Mã otp là gì? Khi sử dụng mã otp để giao dịch Ngân hàng cần lưu ý những gì để tránh rủi ro?

Nội dung chính

• Mã otp là gì?
• Độ dài tối thiểu của mã otp để truy cập dịch vụ internet là gì?
• Mã OTP gửi qua tin nhắn SMS hoặc thư điện trong giao dịch ngân hàng phải đáp ứng yêu cầu gì?
• Những lưu ý khi giao dịch Ngân hàng sử dụng mã otp là gì?

Mã otp là gì?

Căn cứ tại khoản 4 Điều 2 Thông tư 35/2016/TT-NHNN giải thích mã otp là gì như sau:

Giải thích từ ngữ và thuật ngữ

4. Mã khóa bí mật dùng một lần (One Time Password - OTP) là mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, thường được sử dụng như một yếu tố thứ 2 để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịch Internet Banking.

Như vậy, mã otp là viết tắt của từ khóa One Time Password, là mã khóa bí mật để xác thực người dùng, có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định.

Mã otp là gì? Khi sử dụng mã otp để giao dịch Ngân hàng cần lưu ý những gì để tránh rủi ro?

Độ dài tối thiểu của mã otp để truy cập dịch vụ internet là gì?

Căn cứ Điều 9 Thông tư 35/2016/TT-NHNN được sửa đổi bởi khoản 7 và khoản 8 Điều 1 Thông tư 35/2018/TT-NHNN quy định về xác thực khách hàng truy cập dịch vụ internet banking như sau:

Xác thực khách hàng truy cập dịch vụ Internet Banking

1. Khách hàng truy cập sử dụng dịch vụ Internet Banking phải được xác thực tối thiểu bằng tên đăng nhập và mã khóa bí mật đáp ứng các yêu cầu sau:

a) Tên đăng nhập phải có độ dài tối thiểu sáu ký tự; không được sử dụng toàn bộ ký tự trùng nhau hoặc liên tục theo thứ tự trong bảng chữ cái, chữ số;

b) Mã khóa bí mật phải có độ dài tối thiểu sáu ký tự, bao gồm các ký tự chữ và số, có chứa chữ hoa và chữ thường hoặc các ký tự đặc biệt. Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng.

c) Đối với việc truy cập hệ thống Internet Banking bằng trình duyệt, đơn vị phải có biện pháp chống đăng nhập tự động

2. Phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp bị nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định. Đơn vị chỉ mở khóa tài khoản khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện mở khóa tài khoản, bảo đảm chống gian lận, giả mạo.”

Theo quy định pháp luật nêu trên thì mã khóa bí mật phải có độ dài tối thiểu sáu ký tự, bao gồm các ký tự chữ và số, có chứa chữ hoa và chữ thường hoặc các ký tự đặc biệt. Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng.

Như vậy, độ dài tối thiểu của mã otp là số ký tự tối thiểu mà mã otp phải có, bao gồm các ký tự chữ và số, có chứa chữ hoa và chữ thường hoặc các ký tự đặc biệt. Theo quy định nêu trên thì hiện nay, độ dài tối thiểu của mã otp là 6 ký tự.

Mã OTP gửi qua tin nhắn SMS hoặc thư điện trong giao dịch ngân hàng phải đáp ứng yêu cầu gì?

Tại Điều 10 Thông tư 35/2016/TT-NHNN có nội dung bị bãi bỏ bởi khoản 1 Điều 2 Thông tư 35/2018/TT-NHNN có quy định về yêu cầu đối với các giải pháp xác thực giao dịch như sau:

Yêu cầu đối với các giải pháp xác thực giao dịch

....

2. Yêu cầu đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử:

a) OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP;

b) OTP có hiệu lực tối đa không quá 05 phút.

3. Yêu cầu đối với giải pháp xác thực bằng thẻ ma trận OTP:

a) Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;

b) OTP có hiệu lực tối đa không quá 02 phút.

4. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ phần mềm cài đặt trên thiết bị di động:

a) Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm tạo OTP;

b) Phần mềm tạo OTP phải sử dụng mã khóa do đơn vị cung cấp để kích hoạt trước khi sử dụng. Một mã khóa kích hoạt chỉ được sử dụng cho một thiết bị di động;

c) Phần mềm tạo OTP phải được kiểm soát truy cập. Trường hợp xác thực truy cập sai năm lần liên tiếp, phần mềm phải tự động khoá không cho khách hàng sử dụng tiếp;

d) OTP có hiệu lực tối đa không quá 02 phút.

...

Như vậy, mã OTP gửi qua tin nhắn SMS hoặc thư điện tử trong giao dịch ngân hàng phải đáp ứng yêu cầu sau:

- OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP;

- OTP có hiệu lực tối đa không quá 05 phút.

Những lưu ý khi giao dịch Ngân hàng sử dụng mã otp là gì?

Hiện nay, các ngân hàng và tổ chức thanh toán đều khuyến cáo khách hàng của mình không giao dịch thanh toán trên các máy tính lạ, hay cung cấp mật khẩu, mã otp cho bất kỳ ai. Ngoài ra, khi sử dụng mã otp, người dùng cần lưu ý những điều sau để tránh rủi ro:

- Kiểm tra kỹ số tiền và thông tin người nhận trước khi nhập mã otp để xác nhận giao dịch.

- Người dùng nên thiết lập mật khẩu cho điện thoại mà mình đăng ký nhận mã OTP để tránh trường hợp người khác có thể lấy mã OTP từ điện thoại nhằm mục đích xấu.

- Thay đổi mật khẩu thường xuyên để nâng cao bảo mật cho tài khoản.

- Trong trường hợp phát hiện mật khẩu bị lộ hay điện thoại bị mất, cần phải thông báo khẩn cấp tới ngân hàng để khóa chức năng thanh toán online của tài khoản.