Vietcombank thay đổi một số tính năng bảo mật để thân thiện hơn với người dùng web

Ngân hàng luôn có yêu cầu bảo mật rất cao, Vietcombank trước đây thắt chặt rất mạnh điều này trên nền tảng web:

  • User đăng nhập là một chuỗi dài khó nhớ;
  • Mã tin nhắn xác nhận cũng là một chuỗi dài gồm cả chữ, số, chữ in Hoa, thường;

Giờ thì họ thay đổi thành hình thức tiện lợi hơn nhiều:

  • User đăng nhập là số điện thoại;
  • Mã tin nhắn xác nhận là chuỗi 6 số dễ nhìn, dễ nhập;
  • Khi chuyển khoản, việc lựa chọn ngân hàng có khả năng tìm kiếm và bao gồm tên viết tắt (thường gọi) của ngân hàng thay vì chỉ có tên dài chính thức như trước kia. Việc này giúp việc lựa chọn diễn ra nhanh & ít có khả năng nhầm lẫn hơn.

Tôi cho rằng các thay đổi như vậy rất tích cực, vì:

  • Dù user lúc này rất dễ đoán, nhưng nếu ai đó đã biết mật khẩu của người dùng, thì chắc chắn họ cũng đã biết user rồi dù nó là dạng nào đi chăng nữa. Nói cách khác, sử dụng user phức tạp hầu như không có tác dụng gì đáng kể về mặt bảo mật (nhất là khi đã có lớp bảo mật thứ hai), nhưng lại rất phiền người dùng, vì họ cực kỳ khó nhớ được chuỗi này;
  • Các giao dịch đều nhắn tin đến số điện thoại cá nhân của chủ tài khoản để xác thực, do vậy nếu không mất đồng thời cả mật khẩu, cả điện thoại thì người dùng sẽ vẫn an toàn được số tiền của mình. Tại sao việc thay đổi mã tin nhắn xác thực về dạng đơn giản ổn hơn. Có hai lý do, vì thời gian cho phép nhập mã ngắn (tôi nhớ đâu chỉ tầm 1 phút kể từ khi tin nhắn đến) cho nên việc để mã phức tạp đã tạo ra nhiều khả năng nhập sai, phải nhập lại và có thể là không kịp giờ. Cái thứ hai, bảo mật với tin nhắn đến điện thoại, thì yếu tố bảo mật ở đây là cái điện thoại đó nằm trong tay người dùng chứ không phải chuỗi tin nhắn gửi đến là đơn giản hay phức tạp. Một chuỗi 6 số + giới hạn số lần nhập sai là đủ để khiến xác suất đoán mò chẳng hề có tác dụng gì.

Leave a Comment