[Funland] Phương pháp SMS OTP mà còn không bảo mật à?

mazda3_pro

Xe lăn
Biển số
OF-68330
Ngày cấp bằng
14/7/10
Số km
14,211
Động cơ
540,914 Mã lực
Nơi ở
Hà Nội
1 cái mã thay đổi liên tục, hiệu lực trong vài phút chắc chắn an toàn hơn 1 cái mật mã cố định 4 con số :D cụ nhỉ.
Muốn an toàn thì phải kết hợp cả 2, mã dùng để xác thực giao dịch gồm 2 phần, phần đầu sinh ra bởi smart OTP và phần thứ 2 là SMS OTP.
Cụ đừng tưởng cái smart cụ giữ nó an toàn, cái máy sinh OTP (hoặc app sinh OTP) đó ngân hàng nó nắm và cài đặt quy luật sinh mã. Hacker nó truy cập hoặc nó có được cái quy luật này thì nó có luôn mã, lúc đó user không can thiệp vào giao dịch vẫn mất xèng. Nghĩa là user có cẩn thận cách mấy cũng mất xèng, hay nói trắng ra là user không quyết định được cái việc mình bị mất xèng hay không.
SMS OTP thì user sẽ phải đặt hàng, ngồi chờ tin nhắn SMS đến điện thoại, mở khóa điện thoại, nhập mã SMS. Nếu hacker truy cập được vào SMS từ bảo mật nhà mạng hoặc con đường nào đó thì user cũng bị mất. Tuy nhiên với phương pháp này user đã có quyền chủ động hơn trong việc nâng cao bảo mật và phải thực hiện các bước giao dịch của mình. Với phương pháp này thì thường hacker sẽ phải liên lạc với user để lừa lấy mã SMS. Còn phương pháp kia nó chả cần phải làm gì vì đã có sẵn mã.
 

dvhung243

Xe điện
Biển số
OF-12117
Ngày cấp bằng
15/12/07
Số km
2,845
Động cơ
761,638 Mã lực
Nơi ở
Ba đình - Hà nội
Smart OTP dùng cho doanh nghiệp phải có hai tài khoản , đặt lệnh và duyệt lệnh

Thực ra cả hai tk này dùng chung trên một smart phone được . Hôm trước e bị bắt đổi ( em mở tk bên tech ) cứ nghĩ mối tk phải một phone khác nhau nên mua thêm một cái , giờ mới biết mình thông minh quá nên thừa một cái

Thừa đành lập thêm một tk zalo quét " tìm quanh đây " vậy , đúng là đã bận rồi còn mua việc vào thân
 

chuyendang

Xe hơi
Biển số
OF-320452
Ngày cấp bằng
21/5/14
Số km
180
Động cơ
292,954 Mã lực
Đúng rồi cụ, SMS OTP có nhiều lỗ hổng, đặc biệt trên iOS và Android có thể có nhiều thư viện/app có thể tấn công và lấy được nội dung tin nhắn. Vì thế nên SMS OTP không đưọc khuyến cáo nữa cụ ah
 

tuanvespa

Xe tải
Biển số
OF-602528
Ngày cấp bằng
9/12/18
Số km
337
Động cơ
127,770 Mã lực
Tuổi
34
Smart OTP sẽ kém hơn cả SMS OTP nếu không kết hợp cả SMS vào đó. Đơn giản vì nếu bảo mật ngân hàng kém thì người dùng không can thiệp được và đi tong luôn.
Có thể hiểu nôm na là trước đây thì cần 2 chìa khóa: 1 là ở bên nhà mạng (thực ra vẫn là bên NH gửi code) và 1 là ở bên NH (mật khẩu web)

Thì nay chuyển hết về một mối là ngân hàng (sinh mã OTP và kiểm tra mật khẩu web) đúng ko cụ ơi.

Mà cái thuật toán để sinh ra mã OTP cũng chính là do thằng Trưởng nhóm IT ngân hàng nghĩ ra. Thế nên nó mà bắt tay với bên quản lý Password khách hàng thì nó muốn lấy bao nhiêu tiền của khách thì lấy được đúng ko cụ nhỉ :D
 

tuanvespa

Xe tải
Biển số
OF-602528
Ngày cấp bằng
9/12/18
Số km
337
Động cơ
127,770 Mã lực
Tuổi
34
Smart OTP dùng cho doanh nghiệp phải có hai tài khoản , đặt lệnh và duyệt lệnh

Thực ra cả hai tk này dùng chung trên một smart phone được . Hôm trước e bị bắt đổi ( em mở tk bên tech ) cứ nghĩ mối tk phải một phone khác nhau nên mua thêm một cái , giờ mới biết mình thông minh quá nên thừa một cái

Thừa đành lập thêm một tk zalo quét " tìm quanh đây " vậy , đúng là đã bận rồi còn mua việc vào thân
Tức là một điện thoại thông minh (Smart) có thể đăng nhập và lấy OTP/cũng như đặt lệnh của cả cấp Ké toán và Giám đốc trên 1 chiếc ĐT được phải ko cụ?

Nhưng còn vấn đè này mới chết: Đã cài cái Smart OTP vào 1 máy thì không chơi được trên máy khác và muốn đổi sang máy khác thì phải ra quầy xếp hàng lấy số để điền form thay đổi cụ ới ơi cái này mất time huhu
 

tuanvespa

Xe tải
Biển số
OF-602528
Ngày cấp bằng
9/12/18
Số km
337
Động cơ
127,770 Mã lực
Tuổi
34
Đúng rồi cụ, SMS OTP có nhiều lỗ hổng, đặc biệt trên iOS và Android có thể có nhiều thư viện/app có thể tấn công và lấy được nội dung tin nhắn. Vì thế nên SMS OTP không đưọc khuyến cáo nữa cụ ah
Cụ nói như thật, nếu vậy thì ngay cả cái app Smart OTP cũng có thể là đối tượng bị hack cơ. Hehe chẳng qua chắc là NH họ ko tin mấy ông bên Viễn thông (vì cứ là IT của viễn thông là đọc trộm được hết các tin nhắn của khách hàng mà, họ mà kết hợp là hacker trên trang web để có MK người dùng nữa thì là xong)
 

mazda3_pro

Xe lăn
Biển số
OF-68330
Ngày cấp bằng
14/7/10
Số km
14,211
Động cơ
540,914 Mã lực
Nơi ở
Hà Nội
Có thể hiểu nôm na là trước đây thì cần 2 chìa khóa: 1 là ở bên nhà mạng (thực ra vẫn là bên NH gửi code) và 1 là ở bên NH (mật khẩu web)

Thì nay chuyển hết về một mối là ngân hàng (sinh mã OTP và kiểm tra mật khẩu web) đúng ko cụ ơi.

Mà cái thuật toán để sinh ra mã OTP cũng chính là do thằng Trưởng nhóm IT ngân hàng nghĩ ra. Thế nên nó mà bắt tay với bên quản lý Password khách hàng thì nó muốn lấy bao nhiêu tiền của khách thì lấy được đúng ko cụ nhỉ :D
Tóm lại là đối với người dùng thì smart sẽ kém bảo mật hơn SMS :D
 

tuanvespa

Xe tải
Biển số
OF-602528
Ngày cấp bằng
9/12/18
Số km
337
Động cơ
127,770 Mã lực
Tuổi
34
Cái Agribank nó còn yêu cầu em đặt mật khẩu khóa điện thoại thì mới dùng được smart OTP, em thì ko thích khóa đt nên ko dùng.
Techcombank thì không yêu cầu khóa.
Giời ơi cu ơi cái app Smart OTP nào mà chả yêu cầu mật khẩu mở app. Cụ nhầm rồi nhé. Toàn bộ các NH đều bắt tạo pass cho cái app sinh mã OTP. Còn cái mà cụ bảo không cần pass thì nó chỉ là cái app để vào đặt lệnh thôi. Nó khác với cái app sinh mã OTP (có tên là *NH* Smart OTP).

Tổng cộng là cần cài 2 app thì mới đủ điều kiện chơi theo mã dạng SmartOTP. Cụ hỏi Tech đi thì sẽ rõ ngay
 

tuanvespa

Xe tải
Biển số
OF-602528
Ngày cấp bằng
9/12/18
Số km
337
Động cơ
127,770 Mã lực
Tuổi
34
Tóm lại là đối với người dùng thì smart sẽ kém bảo mật hơn SMS :D
Em đồng ý. Và có thể nói nếu NH mà có nội bộ gian xảo (bộ phận IT - hoặc Sếp Tổng) muốn lấy tiền của khách thì họ muốn lấy bao nhiêu thì lấy. Bảo mật chỉ là câu cửa miệng :D
 
Biển số
OF-636922
Ngày cấp bằng
19/4/19
Số km
106
Động cơ
112,270 Mã lực
Tuổi
33
Đương nhiên là nó vẫn bảo mật. Chỉ là phương thức bảo mật mới có thể an toàn hoặc tiện hơn. Đó là lựa chọn của ngân hàng. Nếu thích cụ có thể ko theo và ko dùng dịch vụ của nó.
Giống như điện thoại bảo mật bằng vân tay hay faceid thôi. Mặc dù mức độ bảo mật vẫn cao mà cái mới tiện hơn.
 

tuanvespa

Xe tải
Biển số
OF-602528
Ngày cấp bằng
9/12/18
Số km
337
Động cơ
127,770 Mã lực
Tuổi
34
Đương nhiên là nó vẫn bảo mật. Chỉ là phương thức bảo mật mới có thể an toàn hoặc tiện hơn. Đó là lựa chọn của ngân hàng. Nếu thích cụ có thể ko theo và ko dùng dịch vụ của nó.
Giống như điện thoại bảo mật bằng vân tay hay faceid thôi. Mặc dù mức độ bảo mật vẫn cao mà cái mới tiện hơn.
Cho em hỏi cụ là clone của nick nào vậy ạ :D
 

xuanphuongccs

Xe điện
Biển số
OF-536803
Ngày cấp bằng
12/10/17
Số km
2,754
Động cơ
186,667 Mã lực
Ô thế giờ mới biết à cụ ơi. Thế sao hồi xưa không tránh luôn đi (nhà mạng có thể đọc tin nhắn SMS) mà phải chờ đến giờ mới biết ra điều đó cụ nhỉ
Bây giờ mọi người dùng smartphone mới ứng dụng được chứ ngu phone thì chịu.
 

lqvinh

Xe hơi
Biển số
OF-85624
Ngày cấp bằng
18/2/11
Số km
141
Động cơ
409,389 Mã lực
Smart OTP sẽ kém hơn cả SMS OTP nếu không kết hợp cả SMS vào đó. Đơn giản vì nếu bảo mật ngân hàng kém thì người dùng không can thiệp được và đi tong luôn.
Em cũng đồng ý với cụ và em đã tranh luận nảy lửa về vụ này với bx e làm bên bank bị mấy đ/c IT nhồi nhét cho cái cụm từ "bảo mật hơn"
 

present

Xe điện
Biển số
OF-57015
Ngày cấp bằng
16/2/10
Số km
4,961
Động cơ
496,029 Mã lực
Nơi ở
ngắm cụ Rùa
Công nghệ 4.0 thì sẽ dùng bảo mật 02 lớp (lớp thứ 2 chính là SMS OTP).
Đọc thông báo của anh VCB dư lày chắc muốn quay về 0.4 để cấp cái Token đồng bộ chạy pin đây mà.
 

mazda3_pro

Xe lăn
Biển số
OF-68330
Ngày cấp bằng
14/7/10
Số km
14,211
Động cơ
540,914 Mã lực
Nơi ở
Hà Nội
Em cũng đồng ý với cụ và em đã tranh luận nảy lửa về vụ này với bx e làm bên bank bị mấy đ/c IT nhồi nhét cho cái cụm từ "bảo mật hơn"
SMS thì sẽ phải liên lạc với nạn nhân để moi cái SMS hoặc câu kết với thằng nhà mạng để lấy. Còn smart thì tự mình trồng được luôn, cái thứ 2 dễ thở hơn cho hacker rồi >:)
Vợ cụ làm bank thì không hiểu về kỹ thuật, mà đằng nào cụ có cãi cũng chỉ thua thôi, cãi làm gì khi đã biết kết quả =))
 

Mr.Alo

Xe lăn
Biển số
OF-109607
Ngày cấp bằng
19/8/11
Số km
13,468
Động cơ
490,339 Mã lực
Nơi ở
Lang Thang Bốn Bể
Dùng sms otp nếu bị mất tiền còn kiện cáo được vì còn sms để đối chứng . chơi smart otp mất nó kêu do người dùng ...thì vỡ mồm :D
 

chuyendang

Xe hơi
Biển số
OF-320452
Ngày cấp bằng
21/5/14
Số km
180
Động cơ
292,954 Mã lực
Cụ nói như thật, nếu vậy thì ngay cả cái app Smart OTP cũng có thể là đối tượng bị hack cơ. Hehe chẳng qua chắc là NH họ ko tin mấy ông bên Viễn thông (vì cứ là IT của viễn thông là đọc trộm được hết các tin nhắn của khách hàng mà, họ mà kết hợp là hacker trên trang web để có MK người dùng nữa thì là xong)
Không phải cụ ah, cụ search thử 2FA SMS OTP là ra, không chỉ ứng dụng ngân hàng mà tất cả các dịch vụ bảo mật 2 lớp người ta đều không khuyến cáo dùng SMS rồi. Phương thức hoạt động của Smart OTP như sau (em lấy từ trang TCB):

  • Để sử dụng Smart OTP, Quý khách cần đăng ký kích hoạt Smart OTP trên một thiết bị di động (điện thoại, máy tính bảng) duy nhất. Ngoài tài khoản ngân hàng điện tử và mật khẩu đăng nhập, Smart OTP sẽ được bảo vệ bằng một mã mở khóa 4 số do chính Quý Khách thiết lập.
  • Khi thực hiện xác thực giao dịch, Quý khách cần nhập Mã mở khóa Smart OTP, sau đó hệ thống sẽ tạo mã OTP duy nhất ứng với giao dịch đang chờ xác thực và tự động nhập OTP này để hoàn tất xác thực giao dịch.
  • Với giải pháp Techcombank Smart OTP, mã OTP được sinh ra ngay trên ứng dụng và mã hóa với hệ thống bảo vệ nhiều lớp phức tạp. Nhờ vậy mà giải pháp này mang đến mức độ bảo mật cao nhất và trải nghiệm vượt trội khi thực hiện các giao dịch trực tuyến
Tức là app Internet Banking sẽ tự lấy, đồng bộ điền mã token cho các giao dịch (ngày trước với token cứng thì các cụ nhập thủ công), việc này công thêm việc xác thực mã Smart OTP nữa nên chắc chắn bảo mật hơn SMS.
 
Chỉnh sửa cuối:

dvhung243

Xe điện
Biển số
OF-12117
Ngày cấp bằng
15/12/07
Số km
2,845
Động cơ
761,638 Mã lực
Nơi ở
Ba đình - Hà nội
Tức là một điện thoại thông minh (Smart) có thể đăng nhập và lấy OTP/cũng như đặt lệnh của cả cấp Ké toán và Giám đốc trên 1 chiếc ĐT được phải ko cụ?

Nhưng còn vấn đè này mới chết: Đã cài cái Smart OTP vào 1 máy thì không chơi được trên máy khác và muốn đổi sang máy khác thì phải ra quầy xếp hàng lấy số để điền form thay đổi cụ ới ơi cái này mất time huhu


Cái này em hỏi rồi bác , nếu muốn sử dụng trên máy khác thì bác phải lock tk tại máy cũ và tự làm thủ tục bên máy kia , không cần ra bank nữa . ( em cẩn thận vừa điện thoại ra hỏi bank luôn , em mở tk bên tech )
 
Chỉnh sửa cuối:

present

Xe điện
Biển số
OF-57015
Ngày cấp bằng
16/2/10
Số km
4,961
Động cơ
496,029 Mã lực
Nơi ở
ngắm cụ Rùa
Cái token đó và cái app kiểu như Google Authenticator về mặt nguyên lý là như nhau thôi, mức độ bảo mật coi như bằng nhau.
Cụ có nhầm ko nhỉ?
OTP là nó gửi lại sau khi được sinh ra từ hệ thống.
Còn token là 02 thành phần độc lập chạy chung thuật toán nhé.
Do vậy về sai số thì đương nhiên token không đảm bảo bằng rồi.
 
Thông tin thớt
Đang tải
Top