[Funland] Phương pháp SMS OTP mà còn không bảo mật à?

mazda3_pro

Xe lăn
Biển số
OF-68330
Ngày cấp bằng
14/7/10
Số km
14,211
Động cơ
540,914 Mã lực
Nơi ở
Hà Nội
Rõ ràng là thế cụ ơi. Cái app này (mà hồi xưa là cái cục bằng ngón tay giắt móc chìa khóa) chính là phần mềm sinh ra mã mà chả cần kết nối đến máy chủ nào. Bản thân nó được tạo bởi thuật toán đi với cái hệ thống thành 1 cặp đồng bộ cứ 30 giây lại đổi 1 phát và luôn khớp nhau. Mà hồi xưa cái token 5 năm hết pin lại phải mua lại. Còn cái app này có cái hay là không hết pin ạ :)) nhưng chắc sau này bọn NH nó đòi thu phí thì căng phết
Ừ, mã tạo 2 nơi và trùng nhau, như vậy là có khả năng 1 thằng nào đó biết mã đó nếu nó tìm được cái nơi lưu thứ 2 kia mà người dùng thì ngậm ngùi vì người dùng chả làm cái động tác nào để cung cấp mã cho ai cả :D
 

bomon

Xe tăng
Biển số
OF-202335
Ngày cấp bằng
16/7/13
Số km
1,300
Động cơ
339,109 Mã lực
Muốn an toàn thì phải kết hợp cả 2, mã dùng để xác thực giao dịch gồm 2 phần, phần đầu sinh ra bởi smart OTP và phần thứ 2 là SMS OTP.
Cụ đừng tưởng cái smart cụ giữ nó an toàn, cái máy sinh OTP (hoặc app sinh OTP) đó ngân hàng nó nắm và cài đặt quy luật sinh mã. Hacker nó truy cập hoặc nó có được cái quy luật này thì nó có luôn mã, lúc đó user không can thiệp vào giao dịch vẫn mất xèng. Nghĩa là user có cẩn thận cách mấy cũng mất xèng, hay nói trắng ra là user không quyết định được cái việc mình bị mất xèng hay không.
SMS OTP thì user sẽ phải đặt hàng, ngồi chờ tin nhắn SMS đến điện thoại, mở khóa điện thoại, nhập mã SMS. Nếu hacker truy cập được vào SMS từ bảo mật nhà mạng hoặc con đường nào đó thì user cũng bị mất. Tuy nhiên với phương pháp này user đã có quyền chủ động hơn trong việc nâng cao bảo mật và phải thực hiện các bước giao dịch của mình. Với phương pháp này thì thường hacker sẽ phải liên lạc với user để lừa lấy mã SMS. Còn phương pháp kia nó chả cần phải làm gì vì đã có sẵn mã.
1. SMS OTP: hacker sẽ phải phá 2 khóa, 1 khóa do ngân hàng tạo mã OTP, một khóa là chôm được cái SMS từ nạn nhân hoặc nhà mạng.
2. Smart OTP: chỉ cần bẻ được 1 khóa là xong, đó là trình tạo mã của smart OTP.
Cụ lập luận hơi .. ngây thơ, thằng hacker nó móc được mã bí mật trong app Smart OTP của khách hàng, mà nó không biết cách đăng ký nhận SMS trên máy đó ý hả, hacker lúa thế. Kiểu gì thì OTP trên app vẫn an toàn hơn qua SMS.

Còn trình tạo mã của app OTP chả có mẹ gì phức tạp, cụ bẻ là bẻ cái gì nhỉ ? Cơ bản là lấy 1 thuật toán công khai, chế thêm 1 tí cho bí mật hoặc không cần, bà con dùng Google Authenticator thuật toán TOTP suốt chả ai kêu mất an toàn, nó chỉ giấu đi 1 cái seed ban đầu dựa vào tài khoản người dùng, số điện thoại và máy điện thoại, sinh OTP theo thời gian. Giờ cụ thử google xem đã có ai bẻ app Google Authenticator chưa, để chiếm 2FA người dùng của đủ các loại trang web và hệ thống trên thế giới chưa ?
 

mazda3_pro

Xe lăn
Biển số
OF-68330
Ngày cấp bằng
14/7/10
Số km
14,211
Động cơ
540,914 Mã lực
Nơi ở
Hà Nội
Cụ lập luận hơi .. ngây thơ, thằng hacker nó móc được mã bí mật trong app Smart OTP của khách hàng, mà nó không biết cách đăng ký nhận SMS trên máy đó ý hả, hacker lúa thế. Kiểu gì thì OTP trên app vẫn an toàn hơn qua SMS.

Còn trình tạo mã của app OTP chả có mẹ gì phức tạp, cụ bẻ là bẻ cái gì nhỉ ? Cơ bản là lấy 1 thuật toán công khai, chế thêm 1 tí cho bí mật hoặc không cần, bà con dùng Google Authenticator thuật toán TOTP suốt chả ai kêu mất an toàn, nó chỉ giấu đi 1 cái seed ban đầu dựa vào tài khoản người dùng, số điện thoại và máy điện thoại, sinh OTP theo thời gian. Giờ cụ thử google xem đã có ai bẻ app Google Authenticator chưa, để chiếm 2FA người dùng của đủ các loại trang web và hệ thống trên thế giới chưa ?
Cái cụ nói chả liên quan đến cái tôi nói mà trích dẫn cho mất công.
À, nhân tiện, cụ làm IT hoặc bảo mật thì hãy chém tiếp, ngoại đạo thì đừng có mất công làm loãng thớt.
 

dongnat123

[Tịch thu bằng lái]
Biển số
OF-477830
Ngày cấp bằng
19/12/16
Số km
9,633
Động cơ
272,228 Mã lực
SMS nếu dùng iOS nó đồng bộ được tin nhắn giữa các máy dùng chung icloud với nhau.
Cụ nào lowtech để shop nó cài icloud giúp thì khác nào mở cửa cho giặc vào nhà...

Tương tự trên Android nếu các cụ cấp full quyền truy cập SMS cho Zalo, Messenger...

Khi cấp quyền truy cập SmS cho ứng dụng của bên thứ 3 là thông tin đã có khả năng rò rỉ rồi.

Các cụ để ý thấy khoảng giờ các giao dịch lừa đảo online diễn ra đa phần trong khung giờ chủ nhân đang ngủ!
Em dùng cục gạch nhận sms otp còn khôn phone giao dịch với ngân hàng có hack được không cụ
 

Bomva

Xe điện
Biển số
OF-73151
Ngày cấp bằng
17/9/10
Số km
3,182
Động cơ
442,726 Mã lực
Em đang thấy mọi người hiểu sai hay sao ấy. Nó khuyến khích dùng sang smart otp chứ nó có nói SMS không bảo mật hơn đâu. Dùng smart OTP tiện lợi hơn hẳn. Còn bảo mật em thấy như nhau. Nhiều khi em thấy SMS còn bảo mật hơn vì nhớ cái tên đăng nhập VCB đã vãi cả lúa roiif
 

Grab langthang

Xe hơi
Biển số
OF-623365
Ngày cấp bằng
13/3/19
Số km
159
Động cơ
116,490 Mã lực
Tuổi
47
Cái này phụ thuộc vào ý chí của NH thôi
 

metalins

Xe điện
Biển số
OF-69519
Ngày cấp bằng
30/7/10
Số km
2,160
Động cơ
445,299 Mã lực
Có liên quan gì đến VCB mới mở NH tại Mỹ ko nhỉ? Nếu cứ xác thực bằng SMS ko thôi thì khó mà dân Mỹ nó chịu mang tiền đến gửi hay giao dịch qua đó. Em có TK của NH quốc tế SMS chỉ để nhận thông báo ko có dùng trg giao dịch gì cả.
 

Su Đình

Xe tăng
Biển số
OF-418109
Ngày cấp bằng
22/4/16
Số km
1,833
Động cơ
236,664 Mã lực
Tuổi
44
Dùng sms otp còn có cái nguy hiểm là lỡ ai cầm được điện thoại một tẹo thôi là có thể thực hiện việc chuyển tiền hay thanh toán tiền (vì thường sim số đt đăng ký sms lắp cùng với máy cài phần mềm internet banking).
 

VoCan

Xe điện
Biển số
OF-394022
Ngày cấp bằng
26/11/15
Số km
2,791
Động cơ
269,733 Mã lực
Ô thế giờ mới biết à cụ ơi. Thế sao hồi xưa không tránh luôn đi (nhà mạng có thể đọc tin nhắn SMS) mà phải chờ đến giờ mới biết ra điều đó cụ nhỉ
Công nghệ hồi xưa sao bằng được giờ cụ ơi
 

KatKik

Xe điện
Biển số
OF-565689
Ngày cấp bằng
23/4/18
Số km
4,122
Động cơ
186,326 Mã lực
Cụ vào internet banking tự kích hoạt lại được nhé. Nắng nôi ra ngân hàng làm gì
Vậy à, để e thử phát. Kích hoạt trên đt nóa báo phải ra điểm gd để kích hoạt.
 

KatKik

Xe điện
Biển số
OF-565689
Ngày cấp bằng
23/4/18
Số km
4,122
Động cơ
186,326 Mã lực
Cụ vào internet banking tự kích hoạt lại được nhé. Nắng nôi ra ngân hàng làm gì
Vậy à, để e thử phát. Kích hoạt trên đt nóa báo phải ra điểm gd để kích hoạt.
E vừa thử, đăng ký thành công trên enternet banking rồi mà mở app trên ĐT để kích hoạt thì nóa vẫn thông báo cần ra điểm GD để đăng ký, chán voãi. Để T2 làm lại xem sao.
 

American Turkey

Xe tải
Biển số
OF-612802
Ngày cấp bằng
30/1/19
Số km
239
Động cơ
121,661 Mã lực
Tuổi
35
E vừa thử, đăng ký thành công trên enternet banking rồi mà mở app trên ĐT để kích hoạt thì nóa vẫn thông báo cần ra điểm GD để đăng ký, chán voãi. Để T2 làm lại xem sao.
Phải ra điểm gd đăng ký lần đầu cụ ạ. Công nhận 4.0 cũng hơi chuối
 

KatKik

Xe điện
Biển số
OF-565689
Ngày cấp bằng
23/4/18
Số km
4,122
Động cơ
186,326 Mã lực
Em đang thấy mọi người hiểu sai hay sao ấy. Nó khuyến khích dùng sang smart otp chứ nó có nói SMS không bảo mật hơn đâu. Dùng smart OTP tiện lợi hơn hẳn. Còn bảo mật em thấy như nhau. Nhiều khi em thấy SMS còn bảo mật hơn vì nhớ cái tên đăng nhập VCB đã vãi cả lúa roiif
Dùng cái này tiện hơn, đặc biệt khi mình đi ra khỏi vùng có sóng đt, chỉ cần có internet là giao dịch đc.
 

KatKik

Xe điện
Biển số
OF-565689
Ngày cấp bằng
23/4/18
Số km
4,122
Động cơ
186,326 Mã lực
Phải ra điểm gd đăng ký lần đầu cụ ạ. Công nhận 4.0 cũng hơi chuối
Cách đây mấy năm e đã dùng app Smart OTP rồi mà, đợt vừa rồi lâu e ko dùng với lại đổi đt khác. Chắc nóa nâng cấp phầm mềm với bảo mật nên đòi hỏi khắt khe hơn. Có mỗi việc nhỏ này mà phải chạy ra NH thì mất công quá.
 

phucsminh

Xe tăng
Biển số
OF-350817
Ngày cấp bằng
14/1/15
Số km
1,182
Động cơ
276,776 Mã lực
Giải được hết cụ. Đã có mã thì sẽ có giải mã. Cái này là 1 điều đương nhiên mà. Còn ai bảo là không giải được thì chỉ là mị dân. :D
Trên lý thuyết là vậy, tuy nhiên với thời điểm hiện tại chưa có máy tính lượng tử nào có thể giải mã thuật toán rsa với độ dài mấy nghìn bit. Cụ bảo mị dân chắc là cư dân của NSA ấy nhỉ :))
 

zin80

Xe tải
Biển số
OF-685915
Ngày cấp bằng
10/7/19
Số km
286
Động cơ
105,894 Mã lực
Tuổi
44
Em phải lập cái nick mới để đính chính lại những phát biểu cũ, vì phát hiện ra là mình nhầm. Cái Smart OTP này không an toàn như em tưởng, không dùng mã hóa bất đối xứng. Mặc dù vậy thì nó vẫn là 1 lớp bảo mật hiệu quả (an toàn đối vớu những giao dịch không lớn, cỡ 1 tỉ). Và Smart OTP vẫn tốt hơn SMS OTP.
 

Vương_Triều

Xe máy
Biển số
OF-539047
Ngày cấp bằng
28/10/17
Số km
86
Động cơ
165,900 Mã lực
Tuổi
34
Em đăng ký thì báo phải ra điểm giao dịch
mà ra đgd vcb chờ lâu vãi nón
 

zin80

Xe tải
Biển số
OF-685915
Ngày cấp bằng
10/7/19
Số km
286
Động cơ
105,894 Mã lực
Tuổi
44
Cách đây mấy năm e đã dùng app Smart OTP rồi mà, đợt vừa rồi lâu e ko dùng với lại đổi đt khác. Chắc nóa nâng cấp phầm mềm với bảo mật nên đòi hỏi khắt khe hơn. Có mỗi việc nhỏ này mà phải chạy ra NH thì mất công quá.
Mất công nhưng an toàn, đành vậy thôi.
Ra ngân hàng, để nh xác định đúng chính chủ tài khoản đang dùng chìa khóa bảo mật và duy nhất chỉ có 1 chìa khóa được lưu hành. Sẽ là không an toàn nếu có 1 kẻ lừa đảo có Smart OTP của cụ.
Tóm lại, lý do của việc trực tiếp ra nh là vì nó an toàn hơn việc xác thực (bảo mật lớp 2) qua Internet.
 

zin80

Xe tải
Biển số
OF-685915
Ngày cấp bằng
10/7/19
Số km
286
Động cơ
105,894 Mã lực
Tuổi
44
Thông tin thớt
Đang tải

Bài viết mới

Top