Bảo mật cho ví điện tử
Việc dùng thẻ tín dụng, ví điện tử để thanh toán các giao dịch trực tuyến, trả các khoản tiền nhỏ đang phổ biến hơn.
Ông Võ Văn Khang, Phó chủ tịch Chi hội An toàn thông tin phía Nam (VNISA) đã đưa ra những cảnh báo và hướng dẫn cách thức sử dụng thẻ ngân hàng, ví điện tử sao cho đảm bảo tính bảo mật.
Phóng viên: Hiện nay có bao nhiêu cơ chế bảo mật đối với thẻ ngân hàng thưa ông? Cơ chế bảo mật nào hiện đang được các ngân hàng ứng dụng nhiều nhất?
Ông Võ Văn Khang: Để thanh toán trực tuyến bằng thẻ ngân hàng, đầu tiên người dùng phải khai báo các thông tin về thẻ như số thẻ, mã xác minh thẻ, hạn sử dụng, họ tên.
Hiện nay mã xác thực dùng một lần (OTP) đang là cơ chế bảo mật thông dụng và hữu hiệu để bảo vệ giao dịch của thẻ ngân hàng.
Có một số hình thức khác như việc truy vấn khách hàng các thông tin bổ sung (câu hỏi bí mật, số CMND, ngày sinh) đôi khi được ngân hàng sử dụng nhưng không phổ biến vì nó có thể tạo nên sự bất tiện trong giao dịch và đánh mất lợi thế quan trọng nhất của thanh toán điện tử là tiện lợi.
Bên cạnh đó, hình thức bảo mật khác là Token (xác thực bằng phần cứng) cũng được áp dụng nhưng thường chỉ dùng cho việc thanh toán ngân hàng trực tuyến Internet banking.
Ông có thể tư vấn cho người dùng trong trường hợp nếu lỡ bị mất điện thoại di động có chứa thông tin thẻ ngân hàng trên điện thoại, người dùng cần làm gì để bảo vệ tài khoản?
Khi đó, người dùng cần làm ngay ba việc:
-Thông báo lên tổng đài hỗ trợ yêu cầu tạm khóa liên lạc số di động và nhanh chóng ra điểm giao dịch của đơn vị cung cấp dịch vụ di động gần nhất để cấp lại sim mới. Việc mất số điện thoại không chỉ ảnh hưởng đến các tài khoản và các dịch vụ ngân hàng mà còn có nguy cơ ảnh hưởng tài khoản email, Facebook, Google drive, Zalo… dẫn đến mất toàn bộ tài sản số.
-Thông báo tạm khóa các tài khoản ngân hàng có lưu trữ trong thiết bị di động đã bị mất.
-Đổi toàn bộ mật khẩu cá nhân liên quan sau khi đã lấy lại được quyền kiểm soát số điện thoại (khi đổi sim mới).
Các loại thẻ ngân hàng hiện nay đều có thể liên kết với ví điện tử và khi thanh toán thường sẽ có mã xác thực (OTP) gửi về số điện thoại đăng ký với ngân hàng để xác nhận. Tuy nhiên, có một số giao dịch qua ví điện tử bỏ qua bước này. Theo ông, điều này có gây rủi ro gì cho người dùng thẻ ngân hàng hay không?
Ví điện tử là hình thức trung gian thanh toán. Việc thanh toán qua ví được thực hiện sau khi nạp tiền vào ví với số lượng hợp lý dành cho chi tiêu và không ảnh hưởng đến tài khoản. Việc sử dụng ví còn phụ thuộc vào nhiều yếu tố, trong đó có việc đảm bảo an toàn và bảo mật của ứng dụng ví.
Các hình thức liên kết với tài khoản ngân hàng phải tránh được việc tin tặc có thể tấn công vào tài khoản ngân hàng liên kết thông qua ứng dụng ví. Và dĩ nhiên ứng dụng ví này phải được cấp phép là đơn vị trung gian thanh toán của Ngân hàng Nhà nước.
Ví điện tử có ưu thế về khuyến mãi, các hình thức thanh toán đa dạng, giao dịch nhanh hơn hình thức thanh toán qua Internet banking của ngân hàng. Liệu ví điện tử có thay thế thẻ tín dụng, Internet banking trong hoạt động thanh toán không dùng tiền mặt?
Đối với các thanh toán trực tuyến các dịch vụ trong nước, hay thanh toán nhanh tại quầy thì ví điện tử có thể thay thế thanh toán thẻ và nó sẽ là xu hướng.
Ví điện tử đóng vai trò rất quan trọng trong việc triển khai chủ trương thanh toán không dùng tiền mặt của Việt Nam trong nhiều năm tới.
Các hình thức bảo mật đối với thẻ ngân hàng
Gần đây, các ngân hàng bổ sung thêm Smart OTP hay còn gọi là Smart Token. Đây là phần mềm trên các thiết bị di động cho phép người dùng chủ động lấy mã xác thực (OTP) cho các giao dịch trên Internet banking. Smart OTP có thể tạo ra mã xác thực mà không cần kết nối Internet. Các hình thức này sẽ xác định hạn mức chi tiêu khi dùng thẻ hoặc tài khoản ngân hàng.
Khi so sánh với hình thức bảo mật mới là Smart OTP, SMS OTP bị hạn chế hơn do người dùng không thể nhận được mã OTP trong trường hợp điện thoại bị mất sóng hay di chuyển ra nước ngoài mà không cài đặt dịch vụ chuyển vùng quốc tế (roaming).
OTP viết tắt của “One Time Password”, nghĩa là mật khẩu sử dụng một lần; được gửi đến số điện thoại của người dùng để xác nhận bổ sung khi thực hiện giao dịch qua mạng. Mã OTP chỉ dùng được một lần, thời hạn mật khẩu cũng rất ngắn (khoảng 30 giây đến 2 phút), mã xác nhận này nếu quá thời hạn sẽ phải thay thế bằng mã mới nếu khách hàng vẫn muốn thực hiện giao dịch.
OTP được sử dụng giống như lớp bảo mật đăng nhập thứ hai, được yêu cầu sau khi đăng nhập đúng mật khẩu cá nhân giúp ngăn chặn, giảm thiểu những rủi ro bị tấn công. Việc nhập mã này thường là bước cuối trước khi chuyển tiền khỏi tài khoản, do đó người dùng cần kiểm tra cẩn thận khoản chi trước khi nhập mã.