[Funland] Phương pháp SMS OTP mà còn không bảo mật à?

[tienaka]

E thấy nó có phải otp đâu nhỉ. Bản chất nó như một cái mã vòng 2

 

[slaz8]

Chuẩn rồi. Bản chất nó là cái máy sinh OTP. Giờ lập trình vào app thì chả mấy còn dùng cái máy này nữa. Hồi xưa là oai lắm nhé

không phài otp, mà nó hoạt động kiểu như kierm tra chéo thời gian truy cập để xác định cho chính xác có phải chính chủ? thôi mà

 

[xe trả góp]

Sao không phản kháng lại à mà lại để bị trấn à. Hay là tự nguyện hả cụ

em cũng dăm lần bảy lượt làm theo như ý cụ nhưng toàn bị giàn thiên lý nó đổ ah

 

[born2go]

Tin nhắn là mỗi tháng người dùng đóng mà cụ. Mấy chục nghìn chứ ít gì

Phí vẫn đóng, giờ nó giảm chi phí nhắn tin để tăng lợi nhuận thôi
Kiếm ối đấy, những ông hay giao dịch lớn thì cũng nhiều giao dịch lắm

 

[vumanhkien]

Nhà mạng làm thế mà họ truy thì có log vết truy cập cụ à, có mã vỡ alo

Sự đã rồi thì làm sao nữa hả cụ. Đương nhiên mọi tác động đều có log, nhưng tất cả nếu xảy ra thì đều đã có móc nối rồi cụ ạ. Em đang làm bank, đã từng làm ở nhà mạng nên em hiểu mà.

 

[kienvinh]

Quay trở lại chủ đề của topic thì tôi nghĩ bản chất của nó chả phải là để tăng tính bảo mật gì sất mà là để tăng phí thu cho bank.

Tôi đang dùng ngân hàng khác, tiền như này thì cũng hiếm khi chuyển, nhưng cũng có khi chuyển.

Nó cũng giới hạn, 100 củ một lệnh chuyển. Muốn cao hơn đóng phí cao hơn. Mà rõ ràng giới hạn thấp an toàn hơn vì chuyển xong cú 100 củ thứ 2 là nhận được điện của ngân hàng yêu cầu xác minh đúng là mình đang giao dịch

 

[KatKik]

NH nào mà ghẻ thế cụ ơi. Tech nếu đổi máy cũng ko cần phải đến quầy để đăng ký lại Smart OTP

Trước đây thì ko cần vừa rồi nóa mới cập nhật lại hệ thống hay sao ý.
VCB cụ ợ, e thấy bảo mật VCB tin cậy hơn Tech, tất nhiên là phải loằng ngoằng hơn tý.

 

[KatKik]

Ô thế giờ mới biết à cụ ơi. Thế sao hồi xưa không tránh luôn đi (nhà mạng có thể đọc tin nhắn SMS) mà phải chờ đến giờ mới biết ra điều đó cụ nhỉ

Từ xưa VCB đã có Smart OTP roài mà cụ, KH có 2 lựa chọn nhận mã xác thực qua SMS hoặc OTP. Bây giờ họ chỉ thay đổi hạn mức giao dịch thôi.

 

[Kẻ Nổi Loạn]

Em cả đời chả có 100 củ ck nên sợ đếch gì, vẫn sms cho tiện, riêng VCB smart otp ngu như heo

 

[mr.hiep1986]

Các NH hiện nay phải tuân thủ thực hiện các biện pháp đảm bảo an toàn thanh toán theo Quyết định 630 của Ngân hàng Nhà nước ợ.
Ngoài ra smart OTP nếu là OTP nâng cao nghĩa là mỗi mã OTP chỉ tương ứng với mã giao dịch đó thì sẽ đảm bảo an toàn hơn.
https://thuvienphapluat.vn/van-ban/Tien-te-Ngan-hang/Quyet-dinh-630-QD-NHNN-2017-an-toan-bao-mat-thanh-toan-truc-tuyen-thanh-toan-the-ngan-hang-388271.aspx

 

[backmaster]

Các thánh cho em hỏi là:

Vì sao phương thức xác thực SMS OTP dạo này bị ném đá ghê thế ạ, Làm sao mà người khác chơi được mã SMS OTP (trừ khi thằng NH bắt tay với thằng nhà mạng).

Thế mà giờ như kiểu tẩy chay phương thức SMS.

Cho em hỏi: Nó không bảo mật ở điểm nào?

Trước đây chưa có app thì dùng online trên máy tính thì phải vào đc tk và có đt để nhận otp. Như vậy là cần 2 đk
Bây giờ có app và cài trực tiếp trên đt. Nếu mất đt mà người đó mở khoá đc đt thì đã có 2 in 1
Vì app có chế độ lưu mk và vân tay. Hơn nữa tin nhắn về đt Vẫ đọc đc nội dung ở màn hình khoá

 

[hungboy]

Sms nó ko mã hoá thông tin, về kĩ thuật có thể lấy được

 

[vieteuro]

Vì sao cụ lại để vào máy cục gạch mà ko phải là máy chính cụ ơi. Chả lẽ đi đâu cũng mang theo cả 2 máy

Máy chính có mạng dễ hack cụ à

 

[langtoilangtoi]

SMS nếu dùng iOS nó đồng bộ được tin nhắn giữa các máy dùng chung icloud với nhau.
Cụ nào lowtech để shop nó cài icloud giúp thì khác nào mở cửa cho giặc vào nhà...

Tương tự trên Android nếu các cụ cấp full quyền truy cập SMS cho Zalo, Messenger...

Khi cấp quyền truy cập SmS cho ứng dụng của bên thứ 3 là thông tin đã có khả năng rò rỉ rồi.

Các cụ để ý thấy khoảng giờ các giao dịch lừa đảo online diễn ra đa phần trong khung giờ chủ nhân đang ngủ!

IOS mới giờ có thêm bảo mật 2 lớp rồi cụ, thêm mã nhắn lhi đăng nhập nên cũng an toàn hơn

 

[ken_kid]

Em cũng sáng nay mới chuyển sang hình thức Smart Otp, phải ra tận nơi điền form ngân hàng, các em ý bảo anh giao dịch ít tiền thì cứ dùng SMS Otp không cần đổi làm gì, đùa chứ, tiền anh không có nhưng anh muốn cập nhật công nghệ là chính . Em đã đổi thành công và đã thử vài giao dịch bằng Smart Otp nói chung cũng không phức tạp, nếu có mất sóng điện thoại chỉ cần mạng wifi là vẫn giao dịch bình thường.

 

[mazda3_pro]

Smart OTP sẽ kém hơn cả SMS OTP nếu không kết hợp cả SMS vào đó. Đơn giản vì nếu bảo mật ngân hàng kém thì người dùng không can thiệp được và đi tong luôn.

 

[echnikj]

Ko phải là nóa ko bảo mật mà e nghĩ là mức độ bảo mật của nóa thấp hơn. NH làm thế cũng là vì quyền lợi chung của NH và khách hàng mà thôi.
E vừa đổi máy cài lại Smart OTP nóa lại bắt ra điểm giao dịch để đăng ký, ngại đi ghê.

Cái Agribank nó còn yêu cầu em đặt mật khẩu khóa điện thoại thì mới dùng được smart OTP, em thì ko thích khóa đt nên ko dùng.
Techcombank thì không yêu cầu khóa.

 

[echnikj]

Smart OTP sẽ kém hơn cả SMS OTP nếu không kết hợp cả SMS vào đó. Đơn giản vì nếu bảo mật ngân hàng kém thì người dùng không can thiệp được và đi tong luôn.

1 cái mã thay đổi liên tục, hiệu lực trong vài phút chắc chắn an toàn hơn 1 cái mật mã cố định 4 con số cụ nhỉ.

 

[Tuan Can]

Giờ em mới để ý. Thangs nào cũng nộp mạng cho vợ qua VCB mà không biết cái này.

 

[chinhatm]

Các thánh cho em hỏi là:

Vì sao phương thức xác thực SMS OTP dạo này bị ném đá ghê thế ạ, Làm sao mà người khác chơi được mã SMS OTP (trừ khi thằng NH bắt tay với thằng nhà mạng).

Thế mà giờ như kiểu tẩy chay phương thức SMS.

Cho em hỏi: Nó không bảo mật ở điểm nào?

Bị hack mất sim và mật khẩu bangking vẫn không mất tiền. Smart OTP sẽ gửi về đúng số điện thoại và đúng smartphone đã đăng ký, lắp sim sang máy khác không lấy được số OTP