Vì sao đã có sinh trắc học, nhiều ngân hàng yêu cầu xác thực thêm OTP, Soft Token?
Chuyển khoản ngày nay rất nhanh, nhưng “tốc độ” chỉ thật sự đáng giá khi đi cùng “an toàn”. Với người dùng tài khoản ngân hàng, thuật ngữ nghe có vẻ kỹ thuật: OTP, soft token, sinh trắc học thực ra là những lựa chọn rất đời thường.
OTP (One-Time Password) hay còn gọi là mã dùng một lần là phương thức xác thực vô cùng phổ biến khi giao dịch ngân hàng.Trong đó, phổ biến nhất là OTP qua SMS: ngân hàng gửi 6 số về điện thoại, bạn nhập vào để ký giao dịch.
Soft token là mã sinh ở trong ứng dụng (thường chính app ngân hàng hoặc app xác thực), thiết bị của bạn nắm giữ “hạt giống” mật mã và tự tạo mã theo thời gian, hoặc nhận “push” yêu cầu phê duyệt, đôi khi kèm number matching (hiển thị ba số để bạn đối chiếu).
Còn sinh trắc học như vân tay, khuôn mặt thường được dùng để mở khóa ứng dụng và phê duyệt nhanh, và giao dịch lớn.
Vì sao ngân hàng thường kết hợp các phương thức xác thực?
SMS OTP tiện, ai cũng dùng được, nhưng yếu ở chỗ tin nhắn có thể bị chặn đọc bởi phần mềm độc hại, bị chuyển tiếp âm thầm, hoặc tệ hơn là bị SIM swap (kẻ gian chiếm số điện thoại của bạn). SMS cũng phụ thuộc sóng, có lúc chậm vài chục giây đủ để bạn mất tập trung, nhầm lẫn. Với nhiều người, chi phí nhận SMS cũng là điểm trừ.
Trong khi đó, Soft token giảm bớt các rủi ro đó. Mã được sinh ngay trên thiết bị đã “gắn” với tài khoản của bạn (device binding), khóa mật mã được giữ trong vùng bảo mật của máy (Secure Enclave/TEE), và có thể hoạt động cả khi không có mạng (mã TOTP).
Cơ chế “đẩy để phê duyệt” kèm đối chiếu số giúp chống giả mạo: bạn nhìn thấy số tiền, người nhận và một con số ngẫu nhiên khớp giữa app và màn hình, rất khó để kẻ gian điều khiển từ xa mà bạn không nhận ra.
Dĩ nhiên, soft token không miễn nhiễm với rủi ro. Nếu điện thoại bị nhiễm mã độc, bị mở khóa trái phép, hoặc bạn đồng ý màn hình/điều khiển từ xa cho “hỗ trợ viên” giả mạo, rủi ro vẫn tồn tại. Nhưng khi hệ thống có kiểm tra thiết bị đã bẻ khóa (root/jailbreak), giới hạn số lần nhập, và buộc xác minh sinh trắc học mỗi lần ký, mức an toàn tổng thể cao hơn đáng kể so với SMS OTP.
Sinh trắc học được đánh giá mang lại sự tiện lợi vượt trội. Không cần nhớ mật khẩu dài, không phải nhập mã số mà chỉ một lần chạm hoặc nhìn. Nhưng sinh trắc học không phải “bí mật” theo nghĩa truyền thống: vân tay hay khuôn mặt có thể để lại dấu vết ở khắp nơi, còn mật khẩu thì chỉ bạn biết. Vì vậy, nhiều ngân hàng hiện nay thường kết hợp sinh trắc học (mở khóa) với soft token hoặc OTP nhất là khi vượt hạn mức.
Nên sử dụng các phương thức xác thực thế nào?
Nếu ngân hàng cho phép, hãy chuyển sang dùng soft token trong app thay vì SMS OTP, bật xác thực sinh trắc học để mở khóa và ký giao dịch, và giữ mã PIN mở khóa app khác với mã mở khóa máy.
Bạn cũng nên đặt hạn mức phù hợp thói quen chi tiêu hằng ngày; giao dịch hiếm gặp, giá trị cao thì tạm thời nâng hạn mức hoặc thực hiện tại quầy/kênh chăm sóc khách hàng.
Bên cạnh đó, khi chuyển tiền hãy luôn đọc kỹ màn hình phê duyệt: tên người nhận, số tài khoản, số tiền, nội dung chuyển đúng thì xác thực, sai dừng lại. Bất kỳ lời giục giã nào từ “nhân viên ngân hàng/công an/tòa án” qua điện thoại yêu cầu đọc mã hay bấm phê duyệt đều có thể là dấu hiệu lừa đảo.
Quy định về xác thực giao dịch ngân hàng tại Việt Nam
Hiện nay, Thông tư 50/2024/TT-NHNN có hiệu lực từ ngày 1/1/2025 đã quy định rất chi tiết về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.
Thông tư phân loại các giao dịch thanh toán trực tuyến thành 4 loại: Giao dịch loại A, Giao dịch loại B, Giao dịch loại C và Giao dịch loại D. Tương ứng với các loại giao dịch là hình thức xác nhận giao dịch.
Trong đó, giao dịch chuyển khoản giữa các tài khoản thanh toán, thẻ, ví điện tử của các chủ tài khoản, chủ thẻ, chủ ví điện tử khác nhau trên 10 triệu đồng được xếp vào giao dịch loại C. Theo đó, hình thức xác nhận giao dịch thanh toán trực tuyến tối thiểu đối với giao dịch này gồm: OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP loại cơ bản hoặc chữ ký điện tử; Và kết hợp khớp đúng thông tin sinh trắc học.
Trước đó, tại Quyết định 2345 hiệu lực từ 1/7/2024, NHNN quy định giao dịch loại C phải được xác thực khớp đúng thông tin sinh trắc học và khuyến khích kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.
Theo quy định tại Thông tư, hình thức xác nhận khớp đúng thông tin sinh trắc học là việc đối chiếu, so sánh để bảo đảm trùng khớp thông tin sinh trắc học của khách hàng đang thực hiện giao dịch với thông tin sinh trắc học của khách hàng đã thu thập, lưu trữ tại đơn vị theo quy định của Thống đốc Ngân hàng Nhà nước.
Hình thức khớp đúng thông tin sinh trắc học sử dụng khuôn mặt phải có độ chính xác được xác định theo tiêu chuẩn quốc tế, phải có khả năng phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống để phòng, chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.
Trường hợp áp dụng các hình thức khớp đúng thông tin sinh trắc học khác, phải bảo đảm phòng, chống gian lận, giả mạo khách hàng theo tiêu chuẩn tương đương.
Thời gian thực hiện khớp đúng thông tin sinh trắc học tối đa 03 phút.
Thông tư cũng quy định chi tiết về hình thức xác thực OTP, Soft OTP/Token OTP, chữ ký điện tử,…Trong đó, thời gian hiệu lực tối đa của SMS OTP là 5 phút, Voice OTP 3 phút, Email OTP 5 phút, Thẻ ma trận OTP 2 phút, Soft OTP 2 phút, Token OTP 2 phút.
Thanh Anh