Các Ngân hàng Singapore và Passkeys: Thay thế SMS OTP

Cơ quan Tiền tệ Singapore (MAS) đã thông báo rằng tất cả các ngân hàng bán lẻ lớn trong nước phải loại bỏ dần OTP và thay thế chúng bằng “digital token” trong vòng ba tháng tới. Động thái này, phối hợp với Hiệp hội các Ngân hàng tại Singapore (ABS), nhằm mục đích bảo vệ người tiêu dùng khỏi lừa đảo phishing và các hình thức lừa đảo khác đã gây thiệt hại hơn 14 triệu đô la vào năm 2023. Trong bài viết này, chúng ta sẽ thảo luận về:

• Ngừng sử dụng OTP: Tại sao MAS ưu tiên việc ngừng sử dụng OTP?
• Digital Token: Digital token là gì và tại sao chúng an toàn hơn?
• Passkeys: Liệu passkeys có thể giúp đáp ứng các yêu cầu mới không?

Hãy bắt đầu bằng cách xem xét kỹ hơn thông báo của Cơ quan Tiền tệ Singapore (MAS) “Các ngân hàng ở Singapore tăng cường khả năng chống lại các vụ lừa đảo Phishing”.

Vào ngày 9 tháng 7 năm 2024, Cơ quan Tiền tệ Singapore (MAS) và Hiệp hội các Ngân hàng tại Singapore (ABS) đã công bố một bước tiến quan trọng để tăng cường bảo mật cho ngân hàng số bằng cách loại bỏ dần việc sử dụng Mật khẩu một lần (OTP). Quá trình chuyển đổi này sẽ diễn ra dần dần trong ba tháng tới và nhằm mục đích bảo vệ người tiêu dùng tốt hơn khỏi các vụ lừa đảo phishing, vốn đã trở thành mối đe dọa chính trong ngân hàng số. Mặc dù thông báo chỉ đề cập đến “Mật khẩu một lần” và OTP, nhưng nó nhắm mục tiêu cụ thể vào SMS OTP.

Những khách hàng đã kích hoạt digital token trên thiết bị di động của mình giờ đây sẽ được yêu cầu sử dụng các token này để đăng nhập vào tài khoản ngân hàng qua trình duyệt hoặc ứng dụng ngân hàng di động. Digital token sẽ xác thực thông tin đăng nhập của khách hàng mà không cần OTP, vốn có thể bị kẻ lừa đảo đánh cắp hoặc lừa khách hàng tiết lộ. Chúng ta sẽ cung cấp thêm chi tiết về digital token là gì trong chương tiếp theo.

Những tiến bộ công nghệ và các kỹ thuật lừa đảo phishing tinh vi đã vượt qua mức độ bảo mật mà SMS OTP từng cung cấp. Kẻ lừa đảo hiện tạo ra các trang web ngân hàng giả mạo trông rất giống các trang web thật, dụ dỗ khách hàng nhập OTP và các thông tin đăng nhập khác. Việc chuyển sang các yếu tố xác thực chống lừa đảo phishing giúp tăng cường bảo mật, khiến cho việc kẻ lừa đảo truy cập trái phép vào tài khoản của khách hàng trở nên khó khăn hơn đáng kể.

Lừa đảo phishing vẫn là một mối lo ngại dai dẳng ở Singapore. Các ngân hàng tiếp tục hợp tác chặt chẽ với MAS và Lực lượng Cảnh sát Singapore để phát triển và giới thiệu các biện pháp nhằm củng cố khả năng chống lại bối cảnh lừa đảo đang ngày càng phát triển. Bà Ong-Ang Ai Boon, Giám đốc ABS, nhấn mạnh rằng mặc dù biện pháp mới có thể gây ra một số bất tiện, nhưng đó là một bước cần thiết để ngăn chặn lừa đảo và bảo vệ khách hàng.

Bà Loo Siew Yee, Trợ lý Giám đốc Điều hành (Chính sách, Thanh toán & Tội phạm Tài chính) tại MAS, nhấn mạnh rằng MAS cam kết hợp tác chặt chẽ với các ngân hàng để bảo vệ người tiêu dùng khỏi các vụ lừa đảo ngân hàng số. Bà lưu ý rằng biện pháp mới nhất này sẽ bổ sung cho các thói quen vệ sinh không gian mạng tốt mà khách hàng nên tiếp tục tuân theo, chẳng hạn như bảo vệ thông tin đăng nhập ngân hàng của họ.

Biện pháp này của MAS và ABS cho thấy cam kết của họ trong việc tăng cường bảo mật ngân hàng số bằng cách bắt buộc sử dụng digital token. Điều mà thông báo còn thiếu là một phác thảo rõ ràng về các yêu cầu đối với digital token về mặt xác thực. Hãy cùng xem xét kỹ hơn về điều đó trong phần tiếp theo.

Digital token đại diện cho một bước tiến trong bảo mật trực tuyến, cung cấp một giải pháp thay thế mạnh mẽ hơn so với Mật khẩu một lần (OTP) qua SMS truyền thống. Không giống như SMS OTP, được truyền qua SMS (hoặc email) và có thể bị chặn hoặc lừa đảo, digital token được liên kết với một thiết bị cụ thể, thường là điện thoại di động, đảm bảo rằng chỉ chủ sở hữu thiết bị mới có thể tạo ra các mã xác thực cần thiết.

Digital token có thể hoạt động theo nhiều cách khác nhau:

• Digital token dựa trên thời gian (kém an toàn hơn): Các token này là các mã động, dựa trên thời gian được sử dụng để xác thực danh tính của người dùng. Chúng được tạo ra bởi một ứng dụng gốc trên thiết bị di động của người dùng, chẳng hạn như ứng dụng độc quyền của ngân hàng – trong hầu hết các triển khai, mã thực tế không còn được hiển thị nữa mà chỉ có một thông báo đẩy yêu cầu người dùng đồng ý với các chi tiết giao dịch và sau đó được truyền trở lại máy chủ ngân hàng.
• Digital token mật mã hóa (an toàn hơn): Một digital token mật mã hóa đại diện cho một phương thức xác thực thậm chí còn an toàn hơn so với token dựa trên thời gian. Nó sử dụng một cặp khóa công khai-khóa riêng tư được lưu trữ trong ứng dụng hoặc trong vùng bảo mật của điện thoại di động. Trong quá trình xác thực, máy chủ ngân hàng gửi một thử thách đến thiết bị của người dùng. Thiết bị sau đó sử dụng khóa riêng của mình để ký vào thử thách này, và phản hồi đã ký được gửi trở lại máy chủ. Máy chủ xác minh chữ ký bằng khóa công khai tương ứng. Phương pháp này đảm bảo rằng ngay cả khi kẻ tấn công chặn được giao tiếp, chúng cũng không thể sao chép quá trình xác thực mà không có quyền truy cập vào khóa riêng của người dùng, vốn được lưu trữ an toàn trên thiết bị.

Bảo mật của digital token mạnh hơn nhờ một số tính năng chính:

1. Liên kết thiết bị: Token được gắn với một thiết bị cụ thể, có nghĩa là các mã xác thực chỉ có thể được tạo ra bởi thiết bị đó. Việc liên kết thiết bị này khiến cho việc kẻ tấn công sao chép hoặc chuyển token sang một thiết bị khác trở nên cực kỳ khó khăn.
2. Thiết lập đa yếu tố: Việc thiết lập ban đầu của digital token thường bao gồm việc sử dụng OTP được gửi qua SMS và email để xác minh danh tính của người dùng cùng với mã PIN ngân hàng (một số ngân hàng cũng loại bỏ các token vật lý bằng phương pháp này. Khi đó, token OTP vật lý có thể được sử dụng). Khi token được kích hoạt, nó trở thành phương thức chính để xác thực, loại bỏ nhu cầu về OTP trong tương lai và các lỗ hổng liên quan. Ví dụ, Ngân hàng DBS sử dụng kết hợp SMS và email OTP trong quá trình thiết lập ban đầu của digital token, sau đó việc xác thực liên tục chỉ dựa vào token.
3. Bảo vệ bằng thuật toán dựa trên thời gian hoặc mật mã hóa: Digital token sử dụng các thuật toán mật mã hóa mạnh hoặc các thuật toán dựa trên thời gian (TOTP) để tạo ra các mã xác thực, đảm bảo rằng ngay cả khi giao tiếp giữa thiết bị và máy chủ xác thực bị chặn, các mã này cũng không thể dễ dàng bị giải mã hoặc giả mạo.

Ngân hàng DBS, một tổ chức tài chính lớn ở Singapore, đã triển khai thành công digital token để tăng cường bảo mật cho khách hàng của mình. Ngân hàng yêu cầu

• Thứ người dùng biết: PIN
• Thứ người dùng có: SMS OTP (quyền truy cập vào điện thoại được gán cho số điện thoại)
• Thứ người dùng có: email OTP (quyền truy cập vào email được gán cho tài khoản)

để thiết lập digital token trên thiết bị di động của khách hàng. Sau khi thiết lập, digital token trở thành phương thức duy nhất để xác thực đăng nhập và giao dịch, giảm thiểu hiệu quả nguy cơ các cuộc tấn công phishing nhắm vào OTP.

Trong trường hợp địa chỉ email được kết nối không được cập nhật và không có token vật lý, người dùng có thể thiết lập digital token với các tùy chọn dự phòng:

Các tùy chọn dự phòng bao gồm danh tính số với Singpass, sử dụng máy Video Teller (VTM) tại một chi nhánh gần khách hàng hoặc yêu cầu một mã đăng ký được gửi qua đường bưu điện trong vòng 3-5 ngày.

Việc chuyển từ OTP sang digital token giải quyết một số lỗ hổng liên quan đến các phương thức xác thực truyền thống:

• Khả năng chống Phishing một phần: Vì digital token được tạo và sử dụng trực tiếp trên thiết bị của người dùng, không có nguy cơ bị chặn qua phishing. Ngay cả khi kẻ lừa đảo lừa người dùng cung cấp chi tiết đăng nhập, chúng cũng không thể tạo ra mã xác thực cần thiết mà không có quyền truy cập vật lý vào thiết bị.
• Giảm bề mặt tấn công: Bằng cách loại bỏ nhu cầu sử dụng SMS và email làm kênh truyền tải mã xác thực, digital token làm giảm bề mặt tấn công mà kẻ lừa đảo có thể khai thác.
• Tiện lợi cho người dùng: Mặc dù việc thiết lập ban đầu có thể yêu cầu thêm các bước, việc sử dụng digital token liên tục lại liền mạch và thuận tiện cho người dùng. Họ không còn cần phải chờ OTP đến qua SMS hoặc email, đôi khi có thể bị trì hoãn hoặc bị chặn.

Trong khi khả năng chống phishing được cải thiện một phần, rủi ro mới bây giờ là khách hàng sẽ trở thành nạn nhân của các cuộc tấn công gây mệt mỏi MFA (MFA fatigue attacks) bằng cách liên tục quen với các yêu cầu xác thực digital token, một kẻ tấn công có thể lợi dụng điều này và gửi một yêu cầu như vậy từ một trang phishing.

Đó là lý do tại sao các công ty công nghệ lớn hơn (ví dụ: Google và Microsoft) đã từng trải qua nhiều vụ vi phạm đã bắt đầu đưa ra các thử thách vào những thông báo đẩy đó, ví dụ như chọn đúng số để bảo vệ khách hàng.

Digital token cung cấp một phương thức xác thực an toàn hơn trong bối cảnh ngân hàng số nhưng không loại bỏ hoàn toàn nguy cơ phishing. Kẻ tấn công vẫn có thể lừa nạn nhân xác thực quyền truy cập của mình bằng cách thuyết phục nạn nhân xác nhận các yêu cầu digital token. Điều mà việc triển khai của Ngân hàng DBS đã cho thấy là có thể dễ dàng đăng ký cho khách hàng một hình thức xác thực khác bằng cách sử dụng các yếu tố hiện có kết hợp. Câu hỏi đặt ra lúc này là, tại sao MAS và ngân hàng DBS không giới thiệu passkeys? Hãy cùng xem xét điều đó.

Như chúng ta đã thấy, digital token đại diện cho một bước tiến trong việc bảo mật các giao dịch ngân hàng số so với SMS OTP truyền thống. Tuy nhiên, mặc dù digital token cung cấp các tính năng bảo mật nâng cao, chúng không hoàn toàn chống được phishing. Kẻ tấn công vẫn có thể lừa nạn nhân xác thực một yêu cầu gian lận bằng cách thuyết phục họ xác nhận các lời nhắc của digital token. Lỗ hổng đang diễn ra này cho thấy rằng digital token, dù là một sự cải tiến, không phải là một bước đi đủ táo bạo hướng tới việc bảo mật ngân hàng trực tuyến.

Passkeys cung cấp một phương thức xác thực thực sự chống phishing. Không giống như digital token, passkeys vốn có khả năng chống lại các cuộc tấn công phishing vì chúng chỉ có thể được sử dụng trên trang web hoặc ứng dụng chính xác. Điều này đảm bảo rằng người dùng không thể bị lừa nhập thông tin đăng nhập của họ trên một trang web lừa đảo. Passkeys dựa trên mật mã hóa khóa công khai-khóa riêng tư, trong đó khóa riêng được lưu trữ an toàn trên thiết bị của người dùng và được mã hóa an toàn trong đám mây của hệ điều hành đi kèm. Khóa công khai được chia sẻ với dịch vụ xác thực.

Đây là cách passkeys tăng cường bảo mật:

1. Chống Phishing: Passkeys loại bỏ nguy cơ nhập chi tiết xác thực trên các trang web giả mạo. Vì quá trình xác thực chỉ có thể tiến hành trên trang web hợp pháp đã đưa ra thử thách, các nỗ lực phishing trở nên vô hiệu. Về mặt kỹ thuật, không thể sử dụng passkey trên trang sai và người tiêu dùng trung bình cũng không thể xuất passkey cho một bên lạ.
2. Hỗ trợ đa thiết bị: Không giống như digital token, thường bị ràng buộc với một thiết bị duy nhất, passkeys có thể được đồng bộ hóa trên các thiết bị đã được xác thực trong cùng một đám mây hoặc trình quản lý mật khẩu một cách an toàn. Điều này mang lại sự linh hoạt và tiện lợi cho người dùng truy cập dịch vụ ngân hàng của họ từ nhiều thiết bị khác nhau.
3. Bảo mật thiết bị mạnh mẽ: Passkeys yêu cầu 2FA phải được kích hoạt trong các hệ sinh thái điện thoại di động (chẳng hạn như iOS hoặc Android). Lớp bảo mật bổ sung này đảm bảo rằng ngay cả khi một thiết bị bị xâm phạm, kẻ tấn công sẽ cần phải vượt qua 2FA của thiết bị để có quyền truy cập vào passkeys. Chúng tôi đã giải thích chi tiết về các chi tiết SCA/PSD2 trên passkeys và giải thích tại sao passkeys được đồng bộ hóa có thể được sử dụng cho ngân hàng.

Úc đã nhận ra tầm quan trọng của việc xác thực chống phishing trong tiêu chuẩn Essential Eight của mình, trong đó nêu ra các phương pháp hay nhất cho an ninh mạng. Tiêu chuẩn này đặc biệt đề cập đến nhu cầu về các yêu cầu kỹ thuật giúp giảm thiểu rủi ro phishing, định vị Úc là quốc gia dẫn đầu về an ninh mạng trong khu vực Châu Á-Thái Bình Dương. Singapore, với cơ sở hạ tầng số tiên tiến của mình, nên theo gương Úc bằng cách tích hợp passkeys vào tiêu chuẩn và các khuyến nghị của mình cho các doanh nghiệp. Điều này không chỉ tăng cường bảo mật mà còn giúp Singapore phù hợp với các thông lệ tốt nhất toàn cầu về bảo mật số.

Ngành ngân hàng đang chờ đợi hướng dẫn pháp lý rõ ràng cho phép rõ ràng việc sử dụng passkeys được đồng bộ hóa trong ngân hàng. Một động thái như vậy sẽ cung cấp cho các ngân hàng sự tự tin để áp dụng công nghệ tiên tiến này và cung cấp cho khách hàng của họ một phương thức xác thực thực sự an toàn và tiện lợi. Cơ quan Tiền tệ Singapore (MAS) có cơ hội đặt ra một tiêu chuẩn mới về bảo mật ngân hàng số bằng cách tán thành việc sử dụng passkeys. Bằng cách đó, MAS sẽ báo hiệu cam kết của mình trong việc tiên phong các biện pháp bảo mật tiên tiến, đảm bảo rằng Singapore vẫn ở vị trí hàng đầu trong đổi mới ngân hàng số.

Chuyển đổi người dùng sang digital token an toàn hơn là một bước quan trọng hướng tới việc tăng cường bảo mật ngân hàng trực tuyến tại Singapore. Tuy nhiên, nhìn về phía trước, điều cần thiết là các ngân hàng phải bắt đầu áp dụng passkeys, vốn sẽ trở thành tiêu chuẩn thực tế cho xác thực web. Dưới đây là một số khuyến nghị chính cho các ngân hàng Singapore để đảm bảo cho tương lai cơ sở hạ tầng bảo mật của họ:

1. Bắt đầu thu thập Passkeys sớm: Trong khi chuyển đổi sang digital token, các ngân hàng cũng nên bắt đầu quá trình thu thập passkeys từ người dùng. Cách tiếp cận chủ động này sẽ chuẩn bị cho các ngân hàng một quá trình chuyển đổi liền mạch khi passkeys được chấp nhận và áp dụng rộng rãi. Bằng cách tích hợp việc thu thập passkey vào các quy trình giới thiệu và xác thực hiện tại, các ngân hàng có thể dần dần xây dựng một cơ sở dữ liệu passkeys an toàn.
2. Thay thế PIN bằng Passkeys: Một bước thực tế và ngay lập tức để áp dụng passkeys là thay thế các mã PIN truyền thống bằng passkeys. Passkeys cung cấp một giải pháp thay thế an toàn và tiện lợi hơn cho PIN, tận dụng mật mã hóa khóa công khai-khóa riêng tư. Bằng cách triển khai passkeys làm phương thức xác thực chính, các ngân hàng có thể tăng cường bảo mật đồng thời mang lại trải nghiệm người dùng mượt mà hơn.
3. Sử dụng Passkeys làm yếu tố đầu tiên hoặc biện pháp rủi ro bổ sung: Passkeys có thể được sử dụng làm yếu tố xác thực đầu tiên hoặc như một biện pháp rủi ro bổ sung trong các thiết lập xác thực đa yếu tố (MFA). Việc kết hợp passkeys vào quy trình xác thực sẽ cung cấp thêm một lớp bảo mật, khiến cho việc kẻ tấn công xâm phạm tài khoản người dùng trở nên khó khăn hơn đáng kể. Các ngân hàng có thể bắt đầu bằng cách cung cấp passkeys như một tính năng bảo mật tùy chọn và dần dần biến chúng thành một phần tiêu chuẩn của quy trình xác thực.
4. Giáo dục khách hàng về Passkeys: Việc triển khai thành công passkeys đòi hỏi sự nhận thức và chấp nhận của khách hàng. Các ngân hàng nên đầu tư vào các chiến dịch giáo dục để thông báo cho khách hàng về lợi ích và các tính năng bảo mật của passkeys. Việc truyền thông rõ ràng về cách passkeys hoạt động và vai trò của chúng trong việc bảo vệ chống lại các cuộc tấn công phishing sẽ khuyến khích nhiều khách hàng áp dụng công nghệ này hơn.
5. Hợp tác với các cơ quan quản lý và các đối tác trong ngành: Các ngân hàng nên tích cực hợp tác với các cơ quan quản lý như Cơ quan Tiền tệ Singapore (MAS) và các đối tác trong ngành để thiết lập các hướng dẫn tiêu chuẩn hóa cho việc triển khai passkey. Những nỗ lực chung sẽ đảm bảo một cách tiếp cận nhất quán và an toàn trên toàn ngành ngân hàng, tăng cường an ninh ngân hàng số tổng thể tại Singapore.
6. Đầu tư vào cơ sở hạ tầng và hệ thống hỗ trợ: Việc triển khai passkeys đòi hỏi cơ sở hạ tầng và hệ thống hỗ trợ mạnh mẽ. Các ngân hàng nên đầu tư vào công nghệ và nguồn lực cần thiết để hỗ trợ xác thực bằng passkey, bao gồm các hệ thống quản lý khóa an toàn và tích hợp với các khung xác thực hiện có. Đảm bảo trải nghiệm người dùng mượt mà và an toàn sẽ rất quan trọng cho việc áp dụng rộng rãi.
7. Theo dõi và thích ứng với các mối đe dọa mới nổi: Thường xuyên theo dõi bối cảnh mối đe dọa và cập nhật các biện pháp bảo mật tương ứng sẽ giúp các ngân hàng đi trước các rủi ro tiềm ẩn. Passkeys, kết hợp với các cải tiến bảo mật liên tục, sẽ cung cấp một hàng rào phòng thủ kiên cường chống lại các chiến thuật lừa đảo và gian lận mới nổi.

Thực hiện theo các khuyến nghị này, bảo mật xác thực trong ngành Ngân hàng Singapore có thể tăng cường hơn nữa và cũng tìm thấy sự tích hợp của chúng vào các khuôn khổ và tiêu chuẩn tuân thủ như Tiêu chuẩn Ứng dụng An toàn (Safe App Standard) hiện đang thiếu đề cập đến passkeys như một công nghệ xác thực.

Tóm lại, thông báo của Cơ quan Tiền tệ Singapore (MAS) về việc loại bỏ SMS OTP và chuyển sang digital token đánh dấu một bước quan trọng trong việc tăng cường bảo mật ngân hàng số. Động thái này giải quyết mối đe dọa ngày càng tăng của các vụ lừa đảo phishing, vốn đã ảnh hưởng đáng kể đến người tiêu dùng và ngành ngân hàng.

• Tại sao ngừng sử dụng OTP: MAS ưu tiên ngừng sử dụng OTP do chúng dễ bị lừa đảo phishing và bị chặn. Kẻ lừa đảo đã khai thác các lỗ hổng của SMS OTP, thúc đẩy nhu cầu về các phương thức xác thực an toàn hơn.
• Digital Token là gì: Digital token cung cấp bảo mật nâng cao bằng cách được liên kết với thiết bị và sử dụng các thuật toán mật mã hóa mạnh. Điều này làm cho chúng có khả năng chống lại các cuộc tấn công phishing tốt hơn so với OTP truyền thống. Chúng cũng mang lại sự tiện lợi và giảm bề mặt tấn công bằng cách loại bỏ nhu cầu về mã xác thực qua SMS hoặc email.
• Passkeys có thể giúp ngành ngân hàng Singapore không: Passkeys nổi lên như một giải pháp thay thế vượt trội, cung cấp xác thực mạnh mẽ, chống phishing. Bằng cách sử dụng mật mã hóa khóa công khai-khóa riêng tư, passkeys đảm bảo rằng việc xác thực chỉ có thể xảy ra trên các trang web hợp pháp, giảm thiểu đáng kể rủi ro phishing. Hỗ trợ đa thiết bị và bảo mật thiết bị mạnh mẽ càng làm tăng thêm sức hấp dẫn của chúng.

Khi chúng ta khám phá những ưu điểm của digital token, chúng ta đã ghi nhận những hạn chế của chúng trong việc loại bỏ hoàn toàn rủi ro phishing. Mặt khác, Passkeys cung cấp một giải pháp toàn diện, phù hợp với các thông lệ tốt nhất quốc tế về bảo mật số. Mặc dù việc chuyển đổi sang digital token là một bước tiến, mục tiêu cuối cùng nên là áp dụng passkeys làm tiêu chuẩn tương lai cho xác thực ngân hàng số.