Giao thức (CXP) & Định dạng (CXF) Trao đổi Thông tin xác thực WebAuthn

Passkey đang nhanh chóng trở thành tiêu chuẩn vàng trong xác thực trực tuyến - cung cấp một giải pháp thay thế an toàn, chống lừa đảo (phishing) cho mật khẩu truyền thống. Được hỗ trợ bởi Liên minh FIDO, passkey được xây dựng trên các tiêu chuẩn WebAuthn và FIDO2 và sử dụng mật mã hóa khóa công khai để loại bỏ rủi ro bị đánh cắp thông tin xác thực.

Nhưng khi việc áp dụng ngày càng tăng, một thách thức chính đã xuất hiện: Làm thế nào để nhập hoặc xuất passkey giữa các nhà cung cấp khác nhau - ví dụ, từ Bitwarden sang 1Password hoặc từ iCloud Keychain của Apple sang Google Password Manager?

Không giống như mật khẩu, passkey không có định dạng có thể dễ dàng xuất hoặc nhập. Sự thiếu khả năng tương tác này tạo ra rào cản cho người dùng và làm tăng nguy cơ bị phụ thuộc vào nhà cung cấp (vendor lock-in).

Đó là lúc hai tiêu chuẩn mới nổi xuất hiện:

• Giao thức Trao đổi Thông tin xác thực (CXP): định nghĩa một cơ chế an toàn để chuyển passkey giữa các nhà cung cấp.

• Định dạng Trao đổi Thông tin xác thực (CXF): định nghĩa một định dạng dữ liệu được tiêu chuẩn hóa cho chính các thông tin xác thực, như passkey, chi tiết thẻ tín dụng hoặc mã TOTP.

Cùng với nhau, CXP và CXF được thiết kế để làm cho tính di động của passkey không chỉ khả thi mà còn an toàn, linh hoạt và thân thiện với người dùng. Trong bài viết này, chúng ta sẽ trả lời các câu hỏi sau:

1. Giao thức Trao đổi Thông tin xác thực (CXP) là gì và nó hoạt động như thế nào?

2. Định dạng Trao đổi Thông tin xác thực (CXF) là gì và nó trông như thế nào?

3. Tình trạng phát triển hiện tại của Giao thức Trao đổi Thông tin xác thực và Định dạng Trao đổi Thông tin xác thực là gì?

Khi ngày càng nhiều người dùng và tổ chức áp dụng passkey, một thách thức quan trọng vẫn còn đó: di chuyển thông tin xác thực giữa các nền tảng. Không giống như mật khẩu có thể được xuất dưới dạng tệp văn bản đơn giản hoặc CSV (dù có thể không an toàn), passkey dựa trên các cặp khóa mật mã. Điều đó làm cho việc nhập/xuất trở nên phức tạp và nhạy cảm hơn nhiều.

Đây là những gì hiện đang còn thiếu sót trong việc di chuyển passkey:

• Không có định dạng chuẩn: Khác với tệp CSV cho mật khẩu, passkey không có một cách biểu diễn chung. Mỗi nhà cung cấp lưu trữ chúng theo cách khác nhau.

• Truyền tải không an toàn: Trong một số nỗ lực hiếm hoi để hỗ trợ di chuyển, thông tin xác thực đã được xuất ở các định dạng không được mã hóa, tạo ra rủi ro bảo mật nghiêm trọng (xem cuộc thảo luận trên GitHub này).

• Di chuyển thất bại: Nếu không có cấu trúc nhất quán, việc di chuyển passkey giữa các nhà cung cấp có thể thất bại, gây mất thông tin xác thực hoặc buộc người dùng phải tạo lại passkey.

• Bị chặn bởi chính sách: Môi trường doanh nghiệp có thể vô hiệu hóa hoàn toàn việc xuất thông tin xác thực vì lo ngại về việc truyền tải không an toàn hoặc các vấn đề tương thích.

• Phụ thuộc vào nhà cung cấp: Nếu không có cách đáng tin cậy để xuất passkey, người dùng sẽ bị khóa vào nhà cung cấp hiện tại của họ - điều này làm suy yếu quyền tự do của người dùng và sự cạnh tranh.

Vấn đề này không phải là giả thuyết, nó đang xảy ra ngay bây giờ. Khi mọi người sử dụng nhiều thiết bị, trình duyệt và ứng dụng để quản lý passkey, nhu cầu nhập passkey từ một hệ sinh thái và xuất passkey sang một hệ sinh thái khác trở nên cấp thiết.

Đó là lý do tại sao các công ty lớn như 1Password, Dashlane, Bitwarden và NordPass đã hợp tác vào đầu năm 2023 để tạo mẫu một giải pháp. Kết quả: một nỗ lực hợp tác để định nghĩa các tiêu chuẩn mở cho việc trao đổi thông tin xác thực an toàn - Giao thức Trao đổi Thông tin xác thực (CXP) và Định dạng Trao đổi Thông tin xác thực (CXF).

Để giải quyết những thách thức của việc di chuyển passkey, hai tiêu chuẩn bổ sung đã xuất hiện: Giao thức Trao đổi Thông tin xác thực (CXP) và Định dạng Trao đổi Thông tin xác thực (CXF). Được hỗ trợ bởi các nhà lãnh đạo ngành công nghiệp bao gồm Apple, Google, Microsoft và 1Password, các thông số kỹ thuật này nhằm mục đích làm cho việc nhập và xuất passkey trở nên an toàn, được tiêu chuẩn hóa và có khả năng tương tác.

Giao thức Trao đổi Thông tin xác thực (CXP) là một thông số kỹ thuật định nghĩa một phương thức an toàn để truyền thông tin xác thực giữa hai nhà cung cấp passkey. Hiện tại là một Bản nháp đang thực hiện (Working Draft) trong Liên minh FIDO, thiết kế của nó vẫn đang được phát triển, nhưng nó nhằm mục đích thiết lập một kênh được tiêu chuẩn hóa và an toàn để xuất thông tin xác thực từ một Bên gửi (Sender) và nhập chúng vào một Bên nhận (Recipient).

Trong khi các chi tiết chưa được hoàn thiện, giao thức dự kiến sẽ sử dụng Mã hóa Khóa công khai Lai (HPKE) để đảm bảo rằng thông tin xác thực được mã hóa đầu cuối trong quá trình truyền tải. Nền tảng mật mã mạnh mẽ này sẽ bảo vệ dữ liệu nhạy cảm khỏi bị chặn hoặc giả mạo.

CXP được hình dung là đặc biệt quan trọng đối với các nhà cung cấp bên thứ ba, như các trình quản lý mật khẩu, để tạo điều kiện cho việc trao đổi thông tin xác thực giữa các nền tảng khác nhau, ví dụ như giữa các tiện ích mở rộng của trình duyệt. Trong những kịch bản này, nhu cầu về một giao thức truyền tải được tiêu chuẩn hóa và có độ bảo mật cao là rất quan trọng. Vì nó vẫn đang ở giai đoạn dự thảo ban đầu, hình thức cuối cùng và thời gian tiêu chuẩn hóa của nó vẫn chưa chắc chắn, với các ước tính chỉ ra vào đầu năm 2026.

Định dạng Trao đổi Thông tin xác thực (CXF) định nghĩa cách cấu trúc của chính các thông tin xác thực để trao đổi. Nó hiện đang ở trạng thái Bản nháp đang xem xét (Review Draft), có nghĩa là nó sắp được hoàn thiện thành một tiêu chuẩn.

Không giống như CXP, xử lý việc truyền tải an toàn, CXF chỉ tập trung vào định dạng dữ liệu. Nó chỉ định một cấu trúc dựa trên JSON tiêu chuẩn cho các loại thông tin xác thực khác nhau, đảm bảo rằng một thông tin xác thực được xuất từ một nhà cung cấp có thể được hiểu đúng bởi một nhà cung cấp khác.

CXF định nghĩa các loại cho:

• Passkey (public-key-credential)
• Mật khẩu (password)
• Mã bí mật TOTP (totp)
• Ghi chú (note)

Bộ từ vựng được tiêu chuẩn hóa này là chìa khóa cho khả năng tương tác. Ví dụ, cả Apple và Google đã sử dụng CXF để truyền thông tin xác thực giữa các ứng dụng gốc trên cùng một thiết bị. Vì việc truyền tải diễn ra cục bộ, một giao thức truyền tải chuyên dụng như CXP là không cần thiết.

Bằng cách tiêu chuẩn hóa cấu trúc, CXF loại bỏ các vấn đề như không khớp định dạng hoặc mất dữ liệu một phần trong quá trình di chuyển. Nó cũng được thiết kế để có thể mở rộng, cho phép thêm các loại thông tin xác thực mới trong các phiên bản tương lai mà không làm mất khả năng tương thích ngược.

Tính đến cuối năm 2024, cả Giao thức Trao đổi Thông tin xác thực (CXP) và Định dạng Trao đổi Thông tin xác thực (CXF) đã đạt đến các giai đoạn trưởng thành khác nhau, với động lực mạnh mẽ từ ngành công nghiệp đứng sau chúng.

Việc phát triển CXP và CXF đang được điều phối thông qua Liên minh FIDO, với sự đóng góp tích cực từ các công ty lớn như Apple, Google, Microsoft, 1Password, Bitwarden và Dashlane.

Sự hợp tác rộng rãi này báo hiệu một cam kết chung để biến tính di động của passkey thành hiện thực. Trên thực tế, một số công ty đã và đang triển khai các giải pháp dựa trên các bản nháp:

• Apple và Google sẽ sử dụng CXF cho việc truyền thông tin xác thực giữa các ứng dụng trên cùng một thiết bị.
• Các trình quản lý mật khẩu của bên thứ ba đang xây dựng các nguyên mẫu dựa trên các bản nháp ban đầu của CXP để chuẩn bị cho việc trao đổi an toàn, đa nền tảng.

Hai thông số kỹ thuật này đang ở các mốc thời gian khác nhau:

• Định dạng Trao đổi Thông tin xác thực (CXF) đang ở giai đoạn Bản nháp đang xem xét (Review Draft). Dự kiến nó sẽ được hoàn thiện thành một tiêu chuẩn chính thức trước cuối năm 2024.
• Giao thức Trao đổi Thông tin xác thực (CXP) là một Bản nháp đang thực hiện (Working Draft). Con đường đến tiêu chuẩn hóa của nó dài hơn, với khả năng phát hành vào đầu năm 2026, khi phản hồi của cộng đồng được tích hợp để đảm bảo nó mạnh mẽ và an toàn cho các trường hợp sử dụng đa nền tảng.

Các bản nháp thông số kỹ thuật có sẵn công khai trên trang web của Liên minh FIDO, và phản hồi từ các nhà phát triển đang được tích cực khuyến khích để hoàn thiện chúng trước khi chính thức hóa.

Để hỗ trợ việc thử nghiệm sớm và lập kế hoạch triển khai, hệ sinh thái passkey hiện bao gồm:

• Passkeys Debugger: Một nền tảng giúp gỡ lỗi các yêu cầu WebAuthn một cách dễ hiểu.

• Cộng đồng Passkey: Một cộng đồng các nhà phát triển phần mềm và quản lý sản phẩm thảo luận về các câu hỏi liên quan đến passkey.

• Subreddit Passkey: Subreddit dành riêng để thảo luận về tin tức xung quanh passkey và WebAuthn, bao gồm cả về CXP và CXF.

• passkeys.eu: Các công cụ kiểm thử cho nhà phát triển để xác thực các luồng WebAuthn và hành vi của passkey.

• Bản nháp CXP trên GitHub: Cấu trúc thông điệp giao thức đầy đủ và luồng mật mã.

• Bản nháp CXF trên GitHub: Bố cục tệp ZIP và định dạng đóng gói thông tin xác thực.

Mặc dù chưa được tiêu chuẩn hóa hoàn toàn, CXP và CXF rõ ràng đang trên đà trở thành mảnh ghép cuối cùng còn thiếu trong bức tranh passkey - cho phép người dùng và tổ chức nhập/xuất an toàn, liền mạch.

Giao thức Trao đổi Thông tin xác thực (CXP) và Định dạng Trao đổi Thông tin xác thực (CXF) ra đời từ nhu cầu làm cho việc nhập và xuất passkey trở nên an toàn và liền mạch. Nhưng tiềm năng của chúng không dừng lại ở đó.

Các tiêu chuẩn này thiết lập một khuôn mẫu để chuyển bất kỳ thông tin xác thực nhạy cảm nào giữa các nhà cung cấp - một cách an toàn, đáng tin cậy và trên nhiều nền tảng. Điều đó mở ra cánh cửa cho các trường hợp sử dụng rộng lớn hơn trong lĩnh vực nhận dạng, xác thực và thậm chí cả các thông tin xác thực do chính phủ cấp.

Một trong những mối quan tâm lớn nhất với việc áp dụng passkey hiện nay là sự phụ thuộc vào nhà cung cấp. Nếu không có cách di chuyển thông tin xác thực một cách an toàn, người dùng thường bị ràng buộc với nhà cung cấp ban đầu của họ - ngay cả khi nhu cầu của họ thay đổi.

Với CXP và CXF, chúng ta hướng tới một hệ sinh thái passkey thực sự có khả năng tương tác, nơi người dùng và doanh nghiệp có thể:

• Di chuyển passkey tự do giữa các nhà cung cấp

• Tránh tạo thông tin xác thực trùng lặp

• Đơn giản hóa việc chuyển đổi thiết bị và nền tảng

Điều này trực tiếp hỗ trợ lựa chọn của người tiêu dùng, thúc đẩy cạnh tranh và củng cố niềm tin vào mô hình passkey.

Như Christiaan Brand, Giám đốc Sản phẩm Nhóm Nhận dạng và Bảo mật tại Google, đã nói:

“Trong tương lai, điều này có thể áp dụng cho giấy phép lái xe di động, hộ chiếu—bất kỳ bí mật nào bạn muốn xuất đi đâu đó và nhập vào một hệ thống khác.”

Hãy tưởng tượng việc chuyển giao an toàn:

• Passkey (public-key-credential)

• Mã bí mật TOTP (totp)

• Chi tiết thanh toán (credit-card)

• Giấy tờ tùy thân do chính phủ cấp (identity-document)

tất cả thông qua cùng một cơ chế trao đổi được tiêu chuẩn hóa. Đó là tương lai mà CXP và CXF đang giúp định hình.

Với việc trao đổi thông tin xác thực có thể xác minh được mã hóa trở thành tiêu chuẩn, các tổ chức cuối cùng sẽ có thể loại bỏ việc xuất file CSV không an toàn, tránh các quy trình thủ công dễ gây lỗi và thực thi các chính sách ưu tiên mã hóa cho tất cả việc xử lý thông tin xác thực.

Dù trong không gian người tiêu dùng, CNTT doanh nghiệp hay các hệ thống nhận dạng của khu vực công, sự thay đổi này nâng cao ngưỡng bảo mật mặc định - mà không ảnh hưởng đến tính khả dụng.

Giao thức Trao đổi Thông tin xác thực (CXP) và Định dạng Trao đổi Thông tin xác thực (CXF) đại diện cho một bước tiến quan trọng trong hệ sinh thái passkey. Bằng cách giải quyết những khoảng trống tồn tại lâu nay trong việc di chuyển thông tin xác thực, chúng cung cấp một khuôn khổ an toàn, được tiêu chuẩn hóa để nhập và xuất passkey trên các nền tảng và nhà cung cấp khác nhau. Trong khi CXF tiêu chuẩn hóa "cái gì" (định dạng dữ liệu) và CXP tiêu chuẩn hóa "cách thức" (việc truyền tải an toàn), chúng cùng nhau mở đường cho tính di động thực sự của passkey.

Với sự hỗ trợ rộng rãi từ các nhà lãnh đạo ngành và động lực ngày càng tăng trong cộng đồng FIDO, các thông số kỹ thuật này sẵn sàng loại bỏ một trong những rào cản lớn cuối cùng đối với việc áp dụng passkey: tính di động.

Đối với các nhà phát triển và tổ chức đang xây dựng các hệ thống dựa trên passkey ngày nay, việc đi trước CXP và CXF không chỉ là để đảm bảo tương lai - mà còn là để mang lại trải nghiệm người dùng tốt hơn, bảo mật chặt chẽ hơn và linh hoạt hơn.

Tại Corbado, chúng tôi đang theo dõi sát sao những phát triển này và giúp các doanh nghiệp triển khai passkey ở quy mô lớn - mà không bị phụ thuộc vào nhà cung cấp, không gặp rắc rối khi di chuyển người dùng hay phải đánh đổi về bảo mật. Khi hệ sinh thái trưởng thành, chúng tôi sẽ là một trong những người đầu tiên hỗ trợ các luồng dựa trên CXP/CXF để biến việc trao đổi thông tin xác thực an toàn thành hiện thực.

Passkey đã có mặt. CXP và CXF sẽ giúp chúng có mặt ở khắp mọi nơi.