Khiếm khuyết của OTP (one-time password)
Có rất nhiều hệ thống xác thực nền OTP, chủ yếu khác nhau về cách phân phối OTP đến khách hàng mà người dùng luôn phải mang theo thiết bị bên mình.
Các token này được sản xuất bởi các công ty như RSA, VASCO và SafeNet, giống như một móc chìa khóa hay máy tính nhỏ với màn hình LCD hiển thị các con số.
Một số ngân hàng tạo và gửi OTP qua SMS đến khách hàng, có thể được gọi là mTAN (mobile Transaction Authorization Numbers). Tại một số nước, ngân hàng vẫn dùng bản cứng để cung cấp OTP.
Dù đa dạng như vậy, tất cả hệ thống OTP đều có chung nhược điểm.
Đầu tiên, tất cả đều đối xứng vì ngân hàng cũng xem được một bí mật với khách hàng (và cả nhà mạng). Thứ hai, hệ thống OTP đều dựa trên trình duyệt để giao tiếp trở lại ngân hàng. Điều đó có nghĩa nếu một website lừa đảo bắt chước website thật của ngân hàng hay trình duyệt làm thế nào đó bị xâm phạm, thông tin đăng nhập và OTP có thể bị thu thập bởi những kẻ lừa đảo và ngay lập tức bị dùng để chiếm quyền truy cập, thực hiện các giao dịch lừa đảo.
Hàng ngày, tội phạm mạng khoe khoang về khả năng phá vỡ phương thức xác minh hai bước phụ thuộc vào trình duyệt. Theo Avivah Litan, Phó Chủ tịch và chuyên gia phân tích của Gartner, bất cứ thứ gì đi qua trình duyệt đều có thể bị một trojan xâm phạm. Các cuộc tấn công man-in-the-middle hoặc man-in-the-browser được kích hoạt bằng trojan có khả năng vượt mặt những lớp bảo mật tinh vi nhất từ OTP đến thẻ chip hay công nghệ sinh học vì đều dựa vào trình duyệt.
Trong đó, hacker can thiệp vào liên lạc giữa ngân hàng và khách hàng mà họ không hề nhận thức sự có mặt của chúng, cho phép kẻ lừa đảo hoạt động như một ủy nhiệm. Vài trường hợp, mã độc sao chép ID, mật khẩu và OTP rồi ngay lập tức dùng chúng.
Bảo mật OTP còn có thể bị xâm phạm thông qua keylogging, khi mọi thao tác của người dùng trên bàn phím đều bị bị mật ghi lại. Kẻ tấn công có quyền điều khiển từ xa sẽ chờ đợi nạn nhân nhập thông tin đăng nhập trước khi thực hiện các giao dịch không được phê duyệt.
Máy chủ xác thực tạo OTP để chuyển đến thiết bị token cũng có thể bị tấn công như cơ sở dữ liệu của RSA năm 2011.
SMS là một kênh đặc biệt nguy hiểm
Một trong những hệ thống phân phối OTP dễ bị tấn công nhất lại cũng phổ biến nhất. Trong hơn một thập kỷ, ngân hàng toàn cầu đang dùng SMS để gửi OTP cho khách hàng, chủ yếu vì ai cũng mang theo điện thoại bên mình, loại bỏ sự phiền hà khi phải mang theo một thiết bị token chuyên dụng.
Năm 2008, chuyên gia bảo mật người Úc Stephen Wilson lưu ý “SMS không được thiết kế để hoạt động như một yếu tố xác thực thứ hai”. Ông cảnh báo sử dụng SMS trong xác thực có thể khiến khách hàng trở thành nạn nhân của lừa đảo vì sự ngây thơ của họ. Chính xác đó là điều đã xảy ra. Trong vụ khách hàng Úc bị lừa đảo, ngay cả nhà mạng - đối tượng được hưởng lợi từ SMS OTP - cũng thừa nhận công nghệ không an toàn khi giao dịch trực tuyến.
SMS OTP không được xem là an toàn vì nhiều lý do. Trước hết, bảo mật của SMS phụ thuộc vào bảo mật của mạng di động và với các cuộc tấn công nhằm vào GSM và 3G, sự tin cậy của SMS không được bảo đảm. Hơn nữa, nhiều điện thoại là đối tượng của các trojan như Zeus, Zitmo, Citadel và Perkele, có thể “mở toang” cửa đến SMS trên đi dộng để đánh cắp OTP. Theo Kaspersky Labs, năm 2013 chứng kiến số trojan ngân hàng tăng gần 20 lần, phần lớn tập trung vào SMS OTP.
Ngoài ra, còn phải kể đến việc tráo SIM, làm giả SIM, chuyển số, giả mạo người gọi, chuyển tiếp cuộc gọi có sự tiếp tay của những nhân viên bất nhân của nhà mạng.
Ngoài việc không an toàn, các chi phí liên quan đến OTP cũng khá lớn: chi phí token, phần mềm, máy chủ, giấy phép máy chủ, hỗ trợ dịch vụ, nhân sự triển khai và quản lý hệ thống. Bản thân thiết bị token rất đắt, thường có giá từ 15 USD đến 25 USD, thậm chí lên đến 45 USD, theo Ant Allan, Phó Chủ tịch nghiên cứu Identity & Access Management của Gartner.
Khi hết pin, thiết bị phải được thay mới vì không có pin thay thế hay sạc, thời gian từ 3 đến 5 năm. Chưa hết, còn xảy ra tình trạng để quên hay làm mất. Các chi phí gắn với SMS cũng cao không kém dù khác nhau tùy theo vị trí địa lý và khối lượng tin nhắn.
Sau OTP, sẽ là gì?
Ngành tài chính đang phải cân bằng giữa bảo mật, tiết kiệm chi phí và sự thuận tiện cho người dùng. Ngân hàng tăng cường phụ thuộc vào thiết bị di động để đáp ứng yêu cầu của khách hàng về sự tiện lợi. Các khách hàng doanh nghiệp và bán lẻ đang kêu gọi để được giao dịch trên một thiết bị họ luôn mang theo.
Đây là cơ hội cho ngành tài chính triển khai chứng chỉ khóa công khai X.509 tiêu chuẩn cho điện thoại di động và tablet để biến chúng thành lớp bảo mật thứ hai duy nhất. Các thiết bị có thể được dùng để xác minh danh tính của người dùng khi đăng nhập vào tài khoản ngân hàng trên mạng hay ứng dụng di động.
Bên cạnh đó, với kết nối ngày càng được cải thiện dù là Wi-Fi, 3G hay 4G, tin nhắn đều có thể mã hóa và gửi đến thông qua công nghệ push data. Sử dụng kênh bảo mật hoàn toàn này, khách hàng sẽ nhận được mã xác minh và phê duyệt mọi giao dịch nhạy cảm chỉ bằng một lần chạm. Các biện pháp bổ sung có thể là mã PIN người dùng, sinh trắc học (vân tay, mống mắt).
Mật khẩu OTP là quá khứ, không phải tương lai của xác thực hai bước. Công nghệ ngày càng chứng minh sự lạc hậu, dễ bị tấn công và trải nghiệm của người dùng cũng không còn phù hợp với thời đại số ngày nay.
Với các tổ chức tài chính đang tìm kiếm giải pháp an toàn và thuận tiện để giao dịch trực tuyến, có nhiều lựa chọn để loại bỏ mọi loại tấn công MITM. Ngược lại, nếu còn gắn bó với OTP, ngân hàng nên sẵn sàng với số lượng các cuộc tấn công lừa đảo ngày một tăng.