-Otp là gì?

Hiện nay, OTP thường được sử dụng để tăng cường tính bảo mật cho các trang web và ứng dụng yêu
cầu xác thực người dùng trước khi cho phép truy cập vào tài khoản hoặc thực hiện các hoạt động quan
trọng.

“OTP” là viết tắt của “One Time Password”, có nghĩa là “Mật khẩu dùng một lần”, là một loại mật khẩu
chỉ được sử dụng một lần duy nhất để xác minh danh tính hoặc thực hiện các giao dịch an toàn trên
mạng Internet.

Mật khẩu một lần (OTP) là chuỗi ký tự số hoặc chữ cái được tạo tự động để xác thực người dùng cho
một giao dịch hoặc phiên đăng nhập duy nhất .

OTP an toàn hơn mật khẩu tĩnh, đặc biệt là mật khẩu do người dùng tạo, có thể yếu và được sử dụng lại
cho nhiều tài khoản.

OTP có thể thay thế thông tin đăng nhập xác thực truyền thống hoặc có thể được sử dụng bổ sung để
tăng thêm một lớp bảo mật.

-Cơ chế hoạt động của OTP

Cơ chế hoạt động của mã OTP thường bao gồm các bước sau:

1. Tạo mã OTP: Khi người dùng yêu cầu xác thực (ví dụ: khi đăng nhập hoặc thực hiện giao dịch),
hệ thống sẽ tạo ra một mã OTP ngẫu nhiên. Mã này thường có độ dài từ 6 đến 8 ký tự và có thể
bao gồm cả chữ cái và số.
 2. Gửi mã OTP: Sau khi mã được tạo ra, hệ thống sẽ gửi mã này đến người dùng qua một kênh an
toàn, như SMS, email, hoặc ứng dụng xác thực (ví dụ: Google Authenticator).

3. Nhập mã OTP: Người dùng nhận được mã OTP và nhập vào hệ thống để xác thực.

4. Xác thực mã OTP: Hệ thống sẽ kiểm tra mã OTP mà người dùng nhập vào với mã đã được tạo ra
và gửi đi. Nếu mã trùng khớp và còn hiệu lực (thông thường chỉ có hiệu lực trong một khoảng
thời gian ngắn), người dùng sẽ được xác thực thành công.

5. Thời gian sống của mã OTP: Mã OTP thường có thời gian sống ngắn (ví dụ: 30 giây hoặc 1 phút)
để tăng cường bảo mật. Sau thời gian này, mã sẽ không còn hiệu lực và người dùng cần yêu cầu
mã mới.

OTP chỉ sử dụng được 1 lần và không có khả năng tái sử dụng. Trên thực tế, xác suất tính được mật
khẩu động, liên tục như này khó hơn rất nhiều so với các dạng mật khẩu tĩnh khác. Đó cũng là lý do OTP
lại được sử dụng để bảo mật các thông tin và các giao dịch quan trọng của các tổ chức thế giới.

Khi bạn đã nhập OTP mà được cấp, máy chủ sẽ cho bạn khoảng thời gian từ 30s – 2 phút để nhập mã.
Nếu hết thời gian, mã xác thực đó cũng sẽ mất hiệu lực.

Cơ chế hoạt động củaOne Time Password là sử dụng một mật khẩu chỉ được sử dụng một lần duy nhất
để xác thực danh tính hoặc thực hiện các giao dịch an toàn trên mạng Internet. Khi người dùng cần xác
thực danh tính hoặc thực hiện giao dịch an toàn, thì bạn sẽ được yêu cầu nhập OTP vào để xác thực.

OTP sẽ được tạo ra dưới dạng một chuỗi ngẫu nhiên, có thể được tạo ra bằng nhiều cách khác nhau.
Trong đó thường gặp nhất là sử dụng một thiết bị vật lý như token hoặc phần mềm đặc biệt để tạo ra
mã, hoặc thông qua các dịch vụ trực tuyến như Google Authenticator.

Khi sử dụng One Time Password, mỗi lần người dùng cần xác thực danh tính hoặc thực hiện giao dịch an
toàn, họ sẽ phải nhập mã One Time Password mới được tạo ra. Điều này tăng tính bảo mật bởi vì mật
khẩu chỉ được sử dụng một lần và làm giảm khả năng các kẻ tấn công có thể đoán được hoặc theo dõi
mật khẩu đã được sử dụng trước đó.

-Hiểu về xác thực OTP SMS

Gửi OTP qua SMS bao gồm việc gửi mật khẩu một lần đến điện thoại di động của người dùng. Sau đó,
người dùng nhập mật khẩu này để truy cập tài khoản của họ hoặc hoàn tất giao dịch. Phương pháp này
bổ sung thêm một lớp bảo mật, yêu cầu điện thoại và thông tin đăng nhập tài khoản của người dùng để
truy cập.

Tính Bảo Mật

 OTP SMS:

o Ưu điểm: Dễ dàng truy cập từ điện thoại di động.

o Nhược điểm: Dễ bị tấn công qua SIM swapping, phishing, hoặc tấn công trung gian.
  OTP Email:

o Ưu điểm: Không cần phụ thuộc vào điện thoại di động; người dùng có thể nhận mã trên
bất kỳ thiết bị nào có truy cập email.

o Nhược điểm: Nếu tài khoản email bị xâm nhập, kẻ tấn công có thể truy cập mã OTP.

 Xác thực bằng ứng dụng (như Google Authenticator):

o Ưu điểm: Mã xác thực được tạo trên thiết bị cá nhân, an toàn hơn.

o Nhược điểm: Người dùng cần tải ứng dụng và có thể mất quyền truy cập nếu mất điện
thoại.

 Xác thực sinh trắc học:

o Ưu điểm: Rất an toàn, khó làm giả.

o Nhược điểm: Cần thiết bị hỗ trợ và có thể không chính xác trong một số tình huống.

Sự Tiện Lợi

 OTP SMS:

o Dễ sử dụng, chỉ cần nhận tin nhắn.

 OTP Email:

o Cũng dễ sử dụng, nhưng người dùng cần truy cập vào email, có thể mất thời gian nếu
phải đăng nhập.

 Xác thực bằng ứng dụng:

o Cần cài đặt ứng dụng nhưng thuận tiện trong lâu dài.

 Xác thực sinh trắc học:

o Tiện lợi khi không cần nhập mã, nhưng phụ thuộc vào thiết bị.

Chi Phí

 OTP SMS:

o Chi phí thấp, nhưng có thể phát sinh chi phí nếu gửi nhiều tin nhắn.

 OTP Email:

o Thường miễn phí, không có chi phí gửi thư điện tử, nhưng có thể phải đầu tư vào bảo
mật tài khoản email.

 Xác thực bằng ứng dụng:

o Thường miễn phí nhưng cần thời gian để người dùng làm quen.

 Xác thực sinh trắc học:

 o Chi phí cao hơn trong việc triển khai thiết bị và duy trì.

Độ Thông Dụng

 OTP SMS:

o Rất phổ biến, nhiều dịch vụ hỗ trợ.

 OTP Email:

o Cũng phổ biến, nhưng không phải tất cả dịch vụ đều hỗ trợ. Người dùng có thể gặp khó
khăn nếu không thường xuyên kiểm tra email.

 Xác thực bằng ứng dụng:

o Ngày càng phổ biến, nhưng vẫn chưa thông dụng bằng OTP SMS.

 Xác thực sinh trắc học:

o Đang gia tăng nhưng vẫn phụ thuộc vào công nghệ thiết bị và phần mềm.

Ưu điểm:

 Dễ sử dụng: Hầu hết người dùng đều quen thuộc với SMS, khiến đây trở thành lựa chọn thuận
tiện.

 Khả năng truy cập: Không cần phần cứng hoặc phần mềm bổ sung, chỉ cần một chiếc điện thoại
di động.

 Triển khai nhanh chóng: Thiết lập đơn giản cho cả người dùng và nhà cung cấp dịch vụ.

Nhược điểm:

 Rủi ro bảo mật: Dễ bị tấn công hoán đổi SIM, chặn dữ liệu và lừa đảo.

 Các vấn đề về độ tin cậy: Phụ thuộc vào tính khả dụng của mạng di động và độ tin cậy của việc
gửi tin nhắn SMS.

-So sánh OTP SMS với các phương pháp xác thực khác

+OTP SMS so với OTP Email

Email OTP có chức năng tương tự như SMS OTP nhưng gửi mật khẩu dùng một lần đến địa chỉ email của
người dùng.

Ưu điểm của Email OTP:

 Không phụ thuộc vào mạng di động.

Nhược điểm của Email OTP:

 Có khả năng chậm trễ trong việc gửi email.

  Dễ bị xâm phạm tài khoản email và lừa đảo.

+OTP SMS so với Xác thực sinh trắc học

Xác thực sinh trắc học sử dụng các đặc điểm sinh học độc đáo như dấu vân tay, nhận dạng khuôn mặt
hoặc quét mống mắt.

Ưu điểm của Xác thực sinh trắc học:

 Tính bảo mật cao vì dữ liệu sinh trắc học khó có thể sao chép.

Nhược điểm của Xác thực sinh trắc học:

 Yêu cầu phần cứng chuyên dụng (ví dụ: máy quét dấu vân tay, camera).

 Mối quan ngại về quyền riêng tư liên quan đến việc lưu trữ dữ liệu sinh trắc học.

+OTP SMS so với Xác thực mã thông báo phần cứng

Mã thông báo phần cứng tạo ra OTP bằng thiết bị vật lý, chẳng hạn như chìa khóa điều khiển từ xa.

Ưu điểm của Xác thực mã thông báo phần cứng:

 Rất an toàn vì mã thông báo khó có thể sao chép hoặc chặn.

 Không phụ thuộc vào kết nối mạng internet hoặc mạng di động.

Nhược điểm của Xác thực mã thông báo phần cứng:

 Người dùng phải mang theo một thiết bị bổ sung.

 Chi phí triển khai và bảo trì cao hơn

-Các dạng hoạt động của otp

+OTP dựa trên thời gian : Mật khẩu một lần theo thời gian (TOTP hoặc OTP) là một chuỗi các chữ số
động của mã, có sự thay đổi dựa trên thời gian. Thông thường, chúng xuất hiện dưới dạng các số sáu
chữ số được tạo lại sau mỗi 30 giây.

TOTP được lấy từ mật khẩu hạt giống bí mật được cung cấp khi đăng ký người dùng dưới dạng mã QR
hoặc văn bản thuần túy. TOTP (và hạt giống của chúng) được triển khai trên mã thông báo bảo mật phần
cứng hoặc dưới dạng mã thông báo mềm, nghĩa là ứng dụng thiết bị di động hiển thị các con số. TOTP sử
dụng Giờ trung bình Greenwich (GMT) để mã hóa mã từ bí mật.

+OTP dựa trên sự kiện: HOTP được điều khiển theo sự kiện, nghĩa là OTP mới chỉ được tạo khi một sự
kiện cụ thể xảy ra (ví dụ: người dùng nhấn nút trên mã thông báo phần cứng hoặc bắt đầu lần thử đăng
nhập mới). Những mật khẩu này không bị giới hạn thời gian, nghĩa là chúng sẽ vẫn có hiệu lực cho đến
khi sự kiện tiếp theo xảy ra và OTP mới được tạo.

+OTP qua SMS: SMS OTP (mật khẩu một lần) là một phương thức ủy quyền an toàn trong đó mã số
hoặc chữ và số được gửi đến số điện thoại di động. Mật khẩu này là một lớp bảo mật bổ sung được sử
dụng để xác minh danh tính người dùng khi đăng nhập trực tuyến hoặc xác nhận một hành động.
+OTP qua email: Phương thức Email OTP cho phép bạn xác thực bằng mật khẩu một lần (OTP) được gửi
đến địa chỉ email đã đăng ký. Khi bạn cố gắng xác thực trên bất kỳ thiết bị nào, máy chủ sẽ gửi email đến
địa chỉ email đã đăng ký bằng OTP. Bạn có thể sử dụng OTP này để xác thực một lần trong khung thời
gian ngắn.

-Ưu nhược điểm

+Ưu điểm

Ưu điểm hàng đầu và lý do chính của OTP là tính bảo mật. Vì mật khẩu dùng một lần sẽ thay đổi sau mỗi
lần đăng nhập nên nguy cơ tài khoản bị xâm phạm sẽ giảm đáng kể, nếu không muốn nói là loại bỏ.

Mật khẩu dùng một lần là chuỗi ký tự được tạo ngẫu nhiên, hầu như không thể đoán được. Trong các
ngành công nghiệp xử lý thông tin cá nhân cực kỳ nhạy cảm, chẳng hạn như ngân hàng, mật khẩu dùng
một lần có thể giúp giảm nguy cơ gian lận, đồng thời mang lại cho người dùng sự an tâm và tự tin khi
truy cập vào tài nguyên của họ.

Một lợi thế khác của loại mật khẩu này là vì nó được tạo ngẫu nhiên nên người dùng không phải mất
công nhớ nó. OTP luôn được cung cấp thông qua ứng dụng xác thực hoặc mã thông báo vật lý.

Mật khẩu được tạo ngẫu nhiên an toàn hơn vô hạn so với mật khẩu do người dùng tạo. Mật khẩu do
người dùng tạo thường khá yếu, với việc sử dụng lại trên nhiều tài khoản làm giảm thêm tính bảo mật.
Khi mật khẩu được đơn giản hóa quá mức để dễ ghi nhớ hơn, mật khẩu thường thiếu độ phức tạp đủ an
toàn.

Việc sử dụng mật khẩu dùng một lần cũng loại bỏ việc chia sẻ thông tin đăng nhập giữa các nhân viên
trong cùng một tổ chức hoặc tệ hơn là bên ngoài tổ chức.

+Nhược Điểm

Nhược điểm chính của việc sử dụng mật khẩu một lần là một số người dùng có thể thấy bất tiện. Ví dụ,
người dùng ít am hiểu công nghệ có thể thấy quy trình OTP là khó hiểu hoặc không cần thiết và có thể
cần giải thích về toàn bộ lợi ích của nó.

Người dùng cũng có thể không truy cập được OTP. Một số OTP được gửi qua email có thể bị chậm trễ
hoặc nằm trong thư mục Spam. Nếu người dùng mất mã thông báo vật lý, họ sẽ mất quyền truy cập vào
OTP của mình.

Nhiều người dùng thấy điều này gây khó chịu hoặc phiền toái, ngay cả khi họ hiểu và đánh giá cao lợi ích
bảo mật khi sử dụng mật khẩu một lần. Một số người dùng thích sử dụng các ứng dụng di động trên
điện thoại thông minh của họ để tạo mật khẩu một lần vì lý do này. Mặc dù người dùng có thể quên chìa
khóa hoặc mã thông báo, nhưng họ nhất định phải mang theo điện thoại thông minh của mình.