Soft Token (hay còn gọi là mã xác thực động trên ứng dụng) là phương thức xác thực bảo mật dựa trên phần mềm, được cài đặt trên thiết bị di động thông minh như smartphone hoặc máy tính bảng. Thay vì sử dụng thiết bị phần cứng vật lý riêng biệt như Hard Token truyền thống, Soft Token tồn tại dưới dạng một ứng dụng trên chính chiếc điện thoại mà người dùng đã mang theo hàng ngày.
Phần mềm này có chức năng tạo ra các mã OTP (One-Time Password) – tức mật khẩu dùng một lần – mỗi mã chỉ có hiệu lực trong khoảng 30 đến 60 giây. Người dùng nhập mã này để xác minh danh tính khi thực hiện các giao dịch ngân hàng điện tử như chuyển tiền, thanh toán hóa đơn hay đăng nhập tài khoản.
Soft Token được xem là phiên bản số hóa hoàn chỉnh của thiết bị token vật lý, giúp loại bỏ nhu cầu mang theo một thiết bị phần cứng riêng biệt, đồng thời giảm đáng kể chi phí triển khai cho các ngân hàng.
Tại sao Soft Token quan trọng trong ngân hàng?
Soft Token đóng vai trò then chốt trong hệ sinh thái ngân hàng số hiện đại vì những lý do sau:
-
Nâng cao bảo mật giao dịch điện tử: Soft Token là một trong những yếu tố của xác thực hai yếu tố (2FA), kết hợp giữa "điều bạn biết" (mật khẩu) và "điều bạn có" (thiết bị di động). Dù kẻ tấn công có lấy được mật khẩu, họ vẫn không thể hoàn tất giao dịch nếu không có mã OTP từ thiết bị của nạn nhân.
-
Tuân thủ quy định pháp lý: Thông tư 16/2020/TT-NHNN quy định rõ các yêu cầu bảo mật đối với phương thức xác thực trong thanh toán điện tử. Soft Token đáp ứng đầy đủ các tiêu chuẩn này, giúp ngân hàng tuân thủ pháp luật một cách hiệu quả.
-
Giảm chi phí vận hành đáng kể: So với Hard Token cần sản xuất, vận chuyển và bảo hành thiết bị vật lý, Soft Token chỉ cần cài đặt ứng dụng. Ngân hàng A ước tính tiết kiệm được khoảng 85% chi phí triển khai phương thức xác thực khi chuyển đổi từ Hard Token sang Soft Token.
-
Trải nghiệm khách hàng liền mạch: Người dùng không cần mang theo thiết bị token riêng, không lo hết pin hay thất lạc. Mọi thứ đã nằm trong chiếc điện thoại thông minh mà họ sử dụng hàng ngày.
-
Hỗ trợ đa nền tảng và khôi phục dễ dàng: Khi đổi điện thoại mới, người dùng có thể khôi phục Soft Token thông qua bản sao lưu khóa bí mật, không cần liên hệ ngân hàng hay đợi cấp phát lại thiết bị.
Cách hoạt động của Soft Token
Nguyên lý tạo mã OTP
Soft Token sử dụng hai thuật toán chính để tạo mã:
1. TOTP (Time-based One-Time Password)
- Mã OTP được tạo dựa trên yếu tố thời gian thực
- Mỗi mã có hiệu lực trong vòng 30 giây
- Thiết bị của người dùng và hệ thống ngân hàng phải đồng bộ về thời gian (thường qua giao thức NTP)
2. HOTP (HMAC-based One-Time Password)
- Mã OTP được tạo dựa trên bộ đếm (counter)
- Mỗi lần nhấn nút hoặc mỗi yêu cầu xác thực, bộ đếm tăng thêm 1
- Mã có hiệu lực cho đến khi được sử dụng hoặc bị thay thế bởi mã tiếp theo
Quy trình đăng ký và sử dụng
Bước 1 – Đăng ký:
- Khách hàng đăng nhập vào ứng dụng ngân hàng di động
- Chọn tính năng kích hoạt Soft Token
- Hệ thống sinh một khóa bí mật (secret key) duy nhất, hiển thị dưới dạng mã QR hoặc chuỗi ký tự
Bước 2 – Liên kết:
- Khách hàng mở ứng dụng Soft Token (có thể là ứng dụng riêng hoặc tích hợp sẵn trong app ngân hàng)
- Quét mã QR hoặc nhập chuỗi ký tự để lưu secret key vào thiết bị
Bước 3 – Xác thực giao dịch:
- Khi thực hiện giao dịch (ví dụ: chuyển 50 triệu đồng), hệ thống yêu cầu nhập mã OTP
- Ứng dụng Soft Token hiển thị mã 6 chữ số, ví dụ: 847 291
- Khách hàng nhập mã này để hoàn tất giao dịch
Công thức tạo mã TOTP
OTP = Truncate(HMAC-SHA1(SecretKey, Timestamp))
Trong đó:
- SecretKey: Khóa bí mật duy nhất được cấp khi đăng ký
- Timestamp: Thời gian hiện tại (thường chia theo khoảng 30 giây)
- Truncate: Hàm cắt ghép để tạo ra chuỗi 6-8 chữ số
Ví dụ thực tế
Ví dụ 1 – Chuyển tiền nội bộ: Khách hàng Nguyễn Văn Minh sử dụng ứng dụng Ngân hàng A trên điện thoại iPhone. Khi anh thực hiện lệnh chuyển 30 triệu đồng cho người thân, hệ thống hiển thị thông báo: "Nhập mã xác thực từ ứng dụng Soft Token của bạn." Anh mở ứng dụng, thấy mã 583 027 với thời gian đếm ngược 25 giây. Anh nhập mã, giao dịch được xác nhận thành công.
Ví dụ 2 – Kích hoạt Soft Token thay thế SMS OTP: Trước đây, chị Trần Thị Hương phải trả 1.100 đồng mỗi lần nhận mã OTP qua tin nhắn SMS mỗi khi giao dịch. Sau khi đăng ký Soft Token miễn phí trên Ngân hàng B, chị không còn phải trả phí SMS. Trong năm đầu tiên sử dụng với trung bình 15 giao dịch/tháng, chị tiết kiệm được khoảng 198.000 đồng tiền phí SMS OTP.
Ví dụ 3 – Khôi phục khi đổi điện thoại: Anh Lê Hoàng Nam chuyển từ điện thoại Samsung sang iPhone mới. Thay vì phải đến chi nhánh ngân hàng để xin cấp lại Hard Token như trước, anh chỉ cần đăng nhập Ngân hàng C, chọn "Khôi phục Soft Token" và quét lại mã QR từ email sao lưu mà hệ thống đã gửi trước đó. Toàn bộ quá trình mất chưa đầy 5 phút.
Phân biệt với thuật ngữ liên quan
| Tiêu chí | Soft Token | Hard Token | SMS OTP |
|---|---|---|---|
| Hình thức | Ứng dụng phần mềm trên điện thoại | Thiết bị phần cứng vật lý | Tin nhắn SMS trên điện thoại |
| Chi phí cho khách hàng | Miễn phí | Có thể mất phí mua (50.000–200.000 VNĐ) | 1.100–3.300 VNĐ/giao dịch |
| Phụ thuộc thiết bị | Cần điện thoại thông minh | Không – thiết bị độc lập | Cần sóng di động |
| Rủi ro bảo mật | Thiết bị bị nhiễm mã độc, root/jailbreak | Mất hoặc hỏng thiết bị | SIM swap, tin nhắn bị chặn |
| Thời hạn mã OTP | 30–60 giây (TOTP) | 30–60 giây (TOTP) | 60–120 giây |
| Khả năng khôi phục | Qua bản sao lưu khóa | Phải liên hệ ngân hàng cấp lại | Nhận lại qua tin nhắn mới |
Câu hỏi thường gặp trong đề thi
Câu 1: Phương thức xác thực nào sau đây được coi là "yếu tố sở hữu" (possession factor) trong xác thực hai yếu tố (2FA)?
- A. Mật khẩu
- B. Vân tay
- C. Soft Token trên điện thoại
- D. Câu hỏi bảo mật
Câu 2: Thuật toán nào được sử dụng phổ biến nhất trong Soft Token để tạo mã OTP dựa trên yếu tố thời gian?
- A. MD5
- B. RSA
- C. TOTP (Time-based One-Time Password)
- D. Base64
Câu 3: Theo Thông tư 16/2020/TT-NHNN, khi thực hiện giao dịch thanh toán điện tử có giá trị cao, tổ chức phát hành cần đảm bảo mức độ an toàn như thế nào?
- A. Chỉ cần mật khẩu đăng nhập
- B. Áp dụng xác thực đa yếu tố phù hợp với giá trị giao dịch
- C. Không cần xác thực bổ sung
- D. Chỉ gửi email xác nhận
Tổng kết
Soft Token là phương thức xác thực bảo mật hiện đại, sử dụng thuật toán TOTP/HOTP để tạo mã OTP dùng một lần trên thiết bị di động. Với ưu điểm về chi phí thấp, trải nghiệm người dùng thuận tiện và khả năng khôi phục linh hoạt, Soft Token đang dần thay thế Hard Token và SMS OTP trong hệ thống ngân hàng số tại Việt Nam.
Đối với thí sinh ôn thi tuyển dụng ngân hàng, cần nắm vững cơ chế hoạt động, phân biệt rõ Soft Token với Hard Token và SMS OTP, cũng như hiểu các quy định pháp lý liên quan. Ghi nhớ rằng Soft Token thuộc nhóm "yếu tố sở hữu" trong xác thực đa yếu tố – đây là kiến thức trọng tâm thường xuất hiện trong các đề thi nghiệp vụ ngân hàng.
Bài viết được biên soạn nhằm mục đích ôn luyện thi tuyển dụng ngân hàng. Thông tin chỉ mang tính tham khảo và cập nhật đến thời điểm viết bài.