Từ 1-1-2019, theo Quyết định của Ngân hàng Nhà nước, các giao dịch với hạn mức trên 100 triệu đồng sẽ phải áp dụng các biện pháp xác thực tối thiểu là nhận mã OTP bằng ứng dụng, bằng Token Key/Token Card hoặc xác thực bằng chữ ký số.
Mật khẩu dùng một lần (OTP) giúp xác thực các lệnh giao dịch trực tuyến được đưa ra từ người có quyền truy cập tài khoản hợp pháp, nhưng tùy từng giải pháp nhận mã OTP mà cấp độ bảo mật khác nhau. Đây là hình thức nhận OTP phổ biến đối với khách hàng cá nhân, mỗi khi khách hàng thực hiện lệnh giao dịch, mã OTP sẽ được gửi đến dưới dạng SMS thông qua số điện thoại mà người dùng đã đăng ký.
Hiện nay, tùy từng ngân hàng mà mã OTP nhận qua SMS vẫn xác thực được các giao dịch với hạn mức lên tới 300 triệu đồng. Tuy nhiên, từ 1-1-2019, hình thức nhận mã OTP qua SMS được phân loại là giao dịch loại B với hạn mức giao dịch một ngày tới 100 triệu đồng. Vậy có bao nhiêu biện pháp xác thực bằng OTP?
Soft Token và Smart Token là những ứng dụng được cài đặt lên các thiết bị thông minh. Để cài đặt được ứng dụng, khách hàng phải đăng ký với ngân hàng và mỗi thiết bị chỉ cài đặt được một ứng dụng tạo mã OTP. Smart OTP sẽ sử dụng thuật toán đồng bộ với hệ thống ngân hàng trong cùng thời điểm và sinh ra mã OTP ngẫu nhiên với giới hạn hiệu lực từ 30 giây – 1 phút.
Đối với Soft Token/Smart Token còn phân thành loại có chức năng xác thực người dùng Token hay không có chức năng này, ứng với hạn mức giao dịch nằm trong nhóm giao dịch loại B hay loại C.
Điểm tiện dụng của phương thức này, giúp khách hàng có thể lấy mã OTP mà không cần sóng di động, không cần internet rất tiện dụng cho khách hàng cá nhân. Nhiều ngân hàng khuyến khích khách hàng sử dụng hình thức lấy mã OTP qua Soft Token bằng cách miễn phí dịch vụ.
Tuy nhiên, do gắn với thiết bị cá nhân nên việc sử dụng Soft Token hay Smart Token đôi khi gây ra bất tiện trong doanh nghiệp, nơi vốn có hoạt động ủy quyền thanh toán cho một vài vị trí nhất định.
Đối với hình thức Token Key hay OTP Card là thiết bị rất quen thuộc nhất là đối với những khách hàng doanh nghiệp. Token Key có hình dạng phổ biến như hình thoi, đôi khi có kích cỡ như một bao diêm cắt đôi, hoạt động được từ 3-7 năm không cần thay pin. Một số ngân hàng đưa ra Token Key dạng thẻ để thu gọn kích thước Token Key, đáp ứng nhu cầu của khách hàng và lấy tên là OTP Card.
Hiện TPBank là ngân hàng duy nhất tại Việt Nam đã thu gọn OTP Card xuống kích cỡ của một chiếc thẻ thanh toán, nặng chưa tới 5g và chỉ mỏng 0,76mm – đây là kích cỡ mỏng nhất thế giới với một chiếc thẻ OTP. OTP Card có kích cỡ phù hợp để dễ dàng cất giữ trong bất kỳ chiếc ví nào, tránh thất lạc, giảm bớt vướng víu và làm hài lòng kế toán của doanh nghiệp – những người thường xuyên phải thực hiện các loại giao dịch thanh toán.
OTP qua Token Key/OTP Card có thể xác thực được giao dịch chạm mức 1,5 tỉ đồng/ngày đối với khách hàng cá nhân và 10 tỉ đồng/ngày đối với khách hàng doanh nghiệp theo QĐ 630/QĐ-NHNN.
Điểm cộng: Token Key/OTP Card có cấp độ bảo mật cao hơn SMS OTP hay các loại Soft Token/ Smart Token cơ bản, phù hợp doanh nghiệp có các hoạt động ủy quyền thanh toán.
Điểm trừ: Đây là một thiết bị độc lập, do đó khách hàng lúc nào cũng phải cầm theo bên người kèm theo những thiết bị có thể thanh toán (smartphone, máy tính…). Tuy nhiên, nếu không thể có lựa chọn nào tốt hơn thì người dùng nên chọn giải pháp tốt nhất là những chiếc OTP Card mỏng, nhẹ để sử dụng.
Đối với các hạn mức giao dịch có hạn mức cao hơn, khách hàng có thể xác thực giao dịch bằng chữ ký số.