Làm gì để bảo mật tài khoản?

Enternews.vn (DĐDN) - Một loạt các vụ việc bị mất tiền trong tài khoản ngân hàng hoặc có khiếu nại về giao dịch gian lận đã lộ ra những lỗ hổng bảo mật của hệ thống ngân hàng.

(DĐDN) - Một loạt các vụ việc khách hàng bị mất tiền trong tài khoản ngân hàng hoặc có khiếu nại về những giao dịch gian lận gần đây đã lộ ra những lỗ hổng bảo mật của hệ thống ngân hàng.

Ông Tony Chew, Giám đốc An ninh Thông tin khu vực Châu Á của Citi chia sẻ với DĐDN bên lề cuộc họp về bảo mật hệ thống thanh toán trực tuyến của Ngân hàng Nhà nước mới đây về việc làm thế nào để bảo mật tài khoản tốt hơn.

tonychew-copyHiện tại, mật khẩu và mã số riêng của từng khách hàng (PIN) là những lớp bảo vệ thông thường khi họ thực hiện mua hàng hoặc chuyển khoản trên mạng. Vậy những biện pháp đó an toàn tới đâu và khách hàng có thể tin tưởng những biện pháp đó tới mức độ nào?

Chúng ta không thể tiếp tục dựa vào mật khẩu như là phương thức chính để tiếp cận một tài khoản hoặc chứng minh việc thanh toán trên mạng là đúng người sử dụng. Bởi vì như chúng ta biết về các yếu điểm của mật khẩu và chúng ta không thể, hoặc gần như không thể bảo vệ mật khẩu. Bất cứ chương trình theo dõi bàn phím hay phần mềm gián điệp nào đều có thể lấy trộm mật khẩu khá dễ dàng. Cho dù khách hàng có thường xuyên thay đổi mật khẩu và độ dài của mật khẩu cũng khá tốt đi chăng nữa, điều đó cũng không có gì khác biệt trong việc bảo vệ mật khẩu.

Vì vậy tôi nghĩ rằng chúng ta phải chuyển sang các hệ thống xác thực động có khả năng bảo vệ tốt hơn đó là sử dụng mật khẩu một lần, hay còn gọi là mã OTP. Hiện nay phương thức phổ biến hay được sử dụng để tạo ra mã OTP là sử dụng thiết bị điện tử token. Thiết bị đó bảo vệ khách hàng rất tin cậy, bởi vị nó đã loại bỏ những nguy cơ bị tấn công. Ngay cả khi mã OTP có thể bị xâm nhập, mặc dù điều đó rất khó xảy ra, những kẻ tấn công cũng không thể có được một số lượng lớn mã OTP và thực hiện một cuộc tấn công lớn vì những mã đó sẽ hết hạn rất nhanh, trong vòng 100 giây. Đó là một khoảng thời gian rất ngắn để thực hiện một cuộc tấn công.

4-copy Chị K. (trú tại Long Biên, Hà Nội)- khách hàng mất tiền trong tài khoản khi chiếc thẻ ATM vẫn nằm trong ví .

 

Một số ngân hàng trong nước đã áp dụng mã OTP mà khách hàng vẫn bị mất tiền, chỉ có điều khác là mã OTP được gửi đến qua một ứng dụng trên điện thoại, không phải thiết bị token. Việc lấy mã OTP thông qua thiết bị điện tử token như vậy đã có lỗi nào xảy ra chưa, thưa ông?

Ở Singapore, chúng tôi đã sử dụng hệ thống này 10 năm qua, từ năm 2006, và đó là một hệ thống gần như hoàn hảo. Đã 10 năm qua mà chưa có một lỗi nào xảy ra ở Singapore với tất cả các giao dịch ngân hàng qua mạng. Chúng tôi sử dụng những thiết bị điện tử token để tạo ra mã OTP cho khách hàng dự trên mã PIN và một dãy số ngẫu nhiên từ hệ thống, điều mà hầu như không quốc gia nào làm như vậy. Hãy giả định rằng thiết bị đó bị đánh cắp khỏi khách hàng thì cũng không có gì nguy hại, bởi kẻ cắp sẽ vẫn phải làm cách nào đó để lấy được mật khẩu và mã số xác thực cá nhân của khách hàng, và lại phải thâm nhập qua máy tính của khách hàng. Điều đó khó xảy ra vì những kẻ tin tặc lại không thể tiếp cận khách hàng để lấy cắp được. Cuối cùng, chúng ta phải loại bỏ phương thức dùng mật khẩu. Đó thực sự là một thông điệp, để tìm kiếm giải pháp an ninh tốt hơn, như sử dụng mã OTP với thiết bị xác thực token. Nhưng nếu phải mang theo thiết bị đó, một số người sẽ cho là bất tiện, tuy nhiên điều đó vẫn đáng để làm bởi vì nó mang lại sự tin tưởng và an toàn cho tài khoản.

Nếu như việc gửi mã OTP qua thiết bị token tốt như vậy, tại sao các ngân hàng vẫn không sử dụng biện pháp tiên tiến đó?

Có một vài lý do. Trước tiên các ngân hàng nghĩ đến lợi thế cạnh tranh, bởi vì mang theo một thiết bị token sẽ bất tiện và khiến khách hàng tìm tới ngân hàng khác mà họ không cần phải có thiết bị đó. Thứ hai là chi phí để sản xuất ra thiết bị cầm tay đó, hơn nữa thiết bị đó hoạt động thế nào lại phụ thuộc vào tuổi thọ pin. Thực tế thì chi phí cũng không phải là vấn đề đáng tranh cãi lắm. Nhưng một điều nữa là không có những quy định bắt buộc ngân hàng phải làm điều đó. Ở Singapore, chúng tôi phải làm điều đó vì có những quy định ràng buộc, phần lớn các quốc gia khác thì không có quy định như vậy.

Vậy nếu điều đó bất tiện, còn có cách nào tốt hơn để khách hàng có thể bảo vệ tài khoản của họ khỏi bị đánh cắp? Citi gần đây đã giới thiệu ứng dụng phương pháp nhận diện bằng giọng nói cho các khách hàng ở khu vực Châu Á, gồm cả ở Việt Nam, đó có phải là biện pháp tốt nhất?

Công nghệ nhận diện sinh trắc học sẽ đóng vai trò quan trọng trong công tác bảo mật và nhận diện khách hàng thuộc lĩnh vực tài chính ngân hàng trong tương lai. Có rất nhiều biện pháp nhận diện sinh trắc học như nhận diện mống mắt, nhận diện khuôn mặt, nhận diện vân tay, giọng nói và cả tĩnh mạch. Citi là ngân hàng đầu tiên áp dụng nhận diện khách hàng qua giọng nói ở khu vực Châu Á. Ngày nay Việt Nam cũng có cơ hội rất lớn để các ngân hàng làm điều đó mà không cần phải sử dụng những thiết bị điện tử nhận mã OTP cầm tay. Gần như tất cả mọi người ở thành phố đều có điện thoại thông minh, các ngân hàng có thể phát triển những ứng dụng và đưa vào đó những tính năng nhận diện sinh trắc học. Chi phí làm một ứng dụng đó có thể tốn vài triệu USD, nhưng nó đáng để làm thế.

Xin cảm ơn ông!

 Ngọc Linh

>> Hàng loạt tài khoản “bốc hơi”: NHNN siết chặt an ninh hoạt động thanh toán

Đánh giá của bạn:

Mời các bạn tham gia vào Diễn đàn chuyên sâu: Doanh nhân, Doanh nghiệp, Diễn đàn bất động sản, Khởi nghiệp, Diễn đàn pháp luật, Diễn đàn Tài chính

Mời các bạn tham gia vào group Diễn đàn Doanh nghiệp để thảo luận và cập nhật tin tức.

Bạn đang đọc bài viết Làm gì để bảo mật tài khoản? tại chuyên mục DIỄN ĐÀN TÀI CHÍNH của Báo Diễn đàn doanh nghiệp. Liên hệ cung cấp thông tin và gửi tin bài cộng tác: email toasoan@dddn.com.vn, hotline: (024) 3.5771239,
Từ khóa
Bình luận
Bạn còn /500 ký tự
Xếp theo: Thời gian | Số người thích