Đăng nhập không cần mật khẩu bằng mật khẩu

Giới thiệu

Khoá truy cập là lựa chọn thay thế an toàn và dễ dàng hơn cho mật khẩu. Với khoá truy cập, người dùng có thể đăng nhập vào các ứng dụng và trang web bằng cảm biến sinh trắc học (chẳng hạn như vân tay hoặc công nghệ nhận dạng khuôn mặt), mã PIN hoặc hình mở khoá, giúp họ không phải ghi nhớ và quản lý mật khẩu.

Cả nhà phát triển và người dùng đều ghét mật khẩu: chúng mang đến trải nghiệm không tốt cho người dùng, gây khó khăn cho việc chuyển đổi, đồng thời tạo ra trách nhiệm bảo mật cho cả người dùng và nhà phát triển. Trình quản lý mật khẩu của Google trong Android và Chrome giúp giảm sự phiền hà thông qua tính năng tự động điền; dành cho những nhà phát triển đang tìm kiếm cải tiến hơn nữa về tính năng chuyển đổi và bảo mật, khoá truy cập và liên kết danh tính là những phương pháp hiện đại của ngành.

Khoá truy cập có thể đáp ứng các yêu cầu xác thực đa yếu tố trong một bước duy nhất, thay thế cả mật khẩu và OTP (ví dụ: mã SMS gồm 6 chữ số) để mang lại khả năng bảo vệ mạnh mẽ trước các cuộc tấn công lừa đảo, đồng thời tránh gây khó chịu cho trải nghiệm người dùng khi sử dụng tin nhắn SMS hoặc mật khẩu một lần dựa trên ứng dụng. Vì khoá truy cập đã được chuẩn hoá nên một lần triển khai duy nhất sẽ mang lại trải nghiệm không cần mật khẩu trên tất cả thiết bị của người dùng, trên nhiều trình duyệt và hệ điều hành.

Khoá truy cập dễ sử dụng hơn:

• Người dùng có thể chọn một tài khoản để đăng nhập. Bạn không bắt buộc phải nhập tên người dùng.
• Người dùng có thể xác thực bằng phương thức khoá màn hình của thiết bị như cảm biến vân tay, công nghệ nhận dạng khuôn mặt hoặc mã PIN.
• Sau khi khoá truy cập được tạo và đăng ký, người dùng có thể chuyển đổi liền mạch sang thiết bị mới và sử dụng ngay lập tức mà không cần đăng ký lại (không giống như xác thực sinh trắc học truyền thống, yêu cầu thiết lập trên từng thiết bị).

Khoá truy cập an toàn hơn:

• Các nhà phát triển chỉ lưu khoá công khai vào máy chủ thay vì mật khẩu, nghĩa là kẻ xấu sẽ không có được nhiều giá trị để xâm nhập vào máy chủ và việc dọn dẹp trong trường hợp có sự cố rò rỉ dữ liệu thì rất ít.
• Mã xác thực giúp bảo vệ người dùng khỏi các cuộc tấn công lừa đảo. Khoá truy cập chỉ hoạt động trên các trang web và ứng dụng đã đăng ký; người dùng không thể bị lừa xác thực trên một trang web lừa đảo vì trình duyệt hoặc hệ điều hành sẽ xử lý việc xác minh.
• Khoá truy cập giúp giảm chi phí gửi SMS, khiến mã xác thực trở thành phương tiện an toàn và tiết kiệm chi phí hơn để xác thực hai yếu tố.

Khoá truy cập là gì?

Khoá truy cập là thông tin xác thực kỹ thuật số, liên kết với một tài khoản người dùng và một trang web hoặc ứng dụng. Khoá truy cập cho phép người dùng xác thực mà không phải nhập tên người dùng hoặc mật khẩu hoặc cung cấp bất kỳ yếu tố xác thực bổ sung nào. Công nghệ này nhằm mục đích thay thế các cơ chế xác thực cũ, chẳng hạn như mật khẩu.

Khi người dùng muốn đăng nhập vào một dịch vụ sử dụng khoá truy cập, trình duyệt hoặc hệ điều hành của họ sẽ giúp họ chọn và sử dụng đúng khoá truy cập. Tính năng này tương tự như cách hoạt động của mật khẩu đã lưu hiện nay. Để đảm bảo chỉ chủ sở hữu hợp pháp mới có thể sử dụng khoá truy cập, hệ thống sẽ yêu cầu người này mở khoá thiết bị. Bạn có thể thực hiện bằng cảm biến sinh trắc học (chẳng hạn như nhận dạng vân tay hoặc khuôn mặt), mã PIN hoặc hình mở khoá.

Để tạo khoá truy cập cho một trang web hoặc ứng dụng, trước tiên, người dùng phải đăng ký với trang web hoặc ứng dụng đó.

1. Truy cập vào ứng dụng và đăng nhập bằng phương thức đăng nhập hiện có.
2. Nhấp vào nút Tạo khoá truy cập.
3. Kiểm tra thông tin được lưu trữ bằng khoá truy cập mới.
4. Dùng tính năng mở khoá màn hình thiết bị để tạo khoá truy cập.

Khi quay lại trang web hoặc ứng dụng này để đăng nhập, họ có thể thực hiện các bước sau:

1. Truy cập vào ứng dụng.
2. Nhấn vào trường tên tài khoản để hiện danh sách mã xác thực trong hộp thoại tự động điền.
3. Chọn khoá truy cập của họ.
4. Dùng tính năng mở khoá màn hình thiết bị để hoàn tất quy trình đăng nhập.

Thiết bị của người dùng tạo một chữ ký dựa trên khoá truy cập. Chữ ký này dùng để xác minh thông tin đăng nhập giữa nguồn gốc và khoá truy cập.

Người dùng có thể đăng nhập vào các dịch vụ trên bất kỳ thiết bị nào bằng khoá truy cập, bất kể khoá truy cập được lưu trữ ở đâu. Ví dụ: bạn có thể dùng khoá truy cập được tạo trên điện thoại di động để đăng nhập vào một trang web trên một máy tính xách tay riêng.

Khoá truy cập hoạt động như thế nào?

Khoá truy cập được dùng thông qua cơ sở hạ tầng hệ điều hành cho phép trình quản lý khoá truy cập tạo, sao lưu và cung cấp khoá truy cập cho các ứng dụng chạy trên hệ điều hành đó. Trên Android, khoá truy cập có thể được lưu trữ trong Trình quản lý mật khẩu của Google. Trình quản lý mật khẩu này sẽ đồng bộ hoá khoá truy cập giữa các thiết bị Android của người dùng đăng nhập vào cùng một Tài khoản Google. Khoá truy cập được mã hoá an toàn trên thiết bị trước khi đồng bộ hoá và yêu cầu phải giải mã trên các thiết bị mới. Người dùng sử dụng hệ điều hành Android 14 trở lên có thể chọn lưu trữ mã xác thực trong một trình quản lý mật khẩu tương thích của bên thứ ba.

Người dùng không bị hạn chế chỉ sử dụng khoá truy cập trên thiết bị khi có sẵn khoá truy cập. Bạn có thể sử dụng khoá truy cập trên điện thoại khi đăng nhập vào máy tính xách tay, ngay cả khi khoá truy cập không đồng bộ hoá với máy tính xách tay, miễn là điện thoại ở gần máy tính xách tay và người dùng phê duyệt việc đăng nhập trên điện thoại. Vì khoá truy cập được xây dựng dựa trên tiêu chuẩn của FIDO nên tất cả trình duyệt đều có thể sử dụng chúng.

Ví dụ: người dùng truy cập example.com trên trình duyệt Chrome trên máy Windows của họ. Người dùng này trước đây đã đăng nhập vào example.com trên thiết bị Android của họ và tạo một khoá truy cập. Trên máy Windows, người dùng chọn đăng nhập bằng khoá truy cập từ một thiết bị khác. Hai thiết bị sẽ kết nối và người dùng sẽ được nhắc phê duyệt việc sử dụng khoá truy cập trên thiết bị Android, chẳng hạn như bằng cảm biến vân tay. Sau khi thực hiện việc này, con sẽ được đăng nhập trên máy Windows. Lưu ý rằng bản thân khoá truy cập không được chuyển sang máy Windows, vì vậy, example.com thường sẽ đề xuất tạo khoá truy cập mới tại đó. Bằng cách đó, người dùng không cần sử dụng điện thoại vào lần tiếp theo muốn đăng nhập. Hãy đọc bài viết Đăng nhập bằng điện thoại để tìm hiểu thêm.

Ai đang sử dụng khoá truy cập?

Nhiều dịch vụ đã sử dụng khoá truy cập trong hệ thống của họ.

• Tín hiệu DocuSign
• Google
  • Điểm bắt đầu của mật khẩu
  • Blog về bảo mật trực tuyến của Google: Giúp quá trình xác thực nhanh hơn bao giờ hết: khoá truy cập so với mật khẩu
  • Thiết kế trải nghiệm người dùng của khoá truy cập trên Tài khoản Google
• Thuyền Kayak
• Mercari
• NTT Docomo
• PayPal
• Shopify
  • Cách khoá truy cập giúp giảm sự phiền hà trong trải nghiệm mua sắm thương mại điện tử
  • Hỗ trợ khoá truy cập trong Quy trình xác thực của Cửa hàng
• Người bán trên Yahoo! NHẬT BẢN
  • Trung tâm trợ giúp Yahoo! Tính năng xác thực không cần mật khẩu của JAPAN giúp giảm 25% số yêu cầu, đẩy nhanh thời gian đăng nhập 2,6 lần

Dùng thử

Bạn có thể thử khoá truy cập trong bản minh hoạ sau: https://passkeys-demo.appspot.com/

Những điều cần cân nhắc về quyền riêng tư

• Bởi vì việc đăng nhập bằng hệ thống nhận dạng sinh trắc học có thể khiến người dùng hiểu nhầm rằng tính năng này đang gửi thông tin nhạy cảm đến máy chủ. Trong thực tế, vật liệu sinh trắc học không bao giờ rời khỏi thiết bị cá nhân của người dùng.
• Bản thân khoá truy cập không cho phép theo dõi người dùng hoặc thiết bị giữa các trang web. Không bao giờ sử dụng cùng một khoá truy cập với nhiều trang web. Giao thức khoá truy cập được thiết kế cẩn thận để không có thông tin nào được chia sẻ với các trang web có thể dùng làm vectơ theo dõi.
• Trình quản lý khoá truy cập bảo vệ khoá truy cập khỏi hành vi truy cập và sử dụng trái phép. Ví dụ: Trình quản lý mật khẩu của Google mã hoá khoá truy cập hai đầu. Chỉ người dùng mới có thể truy cập và sử dụng chúng, và mặc dù chúng đã được sao lưu vào máy chủ của Google, nhưng Google không thể sử dụng chúng để mạo danh người dùng.

Lưu ý về bảo mật

• Khoá truy cập sử dụng phương thức mã hoá khoá công khai. Việc mã hoá khoá công khai giúp giảm nguy cơ bị rò rỉ dữ liệu. Khi người dùng tạo khoá truy cập với một trang web hoặc ứng dụng, thao tác này sẽ tạo ra một cặp khoá công khai–riêng tư trên thiết bị của người dùng. Trang web chỉ lưu trữ khoá công khai, nhưng chỉ riêng điều này cũng vô dụng với kẻ tấn công. Kẻ tấn công không thể lấy khoá riêng tư của người dùng từ dữ liệu được lưu trữ trên máy chủ, dữ liệu này là bắt buộc để hoàn tất quy trình xác thực.
• Vì khoá truy cập có liên kết với danh tính của trang web hoặc ứng dụng nên sẽ an toàn trước các cuộc tấn công lừa đảo. Trình duyệt và hệ điều hành đảm bảo rằng bạn chỉ có thể sử dụng khoá truy cập với trang web hoặc ứng dụng đã tạo khoá truy cập. Việc này giúp người dùng không phải chịu trách nhiệm khi đăng nhập vào trang web hoặc ứng dụng chính thống.

Nhận thông báo

Hãy đăng ký bản tin dành cho nhà phát triển khoá truy cập của Google để nhận thông báo về thông tin cập nhật về khoá truy cập.

Các bước tiếp theo

• Hỗ trợ khoá truy cập trên Android và Chrome
• Câu hỏi thường gặp
• Trường hợp sử dụng
• Hướng dẫn cho nhà phát triển về khoá truy cập để dựa vào các bên
• Tìm hiểu cách đăng nhập vào ứng dụng Android bằng Trình quản lý thông tin xác thực