên điện thoại iPhone. Thao tác kích hoạt rất đơn giản. Sau đó, người dùng có thể đăng nhập bằng cách xác thực vân tay, khuôn mặt, mã pin trên điện thoại hoặc bấm xác nhận trên thiết bị đã đăng ký mà không cần phải nhập mật khẩu như trước kia.

Passkeys được đánh giá là một giải pháp xác thực mạnh hơn mật khẩu và sẽ đóng vai trò quan trọng trong tương lai.

Theo Điện Tử Ứng Dụng