OTP - One Time Password là mật khẩu sử dụng một lần và được coi là lớp bảo vệ thứ hai cho các tài khoản ngân hàng điện tử, thanh toán trực tuyến hay e-mail, mạng xã hội.

Mã xác thực OTP là một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự. Nhưng khác mật khẩu thông thường, mã xác thực OTP được tạo ra ngẫu nhiên không phải từ người dùng, chỉ sử dụng được một lần và sau đó không còn tác dụng. Thậm chí, thời hạn của mật khẩu OTP thường rất ngắn, có thể chỉ sau 30 giây, 60 giây hay một vài phút, nó sẽ vô tác dụng và lại được thay thế bằng mã mới.

OTP được sử dụng nhiều và rất phổ biến. Để chuyển tiền hay thực hiện một giao dịch trực tuyến, người dùng không chỉ dùng tài khoản và mật khẩu để đăng nhập mà còn cần nhập đúng mã xác thực OTP mới hoàn tất được giao dịch. Nhiều nhà cung cấp dịch vụ thư điện tử như Google hay mạng xã hội Facebook cũng sử dụng OTP là mật khẩu đăng nhập thứ hai, được yêu cầu sau khi nhập đúng mật khẩu cá nhân. Vì khi để lộ hay bị đánh cắp tài khoản và mật khẩu chính, kẻ xấu cũng không thể đăng nhập hay thực hiện giao dịch, chuyển tiền nếu không có mã OTP.

Có nhiều cách để người dùng nhận mã OTP, có thể thông qua thiết bị hay ứng dụng tạo mã, hoặc được nhà cung cấp gửi đến thông qua tin nhắn SMS, điện thoại hay e-mail.

Dưới đây là những hình thức cung cấp mã xác thực OTP phổ biến:

SMS OTP

Mã xác thực OTP được ngân hàng hay nhà cung cấp dịch vụ gửi dưới dạng tin nhắn SMS đến số điện thoại mà người dùng đã đăng ký. So với Token Key, hình thức này đơn giản và phổ biến hơn nhiều. Không chỉ các ngân hàng, Google, Facebook hay Apple cũng sử dụng SMS OTP làm lớp bảo vệ thứ hai khi đăng nhập tài khoản.

Hạn chế của SMS OTP là việc người dùng không thể nhận được mã xác thực trong trường hợp điện thoại mất sóng, hay di chuyển ra nước ngoài mà không cài đặt dịch vụ chuyển vùng quốc tế.

Token Key (Token Card)

ma-xac-thuc-otp-la-gi-1

Đây là thiết bị điện tử có khả năng tạo ra mã xác thực OTP. Nó tự động sinh ra các mã ngẫu nhiên sau mỗi phút mà không cần đến kết nối mạng Internet. Tuy nhiên, mỗi tài khoản ngân hàng phải đăng ký sử dụng một Token riêng và không dùng chung được. Sau một thời gian định kỳ, ngân hàng sẽ yêu cầu người dùng đổi một Token mới.

Là thiết bị rời và thường nhỏ gọn, Token Key dễ bị đánh cắp hoặc thất lạc. Một số loại thông dụng với thiết kế đơn giản cũng dễ bị xem trộm mật mã OTP.

Smart OTP hay Smart Token

ma-xac-thuc-otp-la-gi-2

Đây là hình thức kết hợp giữa Token Key và SMS OTP, là một ứng dụng có thể cài đặt được trên smartphone, máy tính bảng Android hay iOS. Tại Việt Nam, Vietcombank và TPBank đang sử dụng hình thức này bên cạnh SMS OTP. Còn Google cũng cung cấp ứng dụng tạo mã xác thực OTP mang tên Google Authenticator.

Giống như Token Key, ứng dụng này trên điện thoại có khả năng tự sinh ra mã xác thực ngẫu nhiên sau một khoảng thời gian. Không như SMS OTP, Smart OTP hay Smart Token có thể cung cấp mã xác thực kể cả nơi không có sóng điện thoại và Internet.

Dù vậy, để có thể cài đặt các ứng dụng này và bắt đầu nhận được mã OTP, người dùng phải đăng ký với ngân hàng, nhà cung cấp dịch vụ hoặc xác thực thông qua SMS OTP. Bên cạnh đó, không thể có hai hoặc nhiều thiết bị sử dụng chung một ứng dụng tạo mã OTP.