OTP Mật Khẩu 1 Lần – 2Fa – Two Factor Authencation ( phần 1)

OTP Mật Khẩu 1 Lần – 2Fa – Two Factor Authencation.

Trang Web lấy mã xác thực 2 bước 2FA.GGADS.PRO

OTP Mật Khẩu 1 Lần – 2Fa – Two Factor Authencation. Bảo mật thông tin cá nhân của người dùng. Là Cái quan trọng nhất mà tất cả người dùng online nên sử dụng. Đặc biệt dành cho việc bảo mật tìa khảon ngân hàng. Bảo vệ các tài khoản mạng xã hội chứa nhiều thông tin, tài liệu cá nhân.

I. MÃ OTP LÀ GÌ ???

1. OTP (One Time Password):

Mật khẩu dùng một lần. Còn được gọi là mã PIN dùng một lần hoặc mật khẩu động. Là mật khẩu nhằm tăng tính bảo mật.
Cũng như đảm bảo an toàn khi sử dụng các phiên đăng nhập. Hoặc giao dịch dịch vụ ngân hàng điện tử, thanh toán online, mạng xã hội. Chỉ có hiệu lực 1 lần cho một phiên đăng nhập hoặc giao dịch, trên hệ thống máy tính hoặc thiết bị kỹ thuật số khác có hiệu lực giới hạn chỉ vài phút. Thậm chí chỉ vài giây.

2. OTP bao gồm:

Một dãy các ký tự hoặc chữ số ngẫu nhiên được gửi đến số điện thoại của bạn. Bạn cũng không thể sử dụng nó cho bất kì giao dịch nào khác.

Bình thường, khi bạn tạo một tài khoản nào đó, mật khẩu là do bạn tự tạo ra nhưng với mật khẩu OTP thì khác. Bạn không thể tạo ra OTP cũng không thể thay đổi OTP. Loại mã này là do nhà cung cấp của các tài khoản đăng nhập hoặc giao dịch cung cấp. Được gửi về máy điện thoại qua tin nhắn SMS mỗi lần bạn yêu cầu giao dịch hoặc đăng nhập, sửa đổi thông tin. Đây được coi là loại mật khẩu cấp 2 trong chế độ bảo mật hai lớp.
Mã OTP giúp gia tăng sự an toàn đối với các giao dịch thanh toán online, đăng nhập sửa đổi thông tin cá nhân.

Mọi người có thể gặp mã OTP tại chính trên điện thoại của bạn nếu bạn tiến hành giao dịch ngân hàng trên trên điện thoại. Tài khoản icloud của iphone. Hoặc đăng nhập các tài khoản mạng xã hội nếu đã để chế độ bảo mật.

3. Tại sao lại cần mã OTP?

Như các bạn đã biết. Mã OTP là loại mật khẩu chỉ được sử dụng một lần.
Nên sau khi giao dịch, hay đăng nhập tài khoản bảo mật nào đó. Ngay cả khi bạn để lộ mã OTP cũ và mật khẩu tài khoản thì kẻ gian cũng không lấy được thông tin, tiền,… của bạn.
Về bản chất, mã OTP chính là một loại mã an toàn được gửi về điện thoại giúp bạn xác nhận lại giao dịch lần cuối.
Kẻ gian chỉ có thể lấy thông tin, thay đổi thông tin, lấy tiền hoặc thực hiện giao dịch online trên tài khoản của bạn. Nếu như hắn có trong tay cả mật khẩu tài khoản, điện thoại cũng như mật khẩu mở khóa điện thoại để đọc được tin nhắn SMS.
Nếu như các tài khoản cá nhân, tài khoản ngân hàng,… không sử dụng mã OTP mà chỉ sử dụng bảo mật một lớp như trước kia. Trong bối cảnh tội phạm công nghệ đang phát triển như hiện nay, nguy cơ mất thông tin, mất tiền trong tài khoản của khách hàng là rất cao.

4. Làm sao để có mã OTP?

Cách sử dụng mã OTP rất đơn giản và gần như là tự động. Mã sẽ được ngân hàng gửi về số điện thoại đăng ký trên thông tin tài khoản MXH, Ngân hàng,….
Giả sử bạn muốn đăng nhập tài khoản facebook sang một thiết bị lạ. Bạn sẽ phải hoàn tất đăng nhập. Xong facebook sẽ có mục yêu cầu gửi mã SMS điện thoại. Bạn chỉ việc nhấp vào rồi đợi mã về, sau đó lấy mã hoàn thành đăng nhập.

VD: Khi giao dịch ngân hàng trên điện thoại. Khi hoàn tất thông tin, thì trên app ngân hàng cũng sẽ có mục lấy mã OTP. Bạn ấn vào sau đó đợi mã về, bạn sử dụng mã đó để hoàn tất giao dịch sau cùng.

Khi nhập thông tin thanh toán online dùng thẻ ghi nợ, thẻ tín dụng, mặc định mã OTP cũng sẽ được gửi về số điện thoại để người dùng xác nhận giao dịch.
Bằng cách này, dù bạn có bị mất thẻ thì kẻ gian cũng chưa chắc lấy được tiền của bạn.

5. Các loại mã OTP hiện nay:

5.1. SMS OTP:

SMS OPT là hình thức được sử dụng nhiều nhất hiện nay đối với cả ngân hàng và google, Facebook,…
Mã OTP sẽ được gửi bằng SMS tin nhắn về số điện thoại đăng ký.
Bạn phải nhập mã OTP thì mới có thể thực hiện được giao dịch. Đa số các ngân hàng hiện nay đều có sử dụng mã OTP này.
Một hạn chế của OTP chính là người dùng không thể sử dụng ở nơi không có sóng. Hoặc di chuyển ra nước ngoài. Khi đó, các hình thức OTP khác sẽ được thực hiện.

5.2. Tokey Key (Tokey Card):

Đây là thiết bị có thể giúp tạo mã OTP. Nó có thể sinh ra tự động sau mỗi phút mà không cần kết nối internet. Mỗi tài khoản cần đăng ký Tokey Key riêng cho mỗi tài khoản. Sau một thời gian quy định thì ngân hàng sẽ đổi Tokey Key của bạn.
Đây là thiết bị rời, nhỏ gọn cho nên có thể mang đi bên mình. Tuy nhiên cũng cần phải bảo quản cẩn thận vì dễ đánh mất.

5.3. Smart OTP – Smart Token:

Đây là hình thức kết hợp hoàn hảo giữa SMS OTP và Token Key. Smart OTP được tích hợp với ứng dụng trên smartphone. Smart OTP sẽ được gửi về ứng dụng khi xuất hiện yêu cầu giao dịch.
Tại Việt Nam phần lớn ngân hàng đang sử dụng hình thức xác thực bằng Smart OTP bên cạnh SMS OTP. Google cũng áp dụng mang tên Google Authenticator.
Để sử dụng OTP người dùng phải đăng ký với ngân hàng hoặc các nhà cung cấp dịch vụ. Ngoài ra, không thể có nhiều thiết bị sử dụng chung một ứng dụng tạo ra mã OTP.

5.4. Mã OTP có an toàn tuyệt đối?

Đây là lớp bảo mật cuối cùng trước khi đăng nhập hoặc giao dịch ngân hàng, tín dụng, ví điện tử trước khi tiền được chuyển ra khỏi tài khoản của bạn. Vì vậy hãy luôn kiểm kĩ và khoản chi trước khi nhập mã OTP để thanh toán.
Đặc biệt, bạn không nên giao dịch thanh toán online trên máy tính công cộng. Không đưa mã OTP cho người khác trong bất kỳ trường hợp nào.
Phải nhanh chóng báo ngân hàng khóa chức năng giao dịch online khi điện thoại bị mất.

6. Đồng thời bạn cũng nên thực hiện nhiều hành động để bảo vệ lớp bảo mật này như:

Luôn đặt mật khẩu cho điện thoại mà bạn đăng ký nhận mã OTP để tránh trường hợp người khác có thể lấy mã OTP từ điện thoại của bạn.
Thường xuyên thay đổi mật khẩu để đảm bảo an toàn tối đa cho tài khoản của bạn.
Không được để mật khẩu đơn giản như ngày sinh, số điện thoại, ….
Đối với giao dịch ngân hàng, tín dụng, ví điện tử bạn nên báo ngay với Ngân hàng để khóa tạm thời tính năng SMS OTP khi bạn bị mất điện thoại.

Mã OTP được xem là lớp bảo mật an toàn thứ hai.

Cho tài khoản của bạn mà hầu hết các phiên đăng nhập mạng xã hội, ngân hàng trong nước cũng như quốc tế, các phần mềm ví điện tử,… Đều áp dụng để đảm bảo quyền lợi cho người dùng. Với lớp bảo mật này, bạn có thể hoàn toàn yên tâm rằng các hoạt động của bạn sẽ được bảo vệ.

Tuy nhiên, cũng khó tránh được việc sơ hở để lộ mã OTP. Nên bạn cũng bảo vệ lớp mật khẩu này cẩn thận.

II. 2FA (TWO FACTOR AUTHENCATION) LÀ GÌ?

1. Two-Factor Authentication (2FA)

Hay còn gọi là Bảo mật 2 lớp, là một phương thức để chứng thực user (Người dùng) bằng việc combine 2 factors (phối hợp 2 yếu tố) khác nhau từ bộ source (nguồn):

Một cái gì đó bạn biết.
Một cái gì đó bạn có.
Một cái gì đó mà nó mặc nhiên như vậy.

Một ví dụ khá cơ bản của 2FA đó là khi bạn rút tiền ở ATM. Bạn cần 2 thứ, một là cái thẻ (bạn có) và mã PIN (bạn biết) mới có khả năng thực hiện rút tiền.

Như vậy nó áp dụng trong online authentication như thế nào?
Với bảo mật thông thường. Bạn chỉ cần nhập username (Tên người dùng) và password (Mật khẩu) để đăng nhập tài khoản của mình. Thứ bảo vệ duy nhất của bạn là mật khẩu. Đây là cái mà “bạn biết”. 2FA sẽ extra layer ( Thêm một lớp ) để bạn cần provide (Cung cấp) cái mà “bạn có” nữa.

2. Bảo mật 2 lớp hoạt động như thế nào?

Một số phương thức bảo mật tầng thứ 2 phổ biến :

2.1. Thông báo đẩy (Push notification):

Bạn sẽ nhận được thông báo đẩy qua một ứng dụng trên smartphone hoặc thiết bị đeo (như smartwatch) mỗi lần đăng nhập. Thông báo này sẽ bao gồm thông tin về yêu cầu đăng nhập, địa chỉ, IP đăng nhập để người dùng quyết định xem có nên xác nhận yêu cầu đăng nhập đó hay không.

2.2. Hardware token:

Bạn có thể lấy mã OTP (One Time Password) phát sinh mỗi lần đăng nhập được gửi tới một thiết bị nào đó của bạn (như điện thoại) để truy cập tài khoản.

2.3. Code xác nhận qua SMS:

Phương pháp này yêu cầu bạn nhập mã xác nhận ngẫu nhiên được gửi đến điện thoại của mình qua SMS để vượt qua tầng bảo mật thứ hai.

2.4. Gọi điện:

Phương pháp này yêu cầu bạn chờ cuộc gọi đến để nghe mã OTP hoặc bấm một nút bất kỳ để xác nhận đăng nhập.

2.5. Mã OTP qua ứng dụng:

Trang Web lấy mã xác thực 2 bước 2FA.GGADS.PRO

Các ứng dụng tự động phát sinh mã OTP như Google Authenticator cũng hoạt động tương tự như hệ thống SMS, gửi đến bạn một mã OTP được phát sinh ngẫu nhiên (thường khoảng 30 giây/lần) để điền vào khi đăng nhập tầng bảo mật thứ hai.
Sử dụng Google Authenticator để lấy mã OTP.

VD: SMS là một sự lựa chọn không tồi, server gửi SMS về cho user để đăng nhập. Nhưng SMS lại không quá an toàn. Có thể bị intercepted(Đánh chặn), và bị vấn đề về network (Mạng lưới). Việc delay (chậm trễ) có thể làm ảnh hưởng tới authentication process (Quy trình xác thực).

2.6. 2FA (2-factor authentication):

Là việc thêm một bước vào hoạt động đăng nhập thông thường của bạn.
Xác thực 2 yếu tố là thứ sẽ bổ sung thêm một mức độ xác thực thứ 2 trong thông tin đăng nhập tài khoản.
2FA đòi hỏi người sử dụng phải có 2 trong số 3 loại thông tin quan trọng trước khi có thể truy cập tài khoản.
Ba loại đó là:

+ Một thứ mà bạn biết, ví dụ như mã PIN (Personal Identification Number), password.

+ Một thứ mà bạn sở hữu, chẳng hạn như mã ngẫu nhiên gửi đến qua SMS, ứng dụng điện thoại,..)

+ Một thứ mà bạn đang có, chẳng hạn quan trắc sinh học như dấu vân tay, giọng nói, đồng tử mắt,….

Bảo mật 2 lớp thực chất đã tồn tại khá lâu chứ không còn là một khái niệm mới
Khi bạn thanh toán bằng thẻ tín dụng. Ngoài việc trình ra chiếc thẻ (bảo mật vật lý). Bạn phải cung cấp thêm mã bưu điện (ZIP code) để xác minh giao dịch. Đây cũng chính là một ví dụ điển hình của 2FA.
Twitter, facebook, Apple, Google, Microsoft, Amazon,… đều đã đưa bảo mật 2 lớp vào sử dụng.
Có thể bạn không để ý nhưng trong rất nhiều tình huống thực tế, bạn cũng đã sử dụng bảo mật 2 lớp.

3. Bảo mật 2 lớp có dễ sử dụng không?

Bảo mật 2 lớp thực chất rất dễ dùng và sẽ chỉ làm bạn khó chịu nếu bạn không có đủ kiên nhẫn dành thêm chút thời gian xác minh. Với hầu hết các dịch vụ online như mail, Facebook, Twitter,… Bạn chỉ cần vào Setting để kích hoạt bảo mật 2 lớp (thường là nhập mã kích hoạt gửi đến qua SMS hoặc cuộc gọi tự động).

Khi bạn enable (kích hoạt) 2FA cho tài khoản của mình.

Bạn sẽ nhận được một secret key based 32. Tùy vào mức độ security, độ dài của secret key có thể là 80, 128 hoặc 160 bit.
Các authenticator application sẽ scan secret (Quét bí mật) này dưới dạng QR code hoặc manually. Dùng nó để generate ra một HMAC-SHA1. Chuỗi HMAC này có thể là một trong 2 dạng:

+ TOTP

+ HOTP

Sau đó HMAC này sẽ được extracted và lấy ra 1 số int 4 byte, đó chính là code.
Một mã code sẽ valid trong 30 giây. Tuy nhiên không phải ai cũng có clock synced giống nhau, Vì network latency các kiểu nên thường mọi người hay cho phép ở phạm vi cộng trừ 1 code. Tức là 1 code sẽ valid trong 1 phút 30 giây. Điều này có thể giảm tính an toàn, nhưng lại tăng sự trải nghiệm đáng kể.

4. Backup codes (Mã dự phòng)

Backup codes hay recovery codes sẽ được sử dụng trong trường hợp bạn không thể sử dụng điện thoại, bạn có thể dùng chúng để đăng nhập. Có 2 loại backup codes:

Multiple backup codes (Nhiều mã dự phòng): Ví dụ github sẽ cho bạn 10 codes, và mỗi code sẽ được sử dụng 1 lần.
Single backup code (Mã dự phòng duy nhất): Bạn dùng cái code này đồng nghĩa với việc bạn có thể đăng nhập, nhưng phải setup (thiết lập) lại 2FA.

4. Tại sao bạn nên dùng bảo mật 2 lớp?

4.1. Bảo mật 2 lớp là cách tốt nhất để bảo vệ bạn khỏi những vụ tấn công mạng:

Như đánh cắp các thông nhạy cảm về tài khoản người dùng. Thường được dùng để hack tài khoản ngân hàng, thẻ tín dụng,…, giả mạo các trang đăng nhập. Cũng như các cách thức chiếm dụng tài khoản khác.
Thông thường, chúng ta chỉ nghĩ đến những cách bảo mật thông thường như cài password. Nhưng hầu hết mọi người lại sử dụng những mật khẩu rất yếu liên quan đến biệt danh, tên tuổi, ngày sinh,…
Thử tưởng tượng nếu một hacker đánh cắp được mật khẩu mail của bạn, Hắn sẽ moi được những gì? Có thể kể sơ qua các yếu tố như password vào các tài khoản online khác của bạn. Thông tin thẻ tín dụng, thông tin cá nhân, người thân,…qua thư từ bạn gửi hay các file lưu trong Drive.
Bạn sẽ nhận ra rằng một tài khoản của bạn trên mạng có thể liên hệ chặt chẽ với rất nhiều tài khoản khác. Việc hack được password một tài khoản có thể dẫn đến rất nhiều hệ lụy nguy hiểm hơn.

4.2.Bước bảo mật lần hai (chẳng hạn như nhập mã kích hoạt gửi tới điện thoại của bạn).

Sẽ khiến các hacker sẽ không thể giả mạo là bạn để truy cập trái phép vào các hệ thống mạng nội bộ doanh nghiệp, trung tâm dữ liệu hay các thông tin tài chính. Nghiên cứu của Stanley Bing cũng cho thấy bảo mật 1 lớp thông thường chỉ có thể đạt được nhiều nhất là 90% hiệu quả bảo vệ. Trong khi đó bảo mật 2 lớp tăng mức hiệu quả lên 97-98%. Bảo mật 3 lớp thậm chí có thể lên đến 99.9%.
Chính vì vậy mà các bước xác nhận lần hai ngày càng trở nên quan trọng hơn. Và ngày càng có nhiều công ty sử dụng bảo mật 2 lớp. Nhất là cho các nhân viên làm việc ở xa, qua các hệ thống đám mây.
2FA là một kĩ thuật dùng để enhance security layer của một application. Hay nói cách khác, bạn khóa 1 cửa bằng 2 cái khóa luôn an toàn hơn 1 cái.
Trong xã hội đầy loạn lạc này thì ứng dụng nào quan trọng. Chứa nhiều sensitive data và liên quan tới tiền bạc thì cứ phải bật 2FA thôi.

5. Bạn nên sử dụng bảo mật 2 lớp cho những tài khoản nào?

Lý tưởng nhất vẫn là sử dụng bảo mật 2 lớp cho tất cả các tài khoản cá nhân, cả online lẫn offline. Thế nhưng nếu bạn không có đủ kiên nhẫn cho quá nhiều thứ thì dưới đây là một số tài khoản được khuyên dùng:

Tài khoản email, facebook, Icloud apple, mạng xã hội,…
Tài khoản Internet banking
Tài khoản thanh toán, thẻ tín dụng
Tài khoản shopping online
Tài khoản game
Tài khoản lưu trữ trên các nền tảng đám mây như Dropbox, Google Drive,…
Hầu hết các dịch vụ online kể cả Facebook, Twitter đều đã cho phép người dùng kích hoạt bảo mật 2 lớp trong phần Setting.

Vậy có thể hiểu ngắn gọn OTP mật khẩu 1 lần – 2fa – two factor authencation: Là hình thức bảo mật 2 lớp. Có dùng mật khẩu bảo mật 1 lần mà các nhà cung cấp cấp cho khách hàng mỗi phiên đăng nhập hay sửa đổi trên các tài khoản MXH. Và cho mỗi lần giao dịch ngân hàng trên điện thoại nhằm tăng thêm lớp bảo mật cho khách hàng. An toàn tránh bị kẻ gian xâm nhập vào tài khoản của khách hàng. Với phương thức bảo mật này, bạn có thể hoàn toàn yên tâm rằng các hoạt động của bạn sẽ được bảo vệ. Trên đây là toàn bộ nội dung để bạn có thể hiểu rõ hơn về OTP – 2FA.

5/5 - (1 vote)