Các tiêu chí đánh giá phương pháp xác thực Soft OTP chất lượng cao

Theo quy định của Quyết định số 630/QĐ-NHNN của Ngân hàng Nhà nước, các ngân hàng phải triển khai áp dụng các giải pháp công nghệ xác thực tiên tiến mới trong thanh toán trực tuyến trên Internet. Trong các phương pháp được liệt kê, Soft OTP có thể được coi là phương pháp ưu việt tại thời điểm hiện tại, nhưng cần phải đạt được các tiêu chuẩn cơ bản về kỹ thuật thì mới đảm bảo được xác thực và bảo mật cho người dùng.

Như đã đề cập ở bài viết Các phương thức xác thực 2 yếu tố (2FA) phổ biến nhất hiện nay, hai phương pháp xác thực phổ biến là SMS OTP và hard OTP đều còn tồn tại nhiều điểm yếu và bất cập. SMS OTP tuy tiện dụng và phổ biến nhưng để gửi được tin nhắn, nhà cung cấp dịch vụ phải sử dụng dịch vụ của bên thứ ba là công ty viễn thông và chi trả một lượng lớn chi phí chỉ để gửi mã xác thực cho người dùng, hơn nữa còn gặp nhiều vấn đề về bảo mật do lỗ hổng viễn thông. Còn đối với hard OTP, thiết bị vật lý khi đã hết pin bắt buộc phải thay mới, tốn kém cho cả người dùng và nhà cung cấp dịch vụ khi phải mua và dự trữ một số lượng lớn thiết bị.

Digibank CMS- Sample image floating


Do đó, Soft OTP được tạo ra, vừa là giải pháp xác thực người dùng hiệu quả, đồng thời lại giải quyết được các điểm yếu của hai phương thức xác thực kia. Soft OTP được tích hợp ngay trong ứng dụng Ngân hàng mà không cần phải cài thêm ứng dụng mới, không bị ảnh hưởng bởi chất lượng viễn thông như SMS OTP và người dùng cũng không cần mang theo thêm thiết bị bên người khi sử dụng hard token.

Soft OTP được chia làm 2 loại: cơ bản và nâng cao, theo định nghĩa của Ngân hàng Nhà nước Việt Nam trong Quyết định 630/QĐ-NHNN: Soft OTP cơ bản được tạo bằng phần mềm tạo mã OTP thường được cài đặt trên điện thoại di động/ máy tính bảng đã đăng ký với Ngân hàng.

  • Đối với loại cơ bản, mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống thanh toán trực tuyến tại ngân hàng. Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống ngân hàng trực tuyến yêu cầu khách hàng nhập mã OTP được sinh bởi Token OTP để hoàn thành giao dịch thanh toán.

  • Đối với loại nâng cao, mã OTP được tạo kết hợp chức năng ký từng giao dịch (transaction signing). Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống ngân hàng trực tuyến tạo ra một mã giao dịch thông báo cho khách hàng.Khách hàng nhập mã giao dịch vào Token OTP để thiết bị tạo ra mã OTP. Sau đó khách hàng nhập mã OTP trên giao diện thanh toán trực tuyến để hoàn thành giao dịch thanh toán.

Các chi tiết kỹ thuật của Soft OTP mà các nhà cung cấp dịch vụ mà tuân thủ để Soft OTP đáp ứng đúng chức năng bảo vệ dữ liệu của mình:


Digibank CMS- Sample image floating

Thứ nhất, tiêu chuẩn kỹ thuật

Soft OTP phải đảm bảo dựa trên chuẩn kỹ thuật OATH/OCRA. Chuẩn OATH (Open Authentication) - chuẩn cơ bản để làm khuôn mẫu cho việc xác thực người dùng, dựa trên TOTP (Time-Based One-Time Password​), HOTP (HMAC Event-Based One-Time Password​), thuật toán (time + seed). 

OCRA - OATH Challenge-Response Algorithms​ (RFC 6287) để tạo ra secret keys khác nhau cho các mục đích sau: đăng nhập - OTP - Challenge-Response​ - ký giao dịch.  

Thứ hai, tính độc nhất của mã OTP

Soft token phải đảm bảo được mỗi thiết bị di động có đều sẽ tạo ra các OTP khác nhau. OTP được tổng hợp tạo ra từ nhiều lớp mã hóa bảo mật, vậy nên không thể dựa trên các OTP trước đó để dự đoán hay tính toán ra được kết quả OTP sẽ ra tiếp theo.


Thứ ba, xác thực nhiều thành tố

Để xác thực được người dùng, hệ thống máy chủ phải đảm bảo nhận được đúng 3 yếu tố: thời gian + thông tin giao dịch (transaction data) + mã khóa bí mật thì mới chấp nhận tiến hành thực hiện giao dịch. Càng nhiều yếu tố để xác thực, sự chính xác của hệ thống càng cao và càng khó để tin tặc có thể phá được.

Digibank CMS - a big picture

Thứ tư, khóa tài khoản tạm thời khi nghi ngờ có yếu tố gian lận

Digibank CMS- Sample image floating

Để ngăn chặn tin tặc tấn công vào tài khoản của người dùng, soft token nên có chức năng khóa tài khoản cho tới khi được quản trị viên mở khóa khi nhận thấy có người thực hiện hành vi nhập mã OTP hoặc chuỗi mã hóa sai liên tiếp vượt quá số lần quy định của ngân hàng (thông thường là 3 hoặc 5 lần), dựa trên quy định khoản 6 Điều 1 Thông tư số 35/2018/TT-NHNN sửa đổi bổ sung quy định tại khoản 3 Điều 8 Thông tư số 35/2016/TT-NHNN của Ngân hàng nhà nước. 

Giá trị của OTP phải có độ dài tối thiểu 6 ký tự và chỉ có hiệu lực trong một thời gian nhất định (30 giây, 1 phút hoặc 2 phút) để người dùng xác thực, thời gian có hiệu lực càng dài thì càng làm giảm mức độ bảo mật của OTP (phù hợp với quy định tại điểm d khoản 4 Điều 10 Thông tư số 35/2016/TT-NHNN).

x

Thêm vào đó,   

Để đảm bảo hệ thống cấp đúng quyền cho người dùng để lấy mã OTP, cần phải có thêm một bước đăng nhập bằng mã PIN hoặc biometrics để xác thực đăng nhập. Hệ thống cấp soft OTP phải hoạt động và hỗ trợ việc lấy mã OTP offline. Ngay cả khi không có kết nối mạng, người dùng vẫn có thể lấy được mã OTP như khi sử dụng hard token, tăng phạm vi sử dụng của soft token và thuận tiện cho người dùng.

Tóm lại

Hiện nay, các ngân hàng đi đầu trong khu vực nói chung và ngân hàng Việt Nam nói riêng đối với việc áp dụng phương pháp soft OTP và các tiêu chuẩn xác thực người dùng cao cấp đã được áp dụng tại các ngân hàng lớn như: DBS Bank, UOB Bank, OCBC Bank ở Singapore hay VietcomBank, Techcombank,... ở Việt Nam. Vậy nên việc xác định và đánh giá các tiêu chí phương pháp xác thực chất lượng cao từ các công ty cung cấp giải pháp công nghệ hàng đầu là điều cần thiết cho các ngân hàng hiện nay, nhằm thực hiện đúng theo Quyết định số 630/QĐ-NHNN của Ngân hàng Nhà nước Việt Nam và đảm bảo an toàn thông tin cho chính tổ chức của mình.


Tham khảo:

1. Quyết định số 630/QĐ-NHNN ban hành Kế hoạch áp dụng giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng 

2. OCRA: OATH Challenge-Response Algorithm

3. Thông tư số 35/2018/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet