[Funland] Phương pháp SMS OTP mà còn không bảo mật à?

[echnikj]

Giời ơi cu ơi cái app Smart OTP nào mà chả yêu cầu mật khẩu mở app. Cụ nhầm rồi nhé. Toàn bộ các NH đều bắt tạo pass cho cái app sinh mã OTP. Còn cái mà cụ bảo không cần pass thì nó chỉ là cái app để vào đặt lệnh thôi. Nó khác với cái app sinh mã OTP (có tên là *NH* Smart OTP).

Tổng cộng là cần cài 2 app thì mới đủ điều kiện chơi theo mã dạng SmartOTP. Cụ hỏi Tech đi thì sẽ rõ ngay

Giời ơi cụ ơi, agri yêu cầu em khóa màn hình điện thoại cơ, khóa cả cái đt cơ.
Chứ app thì đương nhiên có pass rồi.
Tech em chỉ cài và đang cài 1 app nhé, cụ hỏi lại tech đi, hỏi đúng nhân viên mảng đó ý.

 

[Kẻ Nổi Loạn]

Giời ơi cu ơi cái app Smart OTP nào mà chả yêu cầu mật khẩu mở app. Cụ nhầm rồi nhé. Toàn bộ các NH đều bắt tạo pass cho cái app sinh mã OTP. Còn cái mà cụ bảo không cần pass thì nó chỉ là cái app để vào đặt lệnh thôi. Nó khác với cái app sinh mã OTP (có tên là *NH* Smart OTP).

Tổng cộng là cần cài 2 app thì mới đủ điều kiện chơi theo mã dạng SmartOTP. Cụ hỏi Tech đi thì sẽ rõ ngay

Tech nó gộp làm 1 luôn, otp thì gõ mỗi cái pin 4 số mình tự đặt, tóm lại thay vì sms thì giờ nhớ 2 cái pass: 1 đăng nhập mobile banking, 1 cái otp, hết

 

[4500EFI]

Cụ có nhầm ko nhỉ?
OTP là nó gửi lại sau khi được sinh ra từ hệ thống.
Còn token là 02 thành phần độc lập chạy chung thuật toán nhé.
Do vậy về sai số thì đương nhiên token không đảm bảo bằng rồi.

Mã hóa RSA. Cái này rất đơn giản để triển khai. Có lẽ các ngân hàng họ cân nhắc trải nghiệm người dùng nên bây giờ khi chín muồi mới triển khai đồng loạt. Ngân hàng em dùng còn không có SMS báo biến động số dư tài khoản. Hỏi kĩ và tìm hiểu thì nguyên do là giao thức SS7 của SMS quá sơ hở

 

[Fedora]

SMS OPT có 2 rủi ro
-Lộ qua nhà mạng
-Mất SIM (hacker lừa nhà mạng đổi số qua SIM khác, khách hàng làm mất SIM)



Smart OTP cũng có 2 rủi ro
- App bị revert: cái này khoai, app nó checksum các kiểu, đọc device id chế cháo, bê đc code sang máy khác ko dễ
- Mất máy: vẫn còn lớp PIN của máy, pwd của app, PIN của SmartOTP

SMS có khi bị delay, giao dịch thành timeout. Đang ở nước ngoài mà ko roamming là khỏi xài.

Theo em SmartOTP văn minh hơn và ít rủi ro hơn.

 

[tuanvespa]

Cái này em hỏi rồi bác , nếu muốn sử dụng trên máy khác thì bác phải lock tk tại máy cũ và tự làm thủ tục bên máy kia , không cần ra bank nữa . ( em cẩn thận vừa điện thoại ra hỏi bank luôn , em mở tk bên tech )

Cụ ơi vì lí do này mà cháu yêu bên Tech nhất vì nó bày ra một lựa chọn là lock trên máy cũ và chuyển sang khởi tạo trên máy mới.

Còn tất cả các NH khác còn lại bao gồm VCB, BIDV v.v... nó chưa có công nghệ cao này nên bắt người dùng phải xếp hàng tại quầy cụ ạ. Chính lí do này nên cháu ko thèm đổi nữa mà bỏ luôn TK (TK công ty ấy ạ). Xếp hàng là tốn time, mà time là tiền, éo ai hầu các ông trong khi keo kẹt sự lựa chọn

 

[namson229]

e chịu, nhưng mà lương tháng chưa dc 10tr, cũng ko quan tâm lắm chuyển tiền....vì chắc ko chuyển cho ai

 

[tuanvespa]

Cụ phân tích đúng đường đấy, nhưng đoạn cuối thì cụ nhầm. "Cái thuật toán sinh để mã hóa" do IT cài đặt nhưng chính thằng đó, cũng như "phần lớn" thằng nào khác cũng không phá được. Đó là yếu tố quyết định để hình thành nên Internet đấy cụ: Yếu tố bảo mật. Những cái này liên quan đến Mã hóa công khai, Mã hóa bất đối xứng. Tóm lại là, cho đến giờ, ở mức mã hóa thông thường, tức là mã hóa giao dịch giữa các cá nhân, thì nó vẫn rất an toàn.

Còn xác thực qua tin nhắn điện thoại (sms otp) ko an toàn là vì sao?
Về nguyên tắc, càng qua nhiều bước trung gian càng kém an toàn. Cụ gửi lá thư cho bồ, đã được mã hóa bước 1, rồi gửi cho chú đưa thư và bảo ku kia mã hóa tiếp bước 2, sau đó mới đưa đến mợ kia. Nó sẽ ko an toàn bằng việc cụ tự mã hóa cả 2 bước, tất nhiên bằng 2 công cụ khác nhau.
Nói giông dài thế để mô tả về mặt nguyên lý. Còn cụ thể trong trường hợp này là sms otp thì hack bằng cách nào? Có thể như sau:
- Bị chiếm đoạt sim từ nhân viên của nhà mạng, hay từ lỗi bảo mật của nhà mạng.
- Hacker đến nhà mạng và thông báo mất sim, rồi đưa ra 1 số phương pháp dựa vào thông tin mà nó có về số điện thoại mà nó tấn công, cộng với sự lơ là của cô bé nhân viên nhà mạng, thế là xong. Thời điểm tấn công có thể đc chọn vào lúc cụ đi du lịch, hay 1 ngày đặc biệt bận rộn nào đó mà ko kịp để ý là đthoại của mình ko gọi nghe đc. Và trong khoảng 30 ph đến 1h lơ là đó, lớp bảo mật thứ 2 tưởng như rất chắc chắn đã bị phá vỡ. Nếu như bảo mật lớp 1 (username password) đã bị phá (đôi khi khá dễ) thì coi như là tiền của cụ đã ra đi không trở lại.

Cái dòng bôi đỏ: Em thấy được vậy đã phúc tổ luôn (vì sẽ ghi hình được ai đến để giao dịch). Còn thế này mới chết cơ: Chính nhân viên của Di động lấy cắp tin nhắn của khách + kết hợp (hoặc chính họ là) hacker để điền mật khẩu internet banking của khách. Thế là xong phim.

Mà hầu hết những vụ mất tiền tài khoản không điều tra được, bởi vì thủ phạm chính là công an hoặc/và nhân viên Di động cụ ạ. Khách chịu ngậm ngùi.

 

[present]

Mã không sinh ra từ hệ thống (server của Google hay VCB) mà sinh ra từ cái app trên điện thoại của cụ. Cụ cứ ngắt kết nối Internet thì app nó vẫn chạy và sinh mã. Cái token cũng vậy à, nhà sản xuất làm ra cái token đã build sẵn cái app trên cái cục bé tí tẹo đó để nó sinh ra mã, giống như cái app trên đt của cụ đó.
Cái hay nó ở chỗ đó đấy ạ. Mã do cụ tự tạo ra và không phụ thuộc vào 1 kẻ nào khác, nên ko lo bị mất. Cái nguyên lý toán học của thuật toán sinh ra khóa mã này gọi là Mật mã bất đối xứng. Bitcoin cũng từ đó mà ra đấy ạ.

Úi thế à??? Vậy mà em nhận OTP từ SMS cũng là do cái app trên điện thoại nó sinh ra??? Lạ quá!

 

[tuanvespa]

Giời ơi cụ ơi, agri yêu cầu em khóa màn hình điện thoại cơ, khóa cả cái đt cơ.
Chứ app thì đương nhiên có pass rồi.
Tech em chỉ cài và đang cài 1 app nhé, cụ hỏi lại tech đi, hỏi đúng nhân viên mảng đó ý.

Tech nó gộp làm 1 luôn, otp thì gõ mỗi cái pin 4 số mình tự đặt, tóm lại thay vì sms thì giờ nhớ 2 cái pass: 1 đăng nhập mobile banking, 1 cái otp, hết

Vậy thì nó gộp làm 1 app nhưng bản chất là 2 app chạy song song cụ ạ, tức là vừa cho đặt lệnh vừa gán mã sinh ra OTP vào luôn giao dịch. Nên chính vì thế khách hàng luôn phải tạo ra 1 cái mật khẩu cho app (khác với mật khẩu giao dịch) => tức là cần 2 mật khẩu khác nhau (2 lớp).

Chung quy lại dù có bảo mật đến mấy là thằng IT Trùm hoặc thẳng Sếp Tổng NH nó muốn lấy tiền của khách thì bao nhiêu nó cũng lấy được hết. Hihi

 

[tuanvespa]

Mã không sinh ra từ hệ thống (server của Google hay VCB) mà sinh ra từ cái app trên điện thoại của cụ. Cụ cứ ngắt kết nối Internet thì app nó vẫn chạy và sinh mã. Cái token cũng vậy à, nhà sản xuất làm ra cái token đã build sẵn cái app trên cái cục bé tí tẹo đó để nó sinh ra mã, giống như cái app trên đt của cụ đó.
Cái hay nó ở chỗ đó đấy ạ. Mã do cụ tự tạo ra và không phụ thuộc vào 1 kẻ nào khác, nên ko lo bị mất. Cái nguyên lý toán học của thuật toán sinh ra khóa mã này gọi là Mật mã bất đối xứng. Bitcoin cũng từ đó mà ra đấy ạ.

Rõ ràng là thế cụ ơi. Cái app này (mà hồi xưa là cái cục bằng ngón tay giắt móc chìa khóa) chính là phần mềm sinh ra mã mà chả cần kết nối đến máy chủ nào. Bản thân nó được tạo bởi thuật toán đi với cái hệ thống thành 1 cặp đồng bộ cứ 30 giây lại đổi 1 phát và luôn khớp nhau. Mà hồi xưa cái token 5 năm hết pin lại phải mua lại. Còn cái app này có cái hay là không hết pin ạ nhưng chắc sau này bọn NH nó đòi thu phí thì căng phết

 

[tuanvespa]

SMS OPT có 2 rủi ro
-Lộ qua nhà mạng
-Mất SIM (hacker lừa nhà mạng đổi số qua SIM khác, khách hàng làm mất SIM)



Smart OTP cũng có 2 rủi ro
- App bị revert: cái này khoai, app nó checksum các kiểu, đọc device id chế cháo, bê đc code sang máy khác ko dễ
- Mất máy: vẫn còn lớp PIN của máy, pwd của app, PIN của SmartOTP

SMS có khi bị delay, giao dịch thành timeout. Đang ở nước ngoài mà ko roamming là khỏi xài.

Theo em SmartOTP văn minh hơn và ít rủi ro hơn.

Cái đỏ: Rõ ràng và hiển nhiên rồi cụ ơi. Cái này như cơm bữa nhưng đố ai chứng minh được là nhà mạng đọc lén tin nhắn để lấy mật khẩu. Bởi vì họ nắm chính chứng cứ của họ nên họ mà ko đưa ra thì thánh mới biết ạ. Công an cũng phải luồn cúi nhà mạng vì phải nhờ họ nhiều việc!

 

[tuanvespa]

Nguyên lý sinh mã của app khá đơn giản, nhưng lại không thể giải mã được. Không liên quan gì đến những cái ID checksum mà cụ nói.

Giải được hết cụ. Đã có mã thì sẽ có giải mã. Cái này là 1 điều đương nhiên mà. Còn ai bảo là không giải được thì chỉ là mị dân.

 

[tuanvespa]

Úi thế à??? Vậy mà em nhận OTP từ SMS cũng là do cái app trên điện thoại nó sinh ra??? Lạ quá!

Cụ bị sao vậy?

- Nếu mã là SMS OTP: => Đây là mã Hệ thống NH sinh ra gửi về cho khách
- Nếu mã là Smart OTP: => Đây là mã sinh ra từ Thuật toán (Cài trên App + Cài trên Hệ thống)

Hai cái có hai phương thức khác cmn hẳn nhau. Cụ hỏi cho nó kỹ đi.

 

[Gomtamlinh]

NH nào mà ghẻ thế cụ ơi. Tech nếu đổi máy cũng ko cần phải đến quầy để đăng ký lại Smart OTP

Tech mới hủy đc bằng đt, chắc tại bị e mắng nhiều quá.. Trước mới dùng smart otp, nó update cũng bị out bắt mang cmt ra quầy mới hủy để cài lại đc. Mịa, gặp đúng lúc mất cmt , bật cả tk, cả bản chụp nóa nhất quyết ko hủy. Cả cụ nào biết cho em hỏi cách nào dùng smart tech cho máy root đc ko nhỉ? Lúc trước e đã cài đc một lần nâng cấp lên cài mãi ko đc

 

[ambdiep]

Có thể hiểu nôm na là trước đây thì cần 2 chìa khóa: 1 là ở bên nhà mạng (thực ra vẫn là bên NH gửi code) và 1 là ở bên NH (mật khẩu web)

Thì nay chuyển hết về một mối là ngân hàng (sinh mã OTP và kiểm tra mật khẩu web) đúng ko cụ ơi.

Mà cái thuật toán để sinh ra mã OTP cũng chính là do thằng Trưởng nhóm IT ngân hàng nghĩ ra. Thế nên nó mà bắt tay với bên quản lý Password khách hàng thì nó muốn lấy bao nhiêu tiền của khách thì lấy được đúng ko cụ nhỉ

Dễ thế thì giàu to rồi cụ.
Smart OTP đúng là bảo mật hơn nhiều so với sms otp, chính xác phải là Smart OTP với ký trên từng giao dịch.

 

[ambdiep]

Giời ơi cụ ơi, agri yêu cầu em khóa màn hình điện thoại cơ, khóa cả cái đt cơ.
Chứ app thì đương nhiên có pass rồi.
Tech em chỉ cài và đang cài 1 app nhé, cụ hỏi lại tech đi, hỏi đúng nhân viên mảng đó ý.

Cụ chuẩn rồi. Tech thì smart otp được cài sẵn trong mobile banking, khách hàng tiện hơn rất nhiều

 

[vnledigmann]

Món này em chịu. Em chỉ biết là VCB thu phí dịch vụ nhiều, vào giao dịch thì rõ lâu. Em cho vào black list rồi.

 

[ambdiep]

Tech mới hủy đc bằng đt, chắc tại bị e mắng nhiều quá.. Trước mới dùng smart otp, nó update cũng bị out bắt mang cmt ra quầy mới hủy để cài lại đc. Mịa, gặp đúng lúc mất cmt , bật cả tk, cả bản chụp nóa nhất quyết ko hủy. Cả cụ nào biết cho em hỏi cách nào dùng smart tech cho máy root đc ko nhỉ? Lúc trước e đã cài đc một lần nâng cấp lên cài mãi ko đc

Ko được cụ nhé, bank bây giờ rất khắt khe vụ máy root.

 

[bimbimpro]

Ko phải là nóa ko bảo mật mà e nghĩ là mức độ bảo mật của nóa thấp hơn. NH làm thế cũng là vì quyền lợi chung của NH và khách hàng mà thôi.
E vừa đổi máy cài lại Smart OTP nóa lại bắt ra điểm giao dịch để đăng ký, ngại đi ghê.

Cụ vào internet banking tự kích hoạt lại được nhé. Nắng nôi ra ngân hàng làm gì

 

[mazda3_pro]

Cụ phân tích đúng đường đấy, nhưng đoạn cuối thì cụ nhầm. "Cái thuật toán sinh để mã hóa" do IT cài đặt nhưng chính thằng đó, cũng như "phần lớn" thằng nào khác cũng không phá được. Đó là yếu tố quyết định để hình thành nên Internet đấy cụ: Yếu tố bảo mật. Những cái này liên quan đến Mã hóa công khai, Mã hóa bất đối xứng. Tóm lại là, cho đến giờ, ở mức mã hóa thông thường, tức là mã hóa giao dịch giữa các cá nhân, thì nó vẫn rất an toàn.

Còn xác thực qua tin nhắn điện thoại (sms otp) ko an toàn là vì sao?
Về nguyên tắc, càng qua nhiều bước trung gian càng kém an toàn. Cụ gửi lá thư cho bồ, đã được mã hóa bước 1, rồi gửi cho chú đưa thư và bảo ku kia mã hóa tiếp bước 2, sau đó mới đưa đến mợ kia. Nó sẽ ko an toàn bằng việc cụ tự mã hóa cả 2 bước, tất nhiên bằng 2 công cụ khác nhau.
Nói giông dài thế để mô tả về mặt nguyên lý. Còn cụ thể trong trường hợp này là sms otp thì hack bằng cách nào? Có thể như sau:
- Bị chiếm đoạt sim từ nhân viên của nhà mạng, hay từ lỗi bảo mật của nhà mạng.
- Hacker đến nhà mạng và thông báo mất sim, rồi đưa ra 1 số phương pháp dựa vào thông tin mà nó có về số điện thoại mà nó tấn công, cộng với sự lơ là của cô bé nhân viên nhà mạng, thế là xong. Thời điểm tấn công có thể đc chọn vào lúc cụ đi du lịch, hay 1 ngày đặc biệt bận rộn nào đó mà ko kịp để ý là đthoại của mình ko gọi nghe đc. Và trong khoảng 30 ph đến 1h lơ là đó, lớp bảo mật thứ 2 tưởng như rất chắc chắn đã bị phá vỡ. Nếu như bảo mật lớp 1 (username password) đã bị phá (đôi khi khá dễ) thì coi như là tiền của cụ đã ra đi không trở lại.

1. SMS OTP: hacker sẽ phải phá 2 khóa, 1 khóa do ngân hàng tạo mã OTP, một khóa là chôm được cái SMS từ nạn nhân hoặc nhà mạng.
2. Smart OTP: chỉ cần bẻ được 1 khóa là xong, đó là trình tạo mã của smart OTP.