[Funland] Phương pháp SMS OTP mà còn không bảo mật à?

[mazda3_pro]

Rõ ràng là thế cụ ơi. Cái app này (mà hồi xưa là cái cục bằng ngón tay giắt móc chìa khóa) chính là phần mềm sinh ra mã mà chả cần kết nối đến máy chủ nào. Bản thân nó được tạo bởi thuật toán đi với cái hệ thống thành 1 cặp đồng bộ cứ 30 giây lại đổi 1 phát và luôn khớp nhau. Mà hồi xưa cái token 5 năm hết pin lại phải mua lại. Còn cái app này có cái hay là không hết pin ạ nhưng chắc sau này bọn NH nó đòi thu phí thì căng phết

Ừ, mã tạo 2 nơi và trùng nhau, như vậy là có khả năng 1 thằng nào đó biết mã đó nếu nó tìm được cái nơi lưu thứ 2 kia mà người dùng thì ngậm ngùi vì người dùng chả làm cái động tác nào để cung cấp mã cho ai cả

 

[bomon]

Muốn an toàn thì phải kết hợp cả 2, mã dùng để xác thực giao dịch gồm 2 phần, phần đầu sinh ra bởi smart OTP và phần thứ 2 là SMS OTP.
Cụ đừng tưởng cái smart cụ giữ nó an toàn, cái máy sinh OTP (hoặc app sinh OTP) đó ngân hàng nó nắm và cài đặt quy luật sinh mã. Hacker nó truy cập hoặc nó có được cái quy luật này thì nó có luôn mã, lúc đó user không can thiệp vào giao dịch vẫn mất xèng. Nghĩa là user có cẩn thận cách mấy cũng mất xèng, hay nói trắng ra là user không quyết định được cái việc mình bị mất xèng hay không.
SMS OTP thì user sẽ phải đặt hàng, ngồi chờ tin nhắn SMS đến điện thoại, mở khóa điện thoại, nhập mã SMS. Nếu hacker truy cập được vào SMS từ bảo mật nhà mạng hoặc con đường nào đó thì user cũng bị mất. Tuy nhiên với phương pháp này user đã có quyền chủ động hơn trong việc nâng cao bảo mật và phải thực hiện các bước giao dịch của mình. Với phương pháp này thì thường hacker sẽ phải liên lạc với user để lừa lấy mã SMS. Còn phương pháp kia nó chả cần phải làm gì vì đã có sẵn mã.

1. SMS OTP: hacker sẽ phải phá 2 khóa, 1 khóa do ngân hàng tạo mã OTP, một khóa là chôm được cái SMS từ nạn nhân hoặc nhà mạng.
2. Smart OTP: chỉ cần bẻ được 1 khóa là xong, đó là trình tạo mã của smart OTP.

Cụ lập luận hơi .. ngây thơ, thằng hacker nó móc được mã bí mật trong app Smart OTP của khách hàng, mà nó không biết cách đăng ký nhận SMS trên máy đó ý hả, hacker lúa thế. Kiểu gì thì OTP trên app vẫn an toàn hơn qua SMS.

Còn trình tạo mã của app OTP chả có mẹ gì phức tạp, cụ bẻ là bẻ cái gì nhỉ ? Cơ bản là lấy 1 thuật toán công khai, chế thêm 1 tí cho bí mật hoặc không cần, bà con dùng Google Authenticator thuật toán TOTP suốt chả ai kêu mất an toàn, nó chỉ giấu đi 1 cái seed ban đầu dựa vào tài khoản người dùng, số điện thoại và máy điện thoại, sinh OTP theo thời gian. Giờ cụ thử google xem đã có ai bẻ app Google Authenticator chưa, để chiếm 2FA người dùng của đủ các loại trang web và hệ thống trên thế giới chưa ?

 

[mazda3_pro]

Cụ lập luận hơi .. ngây thơ, thằng hacker nó móc được mã bí mật trong app Smart OTP của khách hàng, mà nó không biết cách đăng ký nhận SMS trên máy đó ý hả, hacker lúa thế. Kiểu gì thì OTP trên app vẫn an toàn hơn qua SMS.

Còn trình tạo mã của app OTP chả có mẹ gì phức tạp, cụ bẻ là bẻ cái gì nhỉ ? Cơ bản là lấy 1 thuật toán công khai, chế thêm 1 tí cho bí mật hoặc không cần, bà con dùng Google Authenticator thuật toán TOTP suốt chả ai kêu mất an toàn, nó chỉ giấu đi 1 cái seed ban đầu dựa vào tài khoản người dùng, số điện thoại và máy điện thoại, sinh OTP theo thời gian. Giờ cụ thử google xem đã có ai bẻ app Google Authenticator chưa, để chiếm 2FA người dùng của đủ các loại trang web và hệ thống trên thế giới chưa ?

Cái cụ nói chả liên quan đến cái tôi nói mà trích dẫn cho mất công.
À, nhân tiện, cụ làm IT hoặc bảo mật thì hãy chém tiếp, ngoại đạo thì đừng có mất công làm loãng thớt.

 

[dongnat123]

SMS nếu dùng iOS nó đồng bộ được tin nhắn giữa các máy dùng chung icloud với nhau.
Cụ nào lowtech để shop nó cài icloud giúp thì khác nào mở cửa cho giặc vào nhà...

Tương tự trên Android nếu các cụ cấp full quyền truy cập SMS cho Zalo, Messenger...

Khi cấp quyền truy cập SmS cho ứng dụng của bên thứ 3 là thông tin đã có khả năng rò rỉ rồi.

Các cụ để ý thấy khoảng giờ các giao dịch lừa đảo online diễn ra đa phần trong khung giờ chủ nhân đang ngủ!

Em dùng cục gạch nhận sms otp còn khôn phone giao dịch với ngân hàng có hack được không cụ

 

[Bomva]

Em đang thấy mọi người hiểu sai hay sao ấy. Nó khuyến khích dùng sang smart otp chứ nó có nói SMS không bảo mật hơn đâu. Dùng smart OTP tiện lợi hơn hẳn. Còn bảo mật em thấy như nhau. Nhiều khi em thấy SMS còn bảo mật hơn vì nhớ cái tên đăng nhập VCB đã vãi cả lúa roiif

 

[Grab langthang]

Cái này phụ thuộc vào ý chí của NH thôi

 

[metalins]

Có liên quan gì đến VCB mới mở NH tại Mỹ ko nhỉ? Nếu cứ xác thực bằng SMS ko thôi thì khó mà dân Mỹ nó chịu mang tiền đến gửi hay giao dịch qua đó. Em có TK của NH quốc tế SMS chỉ để nhận thông báo ko có dùng trg giao dịch gì cả.

 

[Su Đình]

Dùng sms otp còn có cái nguy hiểm là lỡ ai cầm được điện thoại một tẹo thôi là có thể thực hiện việc chuyển tiền hay thanh toán tiền (vì thường sim số đt đăng ký sms lắp cùng với máy cài phần mềm internet banking).

 

[VoCan]

Ô thế giờ mới biết à cụ ơi. Thế sao hồi xưa không tránh luôn đi (nhà mạng có thể đọc tin nhắn SMS) mà phải chờ đến giờ mới biết ra điều đó cụ nhỉ

Công nghệ hồi xưa sao bằng được giờ cụ ơi

 

[KatKik]

Cụ vào internet banking tự kích hoạt lại được nhé. Nắng nôi ra ngân hàng làm gì

Vậy à, để e thử phát. Kích hoạt trên đt nóa báo phải ra điểm gd để kích hoạt.

 

[KatKik]

Cụ vào internet banking tự kích hoạt lại được nhé. Nắng nôi ra ngân hàng làm gì

Vậy à, để e thử phát. Kích hoạt trên đt nóa báo phải ra điểm gd để kích hoạt.

E vừa thử, đăng ký thành công trên enternet banking rồi mà mở app trên ĐT để kích hoạt thì nóa vẫn thông báo cần ra điểm GD để đăng ký, chán voãi. Để T2 làm lại xem sao.

 

[American Turkey]

E vừa thử, đăng ký thành công trên enternet banking rồi mà mở app trên ĐT để kích hoạt thì nóa vẫn thông báo cần ra điểm GD để đăng ký, chán voãi. Để T2 làm lại xem sao.

Phải ra điểm gd đăng ký lần đầu cụ ạ. Công nhận 4.0 cũng hơi chuối

 

[KatKik]

Em đang thấy mọi người hiểu sai hay sao ấy. Nó khuyến khích dùng sang smart otp chứ nó có nói SMS không bảo mật hơn đâu. Dùng smart OTP tiện lợi hơn hẳn. Còn bảo mật em thấy như nhau. Nhiều khi em thấy SMS còn bảo mật hơn vì nhớ cái tên đăng nhập VCB đã vãi cả lúa roiif

Dùng cái này tiện hơn, đặc biệt khi mình đi ra khỏi vùng có sóng đt, chỉ cần có internet là giao dịch đc.

 

[KatKik]

Phải ra điểm gd đăng ký lần đầu cụ ạ. Công nhận 4.0 cũng hơi chuối

Cách đây mấy năm e đã dùng app Smart OTP rồi mà, đợt vừa rồi lâu e ko dùng với lại đổi đt khác. Chắc nóa nâng cấp phầm mềm với bảo mật nên đòi hỏi khắt khe hơn. Có mỗi việc nhỏ này mà phải chạy ra NH thì mất công quá.

 

[phucsminh]

Giải được hết cụ. Đã có mã thì sẽ có giải mã. Cái này là 1 điều đương nhiên mà. Còn ai bảo là không giải được thì chỉ là mị dân.

Trên lý thuyết là vậy, tuy nhiên với thời điểm hiện tại chưa có máy tính lượng tử nào có thể giải mã thuật toán rsa với độ dài mấy nghìn bit. Cụ bảo mị dân chắc là cư dân của NSA ấy nhỉ

 

[zin80]

Em phải lập cái nick mới để đính chính lại những phát biểu cũ, vì phát hiện ra là mình nhầm. Cái Smart OTP này không an toàn như em tưởng, không dùng mã hóa bất đối xứng. Mặc dù vậy thì nó vẫn là 1 lớp bảo mật hiệu quả (an toàn đối vớu những giao dịch không lớn, cỡ 1 tỉ). Và Smart OTP vẫn tốt hơn SMS OTP.

 

[biahoihanoi]

Nó ép dùng app của nó mà.

 

[Vương_Triều]

Em đăng ký thì báo phải ra điểm giao dịch
mà ra đgd vcb chờ lâu vãi nón

 

[zin80]

Cách đây mấy năm e đã dùng app Smart OTP rồi mà, đợt vừa rồi lâu e ko dùng với lại đổi đt khác. Chắc nóa nâng cấp phầm mềm với bảo mật nên đòi hỏi khắt khe hơn. Có mỗi việc nhỏ này mà phải chạy ra NH thì mất công quá.

Mất công nhưng an toàn, đành vậy thôi.
Ra ngân hàng, để nh xác định đúng chính chủ tài khoản đang dùng chìa khóa bảo mật và duy nhất chỉ có 1 chìa khóa được lưu hành. Sẽ là không an toàn nếu có 1 kẻ lừa đảo có Smart OTP của cụ.
Tóm lại, lý do của việc trực tiếp ra nh là vì nó an toàn hơn việc xác thực (bảo mật lớp 2) qua Internet.

 

[zin80]

https://www.freecodecamp.org/news/how-time-based-one-time-passwords-work-and-why-you-should-use-them-in-your-app-fdd2b9ed43c3/

Cái Smart OTP của ngân hàng chính là One - time - password, và cơ chế của nó được mô tả rõ ở link trên.

Điểm yếu của nó chính là người dùng và ngân hàng cùng sử dụng 1 "mã bí mật".