Đăng nhập không cần mật khẩu bằng mã xác thực

Khoá truy cập

Giới thiệu

Khoá truy cập là biện pháp an toàn và dễ dàng thay thế mật khẩu. Với khoá truy cập, người dùng có thể đăng nhập vào các ứng dụng và trang web bằng cảm biến sinh trắc học (chẳng hạn như vân tay hoặc công nghệ nhận dạng khuôn mặt), mã PIN hoặc hình mở khoá, giúp họ không phải ghi nhớ và quản lý mật khẩu.

Cả nhà phát triển và người dùng đều ghét mật khẩu: chúng khiến người dùng cảm thấy không hài lòng, chúng gây phiền hà khi chuyển đổi và tạo ra trách nhiệm pháp lý về bảo mật cho cả người dùng lẫn nhà phát triển. Trình quản lý mật khẩu của Google trong Android và Chrome giúp giảm sự phiền hà nhờ tính năng tự động điền. Đối với những nhà phát triển đang tìm kiếm các điểm cải tiến hơn nữa về tính năng chuyển đổi và bảo mật, khoá truy cập và liên kết danh tính là phương pháp hiện đại trong ngành.

Khoá truy cập có thể đáp ứng các yêu cầu xác thực đa yếu tố trong một bước, thay thế cả mật khẩu và OTP (ví dụ: mã SMS gồm 6 chữ số) để mang lại khả năng bảo vệ mạnh mẽ trước các cuộc tấn công lừa đảo và tránh khó khăn về trải nghiệm người dùng đối với tin nhắn SMS hoặc mật khẩu một lần trong ứng dụng. Vì khoá truy cập đã được chuẩn hoá, nên một lần triển khai duy nhất sẽ mang đến trải nghiệm không cần mật khẩu trên tất cả thiết bị của người dùng, trên nhiều trình duyệt và hệ điều hành.

Khoá truy cập dễ sử dụng hơn:

  • Người dùng có thể chọn một tài khoản để đăng nhập. Không bắt buộc nhập tên người dùng.
  • Người dùng có thể xác thực bằng phương thức khoá màn hình của thiết bị như cảm biến vân tay, công nghệ nhận dạng khuôn mặt hoặc mã PIN.
  • Sau khi tạo và đăng ký khoá truy cập, người dùng có thể chuyển đổi liền mạch sang một thiết bị mới và sử dụng ngay thiết bị đó mà không cần đăng ký lại (không giống như xác thực bằng sinh trắc học truyền thống yêu cầu thiết lập trên từng thiết bị).

Khoá truy cập an toàn hơn:

  • Nhà phát triển chỉ lưu khoá công khai vào máy chủ thay vì mật khẩu, nghĩa là đối tượng xấu sẽ không giành được nhiều giá trị để tấn công vào máy chủ và việc dọn dẹp sẽ không đáng kể trong trường hợp có sự cố rò rỉ dữ liệu.
  • Khoá truy cập bảo vệ người dùng khỏi các cuộc tấn công lừa đảo. Khoá truy cập chỉ hoạt động trên các trang web và ứng dụng đã đăng ký. Người dùng không thể bị lừa xác thực trên một trang web lừa đảo vì trình duyệt hoặc hệ điều hành sẽ xử lý việc xác thực.
  • Khoá truy cập giúp giảm chi phí gửi tin nhắn SMS, nhờ vậy mà chúng trở thành phương tiện an toàn và tiết kiệm chi phí hơn để xác thực hai yếu tố.

Khoá truy cập là gì?

Khoá truy cập là thông tin xác thực kỹ thuật số, liên kết với tài khoản người dùng và trang web hoặc ứng dụng. Khoá truy cập cho phép người dùng xác thực mà không cần nhập tên người dùng hoặc mật khẩu hoặc cung cấp bất kỳ yếu tố xác thực bổ sung nào. Công nghệ này nhằm mục đích thay thế các cơ chế xác thực cũ như mật khẩu.

Khi người dùng muốn đăng nhập vào một dịch vụ sử dụng khoá truy cập, trình duyệt hoặc hệ điều hành của họ sẽ giúp họ chọn và sử dụng khoá truy cập phù hợp. Trải nghiệm này tương tự như cách hoạt động của mật khẩu đã lưu hiện nay. Để đảm bảo chỉ chủ sở hữu hợp pháp mới có thể sử dụng khoá truy cập, hệ thống sẽ yêu cầu người này mở khoá thiết bị. Bạn có thể thực hiện quá trình này bằng cảm biến sinh trắc học (chẳng hạn như vân tay hoặc tính năng nhận dạng khuôn mặt), mã PIN hoặc hình mở khoá.

Để tạo khoá truy cập cho một trang web hoặc ứng dụng, trước tiên, người dùng phải đăng ký trên trang web hoặc ứng dụng đó.

  1. Truy cập ứng dụng và đăng nhập bằng phương thức đăng nhập hiện có.
  2. Nhấp vào nút Tạo một khoá truy cập.
  3. Kiểm tra thông tin được lưu trữ bằng khoá truy cập mới.
  4. Dùng tính năng mở khoá màn hình thiết bị để tạo khoá truy cập.

Khi quay lại trang web hoặc ứng dụng này để đăng nhập, họ có thể thực hiện các bước sau:

  1. Chuyển đến ứng dụng đó.
  2. Nhấn vào trường tên tài khoản để hiển thị danh sách khoá truy cập trong hộp thoại tự động điền.
  3. Chọn khoá truy cập của họ.
  4. Hãy dùng tính năng mở khoá màn hình thiết bị để hoàn tất quá trình đăng nhập.

Thiết bị của người dùng tạo chữ ký dựa trên khoá truy cập. Chữ ký này dùng để xác minh thông tin đăng nhập giữa nguồn gốc và khoá truy cập.

Người dùng có thể đăng nhập vào các dịch vụ trên mọi thiết bị bằng khoá truy cập, bất kể khoá truy cập được lưu trữ ở đâu. Ví dụ: khoá truy cập được tạo trên điện thoại di động có thể dùng để đăng nhập vào một trang web trên máy tính xách tay riêng.

Khoá truy cập hoạt động như thế nào?

Chúng tôi sẽ sử dụng khoá truy cập thông qua cơ sở hạ tầng hệ điều hành cho phép trình quản lý khoá truy cập tạo, sao lưu và cung cấp khoá truy cập cho các ứng dụng chạy trên hệ điều hành đó. Trên Android, bạn có thể lưu trữ khoá truy cập trong Trình quản lý mật khẩu của Google để đồng bộ hoá khoá truy cập giữa các thiết bị Android của người dùng đăng nhập vào cùng một Tài khoản Google. Khoá truy cập được mã hoá an toàn trên thiết bị trước khi đồng bộ hoá, nên bạn phải giải mã khoá truy cập đó trên thiết bị mới. Người dùng sử dụng hệ điều hành Android 14 trở lên có thể chọn lưu trữ khoá truy cập trong một trình quản lý mật khẩu tương thích của bên thứ ba.

Người dùng không bị hạn chế sử dụng khoá truy cập chỉ trên thiết bị có sẵn — khoá truy cập có sẵn trên điện thoại khi đăng nhập vào máy tính xách tay, ngay cả khi khoá truy cập chưa được đồng bộ hoá với máy tính xách tay, miễn là điện thoại ở gần máy tính xách tay và người dùng phê duyệt việc đăng nhập trên điện thoại. Vì khoá truy cập được xây dựng theo tiêu chuẩn của FIDO nên mọi trình duyệt đều có thể sử dụng khoá truy cập đó.

Ví dụ: người dùng truy cập example.com trên trình duyệt Chrome trên máy Windows của họ. Người dùng này đã đăng nhập vào example.com trên thiết bị Android của họ và tạo một khoá truy cập. Trên máy Windows, người dùng chọn đăng nhập bằng khoá truy cập từ một thiết bị khác. Hai thiết bị sẽ kết nối và người dùng sẽ được nhắc phê duyệt việc sử dụng khoá truy cập trên thiết bị Android, chẳng hạn như bằng cảm biến vân tay. Sau khi thực hiện việc này, trẻ sẽ được đăng nhập trên máy Windows. Xin lưu ý rằng khoá truy cập không được chuyển sang máy Windows, vì vậy, thông thường, example.com sẽ đề xuất tạo khoá truy cập mới ở đó. Nhờ đó, người dùng không cần sử dụng điện thoại khi đăng nhập vào lần tiếp theo. Hãy đọc phần Đăng nhập bằng điện thoại để tìm hiểu thêm.

Ai đang dùng khoá truy cập?

Một số dịch vụ đã sử dụng khoá truy cập trong hệ thống của họ.

Thử ngay

Bạn có thể dùng thử khoá truy cập trong bản minh hoạ sau: https://passkeys-demo.appspot.com/

Những điều cần cân nhắc về quyền riêng tư

  • Bởi vì việc đăng nhập bằng hệ thống nhận dạng sinh trắc học có thể tạo cho người dùng ấn tượng sai rằng quá trình này đang gửi thông tin nhạy cảm đến máy chủ. Trong thực tế, vật liệu sinh trắc học không bao giờ rời khỏi thiết bị cá nhân của người dùng.
  • Bản thân khoá truy cập không cho phép theo dõi người dùng hoặc thiết bị giữa các trang web. Bạn không bao giờ dùng cùng một khoá truy cập với nhiều trang web. Giao thức khoá truy cập được thiết kế cẩn thận để không có thông tin nào được chia sẻ với các trang web có thể được dùng làm vectơ theo dõi.
  • Trình quản lý khoá truy cập giúp bảo vệ khoá truy cập khỏi hành vi truy cập và sử dụng trái phép. Ví dụ: Trình quản lý mật khẩu của Google mã hoá khoá bí mật hai đầu. Chỉ người dùng mới có thể truy cập và sử dụng các hình ảnh, mặc dù chúng được sao lưu vào máy chủ của Google, nhưng Google không thể sử dụng chúng để mạo danh người dùng.

Lưu ý về bảo mật

  • Khoá truy cập sử dụng kỹ thuật mã hoá khoá công khai. Phương thức mã hoá khoá công khai giúp giảm thiểu mối đe doạ từ các sự cố rò rỉ dữ liệu có thể xảy ra. Khi người dùng tạo khoá truy cập với một trang web hoặc ứng dụng, thao tác này sẽ tạo ra một cặp khoá công khai – riêng tư trên thiết bị của người dùng. Trang web chỉ lưu trữ khoá công khai, nhưng riêng điều này sẽ vô ích đối với kẻ tấn công. Kẻ tấn công không thể lấy được khoá riêng tư của người dùng từ dữ liệu được lưu trữ trên máy chủ. Đây là dữ liệu cần thiết để hoàn tất quá trình xác thực.
  • Vì khoá truy cập được liên kết với danh tính của trang web hoặc ứng dụng nên chúng sẽ an toàn khỏi các cuộc tấn công lừa đảo. Trình duyệt và hệ điều hành đảm bảo rằng khoá truy cập chỉ có thể dùng với trang web hoặc ứng dụng đã tạo khoá truy cập. Việc này giúp người dùng không phải chịu trách nhiệm khi đăng nhập vào trang web hoặc ứng dụng chính thống.

Nhận thông báo

Đăng ký bản tin dành cho nhà phát triển khoá truy cập Google để nhận thông báo về thông tin cập nhật về khoá truy cập.

Các bước tiếp theo