Xác thực OTP là gì? Cách thức hoạt động, rủi ro và các giải pháp thay thế (2026)

Mã xác thực một lần (OTP) đã là nền tảng của an ninh mạng trong hơn hai thập kỷ. Nếu bạn từng nhận được mã sáu chữ số qua tin nhắn để đăng nhập vào ngân hàng của mình, thì bạn đã sử dụng một mã OTP. Nhưng khi các cuộc tấn công mạng ngày càng tinh vi hơn, câu hỏi mà các tổ chức và đội ngũ an ninh đặt ra đã thay đổi từ “chúng ta có nên sử dụng OTP không?” thành “mã OTP có còn đủ an toàn không?”

Bài viết này giải thích xác thực OTP là gì, cách thức hoạt động của các loại khác nhau, các rủi ro bảo mật cụ thể mà mỗi loại mang lại và lý do tại sao xác thực khuôn mặt sinh trắc học đang ngày càng thay thế OTP trở thành phương pháp xác thực được lựa chọn cho các trường hợp sử dụng đòi hỏi độ tin cậy cao.

OTP là gì? Ý nghĩa và định nghĩa

Mã OTP là mã do máy tính tạo ra, có giá trị cho một phiên xác thực duy nhất và hết hạn sau một khoảng thời gian ngắn – thường là từ 30 đến 120 giây, hoặc ngay lập tức sau khi sử dụng.

Không giống như mật khẩu tĩnh, vốn không thay đổi cho đến khi người dùng thay đổi, mã OTP là duy nhất mỗi lần sử dụng. Điều này loại bỏ nguy cơ tấn công đánh cắp thông tin đăng nhập, trong đó kẻ tấn công sử dụng lại mật khẩu đã đánh cắp được. Mã OTP được gửi qua tin nhắn SMS, email, ứng dụng xác thực hoặc thiết bị mã thông báo phần cứng.

Xác thực OTP thường được sử dụng như một thành phần của xác thực đa yếu tố (MFA) , đáp ứng yếu tố sở hữu – lớp đảm bảo “những gì bạn có”. Giả định là chỉ người dùng hợp pháp mới có quyền truy cập vào thiết bị hoặc hộp thư nhận mã.

Mã OTP hoạt động như thế nào?

Quy trình OTP cơ bản gồm ba bước:

1. Người dùng cố gắng đăng nhập hoặc hoàn tất giao dịch.
2. Hệ thống tạo ra một mã duy nhất, có thời hạn sử dụng và gửi mã đó đến thiết bị hoặc địa chỉ email đã đăng ký của người dùng.
3. Người dùng nhập mã để xác thực. Phiên làm việc được cấp nếu mã trùng khớp và chưa hết hạn.

Mã OTP được tạo ra bằng một trong hai thuật toán cơ bản sau:

• HOTP (Mật khẩu dùng một lần dựa trên HMAC): mã được tạo dựa trên một bộ đếm tăng lên sau mỗi sự kiện xác thực. Mã này vẫn hợp lệ cho đến khi được sử dụng, thay vì hết hạn theo thời gian.
• TOTP (Mật khẩu một lần dựa trên thời gian): mã được tạo dựa trên thời gian hiện tại và hết hạn sau một khoảng thời gian cố định, thường là 30 giây. Các ứng dụng xác thực như Google Authenticator sử dụng TOTP.

Đối với mã OTP qua SMS, không sử dụng thuật toán nào cả — mã này chỉ đơn giản được tạo ra ở phía máy chủ và truyền qua mạng di động, không có liên kết mã hóa nào với thiết bị của người dùng.

Các loại xác thực OTP chính

• Mã OTP qua SMS: mã dùng một lần được gửi đến số điện thoại di động của bạn qua tin nhắn văn bản. Đây là định dạng được sử dụng rộng rãi nhất, nhưng cũng dễ bị tấn công nhất.
• Mã OTP qua email: mã được gửi đến hộp thư email bạn đã đăng ký. Tiện lợi, nhưng phụ thuộc vào mức độ bảo mật của tài khoản email.
• TOTP (Mã xác thực dựa trên thời gian, do ứng dụng tạo ra): mã luân phiên được tạo bởi ứng dụng xác thực (Google Authenticator, Microsoft Authenticator, Authy). An toàn hơn SMS vì nó không được truyền qua mạng điện thoại. Thường có hiệu lực trong 30 giây.
• HOTP (Counter-Based): một mã số tăng dần sau mỗi lần sử dụng thay vì hết hạn theo thời gian. Được sử dụng trong một số triển khai mã thông báo phần cứng.
• Mã token phần cứng: một thiết bị vật lý chuyên dụng (không phải điện thoại thông minh) hiển thị mã dùng một lần. Thường gặp trong môi trường doanh nghiệp và dịch vụ tài chính.

Xác thực OTP: Vấn đề là gì?

Mela Abesamis luôn coi mình cẩn thận khi nói đến an ninh mạng. Cô nhận thức rõ Giới thiệu các cuộc tấn công lừa đảo và các chiến thuật gian lận phổ biến khác, và cách phát hiện ra chúng. Cô cũng đã quen với việc nhận Mật mã một lần (OTP) từ ngân hàng của mình, được gửi bằng SMS đến thiết bị di động để Xác thực danh tính của mình.

Nhưng rồi vào tháng 12 năm 2021, Mela nhận được tin nhắn từ ngân hàng của mình, nói rằng 50.025 peso Philippines (khoảng 950 đô la Mỹ) đã được chuyển từ tài khoản của cô sang một người tên Mark Nagoyo. Đây là dấu hiệu đầu tiên và duy nhất mà cô nhận được cho thấy tiền đã được chuyển. Cô chưa từng nghe đến Mark Nagoyo, chắc chắn cô không phải là người đã thực hiện khoản thanh toán đó, và cô cũng không nhận được mã xác thực một lần nào trong giao dịch.

Cô ấy không phải là người duy nhất. Hơn 700 chủ tài khoản khác đã bị ảnh hưởng bởi vụ lừa đảo này. Trong tiếng Philippines, từ “nagoyo” có nghĩa là làm cho ai đó trở nên ngốc nghếch.

Cuối cùng, năm cá nhân đã bị truy tố vì vụ lừa đảo này. Những kẻ lừa đảo đã sử dụng các kỹ thuật lừa đảo trực tuyến (phishing) để thu thập thông tin đăng nhập ngân hàng. Sau đó, chúng có thể hoàn toàn vượt qua các biện pháp kiểm soát bảo mật OTP của ngân hàng – các nạn nhân cho biết các giao dịch đã được xử lý mà không cần kích hoạt OTP – và rút hết tiền trong tài khoản ngân hàng của mọi người.

Ngân hàng đã hoàn trả số tiền bị ảnh hưởng, nhưng điều này không bù đắp hoàn toàn trải nghiệm đau thương cho các nạn nhân.

Đây chỉ là một ví dụ cho thấy việc phá vỡ xác thực OTP đang ngày càng trở nên dễ dàng hơn đối với những kẻ tấn công ngày càng tinh vi. Bài viết này sẽ xem xét chính xác cách thức các cuộc tấn công đó hoạt động — và các giải pháp thay thế an toàn hơn trông như thế nào.

Các chương trình OTP có an toàn không?

Mã OTP an toàn hơn mật khẩu tĩnh thông thường. Vì mỗi mã là duy nhất và hết hạn nhanh chóng, việc chặn được một mã sẽ không cung cấp cho kẻ tấn công thông tin đăng nhập có thể sử dụng lại.

Tuy nhiên, mã OTP có một hạn chế cấu trúc cơ bản: chúng chỉ đáp ứng yếu tố sở hữu của xác thực – “những gì bạn có”. Bất kỳ thiết bị hoặc hộp thư nào nhận được mã đều có thể bị xâm phạm. Một chiếc điện thoại bị đánh cắp, một số điện thoại bị chiếm đoạt hoặc một mã bị đánh cắp qua email đều có thể vô hiệu hóa hoàn toàn xác thực OTP, mà kẻ tấn công không cần phải phá vỡ bất kỳ thuật toán mã hóa nào.

Quan điểm chung giữa các nhà nghiên cứu bảo mật và các cơ quan quản lý đã thay đổi. Hướng dẫn về Danh tính Kỹ thuật số của NIST (SP 800-63B) hiện nay đã hạn chế rõ ràng việc sử dụng mã OTP qua SMS cho xác thực có độ tin cậy cao do tính dễ bị chặn bắt của nó. Trung tâm An ninh mạng Quốc gia Anh cũng khuyên các tổ chức nên chuyển sang các phương thức xác thực khác thay vì xác thực hai yếu tố dựa trên SMS nếu có các lựa chọn thay thế khác.

Tóm lại: Mã OTP tốt hơn so với chỉ dùng mật khẩu, nhưng chúng vẫn chưa đủ an toàn cho các trường hợp sử dụng đòi hỏi độ bảo mật cao — và các kỹ thuật tấn công nhắm vào chúng ngày càng dễ thực hiện trên quy mô lớn.

Mã OTP có thể bị hack không?

Đúng vậy – và có một số phương pháp được ghi nhận rõ ràng mà kẻ tấn công sử dụng để chặn hoặc vượt qua xác thực OTP mà không cần truy cập vật lý vào thiết bị của mục tiêu.

Tấn công hoán đổi SIM

Đây là hình thức tấn công OTP qua SMS phổ biến nhất. Kẻ gian lận thu thập thông tin cá nhân của nạn nhân — thông qua lừa đảo trực tuyến, rò rỉ dữ liệu hoặc kỹ thuật xã hội — và sử dụng chúng để thuyết phục nhà mạng di động của nạn nhân chuyển số điện thoại sang thẻ SIM do kẻ tấn công kiểm soát. Tất cả các tin nhắn SMS tiếp theo, bao gồm cả mã OTP, sau đó sẽ được gửi đến kẻ tấn công.

Tình trạng gian lận bằng cách đổi SIM đang gia tăng mạnh. Cơ quan giám sát gian lận Cifas của Anh ghi nhận mức tăng 1.055% các vụ đổi SIM trái phép trong năm 2024 , từ 289 vụ năm 2023 lên gần 3.000 vụ. Tại Mỹ, Trung tâm Khiếu nại Tội phạm Internet của FBI ghi nhận thiệt hại 26 triệu đô la do các vụ đổi SIM trái phép trong năm 2024, và một vụ việc duy nhất đã dẫn đến phán quyết trọng tài trị giá 33 triệu đô la chống lại T-Mobile sau khi vụ đổi SIM tạo điều kiện cho việc đánh cắp tiền điện tử.

Lỗ hổng giao thức SS7

SS7 (Hệ thống tín hiệu số 7) là giao thức đã có từ nhiều thập kỷ trước, chủ yếu là nền tảng của mạng di động 2G và 3G, bao gồm cả định tuyến tin nhắn SMS. Nó chứa một lỗ hổng thiết kế cho phép những kẻ tấn công có quyền truy cập vào mạng SS7, thường là các nhóm tội phạm tinh vi hoặc các tác nhân nhà nước, chặn các cuộc gọi và tin nhắn văn bản đang được truyền tải, bao gồm cả mã OTP.

Tại Đức, tội phạm mạng đã lợi dụng giao thức SS7 thông qua một nhà mạng nước ngoài để chặn mã OTP qua tin nhắn SMS gửi đến khách hàng của O2 Telefonica trên quy mô lớn , từ đó rút tiền từ tài khoản ngân hàng của một số lượng khách hàng không được tiết lộ.

Chặn mã OTP và tấn công lừa đảo trực tuyến trong thời gian thực

Một loại hình tấn công đang ngày càng gia tăng và đặc biệt nguy hiểm. Các bộ công cụ tấn công trung gian (Afvers-in-the-middle) — bao gồm cả các framework phổ biến như Evilginx — cho phép kẻ tấn công tạo ra các phiên bản proxy thuyết phục của các trang đăng nhập hợp pháp. Khi nạn nhân nhập thông tin đăng nhập và mã OTP, máy chủ của kẻ tấn công sẽ thu thập cả hai thông tin này trong thời gian thực và phát lại chúng lên trang web chính thức trước khi mã OTP hết hạn. Kẻ tấn công giành được quyền truy cập đầy đủ vào phiên làm việc mặc dù nạn nhân đã hoàn tất xác thực đa yếu tố (MFA) một cách chính xác.

Cuộc tấn công này không yêu cầu truy cập SIM, không cần khai thác lỗ hổng SS7, và không cần phần mềm độc hại – chỉ cần một trang web lừa đảo thuyết phục và một máy chủ chuyển tiếp tự động. Nó vô hiệu hóa cả mã OTP qua SMS, mã OTP qua email và mã TOTP.

Rủi ro cụ thể của TOTP

TOTP dựa trên ứng dụng có khả năng chống chặn tốt hơn so với SMS, nhưng vẫn có những điểm yếu có thể bị khai thác:

• Đánh cắp hoặc xâm nhập thiết bị. Nếu kẻ tấn công truy cập được vào thiết bị có chứa ứng dụng xác thực — và chính thiết bị đó được sử dụng để hoàn tất giao dịch — thì “hai yếu tố xác thực” sẽ gộp thành một. Phân loại xác thực đa yếu tố (MFA) trở nên đáng ngờ.
• Nguy cơ lộ mã sao lưu. Hầu hết các ứng dụng xác thực đều tạo mã khôi phục trong quá trình thiết lập. Nếu các mã này được lưu trữ không an toàn (trong ứng dụng ghi chú, email hoặc bản sao lưu đám mây), chúng sẽ trở thành điểm yếu duy nhất.
• Tấn công phi kỹ thuật. Kẻ tấn công ngày càng gọi điện cho mục tiêu trong thời gian thực, giả mạo các nhóm chống gian lận ngân hàng và gây áp lực buộc họ đọc mã TOTP trong cuộc gọi "xác minh tài khoản".

Rủi ro bảo mật của Xác thực OTP là gì?

Vấn đề cơ bản với xác thực OTP là nó chỉ đáp ứng yếu tố sở hữu trong quá trình xác thực. Những gì bạn có — dù là điện thoại di động hay thiết bị xác thực phần cứng — đều có thể bị mất, bị đánh cắp, bị xâm phạm hoặc bị giả mạo ở cấp độ nhà mạng. Dưới đây là tóm tắt các rủi ro chính theo từng loại OTP.

Rủi ro bảo mật của mã OTP qua SMS

Như trường hợp ở Philippines đã chỉ ra, kẻ tấn công không cần phải đánh cắp điện thoại của bạn để vô hiệu hóa mã OTP qua tin nhắn SMS. Tin nhắn văn bản không được mã hóa và được liên kết với số điện thoại chứ không phải thiết bị cụ thể. Các phương thức tấn công chính là đánh cắp SIM, khai thác lỗ hổng SS7 và lừa đảo trực tuyến theo thời gian thực – tất cả đều đã được trình bày chi tiết ở trên.

Rủi ro bảo mật TOTP

TOTP và xác thực dựa trên ứng dụng cung cấp bảo mật cao hơn so với SMS, vì mã được tạo cục bộ chứ không được truyền qua mạng của nhà mạng. Nhưng như đã đề cập, việc xâm nhập thiết bị, lừa đảo trực tuyến theo thời gian thực và kỹ thuật xã hội vẫn là những con đường tấn công khả thi. TOTP cũng chỉ đáp ứng yếu tố sở hữu – đặt ra câu hỏi liệu nó có thực sự cấu thành xác thực đa yếu tố khi cả giao dịch và xác thực đều diễn ra trên cùng một thiết bị hay không.

Xác thực OTP có cung cấp trải nghiệm người dùng lỗi thời không?

Đại dịch đã thúc đẩy nhu cầu về trải nghiệm người dùng liền mạch, ưu tiên làm việc từ xa. Xác thực OTP đang tụt hậu ở nhiều khía cạnh.

Quá trình hoạt động

Xác thực OTP yêu cầu người dùng thực hiện một thao tác: lấy thiết bị, mở ứng dụng hoặc chuyển đổi giữa các màn hình. Thời gian hết hạn 30 giây của OTP có nghĩa là người dùng không phản hồi đủ nhanh sẽ gặp lỗi xác thực, gây khó khăn và đôi khi dẫn đến việc bỏ ngang hoàn toàn.

Thiếu tính toàn diện

Xác thực OTP giả định người dùng có thiết bị di động, số điện thoại đang hoạt động và khả năng làm theo các bước hướng dẫn trên nhiều màn hình khác nhau. Không phải ai cũng có. Đối với người dùng khuyết tật, người lớn tuổi hoặc những người không có quyền truy cập di động thường xuyên, bảo mật dựa trên OTP tạo ra những rào cản loại trừ thực sự. Xác minh sinh trắc học cũng yêu cầu thiết bị nhưng loại bỏ nhu cầu về số điện thoại đang hoạt động và giảm các bước nhận thức xuống còn một hành động thụ động duy nhất, phù hợp với WCAG 2.2 AA.

So sánh giữa mã OTP và xác thực sinh trắc học:

Trong khi xác thực OTP đáp ứng yếu tố sở hữu (“những gì bạn có”), xác thực sinh trắc học đáp ứng yếu tố bản chất — “những gì bạn là”. Khuôn mặt của bạn không thể bị mất, bị đánh cắp hoặc được chuyển sang số điện thoại khác.