Khoá truy cập
Giới thiệu
Khoá truy cập là một phương thức thay thế an toàn và đơn giản hơn so với mật khẩu. Với khoá truy cập, người dùng có thể đăng nhập vào các ứng dụng và trang web bằng cảm biến sinh trắc học (chẳng hạn như vân tay hoặc công nghệ nhận dạng khuôn mặt), mã PIN hoặc hình mở khoá, nhờ đó, họ sẽ không cần phải ghi nhớ và quản lý mật khẩu.
Cả nhà phát triển và người dùng đều không thích mật khẩu: mật khẩu mang lại trải nghiệm không tốt cho người dùng, làm tăng trở ngại cho việc chuyển đổi và tạo ra trách nhiệm pháp lý về bảo mật cho cả người dùng và nhà phát triển. Trình quản lý mật khẩu của Google trên Android và Chrome giúp giảm bớt phiền toái thông qua tính năng tự động điền; đối với những nhà phát triển muốn cải thiện hơn nữa lượt chuyển đổi và tính bảo mật, khoá truy cập và liên kết danh tính là những phương pháp hiện đại của ngành.
Khoá truy cập mang đến khả năng bảo vệ mạnh mẽ trước các cuộc tấn công giả mạo và có thể loại bỏ nhu cầu nhắc người dùng nhập mật khẩu một lần qua SMS hoặc ứng dụng khi đăng nhập. Vì khoá truy cập được chuẩn hoá, nên một quy trình triển khai duy nhất sẽ mang đến trải nghiệm không cần mật khẩu trên tất cả thiết bị của người dùng, trên nhiều trình duyệt và hệ điều hành.
Cả nhà phát triển và người dùng đều không thích mật khẩu: mật khẩu mang lại trải nghiệm không tốt cho người dùng, làm tăng trở ngại cho việc chuyển đổi và tạo ra trách nhiệm pháp lý về bảo mật cho cả người dùng và nhà phát triển. Trình quản lý mật khẩu của Google trên Android và Chrome giúp giảm bớt phiền toái thông qua tính năng tự động điền; đối với những nhà phát triển muốn cải thiện hơn nữa lượt chuyển đổi và tính bảo mật, khoá truy cập và liên kết danh tính là những phương pháp hiện đại của ngành.
Khoá truy cập mang đến khả năng bảo vệ mạnh mẽ trước các cuộc tấn công giả mạo và có thể loại bỏ nhu cầu nhắc người dùng nhập mật khẩu một lần qua SMS hoặc ứng dụng khi đăng nhập. Vì khoá truy cập được chuẩn hoá, nên một quy trình triển khai duy nhất sẽ mang đến trải nghiệm không cần mật khẩu trên tất cả thiết bị của người dùng, trên nhiều trình duyệt và hệ điều hành.
Khoá truy cập dễ dùng hơn
Người dùng có thể chọn một tài khoản để đăng nhập. Bạn không bắt buộc phải nhập tên người dùng.
Người dùng có thể xác thực bằng phương thức khoá màn hình của thiết bị, chẳng hạn như cảm biến vân tay, công nghệ nhận dạng khuôn mặt hoặc mã PIN.
Sau khi tạo và đăng ký khoá truy cập, người dùng có thể chuyển sang một thiết bị mới một cách liền mạch và sử dụng ngay mà không cần đăng ký lại (không giống như phương thức xác thực sinh trắc học truyền thống, yêu cầu thiết lập trên từng thiết bị).
Khoá truy cập an toàn hơn
Khoá truy cập bảo vệ người dùng khỏi các cuộc tấn công giả mạo. Khoá truy cập chỉ hoạt động trên những trang web và ứng dụng đã được đăng ký; người dùng không thể bị lừa xác thực trên một trang web lừa đảo vì trình duyệt hoặc hệ điều hành sẽ xử lý quy trình xác minh.
Nhà phát triển chỉ lưu khoá công khai vào máy chủ thay vì mật khẩu, tức là kẻ xấu sẽ ít có giá trị hơn khi xâm nhập vào máy chủ và ít phải dọn dẹp hơn trong trường hợp xảy ra vi phạm.
Khoá truy cập giúp giảm chi phí vì bạn không cần gửi tin nhắn SMS, nhờ đó, đây là phương thức xác thực an toàn và tiết kiệm chi phí hơn.
Mật khẩu là gì?
Khoá truy cập là một thông tin đăng nhập kỹ thuật số, được liên kết với một tài khoản người dùng và một trang web hoặc ứng dụng. Khoá truy cập cho phép người dùng xác thực mà không cần nhập tên người dùng hoặc mật khẩu, hoặc cung cấp bất kỳ yếu tố xác thực bổ sung nào. Công nghệ này nhằm mục đích thay thế các cơ chế xác thực cũ như mật khẩu.
Khi người dùng muốn đăng nhập vào một dịch vụ sử dụng khoá truy cập, trình duyệt hoặc hệ điều hành của họ sẽ giúp họ chọn và sử dụng đúng khoá truy cập. Trải nghiệm này tương tự như cách hoạt động của mật khẩu đã lưu hiện nay. Để đảm bảo chỉ chủ sở hữu hợp pháp mới có thể sử dụng khoá truy cập, hệ thống sẽ yêu cầu họ mở khoá thiết bị. Bạn có thể thực hiện việc này bằng cảm biến sinh trắc học (chẳng hạn như vân tay hoặc công nghệ nhận dạng khuôn mặt), mã PIN hoặc hình mở khoá.
Để tạo khoá truy cập cho một trang web hoặc ứng dụng, trước tiên, người dùng phải đăng ký khoá truy cập với trang web hoặc ứng dụng đó.
- Chuyển đến ứng dụng và đăng nhập bằng phương thức đăng nhập hiện có.
- Nhấp vào nút Tạo khoá truy cập.
- Kiểm tra thông tin được lưu trữ bằng khoá truy cập mới.
- Dùng tính năng mở khoá màn hình thiết bị để tạo khoá truy cập.
Khi quay lại trang web hoặc ứng dụng này để đăng nhập, họ có thể làm theo các bước sau:
- Chuyển đến ứng dụng đó.
- Nhấn vào trường tên tài khoản để hiện danh sách khoá truy cập trong hộp thoại tự động điền.
- Chọn khoá truy cập của họ.
- Dùng tính năng mở khoá màn hình thiết bị để hoàn tất quá trình đăng nhập.
Tự thử
Bạn có thể dùng thử khoá truy cập trong bản minh hoạ này
Mật khẩu hoạt động như thế nào?
Khoá truy cập được mã hoá an toàn trên thiết bị trước khi được đồng bộ hoá và bạn cần phải giải mã khoá truy cập trên các thiết bị mới. Khoá truy cập có thể được lưu trữ trong các trình quản lý mật khẩu như Trình quản lý mật khẩu của Google. Trình quản lý này sẽ đồng bộ hoá khoá truy cập giữa các thiết bị Android và trình duyệt Chrome của người dùng đã đăng nhập vào cùng một Tài khoản Google. Người dùng có hệ điều hành Android 14 trở lên cũng có thể chọn lưu trữ khoá truy cập trong một trình quản lý mật khẩu tương thích của bên thứ ba.
Người dùng không bị hạn chế chỉ sử dụng khoá truy cập trên thiết bị có khoá truy cập. Khoá truy cập có trên điện thoại có thể được dùng khi đăng nhập vào máy tính xách tay, ngay cả khi khoá truy cập không được đồng bộ hoá với máy tính xách tay, miễn là điện thoại ở gần máy tính xách tay và người dùng phê duyệt yêu cầu đăng nhập trên điện thoại. Vì khoá truy cập được tạo dựa trên các tiêu chuẩn FIDO, nên mọi trình duyệt đều có thể áp dụng khoá truy cập.
Người dùng không bị hạn chế chỉ sử dụng khoá truy cập trên thiết bị có khoá truy cập. Khoá truy cập có trên điện thoại có thể được dùng khi đăng nhập vào máy tính xách tay, ngay cả khi khoá truy cập không được đồng bộ hoá với máy tính xách tay, miễn là điện thoại ở gần máy tính xách tay và người dùng phê duyệt yêu cầu đăng nhập trên điện thoại. Vì khoá truy cập được tạo dựa trên các tiêu chuẩn FIDO, nên mọi trình duyệt đều có thể áp dụng khoá truy cập.
Lợi ích về quyền riêng tư
Quan trọng: Khoá truy cập được thiết kế chú trọng đến quyền riêng tư của người dùng. Dưới đây là một số mối lo ngại mà người dùng cuối có thể nêu ra. Để trấn an người dùng, nhà phát triển nên thêm một thông báo trấn an vào giao diện người dùng (ví dụ: "Với khoá truy cập, thông tin sinh trắc học của người dùng sẽ không bao giờ được tiết lộ cho trang web hoặc ứng dụng. Dữ liệu sinh trắc học sẽ không bao giờ rời khỏi thiết bị cá nhân của người dùng") và tạo một bài viết hỗ trợ hoặc câu hỏi thường gặp để giải thích thêm.
Vì việc đăng nhập bằng dữ liệu sinh trắc học có thể khiến người dùng lầm tưởng rằng thông tin nhạy cảm đang được gửi đến máy chủ. Trên thực tế, dữ liệu sinh trắc học chỉ nằm trên thiết bị cá nhân của người dùng.
Bản thân khoá truy cập không cho phép theo dõi người dùng hoặc thiết bị giữa các trang web. Bạn không bao giờ sử dụng cùng một khoá truy cập cho nhiều trang web. Các giao thức khoá truy cập được thiết kế cẩn thận để không thông tin nào được chia sẻ với các trang web có thể được dùng làm vectơ theo dõi.
Trình quản lý khoá truy cập bảo vệ khoá truy cập khỏi hành vi truy cập và sử dụng trái phép. Ví dụ: Trình quản lý mật khẩu của Google mã hoá các bí mật của khoá truy cập theo phương thức mã hoá hai đầu. Chỉ người dùng mới có thể truy cập và sử dụng các khoá này. Mặc dù các khoá này được sao lưu vào máy chủ của Google, nhưng Google không thể sử dụng chúng để mạo danh người dùng.
Lợi ích về bảo mật
Vì khoá truy cập được liên kết với danh tính của một trang web hoặc ứng dụng, nên chúng có khả năng chống lại các cuộc tấn công giả mạo. Trình duyệt và hệ điều hành đảm bảo rằng khoá truy cập chỉ có thể được dùng với trang web hoặc ứng dụng đã tạo khoá truy cập đó. Điều này giúp người dùng không phải chịu trách nhiệm đăng nhập vào trang web hoặc ứng dụng chính hãng.
-
Mã khoá sử dụng tiêu chuẩn mã hoá khoá công khai.
Mật mã khoá công khai giúp giảm nguy cơ rò rỉ dữ liệu. Khi người dùng tạo một khoá truy cập bằng một trang web hoặc ứng dụng, thao tác này sẽ tạo ra một cặp khoá công khai – khoá riêng tư trên thiết bị của người dùng. Trang web chỉ lưu trữ khoá công khai, nhưng chỉ khoá này thì không có ích gì cho kẻ tấn công. Kẻ tấn công không thể lấy khoá riêng tư của người dùng từ dữ liệu được lưu trữ trên máy chủ (cần thiết để hoàn tất quy trình xác thực). -
Chống lại các cuộc tấn công giả mạo
Vì khoá truy cập được liên kết với danh tính của một trang web hoặc ứng dụng, nên chúng có khả năng chống lại các cuộc tấn công giả mạo. Trình duyệt và hệ điều hành đảm bảo rằng khoá truy cập chỉ có thể được dùng với trang web hoặc ứng dụng đã tạo khoá truy cập đó. Điều này giúp người dùng không phải chịu trách nhiệm đăng nhập vào trang web hoặc ứng dụng chính hãng.
Triển khai khoá truy cập
Bạn đã sẵn sàng bắt đầu? Bạn có thể triển khai khoá truy cập trên Android, web và iOS bằng cách tham khảo hướng dẫn triển khai bên dưới.
Phía máy chủ
Hướng dẫn triển khai cho máy chủ.
Android
Hướng dẫn triển khai cho Android.
Web
Hướng dẫn triển khai cho Web.
iOS
Hướng dẫn triển khai cho iOS.
Tài nguyên khác
- Nghiên cứu điển hình về khoá truy cập
- Trường hợp sử dụng
- Hướng dẫn dành cho nhà phát triển về khoá truy cập cho các bên tin cậy
- Đăng ký nhận bản tin dành cho nhà phát triển khoá truy cập của Google để nhận thông báo về các bản cập nhật khoá truy cập.