Bắt buộc MFA & Hướng tới Passkeys: Các phương pháp hay nhất

Xác thực đa yếu tố (MFA) đã chuyển đổi một cách dứt khoát từ một tính năng bảo mật cho người dùng chủ động sang một thực tế bắt buộc, không thể thương lượng đối với các tổ chức trên toàn thế giới. Sự chuyển đổi này không phải do lựa chọn mà là do sự cần thiết, được thúc đẩy bởi các cuộc tấn công mạng không ngừng dựa trên thông tin đăng nhập và áp lực pháp lý ngày càng tăng. Các ngành công nghiệp từ dịch vụ tài chính đến khu vực công hiện đang hoạt động theo các khuôn khổ mà MFA là một tiêu chuẩn cơ bản để tuân thủ. Kỷ nguyên mới này, nơi MFA được thực thi thay vì được cung cấp tùy chọn, đã kéo theo một loạt các thách thức phức tạp vượt xa việc triển khai kỹ thuật ban đầu.

Khi mọi người dùng phải sử dụng MFA, một loạt câu hỏi quan trọng mới nảy sinh mà mọi tổ chức phải trả lời. Bài viết này sẽ khám phá sâu các thách thức này, cung cấp một lộ trình rõ ràng phía trước. Chúng ta sẽ giải quyết:

1. Chi phí vận hành ngầm và những cạm bẫy về trải nghiệm người dùng khi thực thi MFA ở quy mô lớn là gì?

2. Khi được lựa chọn, người dùng thực sự áp dụng phương pháp MFA nào, và điều này tạo ra những rủi ro bảo mật nào?

3. Làm thế nào việc khôi phục tài khoản trở thành thách thức chính trong môi trường bắt buộc, và những sự đánh đổi khi giải quyết nó là gì?

4. Tại sao passkeys là giải pháp chiến lược cho chính những vấn đề do việc bắt buộc MFA tạo ra, chứ không chỉ là một lựa chọn khác?

5. Kế hoạch chi tiết, từng bước để chuyển đổi thành công từ MFA truyền thống bắt buộc sang bảo mật và trải nghiệm người dùng vượt trội của passkeys là gì?

Phân tích này sẽ cung cấp một kế hoạch chi tiết, có thể hành động để chuyển đổi thành công từ xác thực một yếu tố sang MFA bắt buộc (và sang passkeys bắt buộc).

Trước khi khám phá những thách thức của việc thực thi, điều quan trọng là phải thiết lập một sự hiểu biết rõ ràng về bối cảnh xác thực và tại sao việc bắt buộc lại thay đổi nó một cách cơ bản. Bản thân thuật ngữ có thể gây nhầm lẫn, nhưng sự khác biệt là rất quan trọng đối với bất kỳ chiến lược bảo mật hoặc sản phẩm nào.

Sự phát triển của xác thực là một phản ứng trực tiếp đối với điểm yếu cố hữu của hình thức cơ bản nhất của nó.

• Xác thực một yếu tố (SFA): Sự kết hợp quen thuộc giữa tên người dùng và mật khẩu. Nó dựa vào một yếu tố "kiến thức" duy nhất, điều mà người dùng biết. Lỗ hổng của nó trước các cuộc tấn công lừa đảo, nhồi thông tin xác thực và tấn công brute-force là động lực chính cho các phương pháp mạnh hơn.

• Xác minh hai bước (2SV): Thường được sử dụng thay thế cho MFA, 2SV là một quy trình riêng biệt và yếu hơn. Nó yêu cầu hai bước xác minh nhưng có thể sử dụng hai yếu tố từ cùng một loại. Một ví dụ phổ biến là mật khẩu theo sau là một câu hỏi bảo mật, cả hai đều là yếu tố "kiến thức". Mặc dù tốt hơn SFA, nó không đáp ứng tiêu chí cho bảo mật đa yếu tố thực sự.

• Xác thực đa yếu tố (MFA): Tiêu chuẩn vàng về bảo mật, MFA yêu cầu xác minh từ ít nhất hai loại yếu tố xác thực khác nhau. Ba loại chính là:

  • Kiến thức: Thứ mà người dùng biết (ví dụ: mật khẩu, mã PIN).

  • Sở hữu: Thứ mà người dùng có (ví dụ: điện thoại di động nhận mã, khóa bảo mật phần cứng).

  • Sinh trắc học: Thứ thuộc về người dùng (ví dụ: vân tay, nhận dạng khuôn mặt).

Việc chuyển đổi từ MFA tùy chọn sang bắt buộc là một sự thay đổi mô hình. Một hệ thống tùy chọn cho phép sự chấp nhận dần dần bởi những người dùng có ý thức bảo mật cao nhất, che giấu những điểm ma sát thực sự. Việc bắt buộc buộc toàn bộ cơ sở người dùng, từ người am hiểu công nghệ đến người e ngại công nghệ, phải sử dụng hệ thống mới cùng một lúc, phơi bày mọi sai sót trong trải nghiệm người dùng và cấu trúc hỗ trợ.

Sự thay đổi này đã được thúc đẩy bởi các chất xúc tác pháp lý, đáng chú ý nhất là Chỉ thị Dịch vụ Thanh toán thứ hai của Châu Âu (PSD2) và yêu cầu về Xác thực Khách hàng Mạnh mẽ (SCA). Quy định này đã định hình lại cơ bản bối cảnh thanh toán của Châu Âu bằng cách bắt buộc MFA cho hầu hết các giao dịch trực tuyến. Bằng cách buộc các tổ chức tài chính phải áp dụng các API mở và bảo mật mạnh hơn, PSD2 cung cấp một nghiên cứu tình huống thực tế, quy mô lớn về xác thực bắt buộc.

Mục tiêu chính của SCA là giảm gian lận bằng cách yêu cầu hai yếu tố xác thực độc lập cho các khoản thanh toán điện tử. Tuy nhiên, việc triển khai ban đầu đã tạo ra sự ma sát đáng kể, với một số nhà bán lẻ Châu Âu mất gần 40% giao dịch do sự nhầm lẫn của người dùng và việc bỏ giỏ hàng. Theo thời gian, hệ sinh thái đã thích nghi, và một báo cáo tháng 8 năm 2024 từ Ngân hàng Trung ương Châu Âu đã xác nhận rằng các giao dịch được xác thực bằng SCA hiện có tỷ lệ gian lận thấp hơn đáng kể. Điều này cho thấy lợi ích bảo mật lâu dài, nhưng cũng nhấn mạnh sự cần thiết phải cân bằng giữa bảo mật và trải nghiệm người dùng.

Mặc dù những quy định bắt buộc này ban đầu tạo ra ma sát, chúng cũng tạo ra một môi trường giáo dục đại chúng không tự nguyện. Khi hàng triệu người dùng bị ngân hàng của họ buộc phải phê duyệt một giao dịch bằng vân tay hoặc mã, họ trở nên quen thuộc với khái niệm về yếu tố thứ hai. Sự bình thường hóa này, được thúc đẩy bởi quy định, một cách nghịch lý lại làm con đường trở nên suôn sẻ hơn cho các tổ chức khác. Cuộc trò chuyện có thể phát triển từ "MFA là gì và tại sao tôi cần nó?" thành "Đây là cách mới, dễ dàng hơn của chúng tôi để thực hiện bước bảo mật mà bạn đã biết." Điều này tạo ra nền tảng hoàn hảo để giới thiệu một trải nghiệm vượt trội như passkeys.

Nếu bạn muốn đọc thêm về các chi tiết cụ thể của những quy định này và mối quan hệ của chúng với passkeys, bạn có thể khám phá các tài nguyên sau:

• Analysis of PSD2 & SCA Requirements

• What SCA Requirements Mean for Passkeys

• PSD2 Passkeys: Phishing-Resistant PSD2-Compliant MFA

• SD3 / PSR Implications for Passkeys

• Delegated Authentication & Passkeys under PSD3 / PSR

Việc thực thi MFA trên toàn bộ cơ sở người dùng sẽ phơi bày một loạt các thách thức thực tế thường bị đánh giá thấp trong quá trình lập kế hoạch ban đầu. Những vấn đề này ảnh hưởng đến trải nghiệm người dùng, tình hình bảo mật và chi phí vận hành.

Khi việc đăng ký là bắt buộc, một trải nghiệm người dùng kém không còn chỉ là một sự phiền toái; nó trở thành một trở ngại trực tiếp đối với hoạt động kinh doanh. Các tổ chức thường chọn giữa hai chiến lược: đăng ký bắt buộc, yêu cầu thiết lập MFA ở lần đăng nhập tiếp theo, hoặc đăng ký dần dần, nhắc nhở người dùng theo thời gian. Mặc dù đăng ký bắt buộc đạt được sự tuân thủ nhanh hơn, nó có nguy cơ gây ra sự thất vọng và tỷ lệ rời bỏ của người dùng cao hơn nếu quy trình không liền mạch. Thành công phụ thuộc vào việc tuân thủ các phương pháp hay nhất về UX, chẳng hạn như cung cấp nhiều phương thức xác thực, đưa ra hướng dẫn rõ ràng và đảm bảo khả năng tiếp cận cho tất cả người dùng, ví dụ bằng cách cung cấp khóa bí mật dựa trên văn bản cùng với mã QR cho các ứng dụng authenticator.

Một khi MFA được kích hoạt trên một tài khoản, việc mất yếu tố thứ hai có nghĩa là bị khóa hoàn toàn. Trong một thế giới bắt buộc, đây không phải là một sự cố cá biệt của một vài người dùng có ý thức bảo mật; nó trở thành một thách thức lan rộng, nghiêm trọng cho toàn bộ cơ sở người dùng và các đội hỗ trợ phục vụ họ. Điều này làm cho việc khôi phục tài khoản trở thành thách thức lớn nhất.

Các chi phí tài chính rất cao: một lần đặt lại mật khẩu hoặc MFA do bộ phận hỗ trợ thực hiện có thể tốn của công ty trung bình 70 đô la. Đối với một tổ chức có hàng trăm nghìn người dùng, ngay cả một tỷ lệ nhỏ cần khôi phục cũng có thể chuyển thành hàng triệu đô la chi phí vận hành và mất năng suất.

Các tổ chức phải đối mặt với sự đánh đổi khó khăn giữa bảo mật, chi phí và sự tiện lợi:

• Khôi phục do bộ phận hỗ trợ thực hiện: Một nhân viên hỗ trợ có thể xác minh danh tính của người dùng thông qua cuộc gọi video hoặc các phương tiện khác. Đây là một quy trình an toàn, được con người xác minh nhưng lại quá đắt đỏ và chậm để mở rộng quy mô, khiến nó không bền vững đối với hầu hết các doanh nghiệp.

• Khôi phục qua Email/SMS: Đây là phương pháp phổ biến nhất do chi phí thấp và sự quen thuộc của người dùng. Tuy nhiên, nó cũng là một lỗ hổng bảo mật nghiêm trọng. Nếu kẻ tấn công đã xâm phạm tài khoản email của người dùng, một tiền đề phổ biến cho các cuộc tấn công khác, chúng có thể dễ dàng chặn mã khôi phục và bỏ qua MFA hoàn toàn. Phương pháp này thực sự vô hiệu hóa các lợi ích bảo mật mà quy định bắt buộc nhằm cung cấp.

• Mã dự phòng được đăng ký trước: Người dùng được cung cấp một bộ mã dự phòng dùng một lần trong quá trình đăng ký. Mặc dù an toàn hơn so với khôi phục qua email, cách tiếp cận này lại làm tăng thêm sự phiền phức cho quá trình thiết lập ban đầu. Hơn nữa, người dùng thường không lưu trữ các mã này một cách an toàn hoặc làm mất chúng, điều này cuối cùng lại đưa họ trở lại vấn đề bị khóa tài khoản.

• Xác minh bằng Selfie-ID: Phương pháp đảm bảo cao này yêu cầu người dùng chụp ảnh selfie trực tiếp và ảnh của một giấy tờ tùy thân do chính phủ cấp (như giấy phép lái xe hoặc hộ chiếu). Các hệ thống được hỗ trợ bởi AI sau đó sẽ so khớp khuôn mặt với giấy tờ tùy thân để xác nhận danh tính. Mặc dù phổ biến trong lĩnh vực ngân hàng và dịch vụ tài chính nơi danh tính được xác minh trong quá trình giới thiệu, nó lại gây lo ngại về quyền riêng tư cho một số người dùng và yêu cầu họ phải có giấy tờ tùy thân vật lý bên mình.

• Thông tin xác thực và ví kỹ thuật số: Một lựa chọn mới nổi, hướng tới tương lai liên quan đến việc sử dụng các thông tin xác thực kỹ thuật số có thể xác minh được lưu trữ trong ví kỹ thuật số. Người dùng có thể trình một thông tin xác thực từ một bên phát hành đáng tin cậy (như chính phủ hoặc ngân hàng) để chứng minh danh tính của họ mà không cần phải trải qua một quy trình khôi phục dành riêng cho dịch vụ. Phương pháp này vẫn đang trong giai đoạn đầu nhưng chỉ ra một tương lai của việc xác minh danh tính di động và do người dùng kiểm soát nhiều hơn.

Một điểm thất bại thường xuyên và nghiêm trọng trong bất kỳ hệ thống MFA nào là vòng đời của thiết bị. Khi người dùng có một chiếc điện thoại mới, tính liên tục của phương thức xác thực của họ là điều tối quan trọng.

• SMS: Phương pháp này tương đối di động, vì một số điện thoại có thể được chuyển sang một thiết bị mới thông qua một thẻ SIM mới. Tuy nhiên, chính quá trình này lại là vector tấn công bị khai thác trong các cuộc tấn công hoán đổi SIM, nơi kẻ lừa đảo thuyết phục nhà mạng di động chuyển số của nạn nhân sang một SIM mà chúng kiểm soát.

• Ứng dụng Authenticator (TOTP): Đây là một nguồn gây phiền toái lớn cho người dùng. Trừ khi người dùng đã chủ động bật tính năng sao lưu đám mây trong ứng dụng authenticator của họ (một tính năng không phổ biến và không phải lúc nào cũng được sử dụng), các khóa bí mật tạo ra mã sẽ bị mất cùng với thiết bị cũ. Điều này buộc người dùng phải trải qua một quy trình khôi phục tài khoản đầy đủ và thường là đau đớn cho mọi dịch vụ mà họ đã bảo mật.

• Thông báo đẩy (Push Notifications): Tương tự như các ứng dụng TOTP, MFA dựa trên thông báo đẩy được gắn với một lần cài đặt ứng dụng cụ thể trên một thiết bị đã đăng ký. Một chiếc điện thoại mới yêu cầu một lần đăng ký mới, gây ra những thách thức khôi phục tương tự.

Khi một tổ chức bắt buộc MFA và cung cấp nhiều lựa chọn phương pháp, một khuôn mẫu có thể dự đoán được sẽ xuất hiện: hơn 95% người dùng hướng tới những gì quen thuộc nhất và được cho là dễ dàng nhất, đó thường là mã dùng một lần (OTP) qua SMS. Hành vi này tạo ra một nghịch lý. Một CISO có thể bắt buộc MFA để cải thiện bảo mật. Tuy nhiên, nếu nhiều người dùng tiếp tục dựa vào một phương pháp dễ bị lừa đảo như SMS, tổ chức có thể đạt được tuân thủ 100% mà không cải thiện đáng kể khả năng phòng thủ của mình trước các cuộc tấn công tinh vi. Nhận thấy điều này, các nền tảng như Microsoft đã giới thiệu "MFA ưu tiên hệ thống", chủ động thúc đẩy người dùng hướng tới các lựa chọn an toàn hơn như các ứng dụng authenticator thay vì SMS hoặc cuộc gọi thoại. Điều này nhấn mạnh một bài học quan trọng: chỉ bắt buộc MFA là không đủ. Loại MFA có ý nghĩa sâu sắc, và các tổ chức phải chủ động hướng người dùng tránh xa các yếu tố yếu hơn, dễ bị lừa đảo.

Quyết định bắt buộc MFA có tác động trực tiếp và có thể đo lường được đối với các nguồn lực vận hành. Nó chắc chắn sẽ gây ra sự gia tăng các yêu cầu hỗ trợ liên quan đến các vấn đề đăng ký, mất authenticator, và các yêu cầu khôi phục. Nghiên cứu của Gartner chỉ ra rằng 30-50% tất cả các cuộc gọi hỗ trợ IT đã là về các vấn đề liên quan đến mật khẩu; việc bắt buộc MFA, đặc biệt khi đi kèm với các quy trình khôi phục rườm rà, làm trầm trọng thêm gánh nặng này một cách đáng kể. Điều này chuyển thành chi phí trực tiếp mà các CTO và Quản lý Dự án phải dự đoán. Hơn nữa, chính bộ phận hỗ trợ lại trở thành mục tiêu hàng đầu cho các cuộc tấn công kỹ thuật xã hội, nơi kẻ tấn công mạo danh những người dùng bực bội, bị khóa tài khoản để lừa các nhân viên hỗ trợ đặt lại các yếu tố MFA thay mặt họ.

Việc xem xét các triển khai thực tế, quy mô lớn của MFA bắt buộc cung cấp những bài học vô giá về những gì hiệu quả và những gì tạo ra ma sát đáng kể. Thay vì tập trung vào các công ty cụ thể, chúng ta có thể chắt lọc những kinh nghiệm này thành một số sự thật phổ quát.

• Ma sát ban đầu là không thể tránh khỏi, nhưng có thể quản lý: Việc triển khai SCA ở Châu Âu đã chứng minh rằng việc ép buộc một thay đổi lớn trong hành vi người dùng, ngay cả vì mục đích bảo mật, ban đầu sẽ làm tổn hại đến tỷ lệ chuyển đổi. Tuy nhiên, nó cũng cho thấy rằng với các quy trình được tinh chỉnh và sự quen thuộc của người dùng, những tác động tiêu cực này có thể được giảm thiểu theo thời gian. Chìa khóa là dự đoán trước sự ma sát này và thiết kế quy trình hợp lý, thân thiện với người dùng nhất có thể ngay từ đầu.

• Sự lựa chọn của người dùng là con dao hai lưỡi: Khi được cung cấp các lựa chọn, người dùng luôn chọn con đường ít trở ngại nhất, điều này thường có nghĩa là chọn các phương pháp MFA quen thuộc nhưng kém an toàn hơn như SMS. Điều này dẫn đến tình trạng "tuân thủ mang tính hình thức", nơi tổ chức đáp ứng được yêu cầu của quy định nhưng không phải tinh thần của nó, vẫn dễ bị tấn công lừa đảo. Một chiến lược thành công phải chủ động hướng dẫn người dùng đến các lựa chọn mạnh mẽ hơn, chống lừa đảo.

• Khôi phục trở thành gót chân Achilles: Trong một thế giới bắt buộc, việc khôi phục tài khoản biến đổi từ một trường hợp ngoại lệ thành một gánh nặng vận hành chính và một lỗ hổng bảo mật nghiêm trọng. Việc dựa vào email hoặc SMS để khôi phục làm suy yếu toàn bộ mô hình bảo mật, trong khi việc khôi phục do bộ phận hỗ trợ thực hiện lại không bền vững về mặt tài chính. Một quy trình khôi phục mạnh mẽ, an toàn và thân thiện với người dùng không phải là một suy nghĩ sau; nó là một yêu cầu cốt lõi cho bất kỳ quy định bắt buộc thành công nào.

• Triển khai theo giai đoạn giảm thiểu rủi ro đáng kể: Cố gắng triển khai "big bang" cho toàn bộ cơ sở người dùng là một chiến lược rủi ro cao. Một cách tiếp cận thận trọng hơn, đã được chứng minh trong các lần triển khai tại các doanh nghiệp lớn, là thí điểm hệ thống mới với các nhóm người dùng nhỏ hơn, không quan trọng trước. Điều này cho phép nhóm dự án xác định và giải quyết các lỗi, tinh chỉnh trải nghiệm người dùng và thu thập phản hồi trong một môi trường được kiểm soát trước khi triển khai toàn diện.

• Một nền tảng nhận dạng tập trung là một công cụ hỗ trợ mạnh mẽ: Các tổ chức có sẵn nền tảng Quản lý Truy cập và Nhận dạng (IAM) hoặc Đăng nhập một lần (SSO) tập trung sẽ có vị thế tốt hơn nhiều để triển khai suôn sẻ. Một hệ thống nhận dạng trung tâm cho phép áp dụng nhanh chóng và nhất quán các chính sách xác thực mới trên hàng trăm hoặc hàng nghìn ứng dụng, giảm đáng kể sự phức tạp và chi phí của dự án.

Passkeys, được xây dựng trên tiêu chuẩn WebAuthn của FIDO Alliance, không chỉ là một cải tiến gia tăng so với MFA truyền thống. Kiến trúc cơ bản của chúng, dựa trên mật mã khóa công khai, được xây dựng có mục đích để giải quyết các vấn đề đau đớn và dai dẳng nhất do việc bắt buộc MFA tạo ra.

• Giải quyết cơn ác mộng khôi phục: Thách thức lớn nhất của MFA bắt buộc là khôi phục tài khoản. Passkeys giải quyết trực tiếp vấn đề này. Một passkey là một thông tin xác thực mật mã có thể được đồng bộ hóa trên các thiết bị của người dùng thông qua hệ sinh thái nền tảng của họ (như iCloud Keychain của Apple hoặc Google Password Manager của Google). Nếu người dùng làm mất điện thoại, passkey vẫn có sẵn trên máy tính xách tay hoặc máy tính bảng của họ. Điều này làm giảm đáng kể tần suất bị khóa tài khoản và giảm sự phụ thuộc vào các kênh khôi phục không an toàn như email hoặc sự can thiệp tốn kém của bộ phận hỗ trợ.

• Giải quyết vấn đề vòng đời thiết bị: Vì passkeys được đồng bộ hóa, trải nghiệm khi có một thiết bị mới được chuyển đổi từ một điểm có ma sát cao thành một sự chuyển tiếp liền mạch. Khi người dùng đăng nhập vào tài khoản Google hoặc Apple của họ trên một chiếc điện thoại mới, passkeys của họ sẽ tự động được khôi phục và sẵn sàng để sử dụng. Điều này loại bỏ quy trình đăng ký lại đau đớn, theo từng ứng dụng mà các ứng dụng authenticator truyền thống, ràng buộc với thiết bị yêu cầu.

• Giải quyết nghịch lý về sở thích của người dùng: Passkeys giải quyết sự đánh đổi kinh điển giữa bảo mật và sự tiện lợi. Phương pháp xác thực an toàn nhất hiện có, mật mã khóa công khai chống lừa đảo, cũng là phương pháp nhanh nhất và dễ dàng nhất cho người dùng. Chỉ cần một cử chỉ sinh trắc học duy nhất hoặc mã PIN của thiết bị. Không có động cơ nào để người dùng chọn một lựa chọn yếu hơn, kém an toàn hơn, bởi vì lựa chọn mạnh nhất cũng là lựa chọn tiện lợi nhất.

• Giải quyết lỗ hổng lừa đảo: Passkeys được thiết kế để chống lừa đảo. Cặp khóa mật mã được tạo trong quá trình đăng ký được liên kết với nguồn gốc cụ thể của trang web hoặc ứng dụng (ví dụ: corbado.com). Người dùng không thể bị lừa sử dụng passkey của họ trên một trang web lừa đảo trông giống hệt (ví dụ: corbado.scam.com) vì trình duyệt và hệ điều hành sẽ nhận ra sự không khớp về nguồn gốc và từ chối thực hiện xác thực. Điều này cung cấp một sự đảm bảo bảo mật cơ bản mà không có phương pháp nào dựa trên các bí mật được chia sẻ (như mật khẩu hoặc OTP) có thể cung cấp.

• Giải quyết tình trạng mệt mỏi vì MFA: Một hành động người dùng đơn giản, duy nhất, như quét Face ID hoặc chạm vân tay, đồng thời chứng minh việc sở hữu khóa mật mã trên thiết bị ("thứ bạn có") và sinh trắc học thông qua nhận dạng ("thứ bạn là"). Điều này mang lại cảm giác như một bước duy nhất, dễ dàng cho người dùng nhưng về mặt mật mã lại đáp ứng yêu cầu về xác thực đa yếu tố. Điều này cho phép các tổ chức đáp ứng các tiêu chuẩn tuân thủ nghiêm ngặt mà không cần thêm các bước và gánh nặng nhận thức liên quan đến MFA truyền thống.

Việc chuyển đổi từ MFA truyền thống sang chiến lược ưu tiên passkey đòi hỏi một cách tiếp cận có chủ ý, đa giai đoạn nhằm giải quyết các mục tiêu về công nghệ, trải nghiệm người dùng và kinh doanh.

Trước khi bạn có thể bắt buộc sử dụng passkeys, bạn phải hiểu khả năng kỹ thuật của cơ sở người dùng để áp dụng chúng. Đây là một bước đầu tiên quan trọng để đánh giá tính khả thi và thời gian của một cuộc triển khai.

• Phân tích bối cảnh thiết bị của bạn: Sử dụng các công cụ phân tích web hiện có để thu thập dữ liệu về hệ điều hành (iOS, Android, các phiên bản Windows) và trình duyệt mà người dùng của bạn ưa thích.

• Triển khai công cụ sẵn sàng cho Passkey: Để có dữ liệu chính xác hơn, một công cụ nhẹ, bảo vệ quyền riêng tư như Corbado Passkeys Analyzer có thể được tích hợp vào trang web hoặc ứng dụng của bạn. Nó cung cấp phân tích thời gian thực về tỷ lệ người dùng có thiết bị hỗ trợ các authenticator nền tảng (như Face ID, Touch ID và Windows Hello) và các cải tiến UX quan trọng như Conditional UI, cho phép tự động điền passkey. Dữ liệu này rất cần thiết để xây dựng một mô hình áp dụng thực tế.

Quá trình chuyển đổi sang passkeys sẽ diễn ra dần dần, không phải ngay lập tức. Một chiến lược thành công đòi hỏi một hệ thống hỗn hợp quảng bá passkeys là phương pháp chính, được ưu tiên trong khi cung cấp một phương án dự phòng an toàn cho người dùng trên các thiết bị không tương thích hoặc cho những người chưa đăng ký.

• Chọn một mẫu tích hợp:

  • Ưu tiên định danh (Identifier-First): Người dùng nhập email hoặc tên người dùng của họ. Hệ thống sau đó kiểm tra xem có passkey nào được đăng ký cho định danh đó không và nếu có, sẽ bắt đầu quy trình đăng nhập bằng passkey. Nếu không, nó sẽ chuyển sang phương pháp dự phòng là mật khẩu hoặc một phương pháp an toàn khác. Cách tiếp cận này mang lại trải nghiệm người dùng tốt nhất và thường dẫn đến tỷ lệ chấp nhận cao hơn.

  • Nút Passkey chuyên dụng: Một nút "Đăng nhập bằng passkey" được đặt bên cạnh biểu mẫu đăng nhập truyền thống. Cách này đơn giản hơn để thực hiện nhưng đặt gánh nặng lên người dùng phải chọn phương pháp mới, điều này có thể dẫn đến việc sử dụng thấp hơn.

• Đảm bảo các phương án dự phòng an toàn: Cơ chế dự phòng của bạn không được làm suy yếu các mục tiêu bảo mật. Tránh sử dụng các phương pháp không an toàn như SMS OTP. Một giải pháp thay thế mạnh mẽ hơn là sử dụng mã dùng một lần có giới hạn thời gian hoặc liên kết ma thuật được gửi đến địa chỉ email đã xác minh của người dùng, đóng vai trò là một yếu tố sở hữu cho một phiên cụ thể.

Giao tiếp hiệu quả là điều tối quan trọng để triển khai suôn sẻ. Mục tiêu là định hình passkeys không phải là một rắc rối bảo mật khác, mà là một nâng cấp đáng kể cho trải nghiệm của người dùng.

• Thông điệp tập trung vào lợi ích: Sử dụng ngôn ngữ rõ ràng, đơn giản, tập trung vào lợi ích của người dùng: "Đăng nhập nhanh hơn và an toàn hơn," "Tạm biệt mật khẩu bị quên," và "Vân tay của bạn giờ là chìa khóa của bạn." Luôn sử dụng biểu tượng passkey chính thức của FIDO để xây dựng sự nhận diện.

• Chiến lược triển khai theo giai đoạn:

  1. Bắt đầu với việc chấp nhận "kéo": Ban đầu, cung cấp tùy chọn tạo passkey trong trang Cài đặt tài khoản của người dùng. Điều này cho phép những người chấp nhận sớm và người dùng am hiểu công nghệ tham gia mà không làm gián đoạn quy trình của mọi người khác.

  2. Chuyển sang việc chấp nhận "đẩy": Khi hệ thống đã ổn định, bắt đầu chủ động nhắc nhở người dùng tạo passkey ngay sau khi họ đăng nhập thành công bằng mật khẩu cũ. Điều này thu hút người dùng khi họ đã ở trong "tâm thế xác thực".

  3. Tích hợp vào quá trình giới thiệu: Cuối cùng, biến việc tạo passkey thành một lựa chọn chính, được đề xuất cho tất cả các lượt đăng ký người dùng mới.

Một cách tiếp cận dựa trên dữ liệu là điều cần thiết để xác thực khoản đầu tư vào passkeys và liên tục tối ưu hóa trải nghiệm. Tất cả các nhóm nên theo dõi các chỉ số liên quan đến vai trò của họ.

• Chỉ số chấp nhận & tương tác:

  • Tỷ lệ tạo Passkey: Phần trăm người dùng đủ điều kiện tạo passkey.

  • Tỷ lệ sử dụng Passkey: Phần trăm tổng số lượt đăng nhập được thực hiện bằng passkey.

  • Thời gian đến hành động quan trọng đầu tiên: Người dùng mới thực hiện một hành động quan trọng nhanh như thế nào sau khi chấp nhận passkeys.

• Chỉ số kinh doanh & vận hành:

  • Giảm số lượng yêu cầu đặt lại mật khẩu: Một thước đo trực tiếp về chi phí hỗ trợ giảm.

  • Giảm chi phí SMS OTP: Tiết kiệm chi phí hữu hình từ việc loại bỏ một yếu tố truyền thống.

  • Tỷ lệ đăng nhập thành công: So sánh tỷ lệ thành công của đăng nhập bằng passkey với đăng nhập bằng mật khẩu/MFA.

  • Giảm các sự cố chiếm đoạt tài khoản: Thước đo cuối cùng về hiệu quả bảo mật.

Các bảng sau đây cung cấp một bản tóm tắt ngắn gọn, so sánh các phương pháp xác thực và ánh xạ các giải pháp passkey trực tiếp đến các vấn đề kinh doanh phổ biến.

Cách Passkeys Cung Cấp Giải Pháp cho các Vấn Đề của MFA Bắt Buộc

Kỷ nguyên của Xác thực đa yếu tố bắt buộc đã đến và sẽ còn tồn tại. Mặc dù ra đời từ nhu cầu cấp thiết để phòng chống các cuộc tấn công dựa trên thông tin đăng nhập, những quy định này đã vô tình tạo ra một bối cảnh thách thức mới.

Chúng ta đã thấy rằng việc thực thi MFA gây ra những gánh nặng vận hành đáng kể, từ chi phí trực tiếp của phí SMS đến sự gia tăng các yêu cầu hỗ trợ từ người dùng gặp khó khăn với việc đăng ký và thay đổi thiết bị. Chúng ta đã học được rằng khi được lựa chọn, người dùng hướng tới các phương pháp quen thuộc nhưng dễ bị lừa đảo như SMS, đạt được sự tuân thủ trên giấy tờ nhưng để lại tổ chức dễ bị tấn công trong thế giới thực. Quan trọng nhất, chúng ta đã xác định rằng trong một thế giới bắt buộc, việc khôi phục tài khoản trở thành điểm thất bại lớn nhất, một nguồn gây thất vọng to lớn cho người dùng và một lỗ hổng bảo mật lớn khi xử lý không đúng cách.

Các phương pháp MFA truyền thống không thể giải quyết những vấn đề này. Nhưng passkeys thì có thể. Chúng ta đã chứng minh rằng passkeys là câu trả lời dứt khoát, giải quyết trực tiếp các vấn đề liên quan đến khôi phục, ma sát người dùng và bảo mật. Tính năng đồng bộ hóa của chúng loại bỏ hầu hết các kịch bản khóa tài khoản, sự dễ dàng sử dụng sinh trắc học của chúng loại bỏ động cơ chọn các tùy chọn yếu hơn, và thiết kế mật mã của chúng giúp chúng miễn nhiễm với lừa đảo. Cuối cùng, chúng ta đã vạch ra một kế hoạch chi tiết bốn bước rõ ràng, từ kiểm tra sự sẵn sàng đến đo lường thành công, cung cấp một lộ trình thực tế cho bất kỳ tổ chức nào để thực hiện quá trình chuyển đổi chiến lược này.

Chỉ xem sự thay đổi này như một vấn đề tuân thủ phiền phức là bỏ lỡ cơ hội chiến lược mà nó mang lại. Những người tiên phong của Xác thực Khách hàng Mạnh mẽ trong lĩnh vực ngân hàng Châu Âu, mặc dù có những khó khăn ban đầu, cuối cùng đã định hình kỳ vọng của người dùng cho cả một ngành công nghiệp. Ngày nay, những người tiên phong của passkeys cũng có cơ hội tương tự. Bằng cách nắm bắt sự chuyển đổi này, các tổ chức có thể biến một quy định bảo mật từ một nghĩa vụ nặng nề thành một lợi thế cạnh tranh mạnh mẽ và lâu dài. Bây giờ là lúc để lên kế hoạch cho bước đi của bạn từ việc bắt buộc đến việc tạo đà phát triển.