---
url: 'https://www.corbado.com/vi/blog/device-bound-session-credentials-dbsc'
title: 'Giải thích về Device Bound Session Credentials (DBSC)'
description: 'Tìm hiểu cách Device Bound Session Credentials (DBSC) ngăn chặn việc chiếm đoạt phiên và đánh cắp cookie, cũng như trạng thái hỗ trợ trên trình duyệt.'
lang: 'vi'
author: 'Vincent Delitz'
date: '2026-06-15T13:57:55.062Z'
lastModified: '2026-06-17T06:07:37.880Z'
keywords: 'Device Bound Session Credentials, DBSC, chiếm đoạt phiên, đánh cắp cookie, session hijacking, bảo mật trình duyệt, TPM, passkey'
category: 'Authentication'
---
# Giải thích về Device Bound Session Credentials (DBSC)
**Trạng thái hỗ trợ của trình duyệt**
> **Mới nhất (Tháng 4 năm 2026):** Chrome 146 phát hành
> [DBSC ở dạng GA (Khả dụng chung) trên Windows](https://blog.google/security/protecting-cookies-with-device-bound-session-credentials/),
> đưa tính năng này ra khỏi Origin Trial. Khả năng hỗ trợ cho macOS (sử dụng
> [Secure Enclave](https://www.corbado.com/glossary/secure-enclave)) sẽ có trong bản phát hành Chrome sắp tới.
> Google cũng đã công bố lộ trình công khai về federated identity (các ràng buộc
> [SSO](https://www.corbado.com/blog/passkeys-single-sign-on-sso)
> [cross-origin](https://www.corbado.com/blog/iframe-passkeys-webauthn)), đăng ký nâng cao (mTLS / khóa phần
> cứng) và các khóa dựa trên phần mềm cho những thiết bị không có phần cứng
> [bảo mật](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android).
| Trình duyệt | Windows | macOS | Linux | Android | iOS | Trạng thái |
| ----------- | ------------------------- | ------------------------------ | ---------------- | ---------------- | ---------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Chrome** | ✅ GA (Chrome 146, TPM) | 🚧 Sắp ra mắt (Secure Enclave) | ❌ | ❌ | ❌ | [GA trên Windows](https://blog.google/security/protecting-cookies-with-device-bound-session-credentials/) (Tháng 4 năm 2026), macOS trong bản phát hành sắp tới |
| **Edge** | ⏸️ Đã kết thúc thử nghiệm | ❌ | ❌ | ❌ | ❌ | Origin Trial kết thúc vào tháng 10 năm 2025, chưa công bố GA |
| **Safari** | Không áp dụng | 🔄 Đang đánh giá | Không áp dụng | Không áp dụng | 🔄 Đang đánh giá | WebKit đang thảo luận, chưa công bố triển khai |
| **Firefox** | 🔄 Đang theo dõi | 🔄 Đang theo dõi | 🔄 Đang theo dõi | 🔄 Đang theo dõi | 🔄 Đang theo dõi | Đang đánh giá, chưa cam kết triển khai |
**Chú giải:** ✅ Khả dụng chung | 🚧 Đã công bố / đang phát triển | ⏸️ Đã kết thúc thử
nghiệm | 🔄 Đang đánh giá/theo dõi | ❌ Chưa khả dụng
**Lưu ý:** [DBSC](https://www.corbado.com/blog/device-bound-session-credentials-dbsc) đã đạt trạng thái GA trên
Windows với TPM kể từ Chrome 146 (tháng 4 năm 2026). Khả năng hỗ trợ macOS thông qua
[Secure Enclave](https://www.corbado.com/glossary/secure-enclave) sẽ được triển khai tiếp theo. Lộ trình được
Google công bố cũng bao gồm các khóa dựa trên phần mềm nhằm mở rộng sự bảo vệ tới các
thiết bị không có phần cứng [bảo mật](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android) chuyên dụng.
**Ưu điểm chính: DBSC so với Mô hình hiện tại**
| **Tính năng** | **Mô hình cookie hiện tại** | **Mô hình DBSC** |
| --------------------------- | ---------------------------------- | --------------------------------------------------------- |
| **Loại token** | Bearer (sở hữu = truy cập) | Ràng buộc (sở hữu + khóa = truy cập) |
| **Hậu quả khi bị đánh cắp** | Bị chiếm đoạt toàn bộ tài khoản | Token vô dụng (không thể làm mới) |
| **Thời lượng phiên** | Ngắn (để bảo mật) | Dài / vô hạn (bảo mật theo thiết kế) |
| **Sự cản trở người dùng** | Cao (đăng nhập thường xuyên) | Thấp (bảo mật vô hình) |
| **Vượt qua MFA** | Dễ bị tổn thương (pass-the-cookie) | Kháng cự (yêu cầu thiết bị) |
| **Thu hồi** | Chậm (đợi hết hạn) | Gần như thời gian thực (thất bại ở lần làm mới tiếp theo) |
## Key Facts
- **DBSC** ràng buộc các phiên web với một khóa mật mã được lưu giữ trên thiết bị, khiến
các cookie bị đánh cắp trở nên vô dụng vì chúng không thể được làm mới từ một thiết bị
khác.
- Trình duyệt lưu trữ khóa riêng tư không thể trích xuất vào một **TPM**, ký các thử thách
của máy chủ sau mỗi 5 phút để chứng minh quyền sở hữu thiết bị mà không cần sự tương tác
của người dùng.
- Khác với **Token Binding**, vốn đã thất bại do sự phức tạp của cơ sở hạ tầng ở lớp TLS,
DBSC hoạt động ở lớp ứng dụng HTTP và hoạt động minh bạch với các bộ cân bằng tải và CDN
hiện tại.
- **Chrome 146 phát hành DBSC ở dạng GA trên Windows (Tháng 4 năm 2026)**, cùng với khả
năng hỗ trợ Secure Enclave cho macOS trong một bản phát hành sắp tới. Lộ trình công bố
của Google cũng bao gồm federated identity (các ràng buộc SSO cross-origin), đăng ký
nâng cao (mTLS / khóa phần cứng) và các khóa dựa trên phần mềm cho các thiết bị không có
phần cứng bảo mật. Safari và Firefox vẫn đang đánh giá; Origin Trial của Edge đã kết
thúc vào tháng 10 năm 2025 mà không có thông báo về GA.
## 1. Giới thiệu: Device Bound Session Credentials (DBSC)
Kiến trúc của World Wide Web được xây dựng dựa trên nguyên tắc không lưu trạng thái
(statelessness). Khi HTTP mới được thiết kế, nó không giữ lại thông tin về người dùng giữa
các yêu cầu. Để giải quyết vấn đề này, "cookie" đã được phát minh - một đoạn dữ liệu nhỏ
được gửi từ một trang web và lưu trữ trên máy tính của người dùng, để được gửi lại cho
trang web đó với mỗi yêu cầu tiếp theo. Trong
[nhi](https://www.corbado.com/blog/agentic-non-human-identity-eic-2026)ều thập kỷ, cơ chế này đã đóng vai trò là
nền tảng của quản lý phiên. Khi người dùng đăng nhập, máy chủ sẽ
[xác thực](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android) thông tin
[xác thực](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android) của họ và cấp một cookie. Cookie này
hoạt động như một "bearer token" (token vô danh). Trong thế giới thực, một công cụ vô danh
là một tài liệu trao cho người nắm giữ các quyền hoặc tài sản mà nó đại diện; nếu bạn giữ
trái phiếu, bạn sở hữu trái phiếu. Tương tự, trong thế giới kỹ thuật số của HTTP, nếu bạn
giữ cookie, bạn là người dùng.
Khả năng vô danh này đồng thời là tiện ích lớn nhất và cũng là lỗ hổng sâu sắc nhất của
web. Sự an toàn của toàn bộ phiên - và qua đó là danh tính, dữ liệu và tài sản tài chính
của người dùng - hoàn toàn dựa vào sự bí mật của chuỗi cookie đó. Nếu một kẻ độc hại có
thể sao chép chuỗi đó, chúng có thể mạo danh người dùng từ bất kỳ thiết bị nào, ở bất kỳ
đâu trên thế giới, bỏ qua hoàn toàn các bước kiểm tra
[xác thực](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android) ban đầu. Lỗ hổng cụ thể này đã làm nảy
sinh một nền kinh tế ngầm quy mô công nghiệp về "đánh cắp cookie" và "chiếm đoạt phiên".
Khi ngành công nghiệp củng cố thành công "cửa trước" của xác thực thông qua việc áp dụng
các tiêu chuẩn FIDO (Fast Identity Online) và Passkey, những kẻ tấn công đang chuyển trọng
tâm sang "cửa sau": phiên hoạt động. Việc lừa đảo đánh cắp mật khẩu đang trở nên khó khăn
hơn, nhưng việc đánh cắp cookie phiên vẫn nguy hiểm một cách hiệu quả. Phản ứng của ngành
đối với mối đe dọa ngày càng leo thang này là **Device Bound Session Credentials (DBSC)**.
[DBSC](https://www.corbado.com/blog/device-bound-session-credentials-dbsc) đại diện cho một sự thay đổi mô hình
về cách duy trì các phiên web. Nó đề xuất việc chuyển từ các bearer token đơn giản sang
một mô hình mà trong đó phiên được
[ràng buộc bằng mật mã với thiết bị](https://www.w3.org/TR/dbsc/). Cùng với
[Chrome 146 (Tháng 4 năm 2026) phát hành DBSC ở dạng GA trên Windows](https://blog.google/security/protecting-cookies-with-device-bound-session-credentials/),
tiêu chuẩn này đã chuyển từ thử nghiệm sang một khả năng sản xuất mà các nhóm web có thể
triển khai ngay hôm nay. Chrome sử dụng các TPM trên Windows và sắp triển khai hỗ trợ cho
Secure Enclave trên macOS; bản thân thông số kỹ thuật (spec) không phụ thuộc vào việc lưu
trữ khóa, chỉ yêu cầu rằng nó phải "mạnh mẽ trước mối đe dọa được mô tả." Điều này làm cho
các cookie bị đánh cắp trở nên kém giá trị hơn
[nhi](https://www.corbado.com/blog/agentic-non-human-identity-eic-2026)ều. Chúng không thể được làm mới từ một
thiết bị khác mà không có khóa ràng buộc.
Bài viết này cung cấp một phân tích toàn diện về
[DBSC](https://www.corbado.com/blog/device-bound-session-credentials-dbsc), được thiết kế cho các kiến trúc sư
[bảo mật](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android), nhà quản lý sản phẩm và các nhà phát
triển. Nó khám phá kiến trúc kỹ thuật, những tác động kinh doanh của "bảo mật không cản
trở," mối quan hệ với các tiêu chuẩn mới nổi như Shared Signals (CAEP/RISC) và cách các tổ
chức có thể chuẩn bị cho tương lai này bằng cách sử dụng các nền tảng như Corbado.
**Các câu hỏi chính mà bài viết này giải đáp**
1. Tại sao quản lý phiên hiện tại lại thất bại trong việc ngăn chặn việc chiếm đoạt tài
khoản?
2. DBSC khác biệt như thế nào so với các cookie "Secure" và cờ HttpOnly hiện có?
3. DBSC và Passkey phối hợp với nhau như thế nào để mang lại khả năng chống lừa đảo mạnh
mẽ hơn?
4. Điều gì đã xảy ra với Token Binding, và tại sao DBSC lại thành công ở nơi mà công nghệ
kia thất bại?
5. Các tác động kinh doanh và ROI dành cho Quản lý Sản phẩm là gì?
6. Những trình duyệt và hệ điều hành nào hiện nay hỗ trợ DBSC?
7. Làm thế nào các tổ chức có thể triển khai DBSC mà không cần xây dựng từ đầu?
8. Mối quan hệ giữa DBSC, DPoP và [OAuth 2.0](https://www.corbado.com/glossary/oauth2) là gì?
9. DBSC tích hợp như thế nào với Shared Signals (CAEP/RISC) để ứng phó với mối đe dọa
trong thời gian thực?
## 2. Hiểu về các Vấn đề Cốt lõi và Giải pháp
Để điều hướng sự phức tạp của tiêu chuẩn mới này, trước tiên chúng ta phải hiểu những vấn
đề cơ bản với quản lý phiên hiện tại và cách DBSC cung cấp các giải pháp. Mỗi lĩnh vực này
đại diện cho một lỗ hổng hoặc hạn chế quan trọng mà DBSC giải quyết.
### 2.1 Sự thất bại của Quản lý Phiên hiện tại
Sự thất bại cơ bản của quản lý phiên hiện tại là "tính linh hoạt" của niềm tin. Khi một
máy chủ cấp một cookie phiên, nó về cơ bản đang cấp một hộ chiếu hoạt động cho bất kỳ
[ai](https://www.corbado.com/vi/blog/vai-tro-cua-ai-trong-phat-hien-moi-de-doa-mang) nắm giữ nó. Mặc dù các trình
duyệt đã triển khai các biện pháp phòng thủ như
[các cờ HttpOnly và Secure](https://www.wisp.blog/blog/understanding-token-storage-local-storage-vs-httponly-cookies)
(ngăn chặn khả năng truy cập của JavaScript và đảm bảo truyền qua HTTPS), những biện pháp
này chỉ bảo vệ trước các vector trích xuất cụ thể như Cross-Site Scripting (XSS) hoặc nghe
lén mạng. Chúng không cung cấp sự bảo vệ nào trước
[phần mềm độc hại](https://www.corbado.com/vi/glossary/phan-mem-doc-hai) đang chạy trên thiết bị lưu trữ.
"Infostealers" là các [phần mềm độc hại](https://www.corbado.com/vi/glossary/phan-mem-doc-hai) được thiết kế
chuyên biệt để xác định tệp lưu trữ cookie của trình duyệt trên ổ đĩa, giải mã nó (thường
bằng cách sử dụng chính thông tin xác thực ở cấp hệ điều hành của người dùng) và đánh cắp
nội dung tới máy chủ chỉ huy và kiểm soát (C2). Một khi kẻ tấn công đã sở hữu cookie,
chúng có thể thực hiện một
[cuộc tấn công Pass-the-Cookie](https://blog.chromium.org/2024/04/fighting-cookie-theft-using-device.html),
tiêm token bị đánh cắp vào trình duyệt của chính chúng để chiếm đoạt phiên. Máy chủ, khi
thấy một cookie hợp lệ, sẽ giả định rằng yêu cầu là hợp pháp.
### 2.2 Lợi thế Mật mã của DBSC so với các Cookie bảo mật truyền thống
DBSC đưa một yếu tố xác thực thứ hai vào chính vòng lặp bảo trì phiên. Khác với một cookie
bảo mật tiêu chuẩn vốn là một bí mật tĩnh, một phiên DBSC bao gồm một bearer token tồn tại
trong thời gian ngắn và một bằng chứng mật mã về sự sở hữu. Trình duyệt tạo ra một cặp
khóa công khai-riêng tư được lưu trữ an toàn trên thiết bị. Máy chủ ràng buộc phiên với
khóa công khai. Theo định kỳ, trình duyệt phải chứng minh rằng nó vẫn giữ khóa riêng tư
bằng cách ký một thử thách từ máy chủ.
[Thông số kỹ thuật yêu cầu lưu trữ khóa](https://www.w3.org/TR/dbsc/) "mạnh mẽ trước mối
đe dọa được mô tả". Chrome sử dụng TPM trên Windows khi khả dụng. Nếu một kẻ tấn công đánh
cắp cookie từ một thiết bị khác, chúng không thể làm mới nó vì chúng không thể tạo ra chữ
ký mật mã cần thiết. Khía cạnh "vô danh" được giảm thiểu đến một khung thời gian rất ngắn,
trong khi khía cạnh "ràng buộc" cung cấp sự liên tục lâu dài.
### 2.3 Sự phối hợp giữa Passkey và DBSC
Passkey và DBSC là những công nghệ bổ sung giúp bảo vệ các giai đoạn khác nhau của vòng
đời người dùng. Passkey (FIDO2) giải quyết vấn đề _xác thực_ chứng minh danh tính để bắt
đầu một phiên mà không cần mật khẩu, từ đó loại bỏ việc lừa đảo thông tin xác thực. DBSC
giải quyết vấn đề _sau xác thực_ làm cho việc chiếm đoạt phiên thông qua đánh cắp cookie
trở nên khó khăn hơn đáng kể.
[FIDO Alliance định vị DBSC](https://fidoalliance.org/white-paper-dbsc-dpop-as-complementary-technologies-to-fido-authentication/)
như một công nghệ bổ sung giúp "nâng cao tiêu chuẩn" chống lại việc chiếm đoạt phiên. Cùng
nhau, chúng giảm thiểu bề mặt tấn công xuyên suốt quá trình đăng nhập và vòng đời phiên
mặc dù DBSC không bảo vệ trước [phần mềm độc hại](https://www.corbado.com/vi/glossary/phan-mem-doc-hai) có quyền
truy cập thiết bị liên tục hoặc các cuộc tấn công browser-in-the-middle trong thời gian
thực trên cùng một thiết bị.
| Các công nghệ | Lừa đảo từ xa | Credential Stuffing | Đánh cắp Token |
| ------------------------- | ------------- | ------------------- | -------------- |
| **Passkey** | ✅ | ✅ | ❌ |
| **DBSC / DPoP** | ❌ | ❌ | ✅ |
| **Passkey + DBSC / DPoP** | ✅ | ✅ | ✅ |
**Passkey và DBSC phối hợp như thế nào**
| **Khía cạnh** | **Passkey** | **DBSC** | **Lợi ích kết hợp** |
| ---------------------------- | ----------------------------------------------------------- | ----------------------------------------- | ------------------------------------------------------------ |
| **Phạm vi** | Xác thực (đăng nhập) | Quản lý phiên | Bảo vệ toàn diện (End-to-end) |
| **Mối đe dọa được giảm nhẹ** | Lừa đảo mật khẩu, credential stuffing | Chiếm đoạt phiên từ xa, đánh cắp cookie | Nâng cao đáng kể tiêu chuẩn phòng chống chiếm đoạt tài khoản |
| **Trải nghiệm người dùng** | Đăng nhập không mật khẩu | Bảo vệ phiên một cách minh bạch | Trải nghiệm liền mạch, an toàn |
| **Lưu trữ khóa** | Thông tin xác thực ràng buộc thiết bị hoặc được đồng bộ hóa | Ràng buộc với thiết bị (HSM khi khả dụng) | Xác thực linh hoạt, ràng buộc phiên cứng |
| **Triển khai** | Thay thế mật khẩu | Cải thiện các phiên hiện có | Các cải tiến bảo mật gia tăng |
### 2.4 Bài học từ sự thất bại của Token Binding
DBSC không phải là nỗ lực đầu tiên nhằm giải quyết vấn đề này. "Token Binding" là một tiêu
chuẩn trước đây đã cố gắng ràng buộc các cookie với kết nối TLS (Transport Layer Security)
bên dưới. Mặc dù chuẩn xác về mặt mật mã, Token Binding đã thất bại trong việc được áp
dụng do sự phụ thuộc quá lớn của nó vào lớp TLS. Trong web hiện đại, các kết nối TLS
thường được ngắt (terminate) tại các bộ cân bằng tải, CDN, hoặc reverse proxy, trong khi
logic ứng dụng nằm ở các máy chủ phía sau chúng. Việc lan truyền thông tin Token Binding
qua những lớp mạng phức tạp này tỏ ra quá khó khăn. DBSC rút kinh nghiệm từ sự thất bại
này bằng cách
[hoạt động hoàn toàn ở Lớp Ứng dụng (HTTP)](https://fidoalliance.org/white-paper-dbsc-dpop-as-complementary-technologies-to-fido-authentication/).
Nó không phụ thuộc vào kết nối mạng bên dưới, khiến cho nó tương thích với các bộ cân bằng
tải, proxy và hạ tầng đám mây hiện tại.
### 2.5 Tác động kinh doanh và Cơ hội ROI
Đối với các nhà lãnh đạo sản phẩm, DBSC mang đến một cơ hội cải thiện bảo mật đồng thời
cải thiện trải nghiệm người dùng (UX). Theo truyền thống, bảo mật cao đồng nghĩa với thời
gian chờ của phiên ngắn, buộc người dùng phải đăng nhập thường xuyên (cản trở). Bằng cách
ràng buộc phiên với thiết bị, nguy cơ đánh cắp cookie _từ xa_ được giảm đi đáng kể. Các
doanh nghiệp có thể xem xét thời lượng phiên dài hơn, với việc biết rằng các cookie bị
đánh cắp không thể được làm mới từ một thiết bị khác. Tuy
[nhi](https://www.corbado.com/blog/agentic-non-human-identity-eic-2026)ên, DBSC không bảo vệ chống lại việc mất
cắp thiết bị, phần mềm độc hại dai dẳng trên thiết bị, hoặc việc lạm dụng bởi một người
dùng ác ý, vì vậy các chính sách về thời gian sống của phiên vẫn nên phản ánh những rủi ro
còn sót lại này.
## 3. Bức tranh Mối đe dọa: Sự công nghiệp hóa Đánh cắp Cookie
Để hiểu được tính cấp bách đằng sau DBSC, người ta phải đánh giá được sự tinh vi của bức
tranh mối đe dọa hiện đại. Việc đánh cắp cookie phiên đã nâng cấp từ một mánh lới của tin
tặc ngách thành một ngành công nghiệp có thể mở rộng quy mô, tự động hóa.
### 3.1 Sự gia tăng của Infostealers
```mermaid
graph TD
A[Người dùng Tải xuống
Phần mềm Độc hại] -->|Thực thi| B[Infostealer Kích hoạt
trên Thiết bị]
B --> C[Định vị Dữ liệu Trình duyệt]
C --> D[Bộ lưu trữ Cookie
Chrome/Edge/Firefox]
C --> E[Cơ sở dữ liệu Mật khẩu]
C --> F[Ví Crypto]
D --> G[Giải mã Bằng
Thông tin HĐH]
E --> G
F --> G
G --> H[Tạo Tệp Log
với Dữ liệu Bị đánh cắp]
H --> I[Đánh cắp tới Máy chủ C2]
I --> J[Chợ Dark Web]
J --> K[Kẻ tấn công Mua Log]
K --> L[Nhập Cookie vào
Trình duyệt Của mình]
L --> M[Bỏ qua MFA]
M --> N[Chiếm đoạt Tài khoản
Hoàn tất]
style A fill:#ff6b6b,color:#fff
style B fill:#ff6b6b,color:#fff
style N fill:#ff6b6b,color:#fff
style J fill:#495057,color:#fff
style M fill:#ffd43b,color:#000
```
Mô hình [Malware](https://www.corbado.com/glossary/malware)-as-a-Service (MaaS) đã làm giảm rào cản tham gia đối
với tội phạm mạng. "Infostealers" như RedLine, Raccoon, Vidar, và Taurus là những biến thể
phần mềm độc hại thương mại được thiết kế với một mục tiêu chính: đánh cắp dữ liệu từ các
trình duyệt web. Những kẻ đánh cắp này được phân phối qua các email lừa đảo, phần mềm bẻ
khóa, hoặc các quảng cáo độc hại. Khi đã được cài đặt, chúng nhắm tới các đường dẫn tệp
tin cụ thể nơi mà các trình duyệt như Chrome, Edge, và Firefox lưu trữ dữ liệu của chúng.
- **Mục tiêu:** Cơ sở dữ liệu Cookies (thường là một tệp
[SQLite](https://www.corbado.com/blog/passkey-webauthn-database-guide)) và cơ sở dữ liệu Login Data (các mật
khẩu đã lưu).
- **Cơ chế:** Các trình duyệt mã hóa các cơ sở dữ liệu này bằng cách sử dụng các API
[Bảo vệ Dữ liệu](https://www.corbado.com/vi/blog/xu-ly-tai-lieu-bao-mat) (DPAPI trên Windows) được liên kết với
đăng nhập HĐH của người dùng. Vì phần mềm độc hại chạy _dưới quyền người dùng_, nó có
thể dễ dàng yêu cầu giải mã các tệp này.
- **Kết quả:** Phần mềm độc hại tạo ra một "log"—một tệp zip chứa các cookie đã được giải
mã, mật khẩu, thông tin hệ thống, và đôi khi là khóa của ví crypto.
### 3.2 Thị trường cho các "Logs"
Những bản log này được tập hợp và bán trên các [chợ](https://www.corbado.com/passkeys-for-e-commerce)
[dark web](https://www.corbado.com/vi/blog/dark-web-security) như Genesis Market (trước khi bị đánh sập) và
Russian Market. Người mua có thể tìm kiếm các log có chứa các cookie đang hoạt động cho
các mục tiêu giá trị cao cụ thể: "Salesforce," "Gmail," "Bank of America," hoặc
"[AWS](https://www.corbado.com/blog/passkeys-amazon-cognito) Console."
**Cách vượt qua:** Giá trị của một log cookie nằm ở khả năng bỏ qua Xác thực Đa yếu tố
(MFA). Hầu hết các thử thách MFA (SMS, TOTP, Push) chỉ xảy ra trong sự kiện _đăng nhập_.
Khi phiên đã được thiết lập và cookie được cấp, máy chủ cho rằng người dùng là đáng tin
cậy. Một kẻ tấn công nhập vào một cookie phiên hợp lệ
[sẽ dễ dàng lọt qua cổng MFA](https://workspace.google.com/blog/identity-and-security/defending-against-account-takeovers-top-threats-passkeys-and-dbsc),
xuất hiện trước máy chủ giống như việc người dùng quay lại một tab đang hoạt động.
### 3.3 Mối đe dọa đối với Google Workspace & Microsoft Entra
Các bộ ứng dụng năng suất trên đám mây là những mục tiêu hàng đầu. Một cookie phiên bị
đánh cắp cho một tài khoản Google Workspace hoặc Microsoft Entra ID (trước đây là Azure
AD) có thể cung cấp cho kẻ tấn công quyền truy cập vào email công ty, tài liệu, và các hệ
thống nội bộ.
[Báo cáo thông minh về mối đe dọa của chính Google](https://blog.chromium.org/2024/04/fighting-cookie-theft-using-device.html)
đã ghi nhận sự gia tăng đột biến của việc đánh cắp cookie như một vector chính để truy cập
vào Google Accounts, rõ ràng chỉ ra nó là động lực thúc đẩy đầu tư của họ vào DBSC. Họ lưu
ý rằng khi họ bắt buộc áp dụng Xác minh 2 Bước (2SV) và passkey, những kẻ tấn công chỉ đơn
giản chuyển chiến thuật từ lừa đảo thông tin xác thực (vốn bị [2SV](https://www.corbado.com/blog/2sv-vs-2fa) /
passkey ngăn chặn) sang đánh cắp cookie (vốn thường không bị [2SV](https://www.corbado.com/blog/2sv-vs-2fa) /
passkey ngăn chặn).
### 3.4 Hạn chế của "Dấu vân tay Thiết bị"
Về mặt lịch sử, các engine rủi ro đã cố gắng phát hiện việc đánh cắp phiên bằng cách phân
tích các dấu vân tay thiết bị, xem xét chuỗi
[User-Agent](https://www.corbado.com/blog/client-hints-user-agent-chrome-safari-firefox), độ phân giải màn hình,
các phông chữ được cài đặt, và địa chỉ IP. Nếu một cookie phiên đột nhiên xuất hiện từ một
IP mới với một dấu vân tay canvas hơi khác, máy chủ có thể làm mất hiệu lực của nó. **Vấn
đề:** Các sáng kiến bảo mật quyền riêng tư trong các trình duyệt (như Intelligent Tracking
Prevention của Safari và Privacy Sandbox của Chrome) đang tích cực giảm bớt entropy của
những dấu vân tay này để ngăn chặn việc theo dõi quảng cáo. Điều này khiến cho việc lấy
dấu vân tay "tốt" cho mục đích bảo mật ngày càng trở nên khó khăn. Hơn nữa, những kẻ tấn
công hiện sử dụng các "Anti-Detect Browsers" cho phép chúng giả mạo những dấu vân tay này
một cách hoàn hảo để khớp với hồ sơ của nạn nhân, làm cho việc phát hiện theo thuật toán
(heuristic) trở nên không hiệu quả. DBSC thay thế trò chơi đoán xác suất này bằng bằng
chứng mật mã xác định.
## 4. Kiến trúc Kỹ thuật: DBSC hoạt động như thế nào
[Device Bound Session Credentials](https://www.corbado.com/blog/device-bound-session-credentials-dbsc) (DBSC) đưa
ra một
[API và giao thức chuẩn hóa](https://developer.chrome.com/docs/web-platform/device-bound-session-credentials)
để tạo ra các phiên được ràng buộc với một khóa trên thiết bị máy khách. Thông số kỹ thuật
yêu cầu lưu trữ khóa "mạnh mẽ trước mối đe dọa được mô tả" nhưng không quy định cụ thể về
việc triển khai. Chrome sử dụng TPM trên Windows khi khả dụng. Phần này mô tả chi tiết các
cơ chế như được định nghĩa trong Bản thảo Làm việc của W3C và tài liệu của Chrome.
### 4.1 Các Thành phần Cốt lõi
| **Thành phần** | **Mô tả** | **Vai trò trong DBSC** |
| ---------------------------- | --------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------- |
| **User agent (trình duyệt)** | Ứng dụng client (Chrome, Edge, v.v.). | Quản lý cặp khóa, xử lý tương tác với HSM, và chặn các yêu cầu mạng để đính kèm bằng chứng. |
| **Relying party (máy chủ)** | Ứng dụng web (ví dụ, cổng ngân hàng). | Đưa ra các thử thách, xác minh chữ ký, và quản lý vòng đời của phiên. |
| **Lưu trữ khóa** | Bộ lưu trữ an toàn (TPM, Secure Enclave, hoặc khác) | Lưu trữ khóa riêng tư. Chrome sử dụng TPM trên Windows khi khả dụng; thông số kỹ thuật không bắt buộc về cơ chế triển khai. |
| **Cookie phiên** | Một cookie HTTP tiêu chuẩn. | Được sử dụng làm bearer token, nhưng có tuổi thọ rất ngắn (ví dụ, 5-10 phút). |
| **Bằng chứng sở hữu** | Một chữ ký mật mã. | Một JWT được trình duyệt gửi đi để chứng minh nó vẫn nắm giữ khóa riêng tư. |
### 4.2 Vòng đời Giao thức DBSC
Vòng đời DBSC cho phép chuyển đổi liền mạch từ một phiên tiêu chuẩn sang một phiên được
ràng buộc, đảm bảo khả năng tương thích ngược và nâng cao dần dần.
```mermaid
sequenceDiagram
participant User as Người dùng
participant Browser as Trình duyệt
participant HSM as HSM (TPM/Secure Enclave)
participant Server as Máy chủ
Note over User,Server: Giai đoạn 1: Xác thực & Ràng buộc
User->>Browser: Đăng nhập bằng thông tin xác thực/passkey
Browser->>Server: Yêu cầu xác thực
Server->>Browser: Thành công + header đăng ký DBSC
Browser->>HSM: Tạo cặp khóa
HSM->>Browser: Khóa Công khai/Riêng tư (khóa riêng tư không thể trích xuất)
Browser->>Server: Đăng ký khóa công khai (JWT đã ký)
Server->>Server: Ràng buộc phiên với khóa công khai
Server->>Browser: Cookie tồn tại ngắn (5 phút)
Note over User,Server: Giai đoạn 2: Sử dụng Bình thường
loop Mỗi yêu cầu trong vòng 5 phút
Browser->>Server: Yêu cầu với cookie
Server->>Browser: Phản hồi
end
Note over User,Server: Giai đoạn 3: Làm mới (sau khi hết hạn)
Browser->>Server: Yêu cầu với cookie đã hết hạn
Server->>Browser: 401 + Thử thách (nonce)
Browser->>HSM: Ký thử thách
HSM->>Browser: Chữ ký
Browser->>Server: Bằng chứng chữ ký
Server->>Server: Xác minh bằng khóa công khai đã lưu
Server->>Browser: Cookie tồn tại ngắn mới
Browser->>Server: Thử lại yêu cầu ban đầu
Server->>Browser: Phản hồi thành công
```
#### 4.2.1 Giai đoạn 1: Khởi tạo và Ràng buộc
Quá trình ràng buộc bắt đầu ngay sau khi người dùng xác thực thành công bằng các phương
pháp tiêu chuẩn (mật khẩu, passkey, v.v.).
1. **Tín hiệu Máy chủ:** Sau khi đăng nhập thành công, máy chủ sẽ thiết lập một cookie
phiên (như bình thường) nhưng thêm một tiêu đề (header) cụ thể cho biết hỗ trợ DBSC.
```
HTTP
HTTP/1.1 200 OK
Set-Cookie: session_id=xyz123...; Secure; HttpOnly; SameSite=Strict
Secure-Session-Registration: (ES256 RS256); path="/auth/dbsc/register"
```
- Header Secure-Session-Registration nói với trình duyệt: "Tôi hỗ trợ các thuật toán
ES256 và RS256. Vui lòng đăng ký một phiên được ràng buộc tại endpoint
/auth/dbsc/register."
2. **Tạo Khóa:** Trình duyệt phân tích header này. Nó tạo ra một cặp khóa bất đối xứng mới
(ví dụ, Elliptic Curve P-256), được lưu trữ an toàn trên thiết bị.
- **Lưu ý triển khai:** Chrome sử dụng TPM trên Windows khi khả dụng; thông số kỹ
thuật không phụ thuộc vào cơ chế lưu trữ, chỉ yêu cầu rằng nó "mạnh mẽ trước mối đe
dọa được mô tả."
- **Phạm vi Quyền riêng tư:** Khóa được khoanh vùng trong origin web (ví dụ,
bank.com). Trình duyệt đảm bảo khóa này không bao giờ được sử dụng cho retailer.com,
ngăn chặn việc theo dõi cross-site.
3. **Yêu cầu Đăng ký:** Trình duyệt gửi một yêu cầu tới đường dẫn đăng ký được chỉ định.
Yêu cầu này bao gồm **Khóa Công khai** mới được tạo bên trong một JSON Web Token (JWT),
được ký bởi Khóa Riêng tư (chứng nhận tự ký).
```
HTTP
POST /auth/dbsc/register HTTP/1.1
Content-Type: application/jwt
\.\.\
```
4. **Ràng buộc Phiên:** Máy chủ xác thực chữ ký để đảm bảo rằng khóa công khai hoạt động
tốt. Sau đó, nó cập nhật cơ sở dữ liệu của mình để liên kết phiên của người dùng
(session_id=xyz123) với Khóa Công khai cụ thể này. Kể từ thời điểm này trở đi, phiên
được "ràng buộc."
#### 4.2.2 Giai đoạn 2: Vòng lặp Cookie Tồn tại Ngắn
Để cân bằng giữa bảo mật và hiệu suất (các thao tác khóa an toàn có thể tăng thêm độ trễ),
DBSC sử dụng một hệ thống token kép.
1. **Cấp phát:** Máy chủ cấp một cookie _mới_, tồn tại ngắn (ví dụ, có hiệu lực trong 5
phút). Hãy gọi cái này là access_token.
2. **Sử dụng:** Trình duyệt sử dụng access_token này cho mọi yêu cầu bình thường (tìm nạp
hình ảnh, gọi API, điều hướng các trang). Miễn là cookie còn hiệu lực, không có thao
tác mật mã nào được thực hiện. Điều này đảm bảo quá trình duyệt web vẫn nhanh chóng.
3. **Hết hạn:** Sau 5 phút, access_token hết hạn.
#### 4.2.3 Giai đoạn 3: Làm mới (Bằng chứng Sở hữu)
Đây là trọng tâm của cơ chế bảo mật. Khi cookie tồn tại ngắn hết hạn, một kẻ tấn công trên
một thiết bị khác sẽ bị khóa ra ngoài, nhưng người dùng hợp pháp (có quyền truy cập vào
khóa ràng buộc) có thể tiếp tục.
1. **Phát hiện:** Trình duyệt cố gắng gửi một yêu cầu. Nó nhận ra rằng cookie đã hết hạn
(hoặc máy chủ trả về lỗi 401 hoặc một header Secure-Session-Challenge cụ thể).
2. **Ngăn chặn:** Trình duyệt _tạm dừng_ yêu cầu mạng. Nó không hiển thị lỗi cho người
dùng.
3. **Yêu cầu Làm mới:** Trình duyệt tự động gọi tới endpoint làm mới được định nghĩa trong
cấu hình phiên.
- Máy chủ gửi một **Thử thách** mật mã (một nonce).
- Trình duyệt sử dụng khóa ràng buộc để ký vào thử thách này.
- Chữ ký chứng minh sự sở hữu của khóa riêng tư.
4. **Gửi:** Trình duyệt gửi lại thử thách đã ký cho máy chủ.
```
HTTP
POST /auth/dbsc/refresh HTTP/1.1
Sec-Secure-Session-Id: \
Secure-Session-Response: \
```
5. **Xác nhận:** Máy chủ sử dụng Khóa Công khai đã được lưu để xác minh chữ ký.
- _Nếu Hợp lệ:_ Máy chủ biết rằng yêu cầu đến từ cùng một thiết bị vật lý đã khởi tạo
phiên. Nó cấp một access_token tồn tại ngắn _mới_ (có hiệu lực trong 5 phút tiếp
theo).
- _Nếu Không hợp lệ:_ Yêu cầu bị từ chối. Phiên bị chấm dứt.
6. **Tiếp tục:** Trình duyệt nhận lấy cookie mới và minh bạch thử lại yêu cầu mạng đã bị
tạm dừng ban đầu. Người
[dùng không gặp phải sự gián đoạn nào](https://developer.chrome.com/docs/web-platform/device-bound-session-credentials).
### 4.3 Những sắc thái Triển khai
#### 4.3.1 Phòng thủ "Lift and Shift"
```mermaid
graph LR
subgraph "Thiết bị của Nạn nhân"
A[Phiên Người dùng
với DBSC]
B[Khóa Riêng tư
HSM/TPM]
C[Cookie +
ID Phiên]
A --> B
A --> C
B -.->|Không thể trích xuất| X[Không thể Trích xuất
Khóa Riêng tư]
end
subgraph "Kịch bản Tấn công"
D[RedLine Stealer
Lây nhiễm Thiết bị]
D --> E[Đánh cắp Cookie
& ID Phiên]
E --> F[Xuất ra cho
Kẻ tấn công]
end
subgraph "Thiết bị của Kẻ tấn công"
G[Nhập Cookie
Bị đánh cắp]
H[Cố gắng
Sử dụng Phiên]
I[Máy chủ Yêu cầu
Làm mới DBSC]
J[Không thể Ký
Thử thách]
K[Từ chối Phiên]
G --> H
H --> I
I --> J
J --> K
end
C -.->|Bị đánh cắp| E
F --> G
style D fill:#ff6b6b,color:#fff
style K fill:#51cf66,color:#fff
style B fill:#4c6ef5,color:#fff
style X fill:#51cf66,color:#fff
style J fill:#ff6b6b,color:#fff
```
Hãy xem xét một kẻ tấn công lây nhiễm PC của người dùng bằng RedLine Stealer. Chúng đánh
cắp `access_token` và `session_id`. Chúng nhập những thứ này vào trình duyệt của chính
chúng.
- **Kịch bản A (Trong vòng 5 phút):** Kẻ tấn công có thể truy cập được trong vài phút cho
đến khi token tồn tại ngắn hết hạn.
- **Kịch bản B (Sau khi Hết hạn):** Trình duyệt của kẻ tấn công (trên một thiết bị khác)
cố gắng sử dụng token. Máy chủ từ chối nó và yêu cầu một lượt làm mới. Trình duyệt của
kẻ tấn công nhìn thấy các header DBSC nhưng không thể thực hiện việc làm mới bởi vì nó
không có khóa riêng tư ràng buộc. Cuộc tấn công thất bại.
#### 4.3.2 Phạm vi và Quyền riêng tư
Quyền riêng tư là một mục tiêu thiết kế trọng tâm của DBSC. Bản
[thông số kỹ thuật của W3C](https://www.w3.org/TR/dbsc/) nghiêm cấm rõ ràng việc sử dụng
các định danh toàn cầu có thể theo dõi người dùng trên các trang web.
- **Các khóa Per-Origin:** Trình duyệt tạo ra một cặp khóa duy nhất cho mỗi trang web.
google.com nhìn thấy Khóa A; amazon.com nhìn thấy Khóa B. Không có sự liên hệ nào giữa
chúng.
- **Xóa bởi Người dùng:** Nếu người dùng xóa dữ liệu trang web/cookie của họ, trình duyệt
cũng sẽ xóa các khóa DBSC tương ứng. Điều này đảm bảo rằng DBSC không thể bị sử dụng như
một "siêu-cookie" để hồi sinh các danh tính đã bị xóa.
#### 4.3.3 Các cân nhắc phía Máy chủ
Việc triển khai DBSC yêu cầu máy chủ phải duy trì trạng thái về các khóa công khai.
- **Lược đồ Cơ sở dữ liệu:** Bảng phiên (session table) phải được cập nhật để lưu trữ
`public_key` và `last_challenge` cùng với `user_id` và `session_expiry`.
- **Hiệu suất:** Quá trình làm mới liên quan đến việc xác minh mật mã (ví dụ, xác minh một
chữ ký ECDSA). Mặc dù nhanh, nó vẫn tiêu tốn CPU nhiều hơn so với việc kiểm tra một
chuỗi đơn giản. Tuy nhiên, vì các lượt làm mới chỉ xảy ra vài phút một lần (không phải
mỗi yêu cầu), lượng tài nguyên gia tăng này là không đáng kể.
## 5. Ý nghĩa Kinh doanh và Sản phẩm
Vượt ra ngoài các thông số kỹ thuật, DBSC mang lại những tác động quan trọng đối với chiến
lược kinh doanh, lộ trình sản phẩm, và các thế trận tuân thủ.
### 5.1 ROI của Bảo mật Không cản trở
Các sáng kiến bảo mật thường bị coi là những trung tâm chi phí hoặc tác nhân tạo ra sự cản
trở. DBSC làm đảo ngược nhận định này. Sơ đồ sau đây minh họa cách việc ràng buộc thiết bị
tạo ra một chuỗi các lợi ích kinh doanh:
- **Giảm thiểu Gian lận:** Bằng cách vô hiệu hóa vector chính gây ra Chiếm đoạt Tài khoản
(ATO), các doanh nghiệp có thể tiết kiệm hàng triệu đô la tổn thất do gian lận.
- **Chi phí Hỗ trợ:**
[Khôi phục tài khoản](https://www.corbado.com/vi/blog/cach-chuyen-sang-khong-mat-khau-hoan-toan) là một quá
trình tốn kém.
[Ngăn chặn vụ tấn công ngay từ đầu](https://fidoalliance.org/white-paper-dbsc-dpop-as-complementary-technologies-to-fido-authentication/)
trực tiếp làm giảm gánh nặng hoạt động này.
- **Tối ưu hóa Chuyển đổi:** Trong thương mại điện tử, mỗi lời nhắc đăng nhập là một điểm
có khả năng khiến khách hàng rời bỏ. DBSC cho phép các chính sách "duy trì đăng nhập"
tích cực hơn, cho phép
[thanh toán](https://www.corbado.com/vi/blog/xac-thuc-ky-thuat-so-thanh-toan-apple-vs-google-wallet) tức thì mà
không cần lời nhắc mật khẩu.
### 5.2 Sự Tuân thủ và "State of the Art"
Các khuôn khổ quản lý như GDPR (General Data Protection Regulation) ở Châu Âu yêu cầu các
tổ chức phải triển khai "các biện pháp kỹ thuật và tổ chức phù hợp" để đảm bảo an ninh.
- **Bảo mật có thể phòng thủ:** Khi DBSC trở thành một tiêu chuẩn, nó sẽ có khả năng được
hiểu là "state of the art" (tiên tiến nhất) cho việc quản lý phiên. Trong trường hợp xảy
ra một vụ rò rỉ, việc chứng minh rằng DBSC đã được triển khai có thể là một lời biện hộ
mạnh mẽ trước các cáo buộc về sự sơ suất.
- **Các Tiêu chuẩn Ngân hàng (PSD2):** Chỉ thị về Dịch vụ
[Thanh toán](https://www.corbado.com/vi/blog/xac-thuc-ky-thuat-so-thanh-toan-apple-vs-google-wallet) 2 (Payment
Services Directive 2) yêu cầu
"[Strong Customer Authentication](https://www.corbado.com/faq/sca-psd2-importance)" (SCA). Mặc dù
[SCA](https://www.corbado.com/vi/blog/passkeys-va-psd2) tập trung vào quá trình đăng nhập, việc
[liên kết động](https://www.corbado.com/vi/blog/lien-ket-dong-passkeys-spc) của phiên với thiết bị hoàn toàn
phù hợp với các mục tiêu của chỉ thị về việc ràng buộc xác thực với các số tiền và người
nhận [thanh toán](https://www.corbado.com/vi/blog/xac-thuc-ky-thuat-so-thanh-toan-apple-vs-google-wallet) cụ
thể.
### 5.3 High Assurance so với Moderate Assurance
Các
[sách trắng của FIDO Alliance](https://fidoalliance.org/white-paper-high-assurance-enterprise-fido-authentication/)
nhấn mạnh khái niệm "Assurance Levels" (Các Mức độ Đảm bảo).
- **Moderate Assurance:** Sử dụng các passkey được đồng bộ (như trong
[iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain)). Phù hợp với các ứng dụng người tiêu dùng,
có thể khôi phục, dễ sử dụng.
- **High Assurance:** Yêu cầu các khóa được ràng buộc với thiết bị. Đây là nơi DBSC tỏa
sáng. Đối với các tài nguyên doanh nghiệp (cổng HR, kho lưu trữ mã nguồn) hoặc có giá
trị cao [như ngân hàng](https://www.corbado.com/passkeys-for-banking), tổ chức có thể thực thi một chính sách
_chỉ_ cho phép quyền truy cập từ các phiên được ràng buộc với một thiết bị được quản lý
cụ thể. DBSC cung cấp cơ chế thực thi kỹ thuật cho chính sách này.
## 6. DBSC và Các Giải pháp Thay thế
Để đánh giá đầy đủ về DBSC, chúng ta phải so sánh nó với các công nghệ khác đã từng cố
gắng giải quyết các vấn đề tương tự.
```mermaid
graph RL
subgraph "Các Cookie Truyền thống"
TC1[Chỉ Bearer Token]
TC2[Dễ bị Đánh cắp]
TC3[Phiên Dài = Rủi ro]
TC1 --> TC2
TC2 --> TC3
end
subgraph "Token Binding"
TB1[Ràng buộc Lớp TLS]
TB2[❌ Thất bại: Hạ tầng Phức tạp]
TB3[Bị gãy ở Bộ Cân bằng Tải]
TB1 --> TB2
TB2 --> TB3
end
subgraph "DPoP"
DP1[Ràng buộc Token OAuth]
DP2[✅ Bảo vệ API]
DP3[Không dành cho Phiên Trình duyệt]
DP1 --> DP2
DP2 --> DP3
end
subgraph "DBSC"
D1[Ràng buộc Lớp HTTP]
D2[✅ Bảo vệ Khóa Phần cứng]
D3[✅ Hoạt động với CDN/LB]
D4[✅ Phiên Trình duyệt]
D1 --> D2
D2 --> D3
D3 --> D4
end
style TC2 fill:#ff6b6b,color:#fff
style TB2 fill:#ff6b6b,color:#fff
style D2 fill:#51cf66,color:#fff
style D3 fill:#51cf66,color:#fff
style D4 fill:#51cf66,color:#fff
style DP2 fill:#51cf66,color:#fff
```
### 6.1 DBSC so với Token Binding
Như đã đề cập, Token Binding đã cố gắng ràng buộc phiên với lớp TLS.
- **Token Binding:** Yêu cầu hỗ trợ từ client, máy chủ, _và_ mọi bước trung gian (Load
Balancers, TLS Terminators). Nó đã bị hỏng khi một kết nối bị ngắt (terminate) và được
mã hóa lại.
- **DBSC:**
[Hoạt động tại lớp ứng dụng HTTP](https://fidoalliance.org/white-paper-dbsc-dpop-as-complementary-technologies-to-fido-authentication/).
Nó đi qua các Bộ Cân bằng Tải một cách minh bạch dưới dạng các cookie/header tiêu chuẩn.
Nó dễ triển khai hơn nhiều trong các kiến trúc đám mây hiện đại (AWS/GCP/Azure) nơi TLS
thường được xử lý bởi mạng lưới edge của nhà cung cấp đám mây.
### 6.2 DBSC so với DPoP (Demonstrating Proof of Possession)
[DPoP (RFC 9449)](https://datatracker.ietf.org/doc/html/rfc9449) là tiêu chuẩn cho các
token OAuth "ràng buộc với người gửi" (sender-constrained). Nó ràng buộc cả các
[access token](https://www.corbado.com/glossary/access-token) _và_ refresh token với một khóa công khai—điều rất
quan trọng vì các refresh token bản thân nó đã là những credential vô danh tồn tại lâu
dài. Mỗi yêu cầu API bao gồm một bằng chứng DPoP: một JWT được ký với phương thức HTTP,
URL, dấu thời gian, và một định danh duy nhất. Các thông số kỹ thuật High-assurance (đảm
bảo cao) như [FAPI 2.0](https://openid.net/specs/fapi-2_0-security-profile.html) bắt buộc
sử dụng các token sender-constrained; DPoP là phương pháp được khuyến nghị khi mTLS không
khả dụng.
**Điểm khác biệt chính:** Các khóa DPoP nằm trong bối cảnh ứng dụng. Best practice là sử
dụng các OS API cho việc lưu trữ không thể trích xuất, nhưng điều này không bị bắt
buộc—nhiều triển khai vẫn giữ các khóa trong bộ nhớ mà JavaScript có thể truy cập được.
Nếu một kẻ tấn công có thể thực thi mã tùy ý (XSS, phần mềm độc hại), chúng có thể truy
cập các khóa DPoP hoặc tạo ra các bằng chứng theo yêu cầu. DPoP ngăn chặn việc replay
token _giữa các client khác nhau_, nhưng không thể bảo vệ một bối cảnh trình duyệt đã bị
thỏa hiệp.
DBSC chuyển bằng chứng sở hữu (proof-of-possession) vào trình duyệt và phần cứng. Khóa
riêng tư nằm trong một TPM hoặc [secure enclave](https://www.corbado.com/glossary/secure-enclave) mà JavaScript
không thể đọc hoặc trích xuất. Trình duyệt xử lý giao thức và tạo ra các chữ ký mà không
phơi bày các khóa cho mã ứng dụng. Ngay cả khi ứng dụng web bị thỏa hiệp hoàn toàn, một kẻ
tấn công không thể đúc mới các bằng chứng cho những cookie bị đánh cắp trên một máy tính
khác.
| Khía cạnh | DPoP | DBSC |
| ----------------- | ------------------------------------------ | -------------------------------- |
| **Mục tiêu** | Các access + refresh token của OAuth | Cookie phiên của trình duyệt |
| **Lưu trữ khóa** | Bối cảnh ứng dụng (best practice: OS APIs) | Dựa trên phần cứng (TPM) |
| **Kháng XSS** | ⚠️ Phụ thuộc vào cách triển khai | ✅ Các khóa không thể trích xuất |
| **Sử dụng chính** | Native apps, SPAs, FAPI 2.0 | Phiên web của người dùng |
**Sự phối hợp:** Như
[FIDO Alliance lưu ý](https://fidoalliance.org/white-paper-dbsc-dpop-as-complementary-technologies-to-fido-authentication/),
passkey loại bỏ lừa đảo lúc đăng nhập, trong khi DBSC/DPoP bảo vệ các token sau xác thực.
Một kiến trúc hiện đại kết hợp cả hai: DPoP cho các API OAuth (đặc biệt là open
[banking](https://www.corbado.com/passkeys-for-banking) được quản lý), DBSC cho các phiên trình duyệt. Cùng nhau
chúng đóng lại vector tấn công "lift and shift" trong toàn bộ vòng đời phiên.
### 6.3 DBSC so với Các Cookie Tồn tại Ngắn (Một mình)
Việc đơn thuần thu ngắn thời gian tồn tại của cookie (ví dụ: xuống còn 15 phút) cải thiện
bảo mật nhưng lại phá hỏng UX. Người dùng buộc phải đăng nhập liên tục. DBSC cho phép sự
bảo mật _hiệu quả_ của một cookie 5 phút kết hợp với _Trải nghiệm Người dùng_ của một
cookie 30 ngày.
## 7. Shared Signals và Phản hồi Động (CAEP/RISC)
```mermaid
%%{init: {
"theme": "default",
"themeVariables": {
"actorBkg": "#ffffff",
"actorBorder": "#000000",
"noteBkgColor": "#f1f3f5",
"noteTextColor": "#000000",
"activationBkgColor": "#e0e0e0",
"actorColours": {
"ST": "#ff6b6b",
"IdP": "#4c6ef5"
}
}
}}%%
sequenceDiagram
participant ST as Các Công cụ Bảo mật
(CrowdStrike, Defender)
participant IdP as Identity Provider
(Okta, Google, Azure)
participant SP1 as Service Provider 1
(Slack)
participant SP2 as Service Provider 2
(Salesforce)
participant SP3 as Service Provider 3
(Ứng dụng Ngân hàng)
participant Session as Phiên Người dùng
(Được bảo vệ bởi DBSC)
Note over ST,Session: Giai đoạn Phát hiện Mối đe dọa
ST->>ST: Phát hiện phần mềm độc hại
trên thiết bị
ST->>IdP: Tín hiệu RISC:
"Thiết bị Bị Thỏa hiệp"
Note over IdP,SP3: Giai đoạn Lan truyền Tín hiệu
IdP->>SP1: Sự kiện CAEP:
"Thiết bị Bị Thỏa hiệp"
IdP->>SP2: Sự kiện CAEP:
"Thiết bị Bị Thỏa hiệp"
IdP->>SP3: Sự kiện CAEP:
"Thiết bị Bị Thỏa hiệp"
Note over SP1,Session: Giai đoạn Thực thi (với DBSC)
Session->>SP1: Lần thử làm mới tiếp theo
(trong vài phút)
SP1-->>Session: x Từ chối chữ ký
Session->>SP2: Lần thử làm mới tiếp theo
SP2-->>Session: x Từ chối chữ ký
Session->>SP3: Lần thử làm mới tiếp theo
SP3-->>Session: x Từ chối chữ ký
Note over Session: Các phiên có thể bị chấm dứt tại lần thử làm mới tiếp theo
```
Tiềm năng của DBSC được khuếch đại khi kết hợp với
[**Shared Signals Framework (SSF)**](https://fidoalliance.org/white-paper-fido-and-the-shared-signals-framework/),
cụ thể là **Continuous Access Evaluation Profile (CAEP)** và **Risk Management (RISC)**.
Lưu ý: SSF/CAEP là một khả năng hệ sinh thái đang nổi lên—mẫu kiến trúc đã được định
nghĩa, nhưng việc triển khai chéo trên nhiều nhà cung cấp vẫn đang trong giai đoạn trưởng
thành.
Trong mô hình cũ, nếu thiết bị của một người dùng bị thỏa hiệp, Identity Provider (IdP)
không có cách nào để bảo Service Provider (SP) giết (kill) phiên _ngay lập tức_. SP sẽ
phải đợi cookie hết hạn.
Luồng DBSC + CAEP được hình dung:
1. **Kích hoạt:** Một công cụ bảo mật endpoint (như CrowdStrike hoặc Microsoft Defender)
phát hiện phần mềm độc hại trên laptop của người dùng.
2. **Tín hiệu:** Công cụ bảo mật gửi một tín hiệu RISC tới Identity Provider (ví dụ,
Okta/Google).
3. **Lan truyền:** IdP đẩy một sự kiện CAEP tới các ứng dụng được kết nối: "Thiết bị Bị
Thỏa hiệp."
4. **Thực thi (DBSC):** Lần tiếp theo trình duyệt cố gắng làm mới cookie tồn tại ngắn của
DBSC, máy chủ sẽ từ chối chữ ký và giết (kill) phiên.\
[Mẫu kiến trúc này](https://fidoalliance.org/white-paper-fido-and-the-shared-signals-framework/) cho
phép thu hồi nhanh hơn—độ trễ thực tế phụ thuộc vào chu kỳ làm mới của trang web và
liệu họ đã triển khai cả DBSC và SSF hay chưa.
## 8. Hỗ trợ từ Trình duyệt và Hệ sinh thái
Việc áp dụng DBSC phụ thuộc vào các nhà cung cấp trình duyệt. Bối cảnh vào năm 2026 đã
thay đổi rõ rệt: Chrome chuyển DBSC từ Origin Trial sang General Availability (GA) trên
Windows vào tháng 4 năm 2026, với macOS sẽ tiếp nối. Các trình duyệt khác vẫn đang đánh
giá.
### 8.1 Google Chrome
Google là động lực chính của DBSC và là trình duyệt đầu tiên xuất xưởng (ship) nó rộng
rãi.
- **Trạng thái (Tháng 4 năm 2026):**
[Chrome 146 phát hành DBSC ở dạng General Availability trên Windows](https://blog.google/security/protecting-cookies-with-device-bound-session-credentials/),
kết thúc giai đoạn Origin Trial. Khả năng hỗ trợ macOS, sử dụng Secure Enclave, đã được
công bố cho một bản phát hành Chrome sắp tới.
- **Phần cứng:** Windows sử dụng TPM, macOS sẽ sử dụng Secure Enclave. Google đã tuyên bố
họ cũng đang khám phá **các khóa dựa trên phần mềm** để mở rộng bảo vệ DBSC tới các
thiết bị không có phần cứng bảo mật chuyên dụng.
- **Lộ trình:** Thông báo GA của Google cũng xuất bản lộ trình cho các bước tiếp theo:
- **Bảo mật federated identity:** Các ràng buộc DBSC
[cross-origin](https://www.corbado.com/blog/iframe-passkeys-webauthn) để phiên relying-party (RP) luôn gắn
bó với cùng một khóa thiết bị như phiên identity-provider (IdP), duy trì một chuỗi
niềm tin không bị phá vỡ thông qua [SSO](https://www.corbado.com/blog/passkeys-single-sign-on-sso).
- **Đăng ký nâng cao:** Ràng buộc các phiên DBSC với vật liệu khóa (key material) được
tin cậy từ trước chẳng hạn như **chứng chỉ mTLS** hoặc **khóa bảo mật phần cứng**,
thay vì tạo ra một khóa mới tại thời điểm đăng nhập.
- **Hỗ trợ thiết bị rộng rãi hơn:** Các khóa dựa trên phần mềm cho các thiết bị không
có TPM / Secure Enclave.
- **Kết quả hoạt động:** Trong quá trình triển khai, Google báo cáo một "sự sụt giảm đáng
kể về đánh cắp phiên" đối với các phiên được bảo vệ bởi DBSC.
- **Tài khoản Google:** Một cách riêng biệt, Google trước đây đã tung ra hình thức bảo vệ
kiểu DBSC cho
[các cookie tài khoản Google trên Chrome cho Windows](https://support.google.com/chrome/a/answer/2657289),
được kiểm soát thông qua chính sách doanh nghiệp. Điều này bảo vệ Gmail/Workspace và giờ
đây nó là cùng một nhóm công nghệ đạt trạng thái GA cho toàn bộ web.
### 8.2 Microsoft Edge & Windows
Microsoft đang tích cực tham gia.
- **Trạng thái:** Edge đã chạy một
[Origin Trial cho DBSC](https://developer.microsoft.com/microsoft-edge/origin-trials/trials/0c292c9b-58fe-4f23-b066-c3b58911024d)
trên Windows và đã kết thúc vào tháng 10 năm 2025. Không có thử nghiệm thay thế hoặc GA
nào được công bố.
- **Bối cảnh Doanh nghiệp:** Edge sử dụng
[kiến trúc "Primary Refresh Token" (PRT)](https://learn.microsoft.com/en-us/entra/identity/devices/concept-primary-refresh-token)
cho [SSO](https://www.corbado.com/blog/passkeys-single-sign-on-sso) của Entra/Azure AD, về mặt khái niệm tương
tự như DBSC. PRT vẫn là một cơ chế riêng của Microsoft; không có kế hoạch được công bố
nào về việc thống nhất nó với tiêu chuẩn web DBSC cho các trang web của
[bên thứ ba](https://www.corbado.com/vi/blog/nha-cung-cap-passkey).
### 8.3 Apple Safari (WebKit)
Lập trường của Apple có ý nghĩa quan trọng đối với độ phủ sóng trên thiết bị di động.
- **Trạng thái:** WebKit có một
[vấn đề (issue) về vị thế tiêu chuẩn](https://github.com/WebKit/standards-positions/issues/281)
đang đánh giá DBSC với những lo ngại đã được ghi nhận về khả năng sử dụng/quyền riêng
tư. Các ghi chú phát hành của Safari không đề cập đến DBSC. Không có tuyên bố "tích cực
triển khai" công khai nào tồn tại.
- **Ưu tiên Quyền riêng tư:** Lo ngại chính của Apple là DBSC có thể được sử dụng cho
"siêu-cookie" (theo dõi không thể xóa). Thông số kỹ thuật của W3C giải quyết vấn đề này
bằng cách đảm bảo các khóa sẽ bị xóa cùng với dữ liệu trang web.
- **Mức độ tham gia:** WebKit đang tham gia vào quy trình tiêu chuẩn hóa, nhưng trạng thái
triển khai không rõ ràng—"đang thảo luận" chứ không phải "đang phát triển."
### 8.4 Mozilla Firefox
Mozilla có một
[vấn đề về vị thế tiêu chuẩn](https://github.com/mozilla/standards-positions/issues/912)
đang đánh giá DBSC với những lo ngại đã được ghi nhận về tính phức tạp và quyền riêng tư.
Không có cam kết công khai nào về việc triển khai một khi tiêu chuẩn này ổn định.
## 9. Khuyến nghị: Bảo vệ Người dùng Hôm nay
Với mức độ hỗ trợ hiện tại của hệ sinh thái dành cho DBSC và passkey, các tổ chức nên áp
dụng một cách tiếp cận theo từng giai đoạn để triển khai các công nghệ bổ sung này. Lộ
trình dưới đây phác thảo những hành động trước mắt và các cột mốc lập kế hoạch chiến lược:
### 9.1 Các Hành động Trước mắt (Bây giờ khi Chrome 146 đã GA)
1. **Triển khai Passkey Trước tiên**: Bắt đầu bằng việc triển khai passkey để bảo mật lớp
xác thực. Điều này mang lại sự bảo vệ ngay lập tức trước nạn lừa đảo thông tin xác thực
và là điều kiện tiên quyết để nhận được giá trị thực sự từ DBSC.
2. **Vận hành các Endpoint Đăng ký và Làm mới DBSC**: Với Chrome 146 GA, công việc thực tế
bây giờ là tích hợp ở backend: thêm các header `Secure-Session-Registration` vào phản
hồi đăng nhập và triển khai `/dbsc/register` cộng với một endpoint làm mới để xác minh
các thử thách đã được ký. Mã front-end không cần phải thay đổi.
3. **Triển khai Các Phiên Tồn tại Ngắn với Các Refresh Token**: Nếu bạn chưa sẵn sàng với
DBSC, hãy áp dụng mẫu kiến trúc của các token tồn tại ngắn cùng các cơ chế làm mới.
Điều này chuẩn bị backend của bạn cho DBSC trong khi cải thiện bảo mật ngay hôm nay.
### 9.2 Lập Kế hoạch Chiến lược (12 tháng tới)
1. **Áp dụng Phương pháp Tiếp cận Lai (Hybrid)**: Sử dụng "feature detection" để phục vụ
DBSC cho những trình duyệt có khả năng (hiện tại là Chrome 146+ trên Windows, sắp tới
là macOS Secure Enclave) trong khi vẫn duy trì các tùy chọn fallback. Điều này tối đa
hóa bảo mật mà không loại trừ những người dùng trên Safari, Firefox hoặc Edge.
2. **Chuẩn bị cho Các Hạng mục Tiếp theo trong Lộ trình**: Google đã gọi tên rõ ràng
federated identity (ràng buộc SSO [cross-origin](https://www.corbado.com/blog/iframe-passkeys-webauthn)), đăng
ký nâng cao (mTLS / khóa phần cứng) và các khóa dựa trên phần mềm để mở rộng độ phủ
sóng trên thiết bị. Nếu bạn vận hành một lớp SSO hoặc IdP, hãy bắt đầu định hình phạm
vi (scoping) ràng buộc cross-origin ngay bây giờ.
3. **Tích hợp với Các Identity Provider**: Nếu đang sử dụng Okta,
[Auth0](https://www.corbado.com/blog/auth0-passkeys-analysis), hoặc các IdP tương tự, hãy làm việc với họ để
bật tính năng hỗ trợ DBSC trong các SDK của họ. Rất nhiều hãng đã tham gia vào Origin
Trials và đang tích cực vận hành các khả năng DBSC bây giờ khi Chrome đã đạt trạng thái
GA.
### 9.3 Các Best Practice về Triển khai
- **Bắt đầu với Những Mục tiêu Có Giá trị Cao**: Ưu tiên DBSC cho các bảng điều khiển
(admin panels), giao dịch tài chính, và việc truy cập dữ liệu nhạy cảm.
- **Sử dụng Các Giải pháp Được Quản lý (Managed Solutions)**: Cân nhắc các nền tảng như
Corbado vốn xử lý tính phức tạp trong việc triển khai DBSC và khả năng tương thích của
trình duyệt.
- **Đo lường và Lặp lại**: Theo dõi các số liệu như số lần cố gắng chiếm đoạt phiên, số
phiếu hỗ trợ, và sự cản trở người dùng để chứng minh ROI.
- **Chuẩn bị cho Sự Tuân thủ**: Ghi chép tài liệu về quá trình triển khai DBSC của bạn vì
nó sẽ có khả năng trở thành yêu cầu tuân thủ cho việc xử lý dữ liệu nhạy cảm.
## 10. Cách Corbado có thể giúp: Cây cầu tới Tương lai
Việc triển khai DBSC từ đầu là một nhiệm vụ nặng nề đối với kỹ sư. Nó yêu cầu chuyên môn
về mật mã học, kiến thức sâu rộng về sự không nhất quán của các trình duyệt, và một cơ sở
hạ tầng mạnh mẽ phía máy chủ để quản lý các khóa và các thử thách. Đây là nơi **Corbado**
đóng vai trò là một yếu tố thúc đẩy.
### 10.1 Nền tảng: Passkey
Bạn không thể xây dựng một phiên high-assurance (đảm bảo cao) trên nền tảng của một đăng
nhập low-assurance. Nếu một người dùng đăng nhập với một mật khẩu yếu, phiên đó chỉ an
toàn bằng với mật khẩu đó. Sản phẩm cốt lõi của Corbado (**managed passkeys**) cung cấp
nền tảng cần thiết. Bằng cách tích hợp Corbado, các tổ chức có thể dễ dàng triển khai
passkey, đảm bảo rằng sự khởi đầu của phiên hoàn toàn có khả năng chống lừa đảo.
### 10.2 Tương lai: DBSC dùng cho Phát hiện Thiết bị Tin cậy
Corbado sẽ tận dụng DBSC để tăng cường việc phát hiện thiết bị tin cậy. Khi các tín hiệu
DBSC khả dụng, chúng sẽ cung cấp bằng chứng mật mã rằng một phiên có nguồn gốc từ một
thiết bị cụ thể, cho phép Corbado gia tăng các cấp độ tin cậy trong quá trình xác thực một
cách tương ứng.
- **Giải quyết Sự Nhập nhằng của Passkey Đồng bộ:** Các passkey đồng bộ thì tiện lợi nhưng
lại tạo ra một khoảng trống niềm tin: khi một người dùng xác thực bằng một passkey đồng
bộ, bạn không thể nói chắc đó có phải là laptop thường dùng của họ hay là một thiết bị
hoàn toàn mới vừa đồng bộ thông tin xác thực. DBSC lấp đầy khoảng trống này. Bằng cách
kiểm tra xem thiết bị có thiết lập một ràng buộc DBSC hay không, Corbado có thể xác minh
rằng thiết bị này thực sự đã được biết đến và tin cậy, chứ không chỉ là một lần đồng bộ
đầu tiên.
- **Độ tin cậy Cao hơn đối với Các Thiết bị Đã biết:** Khi các tín hiệu DBSC xác nhận rằng
một thiết bị đã được nhìn thấy từ trước, Corbado có thể đưa ra các quyết định rủi ro một
cách tự tin hơn: ít lời nhắc [xác thực step-up](https://www.corbado.com/vi/blog/authentication-process-mining)
hơn dành cho những người dùng hợp pháp quay lại, kiểm tra nghiêm ngặt hơn đối với các
phiên xuất phát từ những thiết bị không nhận diện được.
- **Bổ trợ cho Passkey Intelligence:** Các tín hiệu DBSC tích hợp với engine
[**Passkey Intelligence**](https://docs.corbado.com/corbado-connect/features/passkey-intelligence)
hiện tại của Corbado. Sự kết hợp giữa xác thực dựa trên passkey và ràng buộc thiết bị
dựa trên DBSC tạo nên một chuỗi niềm tin hoàn chỉnh từ lúc đăng nhập xuyên suốt toàn bộ
vòng đời của phiên.
Đối với những câu hỏi về cách mà Corbado lên kế hoạch tích hợp DBSC vào nền tảng của mình,
[hãy liên hệ với đội ngũ của chúng tôi](https://www.corbado.com/contact).
### 10.3 Fallback Thanh lịch (Thực tế "Lai")
Trong vài năm tới, web sẽ ở trạng thái lai. Một số người dùng sẽ có các trình duyệt có khả
năng hỗ trợ DBSC (Chrome trên [Windows 11](https://www.corbado.com/blog/passkeys-windows-11)); những người khác
sẽ trên các hệ thống cũ hơn. Việc xử lý sự phân mảnh này là rất khó. Engine
[**Passkey Intelligence**](https://docs.corbado.com/corbado-connect/features/passkey-intelligence)
của Corbado được thiết kế để xử lý chính xác loại logic fallback này, phục vụ passkey cho
những thiết bị có khả năng và fallback cho những thiết bị khác. Sự thông minh tương tự này
áp dụng cho việc ràng buộc phiên, đảm bảo rằng khả năng bảo mật được tối đa hóa cho mọi
người dùng tùy theo khả năng của thiết bị của họ.
## 11. Kết luận: Con đường Phía trước đối với DBSC
Kỷ nguyên của "Bearer Token" đang đi đến hồi kết. Quản lý phiên hiện tại đang thất bại một
cách thảm hại — các bearer token có thể bị đánh cắp bởi các chiến dịch phần mềm độc hại
quy mô công nghiệp và được sử dụng từ bất kỳ thiết bị nào, cho phép các vụ chiếm đoạt tài
khoản vượt qua cả những phương pháp xác thực mạnh mẽ nhất. Lỗ hổng cơ bản này đã tạo ra
một nền kinh tế ngầm trị giá hàng tỷ đô la.
[Device Bound Session Credentials](https://www.corbado.com/blog/device-bound-session-credentials-dbsc) (DBSC) đại
diện cho câu trả lời đang nổi lên của ngành công nghiệp. Không giống như các cookie bảo
mật truyền thống với các cờ HttpOnly và các bí mật tĩnh của chúng, DBSC thêm vào bằng
chứng sở hữu bằng mật mã thông qua các khóa được ràng buộc với thiết bị. Điều này làm cho
những cookie bị đánh cắp giảm giá trị đi rất nhiều. Chúng không thể được làm mới từ một
thiết bị khác. Nơi mà Token Binding đã thất bại bằng việc yêu cầu những thay đổi phức tạp
ở lớp TLS trên toàn bộ cơ sở hạ tầng, DBSC thành công bằng cách hoạt động tại lớp ứng dụng
HTTP, tương thích với các bộ cân bằng tải hiện tại và các kiến trúc CDN. Lưu ý: DBSC có
các đường dẫn fallback đã được ghi chép lại, trong đó trình duyệt bỏ qua quá trình ràng
buộc (TPM không khả dụng, lỗi mạng), vì vậy nó làm giảm thiểu đáng kể nhưng không loại bỏ
hoàn toàn rủi ro đánh cắp cookie.
Sự phối hợp giữa DBSC và Passkey nâng cao đáng kể tiêu chuẩn dành cho những kẻ tấn công
trên toàn bộ hành trình của người dùng. Passkey loại bỏ lừa đảo thông tin xác thực khi
đăng nhập, trong khi DBSC khiến cho việc chiếm đoạt phiên thông qua đánh cắp cookie từ xa
trở nên khó khăn hơn nhiều - cùng nhau tạo nên khuôn khổ danh tính "high assurance" (đảm
bảo cao) mà [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) mường tượng. Cùng với
[Chrome 146 phát hành DBSC ở dạng GA trên Windows vào Tháng 4 năm 2026](https://blog.google/security/protecting-cookies-with-device-bound-session-credentials/)
và khả năng hỗ trợ macOS Secure Enclave sắp hạ cánh, tiêu chuẩn này đã chuyển từ giai đoạn
chuẩn bị sang giai đoạn triển khai. Lộ trình được Google công bố (federated identity, đăng
ký mTLS / khóa phần cứng, các khóa dựa trên phần mềm) báo hiệu sự mở rộng trong 12 tháng
tới.
Đối với Quản lý Sản phẩm, trường hợp kinh doanh thực tế là thuyết phục: DBSC cho phép các
phiên bảo mật "vô tận" làm giảm thiểu đáng kể
[rào cản đăng nhập](https://www.corbado.com/vi/blog/rao-can-dang-nhap-giet-chet-ty-le-chuyen-doi) trong khi đồng
thời cắt giảm tổn thất do gian lận và chi phí hỗ trợ. ROI được thể hiện rõ trong tỷ lệ
chuyển đổi cao hơn, ít vé (ticket) yêu cầu đặt lại mật khẩu hơn, và loại bỏ các sự cố
chiếm đoạt tài khoản. Những tổ chức sử dụng OAuth có thể tận dụng cùng khái niệm ràng buộc
khóa này thông qua DPoP cho các token API, trong khi việc tích hợp với Shared Signals
(CAEP/RISC) cho phép ứng phó với mối đe dọa trong thời gian thực — thu hồi ngay lập tức
các phiên bị thỏa hiệp tại lần thử làm mới tiếp theo.
Việc triển khai không yêu cầu phải xây dựng từ đầu. Các nền tảng như
[Corbado](https://www.corbado.com/features) cung cấp cơ sở hạ tầng cho passkey và đang
theo dõi sát sao các phát triển của DBSC để tích hợp ràng buộc thiết bị khi sự hỗ trợ của
trình duyệt đã chín muồi. Bản [thông số kỹ thuật của W3C](https://www.w3.org/TR/dbsc/)
đang là một Bản thảo Làm việc (Working Draft) rất sôi động, Chrome 146 đã GA trên Windows
và đang triển khai cho macOS, trong khi các trình duyệt khác vẫn đang đánh giá tiêu chuẩn
này.
Quỹ đạo đã rất rõ ràng: các tổ chức bắt đầu áp dụng Passkey và DBSC ngay hôm nay sẽ có vị
thế tốt nhất cho một tương lai không mật khẩu, chống lừa đảo. Câu hỏi không phải là liệu
có nên triển khai các phiên ràng buộc thiết bị hay không, mà là bạn có thể triển khai
chúng nhanh đến mức nào để bảo vệ người dùng và công việc kinh doanh của bạn. Tương lai
của bảo mật web không chỉ nằm ở xác thực; nó được ràng buộc bằng mật mã với các thiết bị
mà chúng ta tin cậy.
## Những Câu hỏi Thường gặp
### DBSC hoạt động như thế nào với CAEP và RISC để thu hồi các phiên bị thỏa hiệp trong thời gian thực?
Khi các công cụ bảo mật endpoint như CrowdStrike phát hiện phần mềm độc hại, chúng sẽ gửi
một tín hiệu RISC tới Identity Provider, sau đó đẩy một sự kiện CAEP 'Thiết bị Bị Thỏa
hiệp' tới các ứng dụng được kết nối. Tại lần thử làm mới DBSC tiếp theo (trong vài phút),
các ứng dụng đó sẽ từ chối chữ ký phiên và chấm dứt quyền truy cập. Việc triển khai chéo
CAEP/RISC giữa các nhà cung cấp vẫn đang trong giai đoạn trưởng thành.
### Sự khác biệt giữa DBSC và DPoP trong việc bảo vệ các phiên ứng dụng web là gì?
DPoP (RFC 9449) ràng buộc các token access và refresh của OAuth với một khóa công khai ở
lớp ứng dụng, chủ yếu bảo vệ các lời gọi API trong các ứng dụng native và SPA. DBSC ràng
buộc các cookie phiên của trình duyệt với các khóa TPM có sự hỗ trợ của phần cứng mà
JavaScript không thể đọc hoặc trích xuất, bảo vệ các phiên của người dùng cuối ngay cả khi
chính ứng dụng web đó bị thỏa hiệp bởi XSS hoặc phần mềm độc hại.
### Tại sao DBSC cho phép thời lượng phiên dài hơn mà không làm tăng rủi ro bảo mật?
Thiết kế bảo mật truyền thống bắt buộc thời gian chờ ngắn cho phiên nhằm hạn chế thiệt hại
nếu một cookie bị đánh cắp và dùng lại (replay) từ xa. DBSC ràng buộc khả năng làm mới với
khóa riêng tư của thiết bị khởi tạo, vì vậy một cookie bị đánh cắp khi được sử dụng từ một
thiết bị khác sẽ thất bại ở thử thách mật mã. Các phiên có thể tồn tại hiệu quả vô thời
hạn vì các cuộc tấn công replay từ xa đã bị vô hiệu hóa.
### Các doanh nghiệp có thể mong đợi ROI kinh doanh gì từ việc triển khai DBSC?
DBSC vô hiệu hóa việc đánh cắp cookie với vai trò là vector chính của Chiếm đoạt Tài
khoản, trực tiếp giảm thiểu tổn thất do gian lận và chi phí hỗ trợ
[khôi phục tài khoản](https://www.corbado.com/vi/blog/cach-chuyen-sang-khong-mat-khau-hoan-toan). Các phiên dài
và an toàn loại bỏ các lời nhắc đăng nhập lặp đi lặp lại, cải thiện tỷ lệ chuyển đổi trong
thương mại điện tử và giảm thiểu tỷ lệ rời bỏ. [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance)
định vị DBSC như một phương pháp nâng cao tiêu chuẩn bảo mật trong khi đồng thời làm giảm
sự cản trở người dùng.