Mã OTP là một thuật ngữ rất phổ biến đối với những người sử dụng thường xuyên các dịch vụ trực tuyến hoặc thực hiện các giao dịch online.
Còn đối với người lần đầu tiến hành giao dịch, sẽ thấy thắc mắc rằng OTP là loại mã gì, có giống với mật khẩu tài khoản hay không và làm thế nào để có mã OTP? Trong bài viết dưới đây Bigito sẽ giúp các bạn hiểu rõ hơn về OTP
OTP là gì?
OTP (One Time Password) nghĩa là mật khẩu sử dụng một lần. Đây là một dãy các ký tự hoặc chữ số ngẫu nhiên được gửi đến điện thoại của bạn để xác nhận bổ sung khi thực hiện giao dịch, thanh toán qua Internet. Mỗi mã OTP chỉ có thể sử dụng một lần và sẽ mất hiệu lực trong vài phút.
Đặc điểm của OTP
Đối với các giao dịch xác minh đăng nhập với tài khoản ngân hàng điện tử, thanh toán trực tuyến, email hay mạng xã hội, OTP được coi là lớp bảo vệ rất riêng biệt.
OTP giúp ngăn chặn những rủi ro tấn công khi mật khẩu bị lộ hoặc tài khoản của khách hàng bị xâm nhập bởi hacker. Với OTP thì bạn không thể tạo ra và cũng không thể thay đổi mã. Điều này khác với bình thường khi tạo một tài khoản nào đó, mật khẩu sẽ do tự bạn chọn.
OTP giúp tăng cường bảo mật đối với các giao dịch thanh toán online. Ngay cả khi bạn để lộ mã OTP cũ và mật khẩu tài khoản ngân hàng sau khi giao dịch thì kẻ gian cũng không thể lấy được tiền của bạn.
Về bản chất, OTP là một loại mã để xác nhận lại giao dịch lần cuối. Với hình thức này, kẻ gian chỉ có thể lấy tiền của bạn nếu như có cả mật khẩu giao dịch, điện thoại cũng như mật khẩu mở khóa để đọc được tin nhắn SMS.
Trong bối cảnh tội phạm công nghệ cao như hiện nay, nếu như chỉ sử dụng bảo mật một lớp như trước kia thì nguy cơ mất tiền trong tài khoản là rất cao. Nếu bạn bị mất tài khoản thì cả bạn hay kẻ gian cũng không thể thực hiện giao dịch được vì không có mã OTP.
Làm sao để sở hữu OTP
Cách sử dụng mã OTP rất đơn giản và gần như là tự động. Mã sẽ được ngân hàng gửi về số điện thoại đăng ký trên thông tin tài khoản.
Giả sử bạn muốn chuyển tiền sang số tài khoản khác, quá trình sẽ gồm 3 bước:
Bước 1 – Tiến hành đăng nhập tài khoản
Sau khi hoàn tất, ứng dụng sẽ yêu cầu kiểm tra lại thông tin giao dịch một lần nữa kèm theo nút “Lấy mã OTP”.
Bước 2 – Lấy mã OTP
Sau khi nhấn vào nút “Lấy mã OTP”, một đoạn mã bằng số (thường gồm 4 đến 6 ký tự) sẽ được gửi về điện thoại trong vòng vài phút.
Bước 3 – Nhập mã OTP
Để kết thúc và xác nhận giao dịch, khách hàng cần nhập mã OTP trên ứng dụng để xác nhận yêu cầu giao dịch lần cuối.
Hầu hết các ngân hàng và các dịch vụ tại Việt Nam đang sử dụng phương thức OTP bao gồm: Vietcombank, TP Bank, VIB Bank, Internet Banking,…
Phân loại OTP
Có 3 hình thức cung cấp mã OTP phổ biến:
SMS OTP
Ngân hàng hay nhà cung cấp dịch vụ sẽ gửi mã xác thực OTP dưới dạng tin nhắn SMS đến số điện thoại đăng ký. Tin nhắn xác thực sẽ bao gồm một đoạn mã và phải nhập mã thì mới tiến hành giao dịch được.
Ngoài ra, Google, Facebook hay Apple cũng sử dụng SMS OTP làm lớp bảo vệ thứ 2 khi đăng nhập tài khoản.
Hạn chế của SMS OTP ở việc không thể nhận mã xác thực trong trường hợp điện thoại mất sóng hay di chuyển ra nước ngoài mà không cài đặt dịch vụ chuyển vùng quốc tế để thực hiện các giao dịch.
Token Key
Đây là một dạng thiết bị điện tử có khả năng tạo ra mã xác thực OTP. Nó tự động sinh ra các mã ngẫu nhiên sau mỗi phút mà không cần Internet.
Tuy nhiên, mỗi tài khoản ngân hàng phải đăng ký sử dụng một Token riêng và không thể được dùng chung. Sau một thời gian định kỳ, ngân hàng sẽ yêu cầu người dùng đổi một Token mới.
Hạn chế của thiết bị này là bởi tính rời và nhỏ gọn, Token Key dễ bị đánh cắp hoặc thất lạc.
Smart OTP
Với Smart OTP, bạn cần sử dụng điện thoại thông minh có hệ điều hành Android và IOS để cài một ứng dụng. Giống như Token Key, ứng dụng có khả năng tự sinh ra mã xác thực ngẫu nhiên sau một khoảng thời gian.
Ưu điểm của ứng dụng này là vẫn có thể sử dụng được ngay cả khi bạn không ở Việt Nam. Đây là hình thức kết hợp giữa Token Key và SMS OTP, là một ứng dụng có thể cài đặt được trên smartphone, máy tính bảng.
Smart OTP có thể cung cấp mã xác thực kể cả ở những nơi không có sóng điện thoại và Internet. Google cũng cung cấp ứng dụng tạo mã xác thực OTP mang tên Google Authenticator.
Dù vậy, để có thể cài đặt các ứng dụng này và bắt đầu nhận được mã OTP, người dùng phải đăng ký với ngân hàng, nhà cung cấp dịch vụ hoặc xác thực thông qua SMS OTP. Bên cạnh đó, không thể có 2 hoặc nhiều thiết bị sử dụng chung ứng dụng tạo mã OTP.
Các rủi ro có thể xảy ra
Mã OTP là lớp bảo mật cuối cùng trước khi tiền được chuyển ra khỏi tài khoản. Vì vậy, hãy luôn kiểm tra kỹ số tiền và lý do trước khi nhập mã OTP để thanh toán.
Đối với SMS OTP, cách bảo mật tốt nhất là luôn đặt mật khẩu nếu điện thoại của bạn có chức năng này. Ngoài ra, đừng cho người mà bạn không cảm thấy tin tưởng mượn điện thoại.
Trong trường hợp mất điện thoại hoặc mất thẻ, bạn cần phải gọi trực tiếp cho trung tâm khách hàng của ngân hàng hoặc các đơn vị dịch vụ để khóa thẻ hoặc tài khoản ngay. Điều này sẽ đảm bảo an toàn cho tài khoản của bạn.
Với Token, bạn hãy giữ nó như giữ khóa cửa của gia đình bạn vậy. Hãy luôn mang theo bên mình. Nếu có thể đặt mật khẩu Token thì hãy đặt phức tạp hơn một chút.
Biên dịch: Bigito
