[Funland] Phương pháp SMS OTP mà còn không bảo mật à?

[mazda3_pro]

1 cái mã thay đổi liên tục, hiệu lực trong vài phút chắc chắn an toàn hơn 1 cái mật mã cố định 4 con số cụ nhỉ.

Muốn an toàn thì phải kết hợp cả 2, mã dùng để xác thực giao dịch gồm 2 phần, phần đầu sinh ra bởi smart OTP và phần thứ 2 là SMS OTP.
Cụ đừng tưởng cái smart cụ giữ nó an toàn, cái máy sinh OTP (hoặc app sinh OTP) đó ngân hàng nó nắm và cài đặt quy luật sinh mã. Hacker nó truy cập hoặc nó có được cái quy luật này thì nó có luôn mã, lúc đó user không can thiệp vào giao dịch vẫn mất xèng. Nghĩa là user có cẩn thận cách mấy cũng mất xèng, hay nói trắng ra là user không quyết định được cái việc mình bị mất xèng hay không.
SMS OTP thì user sẽ phải đặt hàng, ngồi chờ tin nhắn SMS đến điện thoại, mở khóa điện thoại, nhập mã SMS. Nếu hacker truy cập được vào SMS từ bảo mật nhà mạng hoặc con đường nào đó thì user cũng bị mất. Tuy nhiên với phương pháp này user đã có quyền chủ động hơn trong việc nâng cao bảo mật và phải thực hiện các bước giao dịch của mình. Với phương pháp này thì thường hacker sẽ phải liên lạc với user để lừa lấy mã SMS. Còn phương pháp kia nó chả cần phải làm gì vì đã có sẵn mã.

 

[dvhung243]

Smart OTP dùng cho doanh nghiệp phải có hai tài khoản , đặt lệnh và duyệt lệnh

Thực ra cả hai tk này dùng chung trên một smart phone được . Hôm trước e bị bắt đổi ( em mở tk bên tech ) cứ nghĩ mối tk phải một phone khác nhau nên mua thêm một cái , giờ mới biết mình thông minh quá nên thừa một cái

Thừa đành lập thêm một tk zalo quét " tìm quanh đây " vậy , đúng là đã bận rồi còn mua việc vào thân

 

[chuyendang]

Đúng rồi cụ, SMS OTP có nhiều lỗ hổng, đặc biệt trên iOS và Android có thể có nhiều thư viện/app có thể tấn công và lấy được nội dung tin nhắn. Vì thế nên SMS OTP không đưọc khuyến cáo nữa cụ ah

 

[tuanvespa]

Smart OTP sẽ kém hơn cả SMS OTP nếu không kết hợp cả SMS vào đó. Đơn giản vì nếu bảo mật ngân hàng kém thì người dùng không can thiệp được và đi tong luôn.

Có thể hiểu nôm na là trước đây thì cần 2 chìa khóa: 1 là ở bên nhà mạng (thực ra vẫn là bên NH gửi code) và 1 là ở bên NH (mật khẩu web)

Thì nay chuyển hết về một mối là ngân hàng (sinh mã OTP và kiểm tra mật khẩu web) đúng ko cụ ơi.

Mà cái thuật toán để sinh ra mã OTP cũng chính là do thằng Trưởng nhóm IT ngân hàng nghĩ ra. Thế nên nó mà bắt tay với bên quản lý Password khách hàng thì nó muốn lấy bao nhiêu tiền của khách thì lấy được đúng ko cụ nhỉ

 

[tuanvespa]

Smart OTP dùng cho doanh nghiệp phải có hai tài khoản , đặt lệnh và duyệt lệnh

Thực ra cả hai tk này dùng chung trên một smart phone được . Hôm trước e bị bắt đổi ( em mở tk bên tech ) cứ nghĩ mối tk phải một phone khác nhau nên mua thêm một cái , giờ mới biết mình thông minh quá nên thừa một cái

Thừa đành lập thêm một tk zalo quét " tìm quanh đây " vậy , đúng là đã bận rồi còn mua việc vào thân

Tức là một điện thoại thông minh (Smart) có thể đăng nhập và lấy OTP/cũng như đặt lệnh của cả cấp Ké toán và Giám đốc trên 1 chiếc ĐT được phải ko cụ?

Nhưng còn vấn đè này mới chết: Đã cài cái Smart OTP vào 1 máy thì không chơi được trên máy khác và muốn đổi sang máy khác thì phải ra quầy xếp hàng lấy số để điền form thay đổi cụ ới ơi cái này mất time huhu

 

[tuanvespa]

Đúng rồi cụ, SMS OTP có nhiều lỗ hổng, đặc biệt trên iOS và Android có thể có nhiều thư viện/app có thể tấn công và lấy được nội dung tin nhắn. Vì thế nên SMS OTP không đưọc khuyến cáo nữa cụ ah

Cụ nói như thật, nếu vậy thì ngay cả cái app Smart OTP cũng có thể là đối tượng bị hack cơ. Hehe chẳng qua chắc là NH họ ko tin mấy ông bên Viễn thông (vì cứ là IT của viễn thông là đọc trộm được hết các tin nhắn của khách hàng mà, họ mà kết hợp là hacker trên trang web để có MK người dùng nữa thì là xong)

 

[mazda3_pro]

Có thể hiểu nôm na là trước đây thì cần 2 chìa khóa: 1 là ở bên nhà mạng (thực ra vẫn là bên NH gửi code) và 1 là ở bên NH (mật khẩu web)

Thì nay chuyển hết về một mối là ngân hàng (sinh mã OTP và kiểm tra mật khẩu web) đúng ko cụ ơi.

Mà cái thuật toán để sinh ra mã OTP cũng chính là do thằng Trưởng nhóm IT ngân hàng nghĩ ra. Thế nên nó mà bắt tay với bên quản lý Password khách hàng thì nó muốn lấy bao nhiêu tiền của khách thì lấy được đúng ko cụ nhỉ

Tóm lại là đối với người dùng thì smart sẽ kém bảo mật hơn SMS

 

[tuanvespa]

Cái Agribank nó còn yêu cầu em đặt mật khẩu khóa điện thoại thì mới dùng được smart OTP, em thì ko thích khóa đt nên ko dùng.
Techcombank thì không yêu cầu khóa.

Giời ơi cu ơi cái app Smart OTP nào mà chả yêu cầu mật khẩu mở app. Cụ nhầm rồi nhé. Toàn bộ các NH đều bắt tạo pass cho cái app sinh mã OTP. Còn cái mà cụ bảo không cần pass thì nó chỉ là cái app để vào đặt lệnh thôi. Nó khác với cái app sinh mã OTP (có tên là *NH* Smart OTP).

Tổng cộng là cần cài 2 app thì mới đủ điều kiện chơi theo mã dạng SmartOTP. Cụ hỏi Tech đi thì sẽ rõ ngay

 

[tuanvespa]

Tóm lại là đối với người dùng thì smart sẽ kém bảo mật hơn SMS

Em đồng ý. Và có thể nói nếu NH mà có nội bộ gian xảo (bộ phận IT - hoặc Sếp Tổng) muốn lấy tiền của khách thì họ muốn lấy bao nhiêu thì lấy. Bảo mật chỉ là câu cửa miệng

 

[clone của ai đó]

Đương nhiên là nó vẫn bảo mật. Chỉ là phương thức bảo mật mới có thể an toàn hoặc tiện hơn. Đó là lựa chọn của ngân hàng. Nếu thích cụ có thể ko theo và ko dùng dịch vụ của nó.
Giống như điện thoại bảo mật bằng vân tay hay faceid thôi. Mặc dù mức độ bảo mật vẫn cao mà cái mới tiện hơn.

 

[tuanvespa]

Đương nhiên là nó vẫn bảo mật. Chỉ là phương thức bảo mật mới có thể an toàn hoặc tiện hơn. Đó là lựa chọn của ngân hàng. Nếu thích cụ có thể ko theo và ko dùng dịch vụ của nó.
Giống như điện thoại bảo mật bằng vân tay hay faceid thôi. Mặc dù mức độ bảo mật vẫn cao mà cái mới tiện hơn.

Cho em hỏi cụ là clone của nick nào vậy ạ

 

[clone của ai đó]

Cho em hỏi cụ là clone của nick nào vậy ạ

Em là clone của min mod nhé. Nhưng min mod ko dám dùng nick để chửi bới lung tung nên tạo clone để tự do hành nghề nhé.

 

[xuanphuongccs]

Ô thế giờ mới biết à cụ ơi. Thế sao hồi xưa không tránh luôn đi (nhà mạng có thể đọc tin nhắn SMS) mà phải chờ đến giờ mới biết ra điều đó cụ nhỉ

Bây giờ mọi người dùng smartphone mới ứng dụng được chứ ngu phone thì chịu.

 

[lqvinh]

Smart OTP sẽ kém hơn cả SMS OTP nếu không kết hợp cả SMS vào đó. Đơn giản vì nếu bảo mật ngân hàng kém thì người dùng không can thiệp được và đi tong luôn.

Em cũng đồng ý với cụ và em đã tranh luận nảy lửa về vụ này với bx e làm bên bank bị mấy đ/c IT nhồi nhét cho cái cụm từ "bảo mật hơn"

 

[present]

Công nghệ 4.0 thì sẽ dùng bảo mật 02 lớp (lớp thứ 2 chính là SMS OTP).
Đọc thông báo của anh VCB dư lày chắc muốn quay về 0.4 để cấp cái Token đồng bộ chạy pin đây mà.

 

[mazda3_pro]

Em cũng đồng ý với cụ và em đã tranh luận nảy lửa về vụ này với bx e làm bên bank bị mấy đ/c IT nhồi nhét cho cái cụm từ "bảo mật hơn"

SMS thì sẽ phải liên lạc với nạn nhân để moi cái SMS hoặc câu kết với thằng nhà mạng để lấy. Còn smart thì tự mình trồng được luôn, cái thứ 2 dễ thở hơn cho hacker rồi
Vợ cụ làm bank thì không hiểu về kỹ thuật, mà đằng nào cụ có cãi cũng chỉ thua thôi, cãi làm gì khi đã biết kết quả

 

[Mr.Alo]

Dùng sms otp nếu bị mất tiền còn kiện cáo được vì còn sms để đối chứng . chơi smart otp mất nó kêu do người dùng ...thì vỡ mồm

 

[chuyendang]

Cụ nói như thật, nếu vậy thì ngay cả cái app Smart OTP cũng có thể là đối tượng bị hack cơ. Hehe chẳng qua chắc là NH họ ko tin mấy ông bên Viễn thông (vì cứ là IT của viễn thông là đọc trộm được hết các tin nhắn của khách hàng mà, họ mà kết hợp là hacker trên trang web để có MK người dùng nữa thì là xong)

Không phải cụ ah, cụ search thử 2FA SMS OTP là ra, không chỉ ứng dụng ngân hàng mà tất cả các dịch vụ bảo mật 2 lớp người ta đều không khuyến cáo dùng SMS rồi. Phương thức hoạt động của Smart OTP như sau (em lấy từ trang TCB):

• Để sử dụng Smart OTP, Quý khách cần đăng ký kích hoạt Smart OTP trên một thiết bị di động (điện thoại, máy tính bảng) duy nhất. Ngoài tài khoản ngân hàng điện tử và mật khẩu đăng nhập, Smart OTP sẽ được bảo vệ bằng một mã mở khóa 4 số do chính Quý Khách thiết lập.
• Khi thực hiện xác thực giao dịch, Quý khách cần nhập Mã mở khóa Smart OTP, sau đó hệ thống sẽ tạo mã OTP duy nhất ứng với giao dịch đang chờ xác thực và tự động nhập OTP này để hoàn tất xác thực giao dịch.
• Với giải pháp Techcombank Smart OTP, mã OTP được sinh ra ngay trên ứng dụng và mã hóa với hệ thống bảo vệ nhiều lớp phức tạp. Nhờ vậy mà giải pháp này mang đến mức độ bảo mật cao nhất và trải nghiệm vượt trội khi thực hiện các giao dịch trực tuyến

Tức là app Internet Banking sẽ tự lấy, đồng bộ điền mã token cho các giao dịch (ngày trước với token cứng thì các cụ nhập thủ công), việc này công thêm việc xác thực mã Smart OTP nữa nên chắc chắn bảo mật hơn SMS.

 

[dvhung243]

Tức là một điện thoại thông minh (Smart) có thể đăng nhập và lấy OTP/cũng như đặt lệnh của cả cấp Ké toán và Giám đốc trên 1 chiếc ĐT được phải ko cụ?

Nhưng còn vấn đè này mới chết: Đã cài cái Smart OTP vào 1 máy thì không chơi được trên máy khác và muốn đổi sang máy khác thì phải ra quầy xếp hàng lấy số để điền form thay đổi cụ ới ơi cái này mất time huhu

Cái này em hỏi rồi bác , nếu muốn sử dụng trên máy khác thì bác phải lock tk tại máy cũ và tự làm thủ tục bên máy kia , không cần ra bank nữa . ( em cẩn thận vừa điện thoại ra hỏi bank luôn , em mở tk bên tech )

 

[present]

Cái token đó và cái app kiểu như Google Authenticator về mặt nguyên lý là như nhau thôi, mức độ bảo mật coi như bằng nhau.

Cụ có nhầm ko nhỉ?
OTP là nó gửi lại sau khi được sinh ra từ hệ thống.
Còn token là 02 thành phần độc lập chạy chung thuật toán nhé.
Do vậy về sai số thì đương nhiên token không đảm bảo bằng rồi.