#NgàyHômNay: Mã mPIN trong ngân hàng di động – Thuận tiện hay không?
Trong kỷ nguyên ngân hàng di động, một trong những yếu tố quan trọng nhất là bảo mật thông tin. Tuy nhiên, mã mPIN, một hình thức xác thực đang được sử dụng rộng rãi, liệu có đủ an toàn?
Mã mPIN chỉ đơn giản là một mật khẩu tĩnh và không đáp ứng được yêu cầu xác thực hai yếu tố. Từ quan điểm pháp lý, các cơ quan quản lý địa phương yêu cầu xác thực hai yếu tố để đảm bảo an toàn cho khách hàng. Tuy nhiên, trong trường hợp ngân hàng di động, việc kết hợp mPIN và công nghệ nhận diện Touch ID/Face ID đã được sử dụng, mặc dù phương pháp này vẫn không đáp ứng tối đa nhu cầu xác thực.
Ngoài ra, mPIN cũng không đảm bảo tính toàn vẹn và không từ chối của ngân hàng giao dịch. Vì vậy, các ngân hàng nên xem xét lại phương pháp xác thực và đảm bảo tính bảo mật cũng như thuận tiện cho khách hàng. Một giải pháp mới là việc sử dụng các thuật toán mật mã liên kết chặt chẽ với thiết bị và chi tiết giao dịch để đảm bảo tính bảo mật và thuận tiện cho khách hàng.
Trên thực tế, bảo mật phải mạnh mẽ nhưng vô hình đối với khách hàng. Một hệ thống xác thực hoàn hảo là có thể xác thực thông qua khóa bảo mật mà không cần khách hàng phải nhớ, và chỉ cần kích hoạt bằng dấu vân tay từ một thiết bị chính xác.
Vậy, đối với các ngân hàng đang sử dụng mPIN, việc xem xét lại phương pháp xác thực là cần thiết để đảm bảo tính bảo mật cho khách hàng trong kỷ nguyên ngân hàng di động ngày nay.
#TechToday #BảoMật #NgânHàngDiĐộng #MPIN #XácThực #ThuậnTiện #AnToàn #VPower #MậtKhẩu #TínhToànVẹn #KhóaBảoMật #ChiTiếtGiaoDịch #DấuVânTay #ThiếtBịChínhXác
Nguồn: https://techtoday.co/what-is-mpin-code-and-does-it-fit-in-new-mobile-banking-era/
bản tin
Sed ut perspiciatis unde.
Mỗi thị trường tài chính kỹ thuật số là duy nhất. Trong một và cùng một khu vực vĩ mô, bạn sẽ tìm thấy rất nhiều đặc thù liên quan đến các quốc gia khác nhau. Đây là những gì tôi thấy rõ ràng ở khu vực APAC. Vài năm gần đây tôi thường dành ít nhất 1/3 thời gian trong năm
ở Indonesia, vì vậy tôi tìm thấy một số tính năng rất điển hình ở đây.
Ở đây tôi thực sự cảm thấy rất an toàn trong cuộc sống hàng ngày: những con người siêu thân thiện và hiếu khách – không phải vì những chuẩn mực đạo đức, quy tắc hay bất cứ điều gì mà chỉ là bản chất tự nhiên. Nhưng tôi cũng cảm thấy cực kỳ an toàn trong các hoạt động hàng ngày của mình, giống như cách tôi cảm thấy hoàn toàn không an toàn
khi tôi nói chuyện với các nhóm bảo mật và kỹ thuật số địa phương.
Rõ ràng, kênh ngân hàng di động là phổ biến nhất ở đây mặc dù nó vẫn được kết hợp tốt với các công cụ ngân hàng web. Một trong những cách phổ biến nhất để bảo vệ ngân hàng di động mà tôi biết là mPIN, mã pin di động. Và nói thật với bạn, điều này không thuận tiện,
cũng không an toàn.
Từ quan điểm pháp lý, OJK – cơ quan quản lý địa phương trong lĩnh vực ngân hàng ở Indonesia – yêu cầu xác thực hai yếu tố để đăng nhập vào ứng dụng ngân hàng hoặc thực hiện các hoạt động ngân hàng di động. Chắc chắn, theo cách tiếp cận chung để xác thực ứng dụng khách mạnh mẽ,
OJK cho phép kết hợp bất kỳ loại yếu tố nào: điều bạn biết, điều bạn có và điều bạn là. Trong trường hợp trải nghiệm ngân hàng trực tuyến, thật dễ dàng để cung cấp mã thông báo mềm như một công cụ xác nhận nhưng điều này khó có thể áp dụng cho phương pháp tập trung vào thiết bị di động.
Vì vậy, các ngân hàng chủ yếu sử dụng kết hợp mPIN (“thứ bạn biết”) và touch ID/Face ID (“thứ bạn là”). Về mặt pháp lý, công cụ xác thực này tuân thủ yêu cầu quy định của địa phương. Nhưng hãy khám phá khía cạnh kỹ thuật của phương pháp này.
mPIN là gì?
Trên thực tế, nó chỉ là một mật khẩu tĩnh. Ngay từ cái nhìn đầu tiên, cách tiếp cận như vậy có vẻ là đơn giản nhất và rẻ nhất từ nhiều khía cạnh. Nhưng trên thực tế, ngay khi ngân hàng bắt đầu cung cấp mPIN, đội ngũ bảo mật của ngân hàng đã phải quan tâm tìm cách bảo vệ mPIN này.
mật khẩu: từ gian lận nội bộ, tấn công trực tiếp vào máy chủ của ngân hàng, từ bất kỳ loại phần mềm gián điệp nào có thể được cài đặt ở phía khách hàng, các liên kết lừa đảo được gửi qua SMS hoặc trình nhắn tin. Nhóm bảo mật sẽ yêu cầu một cách hợp lý ngân sách cho HSM (bảo mật phần cứng
mô-đun) để xác thực một mPIN như vậy theo cách chống giả mạo. Nói cách khác, mPIN là lựa chọn rẻ nhất nếu bạn không muốn biết bất cứ điều gì về chi phí ẩn.
Đồng thời, nếu bất kỳ thao tác quan trọng nào như thay đổi mật khẩu – vốn phải là một phần của quy trình vệ sinh bảo mật thông thường – được xác nhận bằng SMS OTP, thì ngân hàng sẽ giữ đúng: khách hàng đang gặp rủi ro. Bởi vì trong trường hợp này, khá dễ dàng để chiếm đoạt một OTP như vậy
và chiếm lấy tài khoản bằng thông tin đăng nhập bị đánh cắp.
“Bùa hộ mệnh”
Nhiều ngân hàng thích vị trí không thay đổi kết hợp với “bùa hộ mệnh” – bảng quảng cáo lớn với các biểu ngữ có nội dung “không chia sẻ thông tin đăng nhập hoặc mã OTP của bạn với bất kỳ ai”. Nhưng vào năm 2023, khi dựa trên báo cáo của Gartner, có hơn 200 giải pháp xác thực
các nhà phát triển trên toàn cầu, một vị trí như vậy trông giống như sự thay đổi trách nhiệm hơn – như thể khách hàng của ngân hàng phải tự mình quan tâm đến vấn đề bảo mật. “Bùa hộ mệnh” không còn tác dụng với điều đó nữa.
“Bùa hộ mệnh” không hoạt động tốt trong trường hợp xâm nhập vào kênh liên lạc giữa ngân hàng và ứng dụng ngân hàng, chúng không hoạt động trong trường hợp thay thế chi tiết giao dịch trong nền – cũng như mPIN không thể đảm bảo tính toàn vẹn và không từ chối của ngân hàng
giao dịch.
mPIN UX
Ngoài những rủi ro về bảo mật, một trong những điều mà cá nhân tôi không thích – mPIN. Việc nhập mật khẩu này mỗi khi khách hàng thực hiện một thao tác thông qua ứng dụng là một điều khó chịu. Về cơ bản, sẽ mất khoảng 10-15 giây để đăng nhập vào ứng dụng nếu
bạn sử dụng mật khẩu tĩnh và Touch ID.
Ở Indonesia với một số lượng lớn các giải pháp thanh toán thay thế, các ngân hàng nên mạnh mẽ để giành chiến thắng trong cuộc cạnh tranh thanh toán hàng ngày.
Ok, giải pháp sau đó là gì?
Bạn có thể hỏi câu hỏi này và tôi sẽ cố gắng trả lời mà không thêm vào đó. Giải pháp nằm ở việc xem xét lại bảo mật hoặc ít nhất là xem xét nghiêm túc phương pháp xác thực không cần mật khẩu mới: dựa trên các thuật toán mật mã, có liên kết chặt chẽ với
thiết bị và chi tiết giao dịch. Bảo mật phải mạnh mẽ nhưng vô hình đối với khách hàng.
Hãy tưởng tượng rằng có thể xác thực ứng dụng khách bằng khóa bảo mật mà họ thậm chí không cần nhớ mà chỉ cần kích hoạt bằng dấu vân tay từ một thiết bị chính xác? Điều gì sẽ xảy ra nếu nhóm bảo mật có thể giúp nhóm kỹ thuật số giảm thời gian xác nhận
từ 10-15 giây xuống còn 2 giây? Tất cả điều này là có thật và đã hoạt động.
[ad_2]
