Bắt buộc MFA & chuyển đổi sang Passkey: Các phương pháp hay nhất

1. Giới thiệu: Thực tế mới của MFA bắt buộc#

Xác thực đa yếu tố (MFA) đã dứt khoát chuyển từ một tính năng bảo mật dành cho người dùng chủ động sang một thực tế bắt buộc, không thể thương lượng đối với các tổ chức trên toàn thế giới. Sự chuyển đổi này không được thúc đẩy bởi sự lựa chọn mà bởi sự cần thiết, được thúc đẩy bởi các cuộc tấn công mạng dựa trên thông tin xác thực không ngừng và áp lực pháp lý ngày càng tăng. Các ngành từ dịch vụ tài chính đến khu vực công hiện hoạt động theo các khuôn khổ biến MFA thành tiêu chuẩn cơ sở để tuân thủ. Kỷ nguyên mới này, nơi MFA được thực thi thay vì được cung cấp, đưa ra một loạt các thách thức phức tạp vượt xa việc triển khai kỹ thuật ban đầu.

Khi mọi người dùng đều phải sử dụng MFA, một loạt câu hỏi quan trọng mới xuất hiện mà mọi tổ chức phải trả lời. Bài viết này sẽ đi sâu vào những thách thức này, cung cấp một lộ trình rõ ràng để tiến về phía trước. Chúng ta sẽ giải quyết:

1. Những chi phí vận hành tiềm ẩn và cạm bẫy về trải nghiệm người dùng khi thực thi MFA ở quy mô lớn là gì?

2. Khi được lựa chọn, người dùng thực sự áp dụng phương pháp MFA nào và điều này tạo ra những rủi ro bảo mật gì?

3. Quá trình khôi phục tài khoản trở thành thách thức chính mới trong một môi trường bắt buộc như thế nào và những sự đánh đổi khi giải quyết nó là gì?

4. Tại sao passkey là giải pháp chiến lược cho chính những vấn đề do các quy định bắt buộc MFA tạo ra, chứ không chỉ là một tùy chọn khác?

5. Kế hoạch chi tiết, từng bước và thực tế để chuyển đổi thành công từ MFA cũ bắt buộc sang khả năng bảo mật và trải nghiệm người dùng vượt trội của passkey là gì?

Phân tích này sẽ cung cấp một kế hoạch chi tiết rõ ràng, có thể hành động để chuyển đổi thành công từ xác thực một yếu tố sang MFA bắt buộc (và hướng tới passkey bắt buộc).

2. Sự thay đổi trong bảo mật: Hiểu bối cảnh của MFA bắt buộc#

Trước khi khám phá những thách thức của việc thực thi, điều quan trọng là phải thiết lập sự hiểu biết rõ ràng về bối cảnh xác thực và tại sao các quy định bắt buộc lại làm thay đổi nó một cách cơ bản. Bản thân thuật ngữ có thể là một nguồn gây nhầm lẫn, nhưng các phân biệt là rất quan trọng đối với bất kỳ chiến lược bảo mật hoặc sản phẩm nào.

2.1 Ôn lại nhanh: SFA, 2SV và True MFA#

Sự tiến hóa của xác thực là phản ứng trực tiếp đối với điểm yếu vốn có của hình thức cơ bản nhất của nó.

• Xác thực một yếu tố (SFA): Sự kết hợp tên người dùng và mật khẩu quen thuộc. Nó dựa trên một yếu tố "kiến thức" duy nhất, thứ mà người dùng biết. Tính dễ bị tấn công lừa đảo (phishing), nhồi nhét thông tin xác thực (credential stuffing) và tấn công brute-force là động lực chính cho các phương pháp mạnh mẽ hơn.

• Xác minh hai bước (2SV): Thường được sử dụng thay thế cho MFA, 2SV là một quy trình riêng biệt và yếu hơn. Nó yêu cầu hai bước xác minh nhưng có thể sử dụng hai yếu tố từ cùng một danh mục. Ví dụ phổ biến là mật khẩu theo sau bởi một câu hỏi bảo mật, cả hai đều là yếu tố "kiến thức". Mặc dù tốt hơn SFA, nó không đáp ứng tiêu chí bảo mật đa yếu tố thực sự.

• Xác thực đa yếu tố (MFA): Tiêu chuẩn vàng về bảo mật, MFA yêu cầu xác minh từ ít nhất hai danh mục yếu tố xác thực khác nhau. Ba danh mục chính là:

  • Kiến thức: Thứ mà người dùng biết (ví dụ: mật khẩu, mã PIN).

  • Sở hữu: Thứ mà người dùng có (ví dụ: điện thoại di động nhận mã, khóa bảo mật phần cứng).

  • Kế thừa: Thứ mà người dùng là (ví dụ: vân tay, nhận dạng khuôn mặt).

2.2 Tại sao quy định bắt buộc thay đổi mọi thứ#

Việc chuyển từ tùy chọn sang MFA bắt buộc là một sự thay đổi mô hình. Một hệ thống tùy chọn cho phép sự áp dụng dần dần bởi những người dùng có ý thức bảo mật cao nhất, che giấu những điểm ma sát thực sự. Một quy định bắt buộc ép buộc toàn bộ cơ sở người dùng, từ những người am hiểu công nghệ đến những người e ngại công nghệ, vào hệ thống mới cùng một lúc, phơi bày mọi sai sót trong trải nghiệm người dùng và cấu trúc hỗ trợ.

Sự thay đổi này đã được đẩy nhanh bởi các chất xúc tác pháp lý trên toàn thế giới. Đáng chú ý nhất, Chỉ thị Dịch vụ Thanh toán lần thứ hai (PSD2) của Châu Âu và yêu cầu về Xác thực Khách hàng Mạnh (SCA) của nó đã định hình lại cơ bản bối cảnh thanh toán của Châu Âu bằng cách bắt buộc MFA đối với hầu hết các giao dịch trực tuyến. Bằng cách buộc các tổ chức tài chính áp dụng các API mở và bảo mật mạnh hơn, PSD2 cung cấp một nghiên cứu tình huống thực tế, quy mô lớn về xác thực được thực thi.

Mục tiêu chính của SCA là giảm gian lận bằng cách yêu cầu hai yếu tố xác thực độc lập cho các thanh toán điện tử. Tuy nhiên, việc triển khai ban đầu đã tạo ra sự ma sát đáng kể, với một số người bán hàng ở Châu Âu mất gần 40% giao dịch do người dùng bối rối và từ bỏ giỏ hàng. Theo thời gian, hệ sinh thái đã thích nghi và một báo cáo vào tháng 8 năm 2024 từ Ngân hàng Trung ương Châu Âu xác nhận rằng các giao dịch được xác thực bằng SCA hiện có tỷ lệ gian lận thấp hơn đáng kể. Điều này chứng minh lợi ích bảo mật dài hạn, nhưng cũng nhấn mạnh nhu cầu quan trọng là phải cân bằng giữa bảo mật và trải nghiệm người dùng.

Động lực quản lý tương tự đang được xây dựng trên toàn cầu. Tại Úc, lĩnh vực tài chính hoạt động theo khuôn khổ CPS 234 của Cơ quan Quản lý An toàn Thận trọng Úc, thiết lập các tiêu chuẩn bảo mật cho các tổ chức tài chính. Sau một làn sóng tấn công nhồi nhét thông tin xác thực vào đầu năm 2025, APRA đã viết thư cho tất cả các hội đồng quỹ hưu bổng, kỳ vọng rõ ràng họ sẽ triển khai MFA hoặc các biện pháp bảo vệ tương đương cho các hoạt động rủi ro cao. Cơ quan quản lý lưu ý rằng khoảng 20% các sự cố mạng trong lĩnh vực tài chính của Úc là các cuộc tấn công nhồi nhét thông tin xác thực, khiến MFA trở thành một kiểm soát quan trọng. Một cách riêng biệt, lĩnh vực viễn thông của Úc phải đối mặt với MFA bắt buộc cho tất cả các giao dịch khách hàng có rủi ro cao theo Quyết định Xác thực Danh tính Khách hàng năm 2022 của Cơ quan Truyền thông và Đa phương tiện Úc. Quy tắc này yêu cầu các nhà mạng sử dụng MFA cho việc tráo đổi SIM, đặt lại mật khẩu và bổ sung dịch vụ sau các trường hợp gian lận tráo đổi SIM nổi cộm.

Mặc dù các quy định bắt buộc này ban đầu tạo ra ma sát, chúng cũng tạo ra một môi trường giáo dục đại chúng không tự nguyện. Khi hàng triệu người dùng bị ngân hàng của họ buộc phải phê duyệt một giao dịch bằng dấu vân tay hoặc mã, họ trở nên quen thuộc với khái niệm yếu tố thứ hai. Sự bình thường hóa này, được thúc đẩy bởi quy định, nghịch lý thay lại dọn đường cho các tổ chức khác. Cuộc trò chuyện có thể chuyển từ "MFA là gì và tại sao tôi cần nó?" sang "Đây là cách mới, dễ dàng hơn của chúng tôi để thực hiện bước bảo mật mà bạn đã biết." Điều này tạo ra nền tảng hoàn hảo để giới thiệu một trải nghiệm vượt trội như passkey.

Nếu bạn muốn đọc thêm về các chi tiết cụ thể của các quy định này và mối quan hệ của chúng với passkey, bạn có thể khám phá các tài nguyên này:

• Phân tích các yêu cầu PSD2 & SCA

• Các yêu cầu SCA có ý nghĩa gì đối với Passkey

• Passkey PSD2: MFA tuân thủ PSD2 chống lừa đảo

• Tác động của SD3 / PSR đối với Passkey

• Xác thực được ủy quyền & Passkey theo PSD3 / PSR

2.3 Khi các vi phạm bảo mật ép buộc hành động: Các quy định bắt buộc sau sự cố#

Trong khi các khuôn khổ pháp lý thúc đẩy việc áp dụng MFA chủ động, các sự cố bảo mật thường kích hoạt các quy định bắt buộc cấp bách và rõ ràng nhất. Khi một tổ chức bị vi phạm, con đường dẫn đến MFA bắt buộc không còn là vấn đề lập kế hoạch tuân thủ mà là phản ứng khủng hoảng tức thời.

Lĩnh vực hưu bổng của Úc đã trải qua điều này một cách rõ rệt vào tháng 3 năm 2025. Trong một chiến dịch nhồi nhét thông tin xác thực tinh vi, tội phạm mạng đã sử dụng các kết hợp tên người dùng - mật khẩu bị đánh cắp từ các vi phạm bên ngoài để tấn công có hệ thống vào các tài khoản quỹ hưu trí. Theo các báo cáo từ Reuters và ABC News, AustralianSuper, quỹ lớn nhất của đất nước với hơn 3 triệu thành viên, xác nhận rằng những kẻ tấn công đã truy cập lên đến 600 tài khoản thành viên và rút trót lọt 500.000 AUD từ số dư của bốn thành viên trước khi cuộc tấn công bị phát hiện. Sự cố lan rộng trên nhiều quỹ, với Rest Super phát hiện hoạt động đáng ngờ ở khoảng 20.000 tài khoản và Insignia Financial báo cáo các nỗ lực trên khoảng 100 tài khoản.

Véc-tơ tấn công là nhồi nhét thông tin xác thực điển hình: nỗ lực đăng nhập tự động sử dụng thông tin xác thực thu thập được từ các vụ vi phạm dữ liệu không liên quan. Các chuyên gia bảo mật được ABC News phỏng vấn đã mô tả cuộc tấn công là "không tinh vi", lưu ý rằng thành công của nó hoàn toàn do không có MFA. Trong một sự tương phản nổi bật, HostPlus, một quỹ lớn khác, báo cáo không có tổn thất tài chính nào từ cùng chiến dịch đặc biệt vì họ đã triển khai MFA cho các tài khoản thành viên. So sánh thực tế này cung cấp bằng chứng rõ ràng về giá trị bảo vệ của MFA.

Trước vụ vi phạm, khách hàng của AustralianSuper đã yêu cầu rõ ràng MFA như một tùy chọn bảo mật nhưng được thông báo là không có sẵn. Sau sự cố, quỹ ngay lập tức khóa các tài khoản bị ảnh hưởng và đẩy nhanh triển khai MFA. Thư tiếp theo của APRA gửi tất cả các chủ tịch hội đồng quỹ hưu bổng đã làm rõ kỳ vọng của cơ quan quản lý: triển khai MFA nay là một nghĩa vụ khẩn cấp, không phải là một cân nhắc trong tương lai.

Các quy định bắt buộc sau vi phạm cũng xuất hiện từ các chiến dịch lừa đảo xâm phạm thông tin xác thực của tổ chức. Vào tháng 3 năm 2020, Service NSW, một cổng dịch vụ chính phủ tiểu bang, đã phải chịu một cuộc tấn công lừa đảo làm lộ 736 GB dữ liệu, xâm phạm thông tin cá nhân của khoảng 103.000 khách hàng. Các nhà điều tra đã xác định việc không có MFA trên các tài khoản email của nhân viên là nguyên nhân chính gây ra mức độ nghiêm trọng của vụ vi phạm. Để đối phó, Service NSW đã triển khai MFA trên tất cả các hệ thống email bên ngoài và, đến tháng 8 năm 2021, đã bật tính năng này trên 95% các hệ thống đối mặt với bên ngoài, được hỗ trợ bởi khoản đầu tư bảo mật 5 triệu AUD. Sau vụ vi phạm dữ liệu viễn thông riêng biệt của Optus năm 2022, Service NSW đã mở rộng nỗ lực của mình hơn nữa, thử nghiệm và sau đó bắt buộc MFA cho tất cả chủ tài khoản MyServiceNSW vào năm 2026.

Các sự cố này minh họa một mô hình quan trọng: các vụ vi phạm tạo ra áp lực chính trị và hoạt động bỏ qua các chu kỳ lập kế hoạch dần dần điển hình của tuân thủ chủ động. Câu hỏi chuyển từ "Chúng ta có nên bắt buộc MFA không?" sang "Chúng ta có thể triển khai nó nhanh như thế nào?" Mốc thời gian bị nén này thường làm trầm trọng thêm trải nghiệm người dùng và những thách thức hoạt động được thảo luận sau trong bài viết này, khiến việc lựa chọn phương pháp MFA và thiết kế triển khai thậm chí còn quan trọng hơn.

3. Những phức tạp tiềm ẩn: Bắt buộc MFA có ý nghĩa gì trong thực tế#

Việc thực thi MFA trên toàn bộ cơ sở người dùng phơi bày hàng loạt thách thức thực tế thường bị đánh giá thấp trong quá trình lập kế hoạch ban đầu. Những vấn đề này tác động đến trải nghiệm người dùng, vị thế bảo mật và chi phí vận hành.

3.1 Trở ngại giới thiệu: Đăng ký ở quy mô lớn#

Khi việc đăng ký là bắt buộc, trải nghiệm người dùng kém không chỉ còn là một sự khó chịu; nó trở thành một trở ngại trực tiếp cho hoạt động kinh doanh. Các tổ chức thường chọn giữa hai chiến lược: đăng ký bắt buộc, yêu cầu thiết lập MFA trong lần đăng nhập tiếp theo, hoặc đăng ký lũy tiến, nhắc nhở người dùng theo thời gian. Mặc dù đăng ký bắt buộc đạt được sự tuân thủ nhanh hơn, nhưng nó có nguy cơ gây thất vọng và tỷ lệ người dùng bỏ cuộc cao hơn nếu quy trình không liền mạch. Thành công phụ thuộc vào việc tuân thủ các phương pháp UX hay nhất, chẳng hạn như cung cấp nhiều phương thức xác thực, hướng dẫn rõ ràng và đảm bảo khả năng tiếp cận cho tất cả người dùng, ví dụ như bằng cách cung cấp khóa bí mật dựa trên văn bản cùng với mã QR cho các ứng dụng xác thực.

3.2 Cơn ác mộng khôi phục: Vấn đề hỗ trợ số 1 mới#

Khi MFA hoạt động trên một tài khoản, việc mất yếu tố thứ hai đồng nghĩa với việc bị khóa hoàn toàn. Trong một thế giới bắt buộc, đây không phải là sự cố cá biệt của một số ít người dùng có ý thức bảo mật; nó trở thành một thách thức nghiêm trọng, trên diện rộng đối với toàn bộ cơ sở người dùng và các nhóm hỗ trợ phục vụ họ. Điều này khiến việc khôi phục tài khoản trở thành thách thức lớn nhất.

Số tiền cược tài chính rất cao: một lần đặt lại mật khẩu hoặc MFA do bộ phận hỗ trợ dẫn dắt có thể khiến công ty tiêu tốn trung bình 70 USD. Đối với một tổ chức có hàng trăm nghìn người dùng, ngay cả một tỷ lệ nhỏ cần khôi phục cũng có thể dẫn đến hàng triệu đô la chi phí vận hành và mất năng suất.

Các tổ chức bị mắc kẹt với một sự đánh đổi khó khăn giữa bảo mật, chi phí và sự tiện lợi:

• Khôi phục do bộ phận hỗ trợ dẫn dắt: Một nhân viên hỗ trợ có thể xác minh danh tính của người dùng thông qua cuộc gọi video hoặc các phương tiện khác. Đây là một quy trình bảo mật, được con người xác minh nhưng tốn kém và chậm mở rộng quy mô, khiến nó không bền vững đối với hầu hết các doanh nghiệp.

• Khôi phục dựa trên Email/SMS: Đây là phương pháp phổ biến nhất do chi phí thấp và quen thuộc với người dùng. Tuy nhiên, nó cũng là một lỗ hổng bảo mật nghiêm trọng. Nếu một kẻ tấn công đã xâm phạm tài khoản email của người dùng, một tiền thân phổ biến của các cuộc tấn công khác, chúng có thể dễ dàng chặn mã khôi phục và bỏ qua hoàn toàn MFA. Phương pháp này thực sự phủ nhận các lợi ích bảo mật mà quy định dự định cung cấp.

• Mã dự phòng được đăng ký trước: Người dùng được cung cấp một bộ mã dự phòng sử dụng một lần trong quá trình đăng ký. Mặc dù an toàn hơn khôi phục qua email, phương pháp này tạo thêm ma sát cho thiết lập ban đầu. Hơn nữa, người dùng thường không lưu trữ các mã này một cách an toàn hoặc làm mất chúng, điều này cuối cùng dẫn họ quay lại cùng một vấn đề khóa tài khoản.

• Xác minh ID qua ảnh tự chụp: Phương pháp đảm bảo cao này yêu cầu người dùng chụp ảnh tự sướng trực tiếp và ảnh chụp ID do chính phủ cấp (như giấy phép lái xe hoặc hộ chiếu). Hệ thống hỗ trợ AI sau đó khớp khuôn mặt với ID để xác nhận danh tính. Mặc dù phổ biến trong ngân hàng và dịch vụ tài chính nơi danh tính được xác minh trong quá trình giới thiệu, nó làm dấy lên những lo ngại về quyền riêng tư cho một số người dùng và yêu cầu họ phải có sẵn ID vật lý của mình.

• Thông tin xác thực kỹ thuật số & Ví: Một tùy chọn mới nổi, hướng tới tương lai liên quan đến việc sử dụng thông tin xác thực kỹ thuật số có thể xác minh được lưu trữ trong ví kỹ thuật số. Người dùng có thể xuất trình thông tin xác thực từ một nhà phát hành đáng tin cậy (như chính phủ hoặc ngân hàng) để chứng minh danh tính của họ mà không phải trải qua quy trình khôi phục cụ thể theo dịch vụ. Phương pháp này vẫn đang ở giai đoạn đầu nhưng hướng tới một tương lai của việc xác minh danh tính có thể di chuyển hơn và do người dùng kiểm soát.

3.3 Vấn đề vòng đời thiết bị: Điện thoại mới, Mất quyền truy cập#

Một điểm thất bại thường xuyên và quan trọng trong bất kỳ hệ thống MFA nào là vòng đời thiết bị. Khi người dùng có điện thoại mới, tính liên tục của phương thức xác thực của họ là tối quan trọng.

• SMS: Phương pháp này tương đối dễ di chuyển, vì số điện thoại có thể được chuyển sang thiết bị mới qua thẻ SIM mới. Tuy nhiên, quá trình này chính là véc-tơ tấn công bị khai thác trong các cuộc tấn công tráo đổi SIM, nơi một kẻ gian lận thuyết phục nhà mạng di động chuyển số của nạn nhân sang một SIM mà chúng kiểm soát.

• Ứng dụng xác thực (TOTP): Đây là một nguồn gây ma sát lớn cho người dùng. Trừ khi người dùng đã chủ động bật tính năng sao lưu đám mây trong ứng dụng xác thực của họ (một tính năng không phổ biến và không phải lúc nào cũng được sử dụng), các khóa bí mật tạo ra mã sẽ bị mất cùng với thiết bị cũ. Điều này buộc người dùng vào một quy trình khôi phục tài khoản đầy đủ, và thường là đau đớn, cho từng dịch vụ mà họ đã bảo mật.

• Thông báo đẩy (Push): Tương tự như ứng dụng TOTP, MFA dựa trên push được liên kết với một cài đặt ứng dụng cụ thể trên một thiết bị đã đăng ký. Một điện thoại mới yêu cầu một đăng ký mới, kích hoạt cùng một thách thức khôi phục.

3.4 Nghịch lý sở thích người dùng: Con đường ít trở ngại nhất#

Khi một tổ chức bắt buộc MFA và cung cấp lựa chọn phương pháp, một mô hình có thể đoán trước sẽ xuất hiện: +95% người dùng hướng tới những gì quen thuộc nhất và được cho là dễ dàng nhất, thường là mã xác thực một lần dựa trên SMS (OTP). Hành vi này tạo ra một nghịch lý. Một CISO có thể bắt buộc MFA để cải thiện bảo mật. Tuy nhiên, nếu nhiều người dùng tiếp tục dựa vào một phương pháp dễ bị lừa đảo như SMS, tổ chức có thể đạt mức tuân thủ 100% mà không cải thiện thực chất các biện pháp phòng thủ trước các cuộc tấn công tinh vi.

Các vụ vi phạm quỹ hưu bổng của Úc vào tháng 3 năm 2025 đã cung cấp bằng chứng thực tế, rõ ràng về vấn đề này. Trong sự cố đó, việc không có bất kỳ MFA nào là lỗ hổng quyết định. Tuy nhiên, bài học rộng lớn hơn mở rộng ra ngoài tính nhị phân của "MFA hay không MFA" sang chất lượng của MFA được triển khai. Các tổ chức chỉ cung cấp MFA dựa trên SMS như tùy chọn chính hoặc duy nhất của họ vẫn dễ bị tấn công lừa đảo, kỹ thuật xã hội và tráo đổi SIM. Những kẻ tấn công trong trường hợp của Úc đã khai thác các thông tin xác thực yếu; nếu những tài khoản đó chỉ được "bảo vệ" bởi SMS OTP, những kẻ tấn công có quyền truy cập vào các tài khoản email bị xâm phạm có thể có khả năng chặn các luồng đặt lại mật khẩu và kích hoạt hoán đổi SIM để bỏ qua yếu tố đó.

Nhận ra điều này, các nền tảng như Microsoft đã giới thiệu "MFA do hệ thống ưu tiên", chủ động thúc đẩy người dùng hướng tới các tùy chọn an toàn hơn như ứng dụng xác thực thay vì SMS hoặc cuộc gọi thoại. Điều này nhấn mạnh một bài học quan trọng: đơn thuần bắt buộc MFA là không đủ. Loại MFA rất quan trọng và các tổ chức phải chủ động điều hướng người dùng tránh xa các yếu tố yếu hơn, dễ bị lừa đảo.

3.5 Tổn thất hoạt động: Bộ phận hỗ trợ bị bao vây#

Quyết định bắt buộc MFA có tác động trực tiếp và có thể đo lường được đối với các tài nguyên hoạt động. Nó chắc chắn kích hoạt sự gia tăng các vé (ticket) hỗ trợ liên quan đến các vấn đề đăng ký, mất bộ xác thực và yêu cầu khôi phục. Nghiên cứu của Gartner chỉ ra rằng 30-50% tất cả các cuộc gọi hỗ trợ CNTT đã dành cho các vấn đề liên quan đến mật khẩu; MFA bắt buộc, đặc biệt là khi kết hợp với các luồng khôi phục rườm rà, làm trầm trọng thêm đáng kể gánh nặng này. Điều này chuyển thành chi phí trực tiếp mà CTO và Người quản lý dự án phải dự đoán. Hơn nữa, bản thân bộ phận hỗ trợ trở thành mục tiêu hàng đầu cho các cuộc tấn công kỹ thuật xã hội, nơi những kẻ tấn công mạo danh những người dùng thất vọng, bị khóa tài khoản để đánh lừa các nhân viên hỗ trợ đặt lại các yếu tố MFA thay cho họ.

4. Các bài học chính từ việc bắt buộc MFA ở quy mô lớn#

Việc xem xét các triển khai MFA bắt buộc ở quy mô lớn, trong thế giới thực cung cấp những bài học vô giá về những gì hoạt động tốt và những gì tạo ra ma sát đáng kể. Bằng cách phân tích kinh nghiệm từ cả quá trình triển khai quy định chủ động như PSD2 ở Châu Âu và các quy định phản ứng, sau vi phạm trong lĩnh vực tài chính của Úc, chúng ta có thể đúc kết một số sự thật phổ quát.

• Ma sát ban đầu là không thể tránh khỏi, nhưng có thể quản lý được: Quá trình triển khai SCA ở Châu Âu đã chứng minh rằng việc buộc phải thay đổi lớn trong hành vi người dùng, ngay cả vì bảo mật, ban đầu sẽ làm giảm tỷ lệ chuyển đổi. Tuy nhiên, nó cũng cho thấy rằng với các quy trình được tinh chỉnh và sự thói quen của người dùng, những tác động tiêu cực này có thể được giảm thiểu theo thời gian. Chìa khóa là dự đoán ma sát này và thiết kế luồng hợp lý, thân thiện với người dùng nhất có thể ngay từ đầu.

• Sự lựa chọn của người dùng là con dao hai lưỡi: Khi được đưa ra lựa chọn, người dùng luôn chọn con đường ít trở ngại nhất, thường có nghĩa là chọn các phương thức MFA quen thuộc nhưng kém an toàn hơn như SMS. Điều này dẫn đến tình trạng "tuân thủ hình thức", nơi tổ chức đáp ứng quy định trên giấy tờ chứ không phải bản chất, vẫn dễ bị tấn công lừa đảo. Các cuộc tấn công vào quỹ hưu bổng của Úc vào tháng 3 năm 2025 đã chứng minh nguyên tắc này theo hướng ngược lại: các tổ chức không có bất kỳ MFA nào bị tổn thất đáng kể, trong khi những tổ chức đã có sẵn MFA cơ bản (như HostPlus) đã ngăn chặn được hành vi trộm cắp tài chính. Tuy nhiên, bài học mở rộng xa hơn; việc triển khai MFA yếu kém chỉ dựa trên SMS vẫn dễ bị tổn thương trước những kẻ tấn công quyết tâm, những người có thể khai thác hoán đổi SIM và kỹ thuật xã hội. Một chiến lược thành công phải tích cực hướng dẫn người dùng tới các tùy chọn mạnh mẽ hơn, chống lừa đảo.

• Khôi phục trở thành điểm yếu chí mạng (Achilles' Heel): Trong một thế giới bắt buộc, việc khôi phục tài khoản chuyển từ một trường hợp ngoại lệ thành một gánh nặng hoạt động chính và một lỗ hổng bảo mật nghiêm trọng. Dựa vào email hoặc SMS để khôi phục làm suy yếu toàn bộ mô hình bảo mật, trong khi khôi phục do bộ phận hỗ trợ dẫn dắt không bền vững về mặt tài chính. Quá trình khôi phục mạnh mẽ, an toàn và thân thiện với người dùng không phải là một suy nghĩ lại; nó là yêu cầu cốt lõi đối với bất kỳ quy định bắt buộc nào thành công.

• Các quy định bắt buộc sau vi phạm nén mốc thời gian và khuếch đại rủi ro: Khi các quy định bắt buộc được kích hoạt bởi một sự cố bảo mật chứ không phải là một sáng kiến tuân thủ có kế hoạch, mốc thời gian triển khai bị nén lại đáng kể. Lĩnh vực hưu bổng của Úc đã đi từ việc "khách hàng yêu cầu MFA" đến "cơ quan quản lý kỳ vọng triển khai ngay lập tức" trong vòng vài tuần sau vụ vi phạm. Mốc thời gian được đẩy nhanh này để lại ít thời gian cho việc kiểm tra người dùng, triển khai theo từng giai đoạn và tinh chỉnh lặp đi lặp lại, khiến việc lựa chọn công nghệ và thiết kế trải nghiệm người dùng thậm chí còn quan trọng hơn. Các tổ chức chủ động triển khai MFA trước khi xảy ra vi phạm có sự xa xỉ trong việc lập kế hoạch cẩn thận; những tổ chức buộc phải phản ứng sau một sự cố thì không.

• Triển khai theo từng giai đoạn giảm thiểu rủi ro đáng kể: Cố gắng triển khai kiểu "big bang" (tất cả cùng lúc) tới toàn bộ cơ sở người dùng là một chiến lược có rủi ro cao. Một cách tiếp cận thận trọng hơn, đã được chứng minh trong các đợt triển khai doanh nghiệp lớn, là thử nghiệm hệ thống mới với các nhóm người dùng nhỏ hơn, không quan trọng trước tiên. Điều này cho phép nhóm dự án xác định và giải quyết lỗi, tinh chỉnh trải nghiệm người dùng và thu thập phản hồi trong một môi trường được kiểm soát trước khi triển khai quy mô toàn diện.

• Nền tảng danh tính tập trung là một yếu tố thúc đẩy mạnh mẽ: Các tổ chức có nền tảng Quản lý Danh tính và Truy cập (IAM) hoặc Đăng nhập một lần (SSO) tập trung, đã có từ trước sẽ được định vị tốt hơn nhiều cho quá trình triển khai suôn sẻ. Hệ thống danh tính trung tâm cho phép áp dụng nhanh chóng và nhất quán các chính sách xác thực mới trên hàng trăm hoặc hàng nghìn ứng dụng, giảm đáng kể độ phức tạp và chi phí của dự án.

5. Bước đi tiếp theo tất yếu: Tại sao Passkey giải quyết vấn đề quy định bắt buộc#

Passkey, được xây dựng dựa trên tiêu chuẩn WebAuthn của FIDO Alliance, không chỉ là sự cải tiến từng bước so với MFA cũ. Kiến trúc cơ bản của chúng, dựa trên mật mã khóa công khai, được xây dựng có mục đích để giải quyết những vấn đề đau đớn và dai dẳng nhất do các quy định bắt buộc MFA tạo ra.

• Giải quyết cơn ác mộng khôi phục: Thách thức lớn nhất của MFA bắt buộc là khôi phục tài khoản. Passkey giải quyết trực diện vấn đề này. Passkey là thông tin xác thực mật mã có thể được đồng bộ hóa trên các thiết bị của người dùng thông qua hệ sinh thái nền tảng của họ (như iCloud Keychain của Apple hoặc Google Password Manager). Nếu người dùng mất điện thoại, passkey vẫn có sẵn trên máy tính xách tay hoặc máy tính bảng của họ. Điều này làm giảm đáng kể tần suất khóa tài khoản và giảm sự phụ thuộc vào các kênh khôi phục không an toàn như email hoặc các can thiệp hỗ trợ tốn kém.

• Giải quyết vấn đề vòng đời thiết bị: Vì passkey được đồng bộ hóa, trải nghiệm có thiết bị mới được chuyển từ một điểm ma sát cao thành một quá trình chuyển đổi liền mạch. Khi người dùng đăng nhập vào tài khoản Google hoặc Apple của họ trên một chiếc điện thoại mới, passkey của họ sẽ tự động được khôi phục và sẵn sàng sử dụng. Điều này loại bỏ quy trình đăng ký lại từng ứng dụng đầy đau đớn do các ứng dụng xác thực gắn liền với thiết bị truyền thống yêu cầu.

• Giải quyết nghịch lý sở thích người dùng: Passkey giải quyết sự đánh đổi kinh điển giữa bảo mật và sự tiện lợi. Phương pháp xác thực an toàn nhất hiện có, mật mã khóa công khai chống lừa đảo, cũng là phương pháp nhanh nhất và dễ dàng nhất đối với người dùng. Tất cả những gì được yêu cầu là một thao tác sinh trắc học hoặc mã PIN thiết bị. Người dùng không có động lực để chọn một tùy chọn yếu hơn, kém an toàn hơn, vì tùy chọn mạnh nhất cũng là tùy chọn tiện lợi nhất.

• Giải quyết lỗ hổng lừa đảo (Phishing): Passkey có khả năng chống lừa đảo theo thiết kế. Cặp khóa mật mã được tạo trong quá trình đăng ký được liên kết với nguồn gốc cụ thể của trang web hoặc ứng dụng (ví dụ: corbado.com). Người dùng không thể bị lừa sử dụng passkey của họ trên một trang web lừa đảo có giao diện giống hệt (ví dụ: corbado.scam.com) vì trình duyệt và hệ điều hành sẽ nhận ra sự không khớp nguồn gốc và từ chối thực hiện xác thực. Điều này cung cấp một đảm bảo bảo mật cơ bản mà không phương pháp nào dựa trên bí mật được chia sẻ (như mật khẩu hoặc OTP) có thể cung cấp.

• Giải quyết sự mệt mỏi MFA (MFA Fatigue): Một hành động đơn giản của người dùng, như quét Face ID hoặc chạm dấu vân tay, đồng thời chứng minh việc sở hữu khóa mật mã trên thiết bị ("thứ bạn có") và tính kế thừa thông qua sinh trắc học ("thứ bạn là"). Điều này mang lại cảm giác như một bước duy nhất, không tốn sức đối với người dùng nhưng về mặt mật mã học lại đáp ứng yêu cầu cho xác thực đa yếu tố. Điều này cho phép các tổ chức đáp ứng các tiêu chuẩn tuân thủ nghiêm ngặt mà không phải thêm các bước và tải nhận thức bổ sung liên quan đến MFA cũ.

6. Xoay trục chiến lược: Kế hoạch chi tiết để chuyển sang Passkey bắt buộc#

Việc chuyển đổi từ MFA cũ sang chiến lược ưu tiên passkey đòi hỏi một cách tiếp cận đa giai đoạn, có chủ ý nhằm giải quyết công nghệ, trải nghiệm người dùng và mục tiêu kinh doanh.

6.1 Bước 1: Kiểm toán tính sẵn sàng của thiết bị#

Trước khi bạn có thể bắt buộc passkey, bạn phải hiểu năng lực kỹ thuật của cơ sở người dùng của bạn để áp dụng chúng. Đây là bước đầu tiên quan trọng để đánh giá tính khả thi và mốc thời gian của việc triển khai.

• Phân tích bối cảnh thiết bị của bạn: Sử dụng các công cụ phân tích web hiện có để thu thập dữ liệu về các hệ điều hành (phiên bản iOS, Android, Windows) và trình duyệt mà người dùng của bạn ưa thích.

• Triển khai công cụ đánh giá tính sẵn sàng của Passkey: Để có dữ liệu chính xác hơn, một tài nguyên dữ liệu gọn nhẹ như State of Passkeys cung cấp thông tin chuyên sâu về tỷ lệ người dùng có thiết bị hỗ trợ trình xác thực nền tảng (như Face ID, Touch ID và Windows Hello) và các cải tiến UX quan trọng như Conditional UI, cho phép tự động điền passkey. Dữ liệu này rất cần thiết để xây dựng một mô hình áp dụng thực tế.

6.2 Bước 2: Thiết kế kiến trúc dự phòng lai#

Quá trình chuyển đổi sang passkey sẽ diễn ra từ từ, không phải tức thời. Một chiến lược thành công đòi hỏi một hệ thống lai thúc đẩy passkey là phương pháp chính, ưu tiên trong khi cung cấp dự phòng an toàn cho người dùng trên các thiết bị không tương thích hoặc cho những người chưa đăng ký.

• Chọn Mẫu Tích hợp:

  • Ưu tiên Mã định danh (Identifier-First): Người dùng nhập email hoặc tên người dùng của họ. Hệ thống sau đó kiểm tra xem liệu một passkey đã được đăng ký cho mã định danh đó chưa và, nếu có, bắt đầu luồng đăng nhập passkey. Nếu không, nó sẽ chuyển tiếp liền mạch sang mật khẩu hoặc một phương thức bảo mật khác. Cách tiếp cận này mang lại trải nghiệm người dùng tốt nhất và thường dẫn đến tỷ lệ chấp nhận cao hơn.

  • Nút Passkey Chuyên dụng: Một nút "Đăng nhập bằng passkey" được đặt cùng với biểu mẫu đăng nhập truyền thống. Điều này đơn giản hơn để thực hiện nhưng đặt trách nhiệm lên người dùng phải chọn phương pháp mới, điều này có thể dẫn đến việc sử dụng thấp hơn.

• Đảm bảo các tính năng dự phòng an toàn: Cơ chế dự phòng của bạn không được làm suy yếu các mục tiêu bảo mật của bạn. Tránh dùng các phương thức không an toàn như SMS OTP. Một giải pháp thay thế mạnh mẽ hơn là sử dụng mã một lần có độ nhạy cảm về thời gian hoặc liên kết ma thuật (magic link) được gửi đến địa chỉ email đã được xác minh của người dùng, đóng vai trò như một yếu tố sở hữu cho một phiên làm việc cụ thể.

6.3 Bước 3: Xây dựng Kế hoạch Giáo dục và Triển khai Lấy người dùng làm trung tâm#

Giao tiếp hiệu quả là tối quan trọng cho một quá trình triển khai suôn sẻ. Mục tiêu là định hình passkey không phải như một rắc rối bảo mật khác, mà như một bản nâng cấp đáng kể cho trải nghiệm của người dùng.

• Thông điệp hướng tới Lợi ích: Sử dụng ngôn ngữ rõ ràng, đơn giản tập trung vào lợi ích của người dùng: "Đăng nhập nhanh hơn và an toàn hơn", "Nói lời tạm biệt với mật khẩu bị quên" và "Dấu vân tay hiện là chìa khóa của bạn". Sử dụng nhất quán biểu tượng passkey chính thức của FIDO để xây dựng sự công nhận.

• Chiến lược Triển khai theo từng giai đoạn:

  1. Bắt đầu với Áp dụng "Kéo" (Pull): Ban đầu, cung cấp việc tạo passkey dưới dạng tùy chọn trong trang Cài đặt tài khoản của người dùng. Điều này cho phép những người áp dụng sớm và người dùng am hiểu công nghệ chọn tham gia mà không làm gián đoạn quy trình cho những người khác.

  2. Chuyển sang Áp dụng "Đẩy" (Push): Khi hệ thống ổn định, bắt đầu chủ động nhắc người dùng tạo passkey ngay sau khi họ đăng nhập thành công bằng mật khẩu cũ của họ. Điều này thu hút người dùng khi họ đã ở trong "tư duy xác thực".

  3. Tích hợp vào Quy trình giới thiệu (Onboarding): Cuối cùng, biến việc tạo passkey thành một tùy chọn chính, được đề xuất cho tất cả đăng ký người dùng mới.

6.4 Bước 4: Giám sát, Đo lường và Lặp lại#

Cách tiếp cận dựa trên dữ liệu là rất cần thiết để xác thực khoản đầu tư vào passkey và liên tục tối ưu hóa trải nghiệm. Tất cả các nhóm nên theo dõi các số liệu liên quan đến vai trò của họ.

• Số liệu Áp dụng & Tương tác:

  • Tỷ lệ Tạo Passkey: Tỷ lệ người dùng đủ điều kiện tạo passkey.

  • Tỷ lệ Sử dụng Passkey: Tỷ lệ phần trăm tổng số lượt đăng nhập được thực hiện bằng passkey.

  • Thời gian cho Hành động Quan trọng Đầu tiên: Người dùng mới thực hiện một hành động quan trọng nhanh như thế nào sau khi áp dụng passkey.

• Số liệu Kinh doanh & Hoạt động:

  • Giảm số Yêu cầu Đặt lại Mật khẩu: Thước đo trực tiếp về việc giảm chi phí hỗ trợ.

  • Giảm Chi phí SMS OTP: Tiết kiệm chi phí hữu hình từ việc loại bỏ yếu tố cũ.

  • Tỷ lệ Đăng nhập Thành công: So sánh tỷ lệ thành công của đăng nhập passkey với đăng nhập mật khẩu/MFA.

  • Giảm Sự cố Chiếm đoạt Tài khoản: Thước đo cuối cùng về tính hiệu quả của bảo mật.

Các bảng sau cung cấp tóm tắt súc tích, so sánh các phương thức xác thực và ánh xạ các giải pháp passkey trực tiếp vào các điểm đau kinh doanh phổ biến.

Cách Passkey Cung cấp Giải pháp cho các Điểm đau của MFA Bắt buộc

Kết luận: Biến sự tuân thủ thành lợi thế cạnh tranh#

Kỷ nguyên của Xác thực Đa yếu tố bắt buộc đã đến và sẽ tiếp tục tồn tại. Mặc dù xuất phát từ nhu cầu cấp thiết để chống lại các cuộc tấn công dựa trên thông tin xác thực, các quy định bắt buộc này đã vô tình tạo ra một bối cảnh những thách thức mới.

Chúng ta đã thấy rằng việc thực thi MFA mang lại gánh nặng hoạt động đáng kể, từ chi phí trực tiếp của phí SMS đến sự gia tăng các yêu cầu hỗ trợ từ những người dùng đang gặp khó khăn với việc đăng ký và thay đổi thiết bị. Chúng ta đã học được rằng khi có sự lựa chọn, người dùng có xu hướng hướng tới các phương pháp quen thuộc nhưng dễ bị lừa đảo như SMS, đạt được sự tuân thủ trên giấy tờ nhưng khiến tổ chức dễ bị ảnh hưởng bởi các cuộc tấn công trong thế giới thực. Quan trọng nhất, chúng tôi đã xác định rằng trong một thế giới bắt buộc, việc khôi phục tài khoản trở thành điểm lỗi lớn nhất, nguồn gốc của sự thất vọng to lớn của người dùng và là một lỗ hổng bảo mật khổng lồ khi được xử lý không đúng cách.

Các phương pháp MFA cũ không thể giải quyết những vấn đề này. Nhưng passkey thì có thể. Chúng ta đã chứng minh rằng passkey là câu trả lời dứt khoát, trực tiếp giải quyết các vấn đề liên kết với nhau về khôi phục, ma sát của người dùng và bảo mật. Bản chất được đồng bộ hóa của chúng loại bỏ hầu hết các kịch bản bị khóa tài khoản, tính dễ sử dụng về mặt sinh trắc học của chúng loại bỏ động lực chọn các tùy chọn yếu hơn và thiết kế mật mã học của chúng khiến chúng miễn nhiễm với tấn công lừa đảo. Cuối cùng, chúng tôi đã đưa ra một bản thiết kế rõ ràng gồm bốn bước, từ việc kiểm toán tính sẵn sàng đến đo lường thành công, cung cấp một lộ trình thực tế cho mọi tổ chức để thực hiện quá trình chuyển đổi chiến lược này.

Chỉ xem sự chuyển dịch này như một vấn đề tuân thủ đau đầu là bỏ lỡ cơ hội chiến lược mà nó mang lại. Những người tiên phong về Xác thực Khách hàng Mạnh (SCA) trong ngân hàng Châu Âu, mặc dù gặp khó khăn ban đầu, cuối cùng đã định hình được kỳ vọng của người dùng đối với toàn bộ ngành. Ngày nay, những người tiên phong về passkey có cùng cơ hội đó. Bằng cách nắm bắt quá trình chuyển đổi này, các tổ chức có thể biến một quy định bảo mật bắt buộc từ một nghĩa vụ nặng nề thành một lợi thế cạnh tranh mạnh mẽ và lâu dài. Đã đến lúc lên kế hoạch cho bước đi của bạn từ quy định bắt buộc đến động lực phát triển ngay bây giờ.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

Các câu hỏi thường gặp#

Quá trình khôi phục tài khoản hoạt động như thế nào khi MFA được bắt buộc đối với tất cả người dùng?#

MFA bắt buộc khiến việc khôi phục tài khoản trở thành thách thức vận hành chính với bốn tùy chọn chính: xác minh do bộ phận hỗ trợ dẫn dắt (an toàn nhưng tốn kém), khôi phục qua email hoặc SMS (rẻ nhưng dễ bị lợi dụng nếu email bị xâm phạm), mã dự phòng được đăng ký trước (người dùng thường làm mất) và xác minh ID qua ảnh tự chụp yêu cầu ID do chính phủ cấp. Mỗi tùy chọn đều liên quan đến sự đánh đổi giữa tính bảo mật, chi phí và khả năng mở rộng.

Tại sao việc bắt buộc MFA dựa trên SMS vẫn khiến các tổ chức dễ bị tấn công lừa đảo?#

OTP qua SMS dễ bị lừa đảo theo thời gian thực, tráo đổi SIM và bỏ qua khôi phục thông qua tài khoản email bị xâm phạm. Ngay cả ở mức 100% đăng ký MFA, việc dựa vào SMS có nghĩa là tổ chức đáp ứng được quy định trên giấy tờ chứ không phải bản chất. Việc Microsoft giới thiệu 'MFA do hệ thống ưu tiên' thừa nhận vấn đề này bằng cách tích cực thúc đẩy người dùng hướng tới các ứng dụng xác thực thay vì SMS.

Điều gì đã xảy ra trong cuộc tấn công nhồi nhét thông tin xác thực quỹ hưu bổng của Úc năm 2025 và nó chứng minh điều gì về MFA?#

Vào tháng 3 năm 2025, những kẻ tấn công đã sử dụng thông tin xác thực bị đánh cắp để truy cập lên đến 600 tài khoản AustralianSuper và rút 500.000 AUD từ số dư của bốn thành viên. HostPlus, tổ chức đã triển khai MFA, báo cáo không có tổn thất tài chính nào từ cùng chiến dịch. Sau đó, APRA đã viết thư cho tất cả các chủ tịch hội đồng quỹ hưu bổng, biến việc triển khai MFA thành một nghĩa vụ theo quy định khẩn cấp thay vì một cân nhắc trong tương lai.

Passkey xử lý việc đăng ký thiết bị mới khác với ứng dụng xác thực TOTP như thế nào?#

Passkey đồng bộ hóa qua các hệ sinh thái nền tảng như iCloud Keychain của Apple và Google Password Manager, tự động khôi phục trên một thiết bị mới mà không cần đăng ký lại trên mỗi dịch vụ. Ứng dụng xác thực TOTP mất tất cả khóa bí mật khi thiết bị bị thay thế trừ khi tính năng sao lưu đám mây được bật thủ công trước đó, khiến việc thay thế thiết bị trở thành nguyên nhân chính gây ra các yêu cầu hỗ trợ và khóa tài khoản theo MFA bắt buộc.

Chiến lược triển khai theo từng giai đoạn được đề xuất để chuyển đổi người dùng từ MFA cũ sang passkey là gì?#

Phương pháp áp dụng theo ba giai đoạn giúp giảm thiểu rủi ro triển khai. Đầu tiên, cung cấp việc tạo passkey dưới dạng tùy chọn chọn tham gia trong Cài đặt tài khoản để thu hút những người dùng sớm mà không làm gián đoạn các luồng hiện có. Thứ hai, nhắc người dùng tạo passkey ngay sau khi đăng nhập bằng mật khẩu thành công, khi họ đã ở trong tư duy xác thực. Thứ ba, biến việc tạo passkey thành khuyến nghị chính trong quá trình giới thiệu người dùng mới.