Mật khẩu một lần (OTP, TOTP): Định nghĩa, ví dụ

Mặc dù phương pháp xác thực này là thuận tiện, nhưng nó không an toàn vì trộm cắp danh tính trực tuyến-sử dụng lừa đảo, ghi nhật ký bàn phím, tấn công giữa các trung bình và các thực tiễn khác-đang tăng lên trên toàn thế giới.

Các câu hỏi thường gặp

OTP có nghĩa là mật khẩu một lần: nó là một mã pin an toàn, tạm thời được gửi cho bạn qua SMS hoặc e-mail chỉ có giá trị cho một phiên. Smart-ID sử dụng OTP trong quá trình đăng ký và gia hạn tài khoản để xác nhận thông tin liên hệ của bạn.

Nếu bạn không thể nhận và xác nhận mã OTP, bạn sẽ không thể tiếp tục với đăng ký tài khoản của mình. Vì vậy, kiểm tra kỹ khi bạn đang nhập chi tiết liên hệ của mình!

• Số điện thoại: Số điện thoại của bạn cần được nhập với Mã quốc gia chính xác. Hãy chắc chắn rằng bạn kiểm tra nó!
• Địa chỉ email: Kiểm tra các lỗi chính tả và luôn luôn sử dụng email chính Tài khoản – một tài khoản mà bạn vẫn sẽ sử dụng trong nhiều năm để đến ngay cả khi bạn thay đổi công việc, hãy di chuyển ra nước ngoài, thay đổi họ của bạn, v.v.

Thông tin liên hệ nào sẽ được sử dụng cho mã OTP?

Nó phụ thuộc vào phương thức đăng ký, chỉ cần làm theo các hướng dẫn trên màn hình của bạn.

Hãy sử dụng Phương pháp đăng ký sinh trắc học như một ví dụ. Như bạn có thể đã biết, đăng ký sinh trắc học chỉ có sẵn cho những người dùng đã có tài khoản ID thông minh hoạt động trước đây.

Nếu bạn đăng ký một tài khoản mới và bạn đã chọn Nhận dạng sinh trắc học, OTP sẽ được gửi đến các chi tiết liên hệ mà chúng tôi đã có trong cơ sở dữ liệu của chúng tôi (từ đăng ký tài khoản trước đó của bạn). Nó có nghĩa là bạn cần có khả năng truy cập Địa chỉ e-mail hoặc số điện thoại Bạn đã sử dụng khi bạn tạo tài khoản hoạt động trước đó của mình.

Ứng dụng ID thông minh sẽ cho bạn biết khi chúng tôi sẽ gửi OTP và bạn cũng sẽ thấy một danh sách các tùy chọn liên hệ Bạn có thể chọn từ. Nếu bạn không còn có quyền truy cập vào bất kỳ thông tin liên hệ nào trước đây của bạn, bạn cần sử dụng một phương thức đăng ký khác. Đăng ký sinh trắc học không cho phép bạn thay đổi thông tin liên hệ mà chúng tôi hiện đang nắm giữ cho bạn!

Nếu thông tin cá nhân của bạn (địa chỉ e-mail, mật khẩu, số nhận dạng quốc gia hoặc các chi tiết khác) đã bị rò rỉ hoặc bị hack, Hãy chắc chắn rằng bạn thay đổi Mật khẩu e-mail ngay lập tức và chọn xác minh 2 bước cho hộp thư của bạn.

Mã OTP đến nhanh như thế nào?

Mã OTP sẽ đến gần như ngay lập tức. Nếu mất hơn 2 phút, hãy thử lại: Có thể đã có sự cố mạng tạm thời hoặc sự chậm trễ với nhà cung cấp dịch vụ của bạn.

NB! Gặp khó khăn khi nhận mã OTP khi Bạn đi du lịch nước ngoài?
Nó có thể giúp nếu bạn chọn một mạng di động khác theo cách thủ công và thử đăng ký lại. Nếu điều này không khắc phục được vấn đề của bạn, hãy sử dụng địa chỉ email của bạn thay vì.

Nếu bạn gặp sự cố khi nhận mã OTP, vui lòng Liên hệ với hỗ trợ khách hàng của chúng tôi để được hỗ trợ.

Luôn lựa chọn xác nhận e-mail thay vì SMS nếu bạn ở trong Hoa Kỳ, Canada hoặc nước Bỉ. Bạn đã thắng được có thể nhận được mã OTP bằng tin nhắn văn bản ở đó!

Mật khẩu một lần (OTP, TOTP): Định nghĩa, ví dụ

Mật khẩu một lần (OTP) Các hệ thống cung cấp một cơ chế để đăng nhập vào mạng hoặc dịch vụ bằng cách sử dụng một mật khẩu duy nhất chỉ có thể được sử dụng ONCe, Như tên cho thấy.

Mật khẩu tĩnh là phương thức xác thực phổ biến nhất và ít an toàn nhất. Nếu “qwerty” luôn là mật khẩu của bạn, đã đến lúc thay đổi.

Tại sao mật khẩu một lần được an toàn?

Tính năng OTP ngăn chặn một số hình thức trộm cắp danh tính bằng cách đảm bảo rằng một cặp tên người dùng/mật khẩu bị bắt.

Thông thường, tên đăng nhập của người dùng vẫn giữ nguyên và mật khẩu một lần thay đổi với mỗi lần đăng nhập.

Mật khẩu một lần (còn gọi là mật mã một lần) là một dạng của xác thực mạnh mẽ, Cung cấp sự bảo vệ tốt hơn nhiều cho EBanking, mạng công ty và các hệ thống khác có chứa dữ liệu nhạy cảm.

Ngày nay, hầu hết các mạng doanh nghiệp, trang web thương mại điện tử và cộng đồng trực tuyến chỉ yêu cầu tên người dùng và mật khẩu tĩnh để đăng nhập và truy cập vào dữ liệu cá nhân và nhạy cảm.

OTP và TOTP so với mật khẩu tĩnh

Mặc dù phương pháp xác thực này là thuận tiện, nhưng nó không an toàn vì trộm cắp danh tính trực tuyến-sử dụng lừa đảo, ghi nhật ký bàn phím, tấn công giữa các trung bình và các thực tiễn khác-đang tăng lên trên toàn thế giới.

Hệ thống xác thực mạnh mẽ giải quyết các giới hạn của mật khẩu tĩnh bằng cách kết hợp thông tin bảo mật bổ sung, chẳng hạn như mật khẩu một lần tạm thời (OTP), để bảo vệ truy cập mạng và danh tính kỹ thuật số của người dùng cuối.

Tính năng này thêm bảo vệ thêm và làm cho việc truy cập thông tin trái phép, mạng hoặc tài khoản trực tuyến trở nên khó khăn hơn.

Mật khẩu một lần dựa trên thời gian (TOTP) thay đổi sau một khoảng thời gian được đặt, chẳng hạn như 60 giây.

Ở Ấn Độ, ứng dụng Maadhaar trên điện thoại di động của bạn cho phép bạn tạo OTP động thay vì chờ mật khẩu một lần đến. Thuật toán của ứng dụng tạo ra OTP hoặc TOTP động. Mã 8 chữ số có giá trị trong 30 giây.

Nghe có vẻ đơn giản, và nó là.

Đây là một ví dụ về OTP trong thanh toán trực tuyến.

Mật khẩu một lần được tạo ra như thế nào?

Mật khẩu một lần có thể được tạo theo nhiều cách, mỗi cách có bảo mật, tiện lợi, chi phí và sự đánh đổi chính xác.

Thẻ lưới

Các phương pháp đơn giản như danh sách số giao dịch và thẻ lưới có thể cung cấp một bộ mật khẩu một lần.

Các phương pháp này cung cấp chi phí đầu tư thấp nhưng chậm, khó duy trì, dễ dàng sao chép và chia sẻ và yêu cầu người dùng theo dõi vị trí của họ trong danh sách mật khẩu.

Mã thông báo bảo mật

Một cách thuận tiện hơn cho người dùng là sử dụng mã thông báo OTP, thiết bị phần cứng có khả năng tạo mật khẩu một lần.

Một số thiết bị này được bảo vệ pin, cung cấp một mức độ bảo mật bổ sung.

Người dùng nhập mật khẩu một lần với thông tin xác thực danh tính khác (thường là tên người dùng và mật khẩu) và máy chủ xác thực xác thực yêu cầu đăng nhập.

Mặc dù đây là một giải pháp đã được chứng minh cho các ứng dụng doanh nghiệp, chi phí triển khai có thể làm cho giải pháp trở nên đắt đỏ cho các ứng dụng tiêu dùng.

Vì mã thông báo phải được sử dụng cùng một phương thức với máy chủ, nên cần có mã thông báo riêng cho mỗi lần đăng nhập máy chủ, vì vậy người dùng cần một mã thông báo khác nhau cho mỗi trang web hoặc mạng họ sử dụng.

Thẻ thông minh và OTP

Mã thông báo phần cứng nâng cao hơn sử dụng thẻ thông minh dựa trên bộ vi xử lý để tính toán mật khẩu một lần.

Thẻ thông minh có một số lợi thế để xác thực mạnh, bao gồm dung lượng lưu trữ dữ liệu, sức mạnh xử lý, tính di động và dễ sử dụng.

Chúng vốn có an toàn hơn so với các mã thông báo OTP khác vì chúng tạo ra một mật khẩu duy nhất, không thể tin được cho từng sự kiện xác thực, lưu trữ dữ liệu cá nhân và không truyền dữ liệu bảo mật hoặc riêng tư qua mạng.

Hiển thị thẻ thanh toán thậm chí có thể tích hợp một trình tạo OTP để xác thực 2 yếu tố.

Cơ sở hạ tầng khóa công khai để xác thực mạnh mẽ OTP

Thẻ thông minh cũng có thể bao gồm các khả năng xác thực mạnh mẽ như PKI hoặc chứng chỉ cơ sở hạ tầng khóa công khai.

Khi được sử dụng cho các ứng dụng PKI, thiết bị thẻ thông minh có thể cung cấp các dịch vụ PKI cốt lõi, bao gồm mã hóa, chữ ký số và thế hệ khóa và lưu trữ khóa riêng.

Thẻ thông minh hỗ trợ xác thực mạnh mẽ OTP trong cả Java ™ và Microsoft .Môi trường mạng.

Nhiều yếu tố biểu mẫu và tùy chọn kết nối có sẵn để người dùng cuối có thiết bị phù hợp nhất cho các yêu cầu truy cập mạng của họ.

Tất cả các thiết bị OTP của Thales hoạt động với cùng một máy chủ xác thực mạnh mẽ và được hỗ trợ với một bộ công cụ quản trị tiêu chuẩn.

Xác thực một yếu tố (SFA)

Xác thực một yếu tố là quy trình bảo mật truyền thống yêu cầu tên người dùng và mật khẩu trước khi cấp quyền truy cập cho người dùng.

Một mật khẩu bị xâm nhập duy nhất là đủ để giảm xuống đường ống nhiên liệu lớn nhất của Hoa Kỳ.

Vào tháng 5 năm 2021, một cuộc đột kích của nhóm ransomware Darkside đã buộc phải tắt mạng mạng lưới đường ống thuộc địa. Cuộc tấn công này, tạo ra sự thiếu hụt, đã đẩy giá xăng lên và dẫn đến một làn sóng mua hoảng loạn, đặt độ chú ý vào việc bảo vệ mật khẩu yếu và tiềm năng của ransomware để vô hiệu hóa cơ sở hạ tầng quan trọng.

Bloomberg (4 tháng 6 năm 2021) đã báo cáo rằng hệ thống của công ty đã bị vi phạm thông qua một mật khẩu rò rỉ duy nhất cho tài khoản VPN cũ được sử dụng để truy cập các máy chủ của công ty từ xa. Tài khoản không sử dụng Xác thực đa yếu tố. Tin tặc vi phạm mạng của thuộc địa chỉ bằng một tên người dùng và mật khẩu bị xâm phạm. Theo Bloomberg, người dùng có thể đã sử dụng cùng một mật khẩu cho các tài khoản khác nhau, nhưng các nhà điều tra sẽ khó biết chính xác như thế nào.

Xác thực hai yếu tố (2FA)

Xác thực mạnh hơn cũng có thể được thực hiện với xác thực hai yếu tố (2FA) hoặc xác thực nhiều yếu tố. Trong những trường hợp này, người dùng cung cấp hai (hoặc nhiều) các yếu tố xác thực khác nhau.

Dưới đây là một ví dụ khác về 2 yếu tố xác thực trong ngân hàng.

OTP SMS là phương pháp xác thực yếu tố thứ hai tiêu chuẩn cho các ngân hàng.

Tại ATM, bạn sẽ cần thẻ của bạn (thứ gì đó bạn có) và mã pin (thứ bạn biết).

Tại Singapore, Singpass sử dụng xác thực hai yếu tố (2FA) và mã hóa mật khẩu từ đầu đến cuối để truy cập các dịch vụ chính phủ của đất nước một cách an toàn.

SMS OTP không dùng nữa

Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST, Bộ Thương mại Hoa Kỳ) đã phản đối việc sử dụng SMS cho 2FA sớm nhất là vào năm 2016.

Phương pháp xác thực này cho thấy các lỗ hổng có thể ảnh hưởng đến mật khẩu và mã.

Ngoài ra, Cơ quan an ninh mạng châu Âu (ENISA) đã kêu gọi không sử dụng mật khẩu một lần dựa trên SMS.

Do đó, các doanh nghiệp và tổ chức công cộng nên xem xét các cách để cung cấp các mã khác ngoài SMS.

Quy định PSD2 châu Âu yêu cầu xác thực khách hàng mạnh mẽ hơn cho các ngân hàng và tổ chức tài chính. Kết quả là, OTP SMS không còn là phương pháp tuân thủ PSD2.

Chợ OTP và người chơi chính trong ngành

Phân khúc OTP là một phần của toàn cầu hơn Thị trường xác thực hai yếu tố được đánh giá ở mức $ 3,5B trong năm 2018. Nó sẽ đạt 8,9 tỷ đô la vào năm 2024, như được tiết lộ bởi một nghiên cứu trong tương lai nghiên cứu thị trường.

Thị trường OTP được ước tính là $ 1,5B trong năm 2018 và sẽ đạt $ 3,2B vào năm 2024.

Những người chơi chính trong thị trường xác thực hai yếu tố bao gồm Thales, Fujitsu, Suprema, Onespan, NEC, Symantec, RSA, Idemia, HID, ủy thác và Google tên một vài tên.

Kinh doanh xác thực mã thông báo OTP phần cứng là một phần nhỏ của thị trường OTP.

Tuy nhiên, theo nghiên cứu và thị trường, quy mô trên toàn thế giới dự kiến ​​sẽ đạt 403 triệu đô la vào năm 2025.

Khách hàng chính là doanh nghiệp, ngân hàng, tài chính, bảo hiểm và chứng khoán, chính phủ, chăm sóc sức khỏe và chơi game.

Ngoài OTP: Nhiều tài nguyên hơn về xác thực

• Đã đến lúc thay đổi (CNN)
• Tạo mật khẩu mạnh mẽ hơn (Google)
• Mật khẩu sắp chết.
• Mật khẩu của tôi mạnh đến mức nào?
• Chia sẻ một liên kết bí mật chỉ có sẵn một lần (Bí mật một thời gian)
• Lịch sử mã hóa ngắn gọn (được cập nhật vào tháng 2 năm 2023)
• Các ngân hàng Đức rời khỏi SMS OTP (ZD NET – 11 tháng 7 năm 2019)
• Tìm hiểu thêm về xác thực sinh trắc học (hồ sơ web của Thales)
• Khám phá các giải pháp xác thực đa yếu tố từ Thales
• Sinh trắc học hành vi trong ngân hàng (để xác thực mạnh hơn)
• Tìm hiểu thêm về xác thực im lặng
• Khám phá mã thông minh thông minh 3-Factorauthentication của chúng tôi
• Xác thực không mật khẩu và Passkey Fido
• OTP nâng cao trong ngân hàng: VTB24 ở Nga
• Tương lai của nhận dạng