Mã OTP là gì? Cách hoạt động của mã OTP

Mã OTP là gì?

Chắc ai trong các bạn cũng biết được ứng dụng của mã OTP rồi. Mã OTP – One Time Password, được hiểu là mã chỉ dùng được một lần. Mã này sẽ có thời gian hiệu lực nhất định, thường là 30 giây đến 1 phút. Những đặc tính của OTP như sau:

• Mã này có thời gian hiệu lực ngắn
• Mã này thường là lớp mật khẩu cuối cùng
• Mã này được sinh ra dựa trên một mã bí mật và định danh người dùng kèm thời gian hệ thống

Mã này có thể được tạo ra bằng nhiều cách:

• SMS OTP: nhà quản lý thông tin cá nhân của bạn sẽ tạo ra mã này dựa trên thông tin đăng nhập (lớp 1) của bạn. Sau đó họ sẽ gửi SMS đến điện thoại của bạn đã đăng ký, nếu bạn nhập đúng thì bạn vượt qua lớp 2.
• Token: là một thiết bị độc lập có thể tự tạo ra mã OTP (đã được liên kết với tài khoản của bạn trước đó).
• Smart OTP: là một ứng dụng có thể cài đặt trên điện thoại (hoặc mọi thiết bị có hỗ trợ). Ứng dụng này cũng cần liên kết với tài khoản của bạn.

Việc liên kết ứng dụng (hay thiết bị) tạo OTP rất đơn giản nhưng cần giữ bí mật. Bạn chỉ cần quét mã QR được tạo ra bởi máy chủ quản lý thông tin của bạn 1 lần duy nhất.
Sau đó mã OTP sẽ được tạo mới định kỳ (sau 30 hoặc 60 giây). Nếu bạn mất điện thoại hoặc thiết bị tạo OTP đó là một hiểm họa cho bạn.
Hãy đổi ngay mật khẩu chính (lớp 1) nếu bạn mất điện thoại hoặc thiết bị tạo OTP (Token).

OTP hoạt động thế nào và tại sao cần nó?

Sử dụng OTP khác gì việc tài khoản của bạn có hai mật khẩu?
Bản chất là như nhau nhưng nguy cơ mất an toàn cao hơn nếu cả hai mật khẩu đều do bạn quản lý.

• Bạn phải nhớ 2 mật khẩu cho một tài khoản
• Thường các mật khẩu sẽ gắn với những thứ quanh bạn, nếu đoán được mật khẩu lớp 1, có thể đoán được lớp 2
• Nếu bạn để lộ cả 2 mật khẩu, nghĩa là bạn mất tài khoản (nguy cơ cao)
• Nếu bạn để lộ mật khẩu lớp 1 và OTP (lớp 2), thông thường bạn chỉ mất tài khoản trong 60 giây (nếu bạn phát hiện kiệp, kẻ gian có ít thời gian để kịp đánh cắp tài khoản của bạn).

OTP được tạo ra dựa trên một mã bí mật (thường được tạo ngẫu nhiên chỉ thiết bị của bạn và máy chỉ biết), định danh tải khoản (như account id) và Time. Để tăng tính bảo mật, việc tạo mã bí mật cần thuật toán đặc biệt, it nhất là MD5 trên một chuỗi cực kỳ khó trùng lập.
Để liên kết ứng dụng tạo OTP (hoặc Token), bạn cần nhập 3 thông tin trên. Thường là liên kết bằng cách san Qr code. Sau khi đã liên kết, việc tạo mã OTP sẽ coi như là đồng bộ giữa thiết bị bạn giữ và trên máy chủ. Thế nên chúng hoạt động độc lập sau một lần đồng bộ duy nhất.
Giống như việc 2 người cùng đếm tốc độ đều nhau và đếm từ 0 thì họ sẽ đếm tới 10 cùng một lúc. Nếu 2 người không cùng dừng lại ở một số vào một thời điểm thì họ không thuộc một cặp với nhau. Dĩ nhiên việc tạo OTP phức tạo hơn như thế.

Nguồn Phamtuantech.com