Visa Passkeys: Dịch vụ Visa Payment Passkey

Lĩnh vực dịch vụ tài chính và ngành thanh toán đang dồn toàn lực vào passkey. Sau khi các ngân hàng (ví dụ: Revolut), công ty fintech (ví dụ: Finom) hay nhà cung cấp dịch vụ thanh toán (ví dụ: PayPal) triển khai passkey, và Mastercard giới thiệu Dịch vụ Xác thực Token của họ khoảng một tháng trước vào tháng 4 năm 2024, giờ đây Visa cũng đã giới thiệu dịch vụ passkey của riêng mình mang tên Visa Payment Passkey Service tại Diễn đàn Thanh toán thường niên.

Trước đây, chúng ta đã thảo luận về những tác động của sự thay đổi này trong thế giới tài chính, đặc biệt là về Xác thực Khách hàng Mạnh (Strong Customer Authentication - SCA), PSD2 và liên kết động (dynamic linking). Đọc các bài viết chi tiết tại đây:

• Báo cáo Passkey trong ngành Ngân hàng 2025
• So sánh Passkey ràng buộc thiết bị và Passkey đồng bộ hóa
• Phân tích các yêu cầu của PSD2 & SCA
• Ý nghĩa của các yêu cầu SCA đối với Passkey
• Tác động của PSD3 / PSR đối với Passkey
• Passkey và PSD2: MFA chống lừa đảo Phishing và tuân thủ PSD2
• Liên kết động với Passkey: Xác nhận thanh toán an toàn (SPC)

Bài viết này sẽ xem xét cách tiếp cận của Visa đối với passkey và những tác động của nó đối với tương lai của bảo mật thanh toán, bao gồm cả những đổi mới về passkey thanh toán đang thiết lập các tiêu chuẩn mới trong ngành.

Sự phổ biến ngày càng tăng của passkey trong ngành dịch vụ tài chính phần lớn được thúc đẩy bởi kỳ vọng của người tiêu dùng. Những thông tin gần đây từ Visa đã nhấn mạnh xu hướng này, cho thấy 62% người tiêu dùng đã từ bỏ việc mua hàng trực tuyến do các vấn đề về xác thực. Hơn nữa, bảo mật là một mối quan tâm lớn: 26% người tiêu dùng thừa nhận đã từng chia sẻ mã PIN của mình, điều này cho thấy các lỗ hổng của các phương thức xác thực truyền thống. Đáng báo động hơn, tỷ lệ gian lận thanh toán trực tuyến cao gấp bảy lần so với gian lận trực tiếp tại cửa hàng, càng nhấn mạnh sự cần thiết của các phương thức giao dịch kỹ thuật số an toàn hơn.

Việc Visa giới thiệu Visa Payment Passkey Service đánh dấu một bước tiến quan trọng trong việc giải quyết những lo ngại này. Bằng cách thay thế mật khẩu và mã dùng một lần bằng passkey, passkey của Visa giúp tinh giản trải nghiệm mua sắm trực tuyến, giảm bớt phiền toái và tăng cường bảo mật. Các tổ chức tài chính, đặc biệt là những nơi tích hợp passkey cho dịch vụ tài chính, đang nhận ra rằng công nghệ này không chỉ củng cố niềm tin của người tiêu dùng mà còn cải thiện hiệu quả hoạt động tổng thể. Passkey không chỉ thân thiện với người dùng mà còn rất mạnh mẽ trước các cuộc tấn công mạng, chẳng hạn như phishing.

Passkey mang đến một giải pháp hấp dẫn cho các tổ chức tài chính muốn cải thiện bảo mật đồng thời nâng cao trải nghiệm người dùng. Công nghệ này hoàn toàn phù hợp với Chỉ thị Dịch vụ Thanh toán 2 (PSD2) tại Liên minh Châu Âu, vốn yêu cầu Xác thực Khách hàng Mạnh (SCA). PSD2 yêu cầu các giao dịch phải được xác thực bằng ít nhất hai trong số các yếu tố sau: thứ mà người dùng biết, thứ mà người dùng có, hoặc thứ thuộc về người dùng. Passkey đáp ứng các tiêu chí này bằng cách tận dụng dữ liệu sinh trắc học (thứ thuộc về người dùng) và các khóa riêng tư được lưu trữ an toàn (thứ mà người dùng có), chẳng hạn như trong vùng bảo mật (secure enclave), Môi trường thực thi tin cậy (TEE), hoặc Mô-đun nền tảng tin cậy (TPM) của thiết bị.

Visa đã là một nhân tố quan trọng trong sự phát triển của passkey, đặc biệt thông qua vai trò thành viên trong Liên minh FIDO (FIDO Alliance) khi tham gia Liên minh FIDO vào năm 2014, hai năm sau Mastercard.

Một trong những dịch vụ trước đây của Visa, có thể được xem là tiền thân của passkey, là Visa Biometric Authenticator App, một sản phẩm bị hạn chế quyền truy cập vào tài liệu và tài nguyên, thật không may.

Năm 2019, Visa đã thực hiện một nghiên cứu về sinh trắc học và sở thích của người tiêu dùng, khảo sát 1.000 chủ thẻ tín dụng tại Đức. Kết quả cho thấy người tiêu dùng rất ưa chuộng xác thực sinh trắc học hơn so với mật khẩu truyền thống. Một con số ấn tượng là 90% người được hỏi coi vân tay là một phương thức xác minh danh tính an toàn, so với chỉ 77% cho mã PIN và 73% cho mật khẩu. Ngoài ra, các phương pháp như quét mống mắt và khuôn mặt được đánh giá là an toàn hơn mã PIN và mật khẩu. Điều này có lẽ đã cho Visa thấy định hướng thúc đẩy sinh trắc học - và sau đó là passkey - là con đường đúng đắn.

Tại Diễn đàn Thanh toán 2024, Visa đã chính thức công bố Visa Payment Passkey Service. Jack Forestell, Giám đốc Sản phẩm và Chiến lược của Visa, đã nêu rõ:

Việc xây dựng thương hiệu cụ thể là dịch vụ Visa Payment Passkey, tương tự như cách tiếp cận của Mastercard, có ý nghĩa quan trọng. Nó chủ ý định vị công nghệ này trong bối cảnh các giao dịch tài chính. Không giống như các passkey đăng nhập thông thường, xác thực thanh toán đòi hỏi phải tuân thủ các quy định nghiêm ngặt hơn, đặc biệt là PSD2 SCA, bao gồm yêu cầu về liên kết động (dynamic linking) – tức là liên kết việc xác thực bằng mật mã với các chi tiết giao dịch cụ thể. Việc xây dựng thương hiệu này cho thấy Visa Payment Passkey Service được thiết kế không chỉ để mang lại sự tiện lợi mà còn để đáp ứng các nhu cầu bảo mật và tuân thủ nghiêm ngặt dành riêng cho thanh toán.

Visa Payment Passkey Service trước tiên sẽ được tích hợp vào nền tảng Click to Pay của Visa, mang lại trải nghiệm thanh toán liền mạch và an toàn trên quy mô lớn. Ngoài ra, dịch vụ này còn mở đường cho các cải tiến như thanh toán một chạm của Visa, giúp giảm hơn nữa nhu cầu nhập liệu thủ công và nâng cao trải nghiệm người tiêu dùng. Visa cũng có kế hoạch hợp tác với các tổ chức phát hành ở nhiều thị trường khác nhau để kích hoạt Click to Pay và Visa Payment Passkey Service trên các thẻ Visa mới. Việc tích hợp này sẽ giảm nhu cầu nhập thủ công chi tiết thẻ và mật khẩu ngay từ khi thẻ được phát hành, giúp đơn giản hóa hơn nữa trải nghiệm người dùng.

Việc Visa ra mắt Visa Payment Passkey Service là một bước tiến quan trọng cho passkey trong lĩnh vực thanh toán, vì Visa là công ty thứ hai trong ba tổ chức phát hành thẻ tín dụng lớn cung cấp dịch vụ passkey chuyên dụng.

Với Visa Payment Passkey Service, xác thực dựa trên mật khẩu truyền thống có thể được thay thế hoàn toàn. Chúng tôi kỳ vọng (tương tự như Dịch vụ Xác thực Token của Mastercard / Mastercard Payment Passkeys) rằng Visa Payment Passkey Service sẽ đảm bảo rằng một khi người dùng đã tạo passkey tại Visa, passkey này có thể được sử dụng để xác thực các giao dịch trên trang web của bất kỳ nhà bán hàng nào tham gia mà không cần phải tạo passkey mới mỗi khi người dùng truy cập một trang web của nhà bán hàng mới. Hơn nữa, công nghệ này hỗ trợ passkey thanh toán được thiết lập để định nghĩa lại hành trình thanh toán kỹ thuật số.

Một yếu tố chiến lược quan trọng trong cách tiếp cận của Visa là cơ sở hạ tầng của họ. Visa đã xây dựng và vận hành máy chủ FIDO của riêng mình để cung cấp năng lượng cho Visa Payment Passkey Service. Điều này làm nền tảng cho cái mà Visa gọi là "mô hình liên kết" (federated model). Trong mô hình này, Visa chịu trách nhiệm xác thực và xác minh danh tính khách hàng trực tiếp bằng máy chủ FIDO của mình. Đây là một sự khác biệt đáng kể so với các mô hình mà các nhà bán hàng hoặc tổ chức phát hành có thể cần phải tự triển khai và quản lý các phần của quy trình xác thực FIDO. Đối với các nhà bán hàng, cách tiếp cận liên kết này giúp đơn giản hóa đáng kể việc tích hợp. Họ chỉ cần tích hợp với Visa Payment Passkey Service một lần duy nhất. Visa sẽ xử lý sự phức tạp của việc xác thực FIDO cơ bản, loại bỏ nhu cầu các nhà bán hàng phải xây dựng máy chủ riêng, quản lý các tích hợp kỹ thuật phức tạp hoặc kết nối riêng lẻ với từng tổ chức phát hành cho mục đích xác thực. Lựa chọn thiết kế có chủ ý này giúp hạ thấp rào cản gia nhập và nhằm mục đích đẩy nhanh việc áp dụng trên toàn bộ mạng lưới nhà bán hàng rộng lớn của Visa.

Đối với các nhà bán hàng, việc áp dụng Visa Payment Passkey Service mang lại một số lợi ích chính:

• Giảm gian lận và bồi hoàn: Quá trình xác thực tận dụng dữ liệu sinh trắc học của người dùng, giúp giảm đáng kể nguy cơ gian lận và bồi hoàn.
• Giảm thiểu sự phiền toái khi thanh toán: Một quy trình giao dịch mượt mà hơn giúp tăng tỷ lệ phê duyệt và tỷ lệ chuyển đổi.

Đối với người mua sắm, dịch vụ này cung cấp:

• Trải nghiệm thanh toán liền mạch: Một quy trình thanh toán được tinh giản trên nhiều thiết bị và cửa hàng của các nhà bán hàng khác nhau.
• Bảo mật nâng cao: Xác thực đa yếu tố (MFA) chống lừa đảo phishing giúp tăng cường khả năng phòng vệ chống lại các vụ lừa đảo thẻ tín dụng và các cuộc tấn công phishing. Trong một số trường hợp, dịch vụ này thậm chí còn đáp ứng các tiêu chí tương tự như dịch vụ xác thực người tiêu dùng của visa, đảm bảo an ninh tối đa cho các giao dịch trực tuyến.

Đối với các tổ chức phát hành, lợi ích là:

• Giảm tổn thất do gian lận: Tỷ lệ gian lận tổng thể thấp hơn mang lại lợi ích trực tiếp cho các tổ chức phát hành bằng cách giảm tổn thất tài chính liên quan đến các giao dịch trái phép.
• Chi phí xác thực thấp hơn: Việc chuyển đổi khỏi SMS OTP có khả năng giảm chi phí hoạt động liên quan đến việc gửi tin nhắn và quản lý cơ sở hạ tầng đó.
• Cải thiện trải nghiệm khách hàng: Trải nghiệm thanh toán an toàn và không phiền toái giúp tăng sự hài lòng và lòng trung thành của chủ thẻ.
• Hỗ trợ xác thực do Visa quản lý: Các tổ chức phát hành có thể hưởng lợi từ việc Visa quản lý cơ sở hạ tầng và hỗ trợ xác thực cốt lõi, có khả năng giảm bớt gánh nặng bảo trì của chính họ.

Chúng tôi sẽ viết một bài phân tích kỹ thuật chi tiết hơn về cách tích hợp Dịch vụ Xác thực Token của Mastercard vào các hệ thống hiện có sau khi Mastercard công bố thêm thông tin. Để luôn cập nhật, hãy đăng ký Passkeys Substack của chúng tôi hoặc tham gia Cộng đồng Passkey trên Slack để không bỏ lỡ bất kỳ cập nhật nào.

Trong thời gian chờ đợi, chúng tôi khuyên bạn nên xem video thông báo của Visa giải thích chi tiết hơn về khái niệm này.

Điều quan trọng là phải phân biệt Visa Payment Passkey Service mới với Dịch vụ Xác thực Người tiêu dùng của Visa (VCAS) hiện có.

• VCAS là giải pháp Máy chủ Kiểm soát Truy cập (ACS) được lưu trữ của Visa cung cấp cho các tổ chức phát hành để hỗ trợ các chương trình EMV 3-D Secure của họ.
• VCAS chủ yếu dựa vào Xác thực dựa trên rủi ro (RBA). Nó phân tích dữ liệu giao dịch sâu rộng (được báo cáo lên đến 150 điểm dữ liệu) bằng các công cụ chấm điểm rủi ro độc quyền để xác định xem một giao dịch có rủi ro thấp (cho phép luồng giao dịch không bị gián đoạn) hay rủi ro cao (yêu cầu một thử thách xác thực bổ sung).
• Khi VCAS yêu cầu một thử thách, nó có thể hỗ trợ nhiều phương pháp khác nhau, bao gồm OTP (gửi qua SMS hoặc email) hoặc có thể là sinh trắc học nếu tổ chức phát hành sử dụng ứng dụng xác thực sinh trắc học đi kèm của Visa.
• Ngược lại, Visa Payment Passkey Service là dịch vụ mới, chuyên dụng của Visa được xây dựng cơ bản trên công nghệ FIDO / passkey. Nó trực tiếp tận dụng các khả năng FIDO gốc của thiết bị để xác thực, sử dụng các khóa mật mã và sinh trắc học cục bộ/PIN.

Mặc dù cả hai dịch vụ đều nhằm mục đích tăng cường bảo mật và giảm bớt sự phiền toái trong xác thực thương mại điện tử, Visa Payment Passkey Service đại diện cho một sự thay đổi công nghệ hướng tới các tiêu chuẩn không mật khẩu, chống lừa đảo phishing, dựa trên FIDO làm phương thức xác thực chính, thay vì chủ yếu dựa vào RBA với OTP làm phương án dự phòng phổ biến cho các thử thách.

Việc áp dụng passkey trong bối cảnh nhà cung cấp dịch vụ thanh toán bởi Visa Payment Passkey Service đánh dấu một cột mốc lớn khác cho toàn ngành. Cách tiếp cận sáng tạo này không chỉ tăng cường bảo mật giao dịch thông qua xác thực sinh trắc học mà còn mang lại trải nghiệm người dùng liền mạch và không phiền toái, giải quyết hai trong số những khía cạnh quan trọng nhất trong ngành thanh toán hiện nay.

Đối với các nhà bán hàng, việc tích hợp passkey của Visa có nghĩa là giảm đáng kể gian lận và bồi hoàn. Đối với người tiêu dùng, nó hứa hẹn một quy trình thanh toán an toàn và tinh giản hơn. Các nhà phát triển và quản lý sản phẩm được khuyến khích khám phá công nghệ này để luôn đi đầu trong lĩnh vực bảo mật thanh toán và trải nghiệm người dùng.

Một câu hỏi vẫn còn bỏ ngỏ: với việc Visa (và gần đây là Mastercard) đã áp dụng passkey, American Express đang có kế hoạch gì về passkey để bắt kịp Mastercard và Visa?

Tại Corbado, chúng tôi cam kết cung cấp các công cụ và chuyên môn cần thiết để tích hợp passkey một cách dễ dàng, cho dù bạn đang triển khai passkey thanh toán trên các nền tảng kỹ thuật số hay khám phá các giải pháp passkey cho dịch vụ tài chính. Hãy theo dõi để biết thêm thông tin chi tiết và các phân tích sâu hơn về cách passkey đang định hình xác thực kỹ thuật số.