Bảo mật tuyệt đối mã OTP

Mã xác thực OTP (One Time Password) là loại mật khẩu sử dụng một lần, được coi là lớp bảo vệ thứ 2 cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến, chợ ứng dụng và trường hợp người dùng liên kết tài khoản ngân hàng với một số ví điện tử. Mã xác thực OTP rất quan trọng, vì vậy “bảo mật” nó luôn cần thiết. 

Gần đây xuất hiện một số trường hợp bị mất tiền khi thanh toán online. Có thể liệt kê một số trường hợp thường gặp: Khi người dùng nhận được link gửi đến trong email, tin nhắn trên di động hay cuộc gọi “hướng dẫn” truy cập trang web nào đó và điểm đến cuối sẽ yêu cầu ĐĂNG NHẬP, và điền mã OTP vào ô website.

Ở đây, có thể nhập username, mật khẩu nhưng nếu người dùng nhận được OTP gửi về máy di động; sau đó nhập mã OTP vào thì chắc rằng người thực hiện các thao tác trên đã mất tiền. Khi gặp trường hợp này, tốt nhất không đăng nhập, đặc biệt là mã OTP để tránh bị lừa đảo bằng link giả mạo. 

Phổ biến nhất là lừa đảo bằng cách tự xưng nhân viên ngân hàng, gọi điện, nhắn tin đề nghị cung cấp thông tin username, mật khẩu, full số thẻ... và đặc biệt là OTP với lý do nào đó. Thường là bỗng dưng có người gọi đến xưng là nhân viên ngân hàng, thông báo gần đây có giao dịch gì đó nhưng giao dịch bị treo, nên gọi điện xác minh và đề nghị cung cấp thông tin để giải quyết… thì tuyệt đối không tin.

Tinh vi hơn, đối tượng gọi điện và nói đúng thông tin của số tài khoản, chi tiết giao dịch gần đây, ngày sinh, họ tên, số chứng minh thư... rồi yêu cầu mã OTP xác minh. Trường hợp này cần cảnh giác cao hơn, không cung cấp mã OTP và nên đến ngân hàng để kiểm tra. 

Mã xác thực OTP là một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự. Nhưng khác mật khẩu thông thường, mã xác thực OTP được tạo ra ngẫu nhiên không phải từ người dùng, chỉ sử dụng một lần và sau đó không còn tác dụng. Thời hạn của mật khẩu OTP thường rất ngắn, có thể chỉ sau 30 giây, 60 giây hay một vài phút, nó sẽ vô tác dụng và được thay thế bằng mã mới. 

Ngày nay mã xác thực OTP được sử dụng nhiều và rất phổ biến. Để chuyển tiền hay thực hiện một giao dịch trực tuyến, người dùng ngoài tài khoản và mật khẩu để đăng nhập, cần nhập đúng mã xác thực OTP mới hoàn tất được giao dịch.

Nhiều nhà cung cấp dịch vụ thư điện tử như Google hay mạng xã hội Facebook cũng sử dụng OTP là mật khẩu đăng nhập thứ 2, sau khi nhập đúng mật khẩu cá nhân. Khi để lộ hay bị đánh cắp tài khoản và mật khẩu chính, kẻ xấu cũng không thể đăng nhập hay thực hiện giao dịch, chuyển tiền nếu không có mã OTP.

Có nhiều cách để người dùng nhận mã OTP. Qua các hiện tượng lừa đảo gần đây, muốn không bị mất tiền thì không cung cấp thông tin nhạy cảm như username, mật khẩu, số thẻ, đặc biệt là OTP.

Với giao dịch online, ngân hàng và các chuyên gia bảo mật cảnh báo là tuyệt đối không cung cấp mã OTP cho bất kỳ ai, kể cả nhân viên ngân hàng. Mã OTP chỉ phát sinh khi thay đổi thông tin quan trọng như chuyển tiền đi, không liên quan đến việc nhận tiền nên yêu cầu mã OTP để nhận tiền là... rất gần với lừa đảo.

Tin cùng chuyên mục