Mã OTP Là Gì? Tại sao mã OTP lại tốt hơn mật khẩu thường

“Không chia sẻ mã OTP của bạn với bất kỳ ai!”

Chắc hẳn bạn đã nhìn thấy hoặc nghe thấy dòng này được các ngân hàng, tổ chức tài chính, công ty kỹ thuật số hoặc các nhà cung cấp dịch vụ khác đề cập nhiều lần trong thời gian gần đây. 

Nhưng, mã OTP là gì và tại sao bạn được yêu cầu không chia sẻ chúng thì hãy đọc bài viết dưới đây.

Mã OTP là gì?

Mã OTP (one-time-password) là mã được tạo và gửi tự động, thường tới thiết bị di động, để cho phép một phiên đăng nhập hoặc giao dịch duy nhất.

Mật khẩu một lần, hay thường được gọi là mã OTP , là một chuỗi ký tự chữ-số được tạo tự động để cung cấp cho người dùng quyền một lần. Nó giúp xác thực hai yếu tố bằng cách gửi mã hợp lệ trong một khoảng thời gian ngắn đến điện thoại di động hoặc địa chỉ email đã đăng ký của bạn. 

Ví dụ: 1234, 123456, BMD3456,….

Vì bạn là người duy nhất có quyền truy cập vào số điện thoại di động hoặc địa chỉ email của mình, OTP đóng vai trò như một lớp bảo mật bổ sung để hoàn tất giao dịch.

Mã OTP là một thành phần chính của giải pháp Xác thực 2 yếu tố (2FA) được hầu hết các nhà cung cấp dịch vụ tài chính sử dụng để cung cấp mức độ bảo mật cao nhất cho các giao dịch của khách hàng. 

Mã OTP phổ biến với người dùng vì chúng nhanh chóng và dễ sử dụng, và phổ biến với các doanh nghiệp vì chúng là một cách rất hiệu quả để đảm bảo giao dịch và tránh các sự cố gian lận tốn kém.

OTP được tạo như thế nào?

Việc tạo ra các OTP dựa trên máy chủ và thiết bị của người dùng có quyền truy cập vào cùng một ‘kiến thức’ an toàn.

Có hai loại mã:

  • HOTP (mật khẩu dùng một lần hash-based): Các mã này dựa trên bộ đếm, được tăng lên mỗi khi mã được tạo. Theo cách này, cùng một mã không bao giờ có thể được sử dụng hai lần và sẽ hết hạn ngay sau khi mã tiếp theo được tạo.
  • TOTP (mật khẩu dùng một lần time-based): Đúng như tên gọi, đây là một phần mở rộng của các HOTP chỉ có hiệu lực trong một khoảng thời gian nhất định, thường là dưới 3 phút, giúp chúng an toàn hơn.

Mã OTP được gửi như thế nào?

Cách phổ biến nhất để gửi mã OTP là qua SMS tới điện thoại di động. Tất cả điện thoại di động đều có thể nhận SMS, không yêu cầu dữ liệu hoặc kết nối internet và thực tế là điện thoại di động thường yêu cầu mã riêng để mở khóa càng tăng thêm tính bảo mật.

Mã OTP cũng có thể được phân phối thông qua các mã thông báo độc quyền, mặc dù các mã này ít phổ biến hơn vì nó yêu cầu một người mang theo mã thông báo mọi lúc.

SMS và email

Ví dụ phổ biến nhất về xác thực OTP là mã được gửi bằng SMS hoặc email. Sau khi người dùng nhập tên người dùng và mật khẩu chính xác, OTP sẽ được gửi đến email hoặc số điện thoại di động được kết nối với tài khoản. 

Người dùng nhập mã này vào nơi được nhắc để hoàn tất quá trình xác thực.

Ứng dụng xác thực

Mật khẩu dùng một lần cũng có thể được gửi trực tiếp thông qua các ứng dụng trên điện thoại thông minh dưới dạng thông báo đẩy. 

Đây có thể là một ứng dụng xác thực chuyên dụng như Google Authenticator hoặc được tích hợp vào ứng dụng của nhà cung cấp dịch vụ, chẳng hạn như ứng dụng ngân hàng.

Tin nhắn thoại

Một phương thức gửi mã OTP thay thế là cuộc gọi thoại trên thiết bị di động của người dùng. Điều này cho phép xác thực OTP cho những người dùng bị hạn chế tầm nhìn. 

Mật khẩu đã nói không được lưu trữ trên điện thoại của người dùng. Giọng nói đôi khi cũng được sử dụng để dự phòng trong trường hợp không gửi được SMS.

Tại sao mã OTP lại tốt hơn mật khẩu bình thường?

Điều khiến mã OTP trở nên an toàn là chúng chỉ có thể được sử dụng một lần và có thể được đặt thành hết hạn sau một khoảng thời gian ngắn. 

Mặc dù mật khẩu bình thường có thể rất phức tạp, chúng thường chỉ được thay đổi vài tháng một lần hoặc đôi khi không bao giờ. Điều này làm cho họ dễ bị tin tặc và vi phạm dữ liệu hơn nhiều.

Trong các giải pháp an toàn nhất, mã OTP và mật khẩu được sử dụng cùng nhau để cung cấp sự bảo vệ cao nhất khỏi gian lận.

Các vấn đề với xác thực OTP

Mặc dù xác thực OTP bổ sung một lớp bảo mật cơ bản để bảo vệ chỉ bằng mật khẩu, nhưng nó vẫn có thể bị xâm phạm khá dễ dàng. 

Ngày nay, thậm chí còn có những bộ dụng cụ đơn giản để mua có thể ăn cắp mã OTP cho các mục tiêu đã chọn của kẻ tấn công bằng cách sử dụng dịch vụ tự động.

Ví dụ về cách mã thông báo OTP bị lừa đảo

  1. Một email hoặc SMS lừa đảo thuyết phục – ví dụ như yêu cầu một khoản thanh toán đáng ngờ – bao gồm một liên kết đến một ứng dụng hoặc trang web giả mạo.
  2. Nó trông giống như trang web thật nên người dùng bắt đầu đăng nhập vào tài khoản của họ, nhập tên và mật khẩu của họ.
  3. Kẻ tấn công nắm bắt điều này và bắt đầu quá trình đăng nhập đồng thời trên ứng dụng hoặc trang web thực. Luồng tin nhắn gửi OTP cho nạn nhân qua email hoặc SMS.
  4. Người dùng nhập mã OTP vào ứng dụng hoặc trang web giả mạo, tin tặc lấy nó và nhập vào trang web thật, cấp cho họ quyền truy cập tài khoản.
  5. Khi đó, nạn nhân được dẫn đến một trang đăng nhập thành công giả mạo hoặc nhận được thông báo lỗi.

Làm thế nào để bảo vệ tài khoản của bạn?

  • Như đã đề cập trước đó, không bao giờ chia sẻ mã OTP của bạn với BẤT CỨ AI.
  • Không mở các liên kết đến từ các tài khoản không xác định, đáng ngờ.
  • Nếu bạn nhận được cuộc gọi, tin nhắn, email giả danh yêu cầu cung cấp OTP, hãy dừng ngay mọi liên lạc với họ và báo cáo ngay cho đơn vị cung cấp mã cũng như với các cơ quan chứng năng.

Vấn đề của bạn sẽ xem xét vấn đề ngay lập tức và đảm bảo rằng các hành động cần thiết được thực hiện để chống lại kẻ gian lận.

Tóm lại,

Đôi khi mọi người gọi phương pháp xác minh mã OTP là không cần mật khẩu nhưng thực tế không phải vậy. Mặc dù mã OTP có tính năng động và thay đổi liên tục, khiến chúng thích hợp hơn so với thông tin xác thực tĩnh, chúng vẫn là một mật khẩu.

Hy vọng những thông tin trên đây sẽ giúp bạn có cái nhìn tổng quát hơn về mã OTP và cách hoạt động của nó.