Từ đầu năm 2025: App ngân hàng không được có chức năng ghi nhớ mật khẩu
Ngày 31/10, Ngân hàng Nhà nước (NHNN) đã ban hành Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng. Thông tư trên hiệu lực kể từ đầu năm sau. Thông tư 50 quy định các yêu cầu về an toàn, bảo mật cho dịch vụ ngân hàng trực tuyến như dịch vụ Internet Banking, Mobile Banking, thanh toán trực tuyến và các dịch vụ trung gian thanh toán khác.
Trong đó, tại mục 5, Điều 8 của Thông tư quy định về Phần mềm ứng dụng Mobile Banking, yêu cầu các ứng dụng không được phép có chức năng ghi nhớ mã khóa bí mật (password) truy cập. Theo ghi nhận, hiện nay đa số các app ngân hàng đều đã tắt chức năng ghi nhớ password.
Ngoài ra, đối với khách hàng cá nhân, ứng dụng cần có chức năng kiểm tra khách hàng truy cập lần đầu hoặc truy cập trên thiết bị khác. Việc kiểm tra bao gồm: khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã đăng ký hoặc khớp đúng thông tin sinh trắc học.
Thông tư 50 cũng yêu cầu ngân hàng phải đăng ký và quản lý ứng dụng Mobile Banking trên kho ứng dụng chính thức, hướng dẫn khách hàng cài đặt ứng dụng từ nguồn tin cậy.
Đồng thời, ứng dụng Mobile Banking phải áp dụng các biện pháp bảo mật để ngăn chặn việc chỉnh sửa hoặc can thiệp trái phép vào luồng dữ liệu và có cơ chế phòng chống các hành vi tấn công hoặc can thiệp ứng dụng cài đặt trên thiết bị của khách hàng.
Ứng dụng VCB Digibank của Vietcombank không có chức năng ghi nhớ mật khẩu. (Ảnh: Minh Quang),
Ngoài ra, tại Điều 11, Thông tư 50, NHNN cũng quy định rõ về các hình thức xác nhận như password, mã PIN, OTP, xác thực hai kênh hay sinh trắc học, FIDO, chữ ký điện tử, chữ ký điện tử an toàn, EMV EDS …
Trong đó, password được yêu cầu có độ dài tối thiểu 8 ký tự, gồm số, chữ hoa, và chữ thường. Password có hiệu lực tối đa 12 tháng, đối với password cấp lần đầu hiệu lực tối đa 30 ngày. Mã PIN được yêu cầu có 6 ký tự, hiệu lực tối đa 12 tháng. Đối với mã Pin được cấp lần đầu hiệu lực tối đa 30 ngày.
Đối với hình thức OTP, có thể gửi qua SMS, cuộc gọi (Voice OTP), email, hoặc qua thiết bị/token tạo OTP. Đồng thời, OTP phải giới hạn thời gian hiệu lực trong vòng từ 2 đến 5 phút, tùy hình thức.
Với hình thức xác nhận sinh trắc học, ngân hàng sử dụng thông tin sinh trắc học như khuôn mặt, vân tay để so sánh và xác thực giao dịch. Thông tư 50 yêu cầu độ chính xác cao và khả năng phát hiện giả mạo theo tiêu chuẩn quốc tế và thời gian thực hiện không quá 3 phút.
