OTP- One Time Password, mã gồm bốn đến sáu chữ số sẽ bật lên trên màn hình của bạn mỗi khi bạn sử dụng Thẻ ghi nợ hoặc Thẻ tín dụng cho giao dịch trực tuyến hoặc giao dịch NetBanking. Bạn đã bao giờ tự hỏi những con số này chính xác là gì và tại sao chúng lại đóng một vai trò quan trọng như vậy để bảo mật tài khoản ngân hàng của bạn? Qua bài viết này, hãy cùng Giaiphapdonggoi.net tìm hiểu về OTP là gì và tất cả những gì bạn cần biết về nó.
Mục Lục [Ẩn]
1. OTP là gì?
OTP là gì?
OTP còn được gọi là Mật khẩu dùng một lần (One Time Password) được tạo không hệ thống và được gửi đến số điện thoại di động đã đăng ký của bạn để xác thực một giao dịch cụ thể. OTP cung cấp một lớp bảo mật nâng cao cho thẻ và các giao dịch trực tuyến. Nó được gửi đến số điện thoại di động của bạn trong vòng vài giây sau khi bạn nhập chi tiết giao dịch của mình và chỉ lưu trên điện thoại của bạn trong 2 phút. Nó được tạo tự động với một chuỗi ký tự số hoặc chữ và số để xác thực người dùng cho một giao dịch duy nhất được thực hiện bằng Thẻ tín dụng, Thẻ ghi nợ hoặc phiên đăng nhập. OTP này là một mã thông báo bí mật không được chia sẻ với bất kỳ ai.
Ví dụ về mã OTP là khi quản trị viên hệ thống chẳng hạn, Ngân hàng HDFC gửi cho bạn một mã OTP để hoàn tất giao dịch mua hàng trực tuyến của bạn. Mã chữ và số này được sử dụng để xác thực quyền truy cập vào hệ thống sẽ thay đổi sau mỗi 30-60 giây tùy thuộc vào cách hệ thống back end được tạo ra. Hầu hết các ngân hàng cung cấp khoảng thời gian từ 2 phút đến 10 phút để OTP hết hạn. Tuy nhiên, ví dụ như các ứng dụng dành cho thiết bị di động như ngân hàng Google Authenticator trên thiết bị mã thông báo và mã PIN để tạo OTP và cung cấp xác minh hai bước. Nó sẽ không giống như mật khẩu tĩnh chỉ hết hạn sau mỗi 30 đến 60 ngày, OTP chỉ được sử dụng cho mỗi giao dịch hoặc phiên đăng nhập.
2. Lợi ích của OTP là gì?
Bây giờ thì bạn đã biết OTP là gì, sau đây hãy cùng tìm hiểu cách chúng giữ an toàn cho doanh nghiệp.
Lợi ích của OTP là gì?
- Khả năng chống lại các cuộc tấn công phát lại: Xác thực OTP mang lại những lợi thế khác biệt so với việc chỉ sử dụng mật khẩu tĩnh. OTP sẽ không giống mật khẩu truyền thống, OTP không dễ bị tấn công phát lại - nơi tin tặc chặn việc truyền dữ liệu (như người dùng gửi mật khẩu của họ), ghi lại và sử dụng OTP để truy cập vào hệ thống hoặc tài khoản của chính họ. Khi người dùng có được quyền truy cập vào tài khoản của họ bằng OTP, mã sẽ trở nên không hợp lệ và do đó những kẻ tấn công không thể sử dụng lại.
- OTP sẽ khó đoán: OTP thường được tạo bằng các thuật toán sử dụng tính ngẫu nhiên. Điều này sẽ khiến những kẻ tấn công khó đoán và sử dụng chúng thành công. Mã OTP chỉ có hiệu lực trong một thời gian ngắn, yêu cầu người dùng có kiến thức về OTP trước đó hoặc cung cấp cho người dùng một thử thách (ví dụ: “vui lòng nhập số thứ hai và thứ năm”). Những biện pháp này làm giảm thêm bề mặt tấn công của môi trường khi so sánh với xác thực chỉ bằng mật khẩu.
- Giúp giảm rủi ro khi mật khẩu bị xâm phạm: Người dùng không áp dụng các phương pháp bảo mật mạnh mẽ có xu hướng tái chế những thông tin đăng nhập giống nhau trên những tài khoản khác nhau. Nếu các thông tin đăng nhập này bị rò rỉ hoặc rơi vào tay kẻ xấu, dữ liệu bị đánh cắp và gian lận là những mối đe dọa đáng kể đối với người dùng trên tất cả mọi phương diện. Bảo mật OTP sẽ giúp bạn ngăn chặn vi phạm truy cập, ngay cả khi kẻ tấn công đã có được bộ thông tin đăng nhập hợp lệ.
- OTP sẽ dễ dàng áp dụng: OTP cũng dễ dàng cho các tổ chức tích hợp vào các chiến lược xác thực của họ. Mặc dù bản chất khó hiểu của những mã này sẽ khiến mọi người khó ghi nhớ, nhưng điện thoại, mã thông báo và các công nghệ khác có thể truy cập rộng rãi để những nhóm bảo mật sử dụng và phân phối cho nhân viên của họ.
3. OTP hoạt động như thế nào?
OTP hoạt động như thế nào?
Thông qua chế độ xác thực dựa trên mã OTP, OTP của người dùng và máy chủ xác thực dựa trên các bí mật được chia sẻ. Các giá trị số hoặc chữ và số cho OTP được tạo bằng thuật toán Mã xác thực thông báo băm-HMAC, chẳng hạn như thông tin dựa trên thời gian hoặc bộ đếm sự kiện. Mỗi OTP sẽ có một dấu thời gian để tăng cường bảo mật. OTP sau khi được tạo sẽ được chuyển đến người dùng thông qua nhiều kênh như tin nhắn văn bản qua SMS, địa chỉ email đã đăng ký hoặc các ứng dụng chuyên dụng khác do ngân hàng lựa chọn.
4. Có những loại OTP nào?
Có thể xác thực OTP nhờ mã thông báo. Có một số kiểu khác nhau mà bạn sẽ gặp.
Có những loại OTP nào?
- Mã thông báo cứng
Mã thông báo cứng (như trong phần cứng) là thiết bị vật lý truyền OTP, giúp người dùng có quyền truy cập vào tài khoản và các tài nguyên khác. Các token cứng bao gồm:
Mã thông báo được kết nối: Người dùng kết nối các mã thông báo này vào hệ thống hoặc thiết bị mà họ đang cố gắng truy cập. Thẻ thông minh và ổ USB được lắp tương ứng vào đầu đọc thẻ thông minh và cổng USB của thiết bị.
Mã thông báo bị ngắt kết nối: Mã thông báo được sử dụng thường xuyên nhất để xác thực đa yếu tố (MFA). Mặc dù người dùng không phải chèn các mã thông báo này một cách vật lý, nhưng các mã thông báo bị ngắt kết nối thường tạo OTP để người dùng nhập vào. Các thiết bị bảo mật ngân hàng có kích thước bỏ túi, hệ thống nhập không cần chìa, điện thoại di động và thiết bị bảo mật ngân hàng là một số ví dụ về điều này.
Mã thông báo không tiếp xúc: Các mã thông báo này truyền dữ liệu xác thực đến một hệ thống, hệ thống này sẽ phân tích thông tin và xác định xem người dùng có quyền truy cập hay không. Mã thông báo Bluetooth là một ví dụ về truyền không tiếp xúc, không cần kết nối vật lý hoặc nhập thủ công.
- Mã thông báo mềm
Mã thông báo mềm (như trong phần mềm) không phải là vật phẩm vật lý mà chúng ta sở hữu. Thay vào đó, chúng tồn tại dưới dạng phần mềm trên một thiết bị như máy tính xách tay hoặc điện thoại di động. Xác thực mã thông báo mềm thường có dạng một ứng dụng gửi thông báo đẩy hoặc tin nhắn SMS để người dùng phản hồi và xác minh danh tính của họ.
Tất cả các phương pháp này đều tuân theo cùng một quy trình cơ bản: người dùng gửi dữ liệu xác thực đến hệ thống, hệ thống xác minh xem thông tin có chính xác hay không, và nếu có, sẽ cấp cho người dùng quyền truy cập. Đó là ý tưởng tương tự như sử dụng mật khẩu, nhưng với OTP, dữ liệu xác thực không di chuyển hoặc rò rỉ ra ngoài người dùng và hệ thống đích.
Bài viết này đã giải thích chi tiết về ý nghĩa của OTP, cách nó được tạo ra. Vì vậy, vào lần tiếp theo bạn thực hiện bất kỳ giao dịch trực tuyến nào, bạn sẽ biết chính xác sáu chữ số đó có nghĩa là gì trên SMS của bạn được đọc là OTP.
Xem thêm bài viết:
- Credit Rating là gì? Tại sao Credit Rating lại quan trọng?
- B2G là gì? Các tình huống B2G có thể xảy ra
Không có nhận xét nào:
Đăng nhận xét