Các Phương Pháp Đăng Nhập và Xác Thực Bằng Mã QR

Các phương thức xác thực an toàn và tiện lợi ngày càng trở nên quan trọng hơn bao giờ hết. Với số lượng dịch vụ trực tuyến chúng ta truy cập hàng ngày trên các thiết bị khác nhau ngày càng tăng, các hệ thống dựa trên mật khẩu truyền thống đang trở nên kém hiệu quả và rườm rà hơn. Đặc biệt đối với các công ty có số lượng lớn người dùng trên các ứng dụng gốc của họ (ứng dụng iOS hoặc Android), điều này đã dẫn đến nhu cầu ngày càng tăng về việc đăng nhập bằng mã QR, mang lại một cách nhanh chóng và dễ dàng để xác thực người dùng mà không cần phải nhập mật khẩu phức tạp hay thậm chí là tên người dùng.

Trong bối cảnh này, các câu hỏi như sau xuất hiện:

• Xác thực bằng mã QR với ứng dụng gốc hoạt động như thế nào?
• Nó khác gì so với xác thực bằng mã QR với passkeys?

Native QR Code Revolut

Passkeys QR Code Apple

Các ví dụ nổi bật về mã QR trong đăng nhập ứng dụng gốc là các dịch vụ ưu tiên ứng dụng như WhatsApp, TikTok hoặc Revolut. Đồng thời, có một danh sách các công ty hỗ trợ đăng nhập bằng passkey đang phát triển nhanh chóng.

Trong bài viết này, chúng ta sẽ khám phá các kỹ thuật xác thực bằng mã QR. Chúng ta sẽ không tập trung vào mã QR TOTP được sử dụng để khởi tạo yếu tố thứ hai (với các ứng dụng bổ sung như Authy hoặc Google Authenticator)**.

Chúng ta cũng sẽ so sánh các phương thức xác thực dựa trên mã QR khác nhau, xem xét điểm mạnh, điểm yếu và các lỗ hổng tiềm ẩn của chúng.

Khi đọc xong, bạn sẽ hiểu rõ hơn liệu xác thực bằng mã QR có phải là lựa chọn phù hợp cho nhu cầu bảo mật của mình hay không.

Mã QR, hay mã Phản hồi nhanh (Quick Response), là mã vạch hai chiều có thể lưu trữ nhiều loại thông tin, từ URL đến văn bản thuần túy. Được phát triển lần đầu vào năm 1994 bởi Denso Wave, một công ty con của Tập đoàn Toyota, mã QR được thiết kế để theo dõi các bộ phận ô tô một cách nhanh chóng và hiệu quả. Kể từ đó, mã QR đã phát triển và tìm được vị trí của mình trong nhiều ngành công nghiệp khác nhau nhờ khả năng lưu trữ một lượng lớn dữ liệu trong một hình vuông nhỏ, có thể quét được.

Thuật ngữ "QR Code" thực chất là một nhãn hiệu của Denso Wave, mặc dù công nghệ này đã được áp dụng rộng rãi và không bị hạn chế bởi nhãn hiệu đó. Mã QR được đặc trưng bởi các mẫu hình vuông đen trắng, có thể được quét bằng điện thoại thông minh hoặc thiết bị quét chuyên dụng (máy quét QR) để truy cập thông tin được mã hóa.

Việc hỗ trợ mã QR đã được tích hợp vào các hệ điều hành di động như iOS và Android trong nhiều năm. Cả hai nền tảng đều hỗ trợ quét mã QR nguyên bản thông qua ứng dụng máy ảnh tương ứng, giúp người dùng tương tác với mã QR dễ dàng hơn mà không cần phần mềm bổ sung.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Nói chung, mã QR được sử dụng cùng với các ứng dụng tận dụng các URL tùy chỉnh hoặc liên kết ứng dụng. Các liên kết này có thể kích hoạt ứng dụng tự động mở nếu nó được cài đặt trên thiết bị. Nếu ứng dụng chưa được cài đặt, mã QR có thể hướng người dùng đến cửa hàng ứng dụng liên quan để tải xuống và cài đặt ứng dụng, từ đó tạo điều kiện cho trải nghiệm người dùng mượt mà. Dưới đây bạn có thể thấy danh sách các đường dẫn mà Revolut đã đăng ký để Xử lý Ứng dụng:

https://revolut.com/.well-known/apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx-debug",
                "paths": ["/app/*"]
            }
        ]
    }
}

Như bạn có thể thấy, tất cả các liên kết bắt đầu bằng "/app/*" đều được xử lý, bạn sẽ thấy một ví dụ trong phần tiếp theo. Bằng cách nhúng các URL tùy chỉnh và liên kết ứng dụng vào mã QR, các doanh nghiệp và nhà phát triển có thể tạo ra các trải nghiệm phù hợp, dẫn người dùng trực tiếp đến ứng dụng hoặc dịch vụ mong muốn, nâng cao cả sự tiện lợi và bảo mật trong tương tác của người dùng.

Đăng nhập bằng mã QR qua ứng dụng gốc tận dụng sự tương tác liền mạch giữa máy ảnh của thiết bị di động và các URL cụ thể được nhúng trong mã QR. Quá trình này thường bắt đầu bằng việc người dùng quét mã QR hiển thị trên một trang web hoặc một thiết bị khác bằng máy ảnh của điện thoại thông minh. Mã QR chứa một URL tùy chỉnh được thiết kế đặc biệt để tương tác với một ứng dụng gốc cụ thể, chẳng hạn như các ứng dụng trên thiết bị iOS hoặc Android.

Ví dụ, một dịch vụ như Revolut có thể sử dụng mã QR với một URL như https://revolut.com/app/challenges/qr/e2d78521-d38a-4773-b1b8-27a902a36b4b. URL này được thiết lập để ứng dụng Revolut đã cài đặt trên thiết bị của người dùng nhận dạng.

Khi mã QR được quét, ứng dụng sẽ tự động bắt liên kết này, nhận dạng nó và hiển thị ứng dụng tương ứng (trong ví dụ trên, bạn có thể thấy “Revolut” được xác định là Ứng dụng phù hợp), và tiến hành xử lý quá trình đăng nhập nội bộ. Tương tác này được hỗ trợ bởi các cơ chế liên kết sâu (deep linking) mà cả iOS và Android đều hỗ trợ, cho phép các liên kết cụ thể mở trực tiếp trong một ứng dụng đã cài đặt thay vì trong trình duyệt web:

Nếu ứng dụng chưa được cài đặt trên thiết bị, hệ điều hành thường sẽ nhắc người dùng cài đặt ứng dụng bằng cách chuyển hướng họ đến cửa hàng ứng dụng phù hợp, có thể là Apple App Store cho thiết bị iOS hoặc Google Play Store cho thiết bị Android.

Điều này đảm bảo rằng ngay cả khi người dùng chưa cài đặt ứng dụng ban đầu, họ vẫn có thể nhanh chóng và dễ dàng tải về, tiếp tục quá trình sau khi cài đặt.

Trong hầu hết các trường hợp, những khách hàng hiện tại đã cài đặt ứng dụng sẽ trải nghiệm một quá trình đăng nhập mượt mà. Họ quét mã QR, ứng dụng tự động mở ra và việc xác thực được hoàn tất mà không cần nhập tên người dùng hoặc mật khẩu. Phương pháp này chủ yếu mang lại sự tiện lợi cho người dùng, vì không có thông tin nhạy cảm nào được truyền đi trong quá trình quét mã QR.

Về mặt kỹ thuật, điều xảy ra là một phiên đăng nhập hiện có trên điện thoại di động được sử dụng để xác thực một phiên mới trên máy tính để bàn. Có nhiều kỹ thuật khác nhau để làm điều đó. Một phiên bản rất chi tiết được công bố trong Sách trắng Bảo mật của WhatsApp dưới mục Đăng ký Máy khách à Đăng ký Thiết bị Đồng hành à Liên kết bằng Mã QR.

Trích từ https://engineering.fb.com/2021/07/14/security/whatsapp-multi-device/

Vì WhatsApp hỗ trợ truy cập đa thiết bị và mã hóa đầu cuối từ năm 2021, kiến trúc này không hoàn toàn phù hợp cho việc xác thực – vì giao thức chủ yếu được thiết kế cho một ứng dụng nhắn tin đa thiết bị. Có những cách tiếp cận đơn giản hơn để đạt được một quá trình bắt tay an toàn, tùy thuộc vào việc triển khai xác thực thực tế. Điều cần ghi nhớ là bạn luôn cần đảm bảo xử lý an toàn các phiên người dùng và các kênh giao tiếp giữa thiết bị và máy chủ. Bất kể sự phức tạp của việc triển khai đăng nhập xác thực bằng mã QR, một số nguyên tắc bảo mật chính cần luôn được tuân thủ:

1. Tính toàn vẹn của phiên (Session Integrity): Phiên đăng nhập hiện có trên điện thoại di động, được sử dụng để xác thực một phiên mới trên máy tính để bàn hoặc thiết bị khác, phải được xác thực một cách an toàn. Điều này thường bao gồm việc kiểm tra tính xác thực của phiên bằng cách sử dụng các token an toàn hoặc các phương pháp mã hóa khác để ngăn chặn các cuộc tấn công chiếm đoạt phiên hoặc tấn công phát lại.
2. Giao tiếp được mã hóa (Encrypted Communication): Tất cả giao tiếp giữa ứng dụng di động, máy chủ và thiết bị yêu cầu xác thực phải được mã hóa bằng HTTPS. Điều này giúp đảm bảo rằng thông tin nhạy cảm, bao gồm token phiên và chi tiết đăng nhập, không thể bị chặn hoặc giả mạo trong quá trình truyền.
3. Tạo Token an toàn (Secure Token Generation): Bất kỳ token hoặc thông tin xác thực nào được tạo ra cho quá trình xác thực bằng mã QR đều phải được tạo một cách an toàn. Điều này có thể bao gồm việc ghim nó vào thiết bị yêu cầu để nó không thể được sử dụng trên các thiết bị khác như một biện pháp phòng ngừa (ví dụ: Browser-Agent).
4. Đăng nhập được người dùng xác minh (Login Verified by the User): Trước khi hoàn tất quá trình xác thực, nên có một bước để người dùng có thể xác minh hoặc xác nhận nỗ lực đăng nhập. Điều này có thể ở dạng một thông báo trên thiết bị di động yêu cầu sự chấp thuận của người dùng và hiển thị chi tiết xác thực, thêm một lớp bảo mật bổ sung (như có thể thấy trong ảnh chụp màn hình ở trên).
5. Hạn chế dựa trên thời gian (Time-Based Restrictions): Thực hiện các hạn chế dựa trên thời gian đối với hiệu lực của mã QR để giảm thiểu rủi ro mã QR bị sử dụng để truy cập trái phép nếu nó rơi vào tay kẻ xấu. Việc giới hạn khoảng thời gian mà một mã QR có thể được sử dụng giúp giảm các mối đe dọa bảo mật tiềm ẩn. Nó nên tự động làm mới và có hiệu lực tối đa dưới 120 giây để tránh các cuộc tấn công xen giữa (man-in-the-middle).
6. Hạn chế dựa trên vị trí (Location-Based Restriction): Các hạn chế liên quan đến nỗ lực đăng nhập, chẳng hạn như phát hiện “di chuyển không thể”, cũng nên được áp dụng với mã QR. Điều này có thể bao gồm việc tự động chặn các nỗ lực đăng nhập dựa trên thông tin tình báo dựa trên IP đáng ngờ, chẳng hạn như tạo mã QR ở Mỹ trong khi ứng dụng được mở để xác thực ở Châu Âu.
7. Giới hạn tần suất, Ghi log và Giám sát (Rate-Limiting, Logging and Monitoring): Thực hiện giới hạn tần suất, ghi log và giám sát phù hợp để phát hiện và ứng phó với bất kỳ hoạt động đáng ngờ nào liên quan đến đăng nhập bằng mã QR. Điều này giúp xác định các vi phạm bảo mật tiềm ẩn và thực hiện các hành động kịp thời để bảo vệ tài khoản người dùng.
8. Thông báo cho người dùng (User Notification): Các nỗ lực đăng nhập thành công trên một thiết bị mới nên kích hoạt một thông báo email cho người dùng với thông tin quan trọng (chẳng hạn như thời gian và địa điểm nỗ lực đăng nhập với thiết bị và địa chỉ IP nào) và hướng dẫn về những việc cần làm nếu việc đăng nhập không phải do người dùng kích hoạt (chẳng hạn như liên hệ ngay với dịch vụ, theo dõi tài khoản hoặc xóa tất cả các thiết bị đã đăng nhập nếu hệ thống hỗ trợ).

Bằng cách tuân theo các phương pháp tốt nhất này, các công ty có thể triển khai xác thực bằng mã QR vừa thân thiện với người dùng vừa an toàn, tận dụng sự tiện lợi của thiết bị di động trong khi vẫn duy trì các biện pháp bảo mật mạnh mẽ để bảo vệ dữ liệu và phiên của người dùng.

Become part of our Passkeys Community for updates & support.

Join

Bây giờ chúng ta hãy xem xét việc đăng nhập bằng mã QR qua passkeys.

Xác thực dựa trên Passkey cung cấp một hệ thống xác thực chéo thiết bị an toàn được tích hợp vào hệ sinh thái iOS và Android và được quy định trong tiêu chuẩn WebAuthn. Hiện tại, chỉ có passkeys được tạo trên iOS hoặc Android mới có thể được sử dụng cho xác thực chéo thiết bị (CDA) qua mã QR.

Hãy phân tích cách hoạt động của việc đăng nhập bằng mã QR với passkeys. Biểu đồ sau đây cho thấy một cái nhìn tổng quan cấp cao về các bước khác nhau.

Đối với cả iOS và Android, passkeys được lưu trữ trong trình xác thực gốc của nền tảng (ví dụ: Face ID, Touch ID hoặc Sinh trắc học Android). Điều này đảm bảo rằng passkeys của người dùng có sẵn trên tất cả các thiết bị của họ đã đăng nhập vào cùng một Apple ID (đối với iOS) hoặc tài khoản Google (đối với Android) trên các phiên bản hệ điều hành hiện đại.

• Cả hai thiết bị đều cần kết nối Internet đang hoạt động: Cả hai thiết bị tham gia vào quá trình xác thực đều phải có kết nối internet đang hoạt động. Điều này rất quan trọng để đồng bộ hóa dữ liệu và xác minh thông tin xác thực trong quá trình xác thực.
• Cả hai thiết bị đều cần hỗ trợ Bluetooth: Cả hai thiết bị đều cần hỗ trợ Bluetooth và Bluetooth phải được kích hoạt. Bluetooth được sử dụng để thiết lập sự gần gũi giữa các thiết bị, đảm bảo rằng các thiết bị ở gần nhau trong quá trình xác thực, từ đó giảm thiểu nguy cơ lừa đảo (phishing) từ một vị trí từ xa.

• Passkeys trên máy tính để bàn bị ràng buộc với thiết bị: Passkeys bị ràng buộc với thiết bị và trên máy tính để bàn, ví dụ như trên nền tảng Windows, không đủ điều kiện để sử dụng CDA dựa trên mã QR.
• Phụ thuộc vào Bluetooth: Việc phụ thuộc vào Bluetooth đôi khi có thể là một nhược điểm do các vấn đề kết nối tiềm ẩn hoặc cài đặt thiết bị có thể cản trở việc kiểm tra khoảng cách qua Bluetooth. Mặc dù việc thiết lập khoảng cách có thể tăng cường bảo mật, nó cũng có thể gây ra những thách thức về khả năng sử dụng nếu các thiết bị không kết nối được qua Bluetooth. Tuy nhiên, một khi các thiết bị được ghép nối thành công, các kết nối tiếp theo thường trở nên đơn giản hơn.

Discuss passkeys news and questions in r/passkey.

Join Subreddit

• Không có tấn công lừa đảo từ xa: Việc sử dụng Bluetooth để kiểm tra khoảng cách đảm bảo rằng cả hai thiết bị đều ở gần nhau về mặt vật lý trong quá trình xác thực, giảm nguy cơ tấn công lừa đảo (phishing) từ các vị trí từ xa.
• Passkeys được đồng bộ hóa mang lại UX tốt hơn: Việc đồng bộ hóa passkeys trên các thiết bị cũng mang lại trải nghiệm người dùng liền mạch, vì người dùng không cần phải quản lý nhiều bộ thông tin xác thực.

Khi triển khai Xác thực chéo thiết bị (CDA) dựa trên passkey, điều quan trọng là phải cung cấp hướng dẫn rõ ràng cho người dùng về quy trình. Người dùng nên được thông báo rằng một mã QR sẽ được hiển thị và họ cần sử dụng điện thoại di động của mình để quét nó.

Theo quan điểm của chúng tôi, điều quan trọng là phải đảm bảo rằng mã QR không được hiển thị nếu người dùng không có passkey có thể được sử dụng cho CDA. Ngoài ra, cần phải xác minh rằng hệ điều hành và trình duyệt hiện tại của người dùng hỗ trợ CDA trước khi hiển thị mã QR.

Want to find out how many people use passkeys?

View Adoption Data

Để quản lý các tình huống này một cách hiệu quả, chúng tôi đã nêu ra tất cả các trường hợp quan trọng trong bài viết này, vì vậy chúng tôi sẽ không đi vào chi tiết ở đây. Hệ thống thông minh passkey của chúng tôi được thiết kế để tự động xử lý các tình huống này, đảm bảo rằng mã QR chỉ được hiển thị khi thích hợp và hướng dẫn người dùng một cách mượt mà qua quá trình xác thực. Điều này đảm bảo một trải nghiệm liền mạch trong khi vẫn duy trì bảo mật cao và khả năng tương thích trên các thiết bị và hệ điều hành khác nhau.

Trong phần này, chúng ta sẽ tóm tắt hai phương thức đăng nhập bằng mã QR chính đã được thảo luận trong bài viết này: đăng nhập bằng mã QR qua ứng dụng gốc và đăng nhập bằng mã QR qua passkeys. Mỗi phương pháp đều có những ưu điểm riêng và phù hợp với các trường hợp sử dụng khác nhau dựa trên các yếu tố như bảo mật, trải nghiệm người dùng và độ phức tạp của việc triển khai.

• Đăng nhập bằng mã QR qua ứng dụng gốc tận dụng liên kết sâu (deep linking) để kết nối mã QR với một ứng dụng cụ thể được cài đặt trên thiết bị di động. Khi người dùng quét mã QR, ứng dụng liên quan sẽ được kích hoạt, tạo điều kiện cho một quá trình đăng nhập liền mạch và an toàn. Phương pháp này thường được sử dụng trong các ứng dụng ưu tiên ứng dụng như WhatsApp, TikTok và Revolut, nơi người dùng đã quen thuộc với môi trường ứng dụng và có thể dễ dàng xác thực mà không cần nhập mật khẩu.
• Đăng nhập bằng mã QR qua Passkeys sử dụng một phương pháp xác thực chéo thiết bị tiên tiến hơn, tích hợp trực tiếp với trình xác thực của nền tảng hệ điều hành (không cần cài đặt bất kỳ ứng dụng gốc nào). Phương pháp này được thiết kế để cung cấp mức độ bảo mật cao, sử dụng passkeys được đồng bộ hóa và yêu cầu cả hai thiết bị phải ở gần nhau (được xác minh qua Bluetooth) trong quá trình xác thực. Phương pháp này cung cấp sự bảo vệ mạnh mẽ chống lại các cuộc tấn công lừa đảo (phishing) và mang lại trải nghiệm người dùng hợp lý trên nhiều thiết bị.

Hãy xem cả hai phương pháp so sánh như thế nào và có những đặc điểm khác nhau ra sao:

Bảng so sánh: Đăng nhập bằng mã QR qua ứng dụng gốc vs. Đăng nhập bằng mã QR qua Passkeys

Chúng tôi đã tập trung vào các đặc điểm dựa trên xác thực trong bảng so sánh, và các yêu cầu xung quanh được nêu trong phần ba áp dụng cho cả hai lựa chọn thay thế. Các hạn chế dựa trên vị trí và thời gian không cần thiết với passkeys, vì chúng sử dụng khả năng chống lừa đảo (phishing) và kiểm tra khoảng cách qua WebAuthn.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Như đã nêu trong phần giới thiệu, chúng ta đã xem xét hai kịch bản phổ biến nhất của xác thực chéo thiết bị, hãy tóm tắt ngắn gọn chúng:

• Đăng nhập bằng mã QR qua ứng dụng gốc là lý tưởng cho các công ty có lượng người dùng mạnh trên các ứng dụng gốc của họ, chưa xem xét việc triển khai passkeys và không quá lo ngại về các cuộc tấn công lừa đảo (phishing). Phương pháp này mang lại sự tiện lợi và bảo mật bằng cách sử dụng các cơ chế xác thực hiện có của ứng dụng, giảm bớt sự phiền toái cho người dùng thường xuyên sử dụng ứng dụng, nhưng không giúp ích cho các lần đăng nhập ứng dụng không thường xuyên.
• Đăng nhập bằng mã QR qua Passkeys cung cấp một lựa chọn an toàn và linh hoạt hơn, đặc biệt cho các môi trường cần xác thực chéo thiết bị và passkeys cũng đang được xem xét hoặc đã được sử dụng làm yếu tố xác thực. Bằng cách tận dụng xác thực cấp nền tảng và kiểm tra khoảng cách dựa trên Bluetooth, phương pháp này mang lại phương pháp xác thực đa yếu tố chống lừa đảo duy nhất có khả năng chống lại các cuộc tấn công trong tương lai cho cả các trường hợp chéo thiết bị.

Để trả lời các câu hỏi của chúng ta từ phần giới thiệu:

• Hai phương pháp này khác nhau như thế nào: Mỗi tổ chức nên chọn phương pháp phù hợp nhất với nhu cầu của mình, xem xét các yếu tố như cơ sở người dùng, yêu cầu bảo mật và trải nghiệm người dùng mong muốn. Đối với các dịch vụ tập trung vào ứng dụng, việc tích hợp đăng nhập bằng mã QR qua ứng dụng gốc có thể là đủ. Tuy nhiên, đối với những người ưu tiên bảo mật tối đa, khả năng chéo thiết bị, đăng nhập bằng mã QR qua passkeys là một giải pháp mạnh mẽ.

Bất kể việc đánh giá hiện tại về giải pháp nào phù hợp với kiến trúc xác thực hiện có, cần lưu ý rằng passkeys là một khoản đầu tư vào tương lai của xác thực, vì hệ sinh thái rõ ràng đang đi theo hướng này. Bắt đầu sớm để thu thập passkeys có thể được kết hợp với các chiến lược CDA khác nhau.