Passkey ràng buộc phần cứng: Cuộc đua thực sự là mức độ chấp nhận

1. Giới thiệu: Ai chiến thắng trong cuộc đua tiêu dùng?#

Passkey ràng buộc phần cứng là cách đăng nhập an toàn nhất, nhưng hầu như không ai sử dụng chúng trong các ứng dụng tiêu dùng. Các nhà sản xuất security key và thẻ thông minh (smart card) đã thúc đẩy kiểu thiết kế này trong nhiều năm. Tuy nhiên, FIDO Alliance Authentication Barometer 2024 cho thấy tỷ lệ kích hoạt passkey ràng buộc phần cứng trong mảng ngân hàng bán lẻ vẫn ở mức dưới 5% trong năm 2025.

Lý do rất đơn giản. Apple và Google kiểm soát hơn 99% thị phần thiết bị di động theo StatCounter và họ quyết định loại passkey nào mà người dùng nhìn thấy trước tiên. Vì vậy, cuộc đua đối với người tiêu dùng sẽ không thuộc về công ty có khóa mạnh nhất. Phần thắng sẽ thuộc về công ty kết hợp được phần cứng với phần mềm, dữ liệu và kênh phân phối.

1.1 Thuật ngữ: Passkey ràng buộc phần cứng và Passkey đồng bộ#

Passkey ràng buộc phần cứng là thông tin xác thực FIDO2 có khóa riêng tư được khóa chặt bên trong một secure element vật lý. Khóa không bao giờ rời khỏi thiết bị. Passkey đồng bộ sử dụng chung công nghệ mã hóa FIDO2 nhưng sao chép khóa qua các thiết bị của bạn thông qua iCloud Keychain, Google Password Manager hoặc trình quản lý của bên thứ ba. Đặc tả W3C WebAuthn Level 3 coi cả hai là cùng một loại thông tin xác thực với chính sách lưu trữ khác nhau. Ngành công nghiệp cũng gọi passkey ràng buộc phần cứng là "passkey ràng buộc thiết bị" (device-bound passkeys) hoặc "thông tin xác thực WebAuthn ràng buộc phần cứng". Bài viết này sử dụng cả ba thuật ngữ như những từ đồng nghĩa.

Một quan niệm sai lầm phổ biến là bất kỳ passkey nào được hỗ trợ bởi secure element trên điện thoại hoặc máy tính xách tay đều bị ràng buộc với phần cứng. Trên thực tế, Apple Secure Enclave và Android StrongBox lưu trữ các passkey có tính năng đồng bộ thông qua iCloud Keychain hoặc Google Password Manager theo mặc định, vì vậy khóa riêng tư có thể khôi phục được từ đám mây. Secure element duy nhất dành cho người tiêu dùng hiện vẫn giữ khóa lưu hoàn toàn trên thiết bị (local) là TPM của Windows Hello, và thậm chí Microsoft cũng đang chuyển dần sang đồng bộ trong Edge. Vì Windows Hello không yêu cầu mua thêm phần cứng và đã tích hợp sẵn trong máy tính xách tay, bài viết này không xếp nó vào cuộc đua người tiêu dùng ràng buộc phần cứng mà tập trung vào security key chuyên dụng, thẻ thông minh FIDO2 và ví crypto.

Điểm khác biệt duy nhất đó - khóa có thể rời khỏi phần cứng hay không - chi phối hầu hết mọi thuộc tính sau này, từ mức độ đảm bảo NIST đến quy trình phục hồi. Hướng dẫn NIST SP 800-63B xếp passkey ràng buộc phần cứng ở AAL3, mức cao nhất, trong khi passkey đồng bộ bị giới hạn ở AAL2. Khoảng cách một bậc đó rất quan trọng đối với các nhà quản lý yêu cầu yếu tố sở hữu ràng buộc (possession-factor binding), bao gồm PSD2, PSD3, NYDFS Part 500, RBI 2024 và APRA CPS 234.

1.2 Tại sao Passkey đồng bộ chiếm vị trí mặc định#

Passkey đồng bộ đã chiếm vị trí ưu tiên mặc định vì Apple và Google là những người phát hành chúng đầu tiên và có quyền kiểm soát lời nhắc xác thực. Apple đã thêm hỗ trợ passkey iCloud Keychain vào năm 2021, Google Password Manager nối gót vào năm 2022 và cả hai đều sử dụng WebAuthn Conditional UI để hiển thị trực tiếp thông tin xác thực đồng bộ bên trong thanh tự động điền (autofill). Hardware authenticator lại nằm sâu từ một đến ba lượt nhấp ở mọi luồng mặc định.

Báo cáo FIDO Alliance Online Authentication Barometer 2024 cho thấy 64% người tiêu dùng trên toàn cầu đã chú ý đến passkey và 53% đã bật passkey cho ít nhất một tài khoản. Gần như tất cả số lượt đăng ký đó đều là loại đồng bộ.

1.3 Cuộc đua Tiêu dùng thực sự diễn ra ở đâu#

Trong bài viết này, "người tiêu dùng" nghĩa là CIAM (Quản lý danh tính và truy cập khách hàng). Chúng ta đang nói về những khách hàng bên ngoài đăng nhập vào ngân hàng, sàn giao dịch crypto, ví chính phủ hoặc nền tảng sáng tạo. Chúng tôi không đề cập đến đăng nhập nội bộ của nhân viên (workforce login), nơi các passkey ràng buộc phần cứng vốn đã chiếm ưu thế. Câu hỏi thú vị là hành trình nào của người tiêu dùng sẽ mở ra tiếp theo và người chơi nào sẽ đến đó đầu tiên.

Cuộc đua bao gồm hai định dạng thiết bị mà người tiêu dùng thực sự phải mua và ba lộ trình phân phối.

• Định dạng thiết bị: Security key NFC hoặc USB và thẻ thông minh (smart card) FIDO2 được tích hợp vào thẻ thanh toán. Các ví phần cứng crypto là một thị trường ngách thứ ba nằm song song với hai loại trên.
• Lộ trình phân phối: bán trực tiếp cho người tiêu dùng, thiết bị do ngân hàng hoặc chính phủ cấp cho người dùng và ví crypto mà những người tự lưu trữ tiền điện tử mua.

1.4 Luận điểm của Bài viết này#

Phần cứng tốt là cần thiết, nhưng nó không còn đủ nữa. Nhà cung cấp có chip mạnh nhất sẽ không tự động chiến thắng trong việc thu hút người tiêu dùng. Nút thắt cổ chai thực sự nằm ở trên lớp silicon: lời nhắc của trình duyệt, ngăn xếp NFC trên các điện thoại Android khác nhau, thiết kế phục hồi tài khoản và hệ thống phân phối tới người dùng cuối. Người chiến thắng sẽ là công ty kết hợp giữa phần cứng, các kỹ thuật thúc đẩy sự chấp nhận và khả năng quan sát passkey.

Phần còn lại của bài viết này sẽ điểm qua lịch sử, các người chơi chính, rào cản, các trường hợp sử dụng trong thực tế và đưa ra cẩm nang thiết thực cho bất kỳ công ty nào muốn bứt phá ra khỏi môi trường doanh nghiệp để bước vào thị trường tiêu dùng.

2. Các Hardware Authenticator đã phát triển thế nào?#

Thông tin xác thực ràng buộc phần cứng không phải là điều gì mới mẻ. Chúng đã ra đời trước FIDO khoảng 30 năm. Thẻ thông minh PKI xuất hiện trong môi trường chính phủ vào những năm 1990, được hệ thống hóa bởi tiêu chuẩn NIST FIPS 201 PIV. Tiếp theo là mã thông báo (token) RSA SecurID dùng cho mạng VPN của doanh nghiệp. Thẻ chip-and-PIN EMV đến với lĩnh vực thanh toán vào năm 2002. EMVCo báo cáo hiện có hơn 12 tỷ thẻ EMV đang lưu hành, điều này khiến con chip trên thẻ thanh toán trở thành nền tảng mã hóa phần cứng được triển khai nhiều nhất trong lịch sử.

Chuỗi cung ứng secure element đó - được điều hành bởi IDEMIA, Thales và Infineon với công suất hơn 3 tỷ chip mỗi năm - giờ đây đang sản xuất silicon bên trong các thẻ thông minh FIDO2. Ba thay đổi lớn trong ngành đưa các hardware authenticator (trình xác thực phần cứng) vào FIDO2 đã diễn ra chỉ trong 4 năm, từ 2014 đến 2018.

2.1 Từ U2F sang FIDO2 (2014 đến 2018)#

FIDO Alliance đã ra mắt FIDO U2F vào năm 2014, với các token phần cứng đầu tiên do một số nhà cung cấp security key tung ra. Google đã triển khai khóa U2F cho hơn 89.000 nhân viên tính đến năm 2017 và báo cáo không có vụ chiếm đoạt tài khoản nào liên quan đến phishing vào năm sau đó, theo Krebs on Security. Nhưng U2F chỉ là lớp xác thực thứ hai. Người dùng vẫn cần mật khẩu và thao tác chạm vào phần cứng chỉ là một bước bổ sung. Định dạng này chủ yếu dành cho doanh nghiệp: một USB nhỏ gọn cho nhân viên Google, cơ quan chính phủ và một số ít sàn giao dịch crypto.

FIDO2 và tiêu chuẩn WebAuthn đã thay đổi điều đó vào năm 2018 khi biến U2F thành một framework xác thực không mật khẩu (passwordless) hoàn chỉnh. Secure element trước đây từng dùng để hỗ trợ yếu tố thứ hai giờ đã có thể đảm nhiệm vai trò thông tin xác thực đăng nhập chính.

2.2 Sự chuyển mình của Thương hiệu Passkey (2022)#

Tháng 5 năm 2022, Apple, Google, Microsoft và FIDO Alliance đã cùng ra mắt thương hiệu "passkey" tại hội nghị FIDO Alliance Authenticate. Ý tưởng là tạo ra một từ đơn giản, dễ hiểu duy nhất cho người tiêu dùng để chỉ cả thông tin xác thực FIDO2 dạng đồng bộ và ràng buộc thiết bị.

Apple đã giới thiệu tính năng đồng bộ passkey trên iCloud Keychain trong iOS 16 vào tháng 9 năm 2022, theo ghi chú phát hành dành cho nhà phát triển của Apple. Google đã tiếp bước vào tháng 10 năm 2022 trên Android 9 trở lên, theo blog về Identity của hãng.

Microsoft là người đi chậm nhất trong số ba ông lớn. Windows Hello đã triển khai thông tin xác thực ràng buộc thiết bị, ràng buộc TPM kể từ năm 2015, theo tài liệu Windows Hello, nhưng trong nhiều năm, các tài khoản tiêu dùng không thể đồng bộ passkey qua các thiết bị. Microsoft chỉ thêm hỗ trợ passkey cho các tài khoản tiêu dùng Microsoft vào tháng 5 năm 2024, và passkey đồng bộ trong Microsoft Edge Password Manager thậm chí còn ra mắt muộn hơn vào năm 2025. Vì vậy, trong khi Apple và Google đi trước hai đến ba năm về passkey tiêu dùng được đồng bộ, Microsoft vẫn đang đuổi theo khả năng đồng bộ đa thiết bị bên trong trình duyệt của riêng họ.

Các nhà cung cấp phần cứng kỳ vọng sự làm mới thương hiệu lớn từ bốn gã khổng lồ này sẽ thúc đẩy nhu cầu về security key và thẻ thông minh. Nhưng điều đó đã không xảy ra. Passkey đồng bộ đã hấp thụ gần như toàn bộ số lượt đăng ký mới của người tiêu dùng, theo FIDO Alliance Barometer.

2.3 Sự phân chia thành 2 Hướng đi#

Trong vòng 18 tháng, hệ sinh thái này tách thành hai đường hướng rõ rệt. Đường hướng dành cho người tiêu dùng bị thống trị bởi passkey đồng bộ, nơi Apple và Google xây dựng luồng mặc định quanh các trình quản lý của chính họ. Đường hướng doanh nghiệp bị thống trị bởi passkey ràng buộc phần cứng, nơi phòng IT mua security key hoặc thẻ thông minh FIDO2 cho hoạt động xác thực danh tính tại nơi làm việc (workforce identity). FIDO Alliance định giá thị trường phần cứng doanh nghiệp này ở mức hơn 1 tỷ USD chi tiêu authenticator hàng năm.

Các nhà cung cấp phần cứng chưa bao giờ bỏ cuộc ở mảng tiêu dùng. Câu hỏi thực sự là liệu họ còn một con đường khả thi hay đã bị tầng OS chặn đứng hoàn toàn.

3. Ai đang cạnh tranh trong Cuộc đua Tiêu dùng?#

Hai dạng thiết bị cạnh tranh nhau để giành vị thế. Security key dẫn đầu ở kênh bán lẻ trực tiếp tới người đam mê công nghệ và doanh nghiệp. Thẻ thông minh (smart card) có kênh phân phối lớn nhất thông qua các ngân hàng: hơn 1,5 tỷ thẻ EMV được phát hành mỗi năm theo thống kê của EMVCo.

Các nhà cung cấp cũng chia thành hai phe. Các nhà sản xuất security key bán key USB hoặc NFC trực tiếp cho người dùng cuối và doanh nghiệp. Các nhà sản xuất thẻ thông minh và secure element tạo ra các vi mạch và thẻ mà ngân hàng sẽ phát hành. Mỗi phe phải đối mặt với một vấn đề riêng về chi phí đơn vị, và chưa phe nào tự mình giải quyết được bài toán kênh phân phối tiêu dùng.

3.1 Ai dẫn đầu định dạng Security Key?#

Một số nhà sản xuất security key cạnh tranh trong phân khúc này. Các security key hiện đại thường hỗ trợ FIDO2, FIDO U2F, thẻ thông minh PIV, OpenPGP và OTP qua USB-A, USB-C, NFC cùng Lightning, và một số còn thêm cả cảm biến vân tay trên thiết bị. Bảng bên dưới cung cấp cái nhìn tổng quan về các nhà cung cấp phù hợp nhất trên thị trường tiêu dùng và doanh nghiệp.

Một thiết bị đơn lẻ có giá từ 40 đến 80 USD theo trang giá của nhà sản xuất, một mức chi phí quản lý được trong bối cảnh doanh nghiệp nhưng lại bóp nghẹt mức độ chấp nhận ở quy mô người tiêu dùng. Các vấn đề về NFC, phục hồi tài khoản và phân phối đi kèm với mức giá đó được đề cập chi tiết trong phần 4.

3.2 Ai dẫn đầu định dạng Thẻ Thông minh?#

Các nhà sản xuất thẻ thông minh (smart card) cạnh tranh trong mảng thẻ FIDO2 do ngân hàng phát hành. Bức tranh về nhà cung cấp chia thành nhà sản xuất thẻ và nhà cung cấp chip. Các hãng sản xuất thẻ như CompoSecure (hiện đang vận chuyển sản phẩm FIDO2 Arculus), IDEMIA, NagraID, Feitian và TrustSEC tự mình sản xuất các thẻ FIDO2. Các nhà cung cấp chip - bao gồm ba gã khổng lồ về secure element IDEMIA, Thales và Infineon - sản xuất ra các secure element nằm trong hầu hết các thẻ. IDEX Biometrics cung cấp cảm biến vân tay trên thẻ biến thẻ thông minh thành thẻ thông minh sinh trắc học.

Kênh phân phối đến các nhà phát hành đã được giải quyết qua chuỗi cung ứng thẻ thanh toán sẵn có. Thách thức nằm ở chỗ thuyết phục các nhà phát hành chịu phần chi phí đơn vị tăng thêm và đảm bảo việc chạm NFC hoạt động đáng tin cậy trên nhiều thiết bị.

Một thẻ thông minh FIDO2 làm tăng thêm 2 đến 5 USD bên cạnh chi phí cơ sở 5 đến 15 USD của một chiếc thẻ kim loại hoặc thẻ sinh trắc học. Theo Juniper Research 2024, thẻ thanh toán sinh trắc học sẽ vượt mốc 140 triệu đơn vị xuất xưởng toàn cầu vào năm 2027.

3.3 Còn những lối chơi Lai và Giao thoa thì sao?#

Có một vài sản phẩm khác cũng cạnh tranh cho cùng một use case nhưng không hoàn toàn ăn khớp vào bất kỳ dạng thiết bị nào. Ledger đã xuất xưởng hơn 7 triệu ví Nano, và Trezor hơn 2 triệu ví. Cả hai đều cung cấp FIDO2 như một tính năng phụ bên cạnh việc lưu trữ crypto. Secure element của điện thoại như Apple Secure Enclave và Android StrongBox về mặt kỹ thuật bảo vệ khóa riêng tư bằng phần cứng, nhưng Apple và Google mặc định đồng bộ passkey qua iCloud Keychain và Google Password Manager, vì vậy hành vi người dùng nhìn thấy là passkey đồng bộ chứ không phải passkey ràng buộc phần cứng. Trình xác thực (authenticator) dạng thiết bị đeo (wearable) như Token Ring và nhẫn Mojo Vision vẫn dưới mức 100.000 thiết bị bán ra, theo các tuyên bố công khai.

Nói cách khác, cuộc đua tiêu dùng thực sự là trận đấu tay đôi giữa security key và thẻ thông minh, với ví crypto là ngành dọc thứ ba và thiết bị đeo chỉ chiếm một chú thích dưới 1%.

4. Điều gì cản trở Mức độ Chấp nhận của Người tiêu dùng?#

Có bốn rào cản mang tính cấu trúc cản trở việc áp dụng passkey ràng buộc phần cứng trên thị trường tiêu dùng: thứ bậc lời nhắc của HĐH và trình duyệt, sự phân mảnh NFC trên Android, sự khó khăn khi phục hồi sau khi mất thiết bị và mức giá bán lẻ trực tiếp tới người tiêu dùng. Một nhà cung cấp phần cứng đơn độc không thể giải quyết được bất kỳ rào cản nào trong số này.

4.1 Cấp bậc của HĐH và Trình duyệt#

Lớp AuthenticationServices của Apple mặc định là iCloud Keychain. Ngay cả khi một relying party cấu hình thuộc tính authenticatorAttachment là cross-platform, người dùng vẫn phải tắt trang tổng quan nền tảng trước. Credential Manager của Google cũng làm điều tương tự trên Android với Google Password Manager. Theo StatCounter, Safari và Chrome cùng chiếm khoảng 84% thị phần trình duyệt di động, vì vậy hai nhà cung cấp này thực sự đang thiết lập UX cho trải nghiệm web của người tiêu dùng trên toàn thế giới.

Các trình duyệt cũng ít đầu tư vào UX cho các khóa cứng vì theo dữ liệu so sánh, hơn 99% người tiêu dùng không sở hữu security key chuyên dụng. Điều đó tạo ra một vòng lặp luẩn quẩn: UX kém dẫn đến ít người sử dụng. Ít người dùng có nghĩa là không có đầu tư. Thiếu đầu tư dẫn đến UX mãi kém.

4.2 Sự phân mảnh NFC trên Android#

Hành vi NFC trên Android khác nhau rất nhiều giữa các nhà sản xuất. Samsung, Xiaomi, Oppo và Google Pixel đều sử dụng các ngăn xếp NFC khác nhau trên nền Android Open Source. Một số bản dựng Android 14 thậm chí đã làm hỏng hỗ trợ của nhà cung cấp passkey bên thứ ba trong vài tháng của năm 2024, theo Android Issue Tracker. Một thẻ thông minh FIDO2 có thể chạm rất tốt trên Pixel 8 nhưng lại thất bại trên Galaxy S23 Ultra và có cách hoạt động khác biệt hoàn toàn trên Xiaomi 14. Không có một chương trình kiểm thử trung tâm nào từ Chương trình Tương thích Google Android có thể bắt được những sự cố hồi quy này trước khi chúng đến tay người tiêu dùng.

4.3 Phục hồi và Mất mát#

Passkey đồng bộ tự động phục hồi khi người dùng đăng nhập trên một thiết bị mới. Nhưng thông tin xác thực phần cứng thì không. Nếu người dùng làm mất security key hoặc gãy thẻ thông minh, họ phải qua quá trình khôi phục tài khoản hoặc các phương pháp kém an toàn hơn. Báo cáo Verizon 2024 Data Breach Investigations nhận định 68% số vụ vi phạm dữ liệu liên quan đến yếu tố con người (không có ác ý), bao gồm cả việc lạm dụng phục hồi thông tin xác thực. NIST SP 800-63B cũng đặc biệt cảnh báo việc phục hồi tài khoản là một lỗ hổng phổ biến để xâm phạm xác thực. Sự ràng buộc phần cứng chỉ mạnh bằng kênh phục hồi của nó, điều này có nghĩa là relying party phải chịu gánh nặng bảo mật ngang với công ty sản xuất silicon.

4.4 Kênh phân phối và Chi phí#

Một security key cấp độ tiêu dùng bán lẻ từ 40 đến 80 USD theo trang giá của nhà sản xuất. Một người tiêu dùng không nghĩ tài khoản của họ đang gặp rủi ro sẽ đơn giản là không mua. Ngân hàng và sàn giao dịch crypto nếu chịu phí phần cứng thì có thể tặng miễn phí thiết bị, nhưng sau đó họ lại ôm trọn gánh nặng hỗ trợ kỹ thuật. Thẻ thông minh gắn chung với thẻ tín dụng thêm phí từ 2 đến 5 USD so với giá nền tảng 5 đến 15 USD cho mỗi thẻ, dựa trên số liệu công bố công khai của các nhà cung cấp như tài liệu dành cho nhà đầu tư của CompoSecure.

Bốn rào cản này giải thích tại sao passkey đồng bộ chiếm hơn 95% tỷ lệ đăng ký của người tiêu dùng trong dịch vụ tài chính theo FIDO Alliance Barometer, ngay cả khi có sẵn tùy chọn phần cứng.

5. Passkey ràng buộc phần cứng thực sự chiến thắng ở đâu?#

Ba hạng mục tiêu dùng sau cho người dùng lý do thực sự để mang theo phần cứng chuyên dụng: ngân hàng và thanh toán, tự lưu trữ crypto, và các tài khoản giá trị cao. Mỗi hạng mục đều có động lực mạnh mẽ, kênh phân phối khả thi và hậu quả đủ nghiêm trọng để biện minh cho các thao tác phức tạp đi kèm. Ngoài ba mảng này, passkey đồng bộ thường chiếm ưu thế do tính tiện lợi.

5.1 Ngân hàng và Thanh toán#

Ngân hàng là kênh phân phối tự nhiên nhất. Họ đã và đang giao thẻ vật lý cho khách hàng. Họ cũng hoạt động dưới các chuẩn PSD2, PSD3, Ý kiến của EBA về SCA, RBI 2FA, NYDFS Part 500 và APRA CPS 234. Nhiều quy định trong số này yêu cầu yếu tố sở hữu (possession factor) dựa trên mã hóa mà passkey đồng bộ chưa đáp ứng rõ ràng.

Luận điểm "thẻ thông minh đóng vai trò như thẻ tín dụng" thành công vì chiếc thẻ vật lý vốn đã tồn tại. Một ngân hàng phát hành thẻ kim loại chi trả 5 đến 15 USD cho mỗi thẻ, theo tài liệu CompoSecure 10-K. Việc bổ sung thêm FIDO2 sẽ đẩy mức chi phí đó lên thành 7 đến 20 USD, theo phân tích của Juniper Research về chi phí thẻ sinh trắc học. Một chiếc thẻ duy nhất đó lúc này có thể thực hiện chip-and-PIN, chạm thanh toán NFC, rút tiền qua ATM, đăng nhập ngân hàng trực tuyến và xác nhận giao dịch 3DS với giá trị lớn. Người tiêu dùng sẽ không bao giờ được hỏi "bạn có muốn hardware authenticator không?" Thẻ tự động được gửi tới nhà qua đường bưu điện.

5.2 Crypto và Tự lưu trữ#

Người dùng Crypto vốn dĩ đã chấp nhận việc phải giữ thiết bị phần cứng. Ledger đã phân phối hơn 7 triệu thiết bị Nano và báo cáo doanh thu lũy kế từ phần cứng đạt hơn 4 tỷ USD, theo trang thông tin công ty của họ. Trezor cũng bán ra hơn 2 triệu thiết bị. Security key từ lâu đã giữ vị trí vững chắc trong phương thức MFA của các sàn giao dịch crypto, với Coinbase, Kraken và Binance đều hỗ trợ FIDO2 key.

Thêm FIDO2 vào ví phần cứng chỉ là một công việc kỹ thuật bổ sung. Một thiết bị giá 100 USD bảo vệ một danh mục đầu tư 50.000 USD rõ ràng rất đáng để mang theo. Crypto hiện vẫn là phân khúc tiêu dùng duy nhất mà người dùng tự mua phần cứng theo chủ đích cá nhân.

5.3 Các Tài khoản Tiêu dùng Giá trị Cao#

Một nhóm nhỏ người tiêu dùng muốn bảo vệ các tài khoản mà nếu bị chiếm đoạt thì hậu quả là không thể đảo ngược. Những ví dụ điển hình bao gồm email chính, ví danh tính chính phủ, tài khoản nhà sáng tạo trên YouTube hoặc Twitch và các chứng chỉ báo chí. Chương trình Advanced Protection Program của Google mô tả tệp người dùng này là "người dùng rủi ro cao như nhà báo, nhân viên nhân quyền và nhân viên chiến dịch chính trị".

OpenAI cũng học theo mô hình này vào tháng 4 năm 2026 với chương trình Advanced Account Security dành cho ChatGPT, hợp tác với Yubico giới thiệu bộ hai khóa YubiKey C NFC và YubiKey C Nano với giá khoảng 68 USD. Chương trình vô hiệu hóa hoàn toàn việc đăng nhập bằng mật khẩu và email hoặc SMS, yêu cầu sử dụng passkey hoặc security key vật lý, nhắm tới mục tiêu là các nhà báo, quan chức, nhà hoạt động và các người dùng ChatGPT có mức rủi ro cao khác. Còn quá sớm để biết có bao nhiêu người dùng sẽ bỏ ra 68 USD cho lớp bảo vệ tăng cường này, nhưng đây là bài kiểm tra rõ ràng nhất từ trước đến nay để xem liệu các tài khoản tiêu dùng giá trị cao có thể thúc đẩy sự chấp nhận tự nguyện đối với phần cứng bên ngoài lĩnh vực crypto và ngân hàng hay không.

Chỉ số Sẵn sàng An ninh mạng 2024 của Cisco cũng phát hiện ra chỉ có 3% các tổ chức có năng lực bảo mật ở cấp độ trưởng thành (mature). Báo cáo an ninh mạng của GAO 2024 chỉ ra việc chiếm đoạt tài khoản là một trong 5 rủi ro an ninh mạng liên bang hàng đầu, điều này mở rộng nhóm người tiêu dùng cần đến biện pháp bảo vệ này ra xa hơn rất nhiều so với thị trường ngách báo chí ban đầu.

6. Tại sao chỉ Phần cứng thôi sẽ không chiến thắng#

Sở hữu phần cứng tốt nhất không đảm bảo chiếm được thị phần người tiêu dùng. Có năm khoảng trống giữa một nhà cung cấp phần cứng với một sản phẩm tiêu dùng toàn diện (end-to-end): phân phối, giới thiệu người mới, phục hồi, hành trình đa thiết bị, và đo lường. Mỗi khoảng trống này đều đòi hỏi những kỹ năng nằm ngoài công việc thiết kế vi mạch silicon.

1. Phân phối: các công ty phần cứng không có mối quan hệ trực tiếp thực sự nào với người tiêu dùng. Về lý thuyết, bất kỳ ai cũng có thể đặt mua YubiKey từ yubico.com, nhưng thực tế, người mua thường là các chuyên gia bảo mật, quản trị viên CNTT và một nhóm nhỏ đam mê công nghệ. Kênh này không thể mở rộng đến tay những người tiêu dùng đại chúng, vì họ chưa từng nghe tới thương hiệu và sẽ không tự tìm kiếm một authenticator trị giá 50 USD. Ngân hàng, các công ty viễn thông, hệ thống bán lẻ và nhà cung cấp hệ điều hành mới là những bên sở hữu mối quan hệ với người tiêu dùng, vì vậy nhà cung cấp phần cứng muốn bán với quy mô người tiêu dùng cần có đối tác hoặc hợp đồng nhãn trắng (white-label).
2. Giới thiệu người dùng (Onboarding): mỗi bước người tiêu dùng phải thực hiện để thiết lập passkey khiến bạn mất đi một phần lượng người dùng. Các ứng dụng thực tế tại ngân hàng báo cáo tỷ lệ thoát khỏi quy trình đăng ký từ 30% đến 60%, phù hợp với chuẩn đánh giá tỷ lệ bỏ giỏ hàng của Viện Baymard.
3. Phục hồi: một sản phẩm tiêu dùng mà không có câu chuyện phục hồi là một sản phẩm lỗi. Phục hồi yêu cầu tín hiệu ở cấp độ tài khoản, xác minh danh tính và chấm điểm rủi ro, tất cả những cái đó thuộc về relying party.
4. Hành trình đa thiết bị: một người dùng có thể đăng nhập trên điện thoại, máy tính xách tay, TV thông minh và xe hơi. Thông tin xác thực ràng buộc phần cứng chỉ sống trên duy nhất một thiết bị. Vì vậy, bạn cần hệ thống định tuyến (routing) thông minh giữa các thông tin xác thực phần cứng và đồng bộ để tránh đưa người dùng vào ngõ cụt.
5. Đo lường: các nhà cung cấp phần cứng thường bán xong là thôi. Họ đếm số thiết bị đã bán và bản quyền được kích hoạt. Họ không thấy được quá trình WebAuthn bị lỗi hoặc người dùng từ bỏ thao tác chạm thẻ. Không có đo lường, không rào cản nào trong 4 phần ở trên có thể được khép lại.

Các nhà cung cấp giải quyết được năm khoảng trống này ngay bên trong sản phẩm của họ sẽ trở thành nền tảng xác thực end-to-end. Các nhà cung cấp không làm được điều đó sẽ mãi trong ngành linh kiện và bán sản phẩm cho nền tảng của một người khác.

7. Đòn bẩy thực sự là gì? Kỹ thuật thúc đẩy sự chấp nhận (Adoption Engineering)#

Adoption engineering có nghĩa là kết hợp passkey ràng buộc phần cứng với các phần mềm thúc đẩy tỷ lệ đăng ký, đo lường mọi thao tác trong quá trình xác thực và định tuyến vòng qua những luồng bị hỏng. Không hoạt động nào trong số này liên quan đến bản thân phần cứng. Cả bốn hoạt động này đều là điều kiện bắt buộc để chiến thắng ở thị trường tiêu dùng, và chúng chỉ có tác dụng khi làm thành một vòng lặp khép kín. Sơ đồ bên dưới cho thấy cách bốn hoạt động này hỗ trợ lẫn nhau.

FIDO Alliance Authentication Barometer 2024 báo cáo rằng 53% người tiêu dùng đã bật passkey trên ít nhất một tài khoản, nhưng tỷ lệ kích hoạt phần cứng trong các hành trình giao dịch được quản lý chặt (regulated journeys) vẫn dưới 5%. Đây là khoảng cách 10x (gấp 10 lần), và adoption engineering là yếu tố thu hẹp khoảng cách đó. Nhóm làm việc W3C WebAuthn coi khoảng cách này là vấn đề về cách thức triển khai (deployment), không phải là vấn đề về đặc tả kỹ thuật (specification).

7.1 Đo từ xa theo Phễu (Funnel-Level Telemetry)#

Ở cấp độ phễu, khả năng quan sát passkey (passkey observability) có thể đo lường từng bước một, từ lúc "người dùng nhấp vào đăng nhập" đến lúc "phiên đăng nhập được cấp mã token". Nếu không có công cụ đo lường đó, nhóm phát triển không thể phân biệt giữa "người dùng không thấy tùy chọn phần cứng", "người dùng thấy, chạm nhưng NFC bị lỗi" và "người dùng hoàn tất bước xác thực nhưng relying party lại từ chối kết quả".

Phân tích theo phễu cung cấp cho bạn những số liệu thực sự quan trọng: tỷ lệ kích hoạt passkey phần cứng, tỷ lệ thành công của passkey phần cứng theo từng thiết bị, thời gian hoàn thành và tỷ lệ từ bỏ ở từng bước. Đặc tả W3C WebAuthn Level 3 định nghĩa 14 mã lỗi riêng biệt mà quá trình xác thực có thể trả về, nhưng phần lớn các hệ thống triển khai thực tế thường theo dõi ít hơn năm lỗi, theo các bài phát biểu về triển khai tại FIDO Alliance Authenticate 2024.

7.2 Chẩn đoán Cấp độ Phiên (Session-Level Diagnostics)#

Khi một giao dịch xác thực đơn lẻ thất bại, bộ phận hỗ trợ cần xem chính xác điều gì đã xảy ra. Chẩn đoán cấp độ phiên ghi lại các thông tin như phương tiện truyền tải (NFC, USB hoặc BLE), mã lỗi CTAP, trình duyệt, phiên bản HĐH, nhà sản xuất thiết bị và thời gian của từng bước trong quá trình xác thực. Đặc tả FIDO CTAP 2.1 quy định hơn 20 mã lỗi mà các authenticator có thể trả về, và chúng được ánh xạ tới các thao tác phục hồi cụ thể của người dùng trong Đặc tả W3C WebAuthn Level 3.

Không có cơ chế truyền dữ liệu này, nhân viên hỗ trợ chỉ thấy "đăng nhập thất bại" và có thể bắt đầu quá trình khôi phục tài khoản thủ công.

7.3 Định tuyến Thông minh theo Thiết bị (Device-Intelligent Routing)#

Một số kết hợp thiết bị và hệ điều hành liên tục gặp lỗi. Dữ liệu thực tế từ các bản triển khai quy mô lớn cho thấy tỷ lệ gián đoạn giao dịch lên tới 40 đến 90% ở các cặp thiết bị gặp lỗi, trong đó các mô hình lỗi phổ biến được dẫn chứng trên Android Issue Tracker và các bài phát biểu tại FIDO Alliance Authenticate 2024.

Logic định tuyến (routing logic) có khả năng ẩn đi tùy chọn phần cứng trên những kết hợp máy/hệ điều hành đã biết là sẽ gặp lỗi, đồng thời chuyển qua hướng giải quyết tốt nhất tiếp theo để giữ cho người dùng không rơi vào trường hợp thất bại đó. Nhưng bạn chỉ có thể đưa ra quyết định định tuyến như vậy sau khi dữ liệu quan sát đã chỉ điểm ra được các cặp bị lỗi từ tổng số xấp xỉ 24.000 dòng thiết bị Android được theo dõi bởi cơ sở dữ liệu thiết bị OpenSignal.

7.4 Lặp lại Liên tục cùng các Nhà phát hành (Issuers)#

Các ngân hàng và công ty fintech thường chạy thí điểm cũng như triển khai chính thức theo chu kỳ 6 đến 12 tháng, dựa trên nghiên cứu của Gartner về các chương trình quản lý danh tính. Nền tảng nào chiến thắng là nền tảng biết biến dữ liệu khả năng quan sát thành các ghi chú phát hành hàng tuần, các bản sửa lỗi và tỷ lệ thành công ngày một được cải thiện. Việc triển khai tĩnh (không cập nhật) dựa theo đánh giá hàng quý sẽ thất bại trước sự lặp lại liên tục.

8. Vậy thực sự ai chiến thắng trong Cuộc đua Tiêu dùng?#

Không có bất kỳ nhà sản xuất phần cứng thuần túy nào giành chiến thắng ở thị trường tiêu dùng. Ba nguyên mẫu (archetype) cạnh tranh cho vai trò của nền tảng xác thực người tiêu dùng: các ngân hàng và nhà phát hành, các nhà cung cấp phần cứng có xây dựng thêm lớp phần mềm, và các nền tảng HĐH. Các ngân hàng hiện nay đang dẫn đầu bởi vì họ nắm quyền phân phối vật lý và có vỏ bọc quản lý pháp lý từ PSD2 và NYDFS Part 500. Các nền tảng HĐH có linh kiện silicon đã cài sẵn trong mọi chiếc điện thoại và máy tính, nhưng chừng nào Apple và Google vẫn mặc định đồng bộ passkey, họ là đối thủ trong lĩnh vực passkey đồng bộ chứ không phải loại ràng buộc phần cứng.

8.1 Tại sao Ngân hàng đang dẫn đầu#

Các ngân hàng hiện đang dẫn đầu thị trường phần cứng passkey dành cho người tiêu dùng. Bốn lợi thế đang nghiêng về phía họ. Họ đã sẵn phát hành thẻ vật lý. Họ có tấm bình phong pháp lý từ PSD2, PSD3, NYDFS Part 500, RBI và APRA CPS 234. Họ nắm được lòng tin của người tiêu dùng. Và họ có thể chịu được phí phần cứng cao hơn 2 đến 5 USD trên toàn bộ danh mục tài sản của mình, theo các công bố của nhà cung cấp thẻ thông minh.

Ngân hàng nào kết hợp được bốn lợi thế này với adoption engineering (các kỹ thuật thúc đẩy sự chấp nhận) thì sẽ thu về tỷ lệ giữ chân (retention) nhiều năm từ khách hàng bật passkey. Ngân hàng nào mua sản phẩm phần cứng và tưởng thế là xong việc thì rồi sẽ nhận được các mức kích hoạt với tỷ lệ phần trăm lẹt đẹt một con số giống như điều ngành công nghiệp đã và đang ghi nhận trong vòng 2 năm qua.

8.2 Còn các Nhà cung cấp Phần cứng xây dựng Phần mềm thì sao?#

Nguyên mẫu thứ hai là các nhà cung cấp phần cứng tự xây lớp phần mềm. Một vài nhà sản xuất security key và thẻ thông minh đã khởi đầu quá trình chuyển dịch này, nhưng cần phải phân định rõ ràng về loại phần mềm mà họ cung cấp. Hầu hết các sản phẩm này là nền tảng IAM, quản lý đội thiết bị (fleet-management) hoặc nền tảng xác thực thích ứng (adaptive authentication), chứ chưa thực sự đem lại khả năng quan sát passkey ở quy mô toàn phễu (funnel) như cái mà người ta đang cần để lấp đầy khoảng trống chấp nhận từ phía người tiêu dùng.

• Yubico đã xây dựng nền tảng hoàn thiện nhất so với bất kỳ công ty bán security key nào. Gói đăng ký YubiKey as a Service của họ kết hợp cấp phép theo từng người dùng (per-user licensing), Customer Portal để quản lý phân phối và thiết bị, FIDO Pre-reg, ứng dụng đăng ký (Enroll) và SDK, kèm giao hàng toàn cầu, được tích hợp với Okta, Microsoft Entra ID và Ping Identity. Sản phẩm chủ yếu đóng vai trò là lớp phân phối doanh nghiệp và quản lý vòng đời, chứ chưa phải là công cụ phân tích sự chấp nhận cho người tiêu dùng.
• Thales ghép nối phần cứng eToken và thẻ thông minh SafeNet của mình cùng SafeNet Trusted Access, một nền tảng Identity-as-a-Service điện toán đám mây hỗ trợ SSO và xác thực thích ứng (adaptive authentication).
• OneSpan gói chung phần cứng DIGIPASS của hãng cùng nền tảng OneSpan Cloud Authentication và Intelligent xác thực thích ứng (adaptive authentication), hướng tới đối tượng là các ngân hàng và fintech.
• HID Global cung cấp thẻ thông minh Crescendo bên cạnh hệ thống HID Authentication Service và ứng dụng xác thực di động HID Approve.
• CompoSecure mở rộng hệ sinh thái xoay quanh thẻ thông minh FIDO2 Arculus của mình bằng một ứng dụng ví đi kèm cùng bộ SDK hỗ trợ các nhà phát hành.

Tính đến nay, đa số các nhà cung cấp này vẫn kiếm phần lớn doanh thu từ mảng phần cứng. Các nhà cung cấp nào đẩy mạnh được ngăn xếp phần mềm từ việc quản lý IAM/thiết bị vươn tới việc cung cấp khả năng quan sát passkey ở cấp độ mỗi một phiên giao dịch (ceremony-level passkey observability) mới có thể thúc đẩy việc chấp nhận trọn vẹn đầu cuối. Ai không làm vậy sẽ đành kẹt lại ở thị trường doanh nghiệp với tư cách là một người bán linh kiện.

8.3 Nền tảng OS thì sao?#

Nền tảng HĐH là một trường hợp đặc biệt. Phần cứng đã có sẵn - Apple Secure Enclave, Android StrongBox và con chip Pluton trên Windows 11 đều nằm sâu trong mọi thiết bị họ bán ra - nhưng chính sách passkey mặc định trên Apple và Google là đồng bộ hóa, vậy nên người dùng hiếm khi có một thông tin xác thực ràng buộc phần cứng ngay từ lúc mua máy (out of the box). iCloud Keychain và Google Password Manager chép khóa đi khắp các máy, khiến hành vi trong mắt người dùng trông hệt như một passkey đồng bộ. Windows Hello dựa vào TPM của Microsoft là secure element tiêu dùng duy nhất vẫn đang giữ cho khóa ở dạng nội bộ (local), nhưng Edge cũng đang có xu hướng đi sang kiểu đồng bộ, và chúng tôi xếp Windows Hello ra khỏi cuộc đua phần cứng người tiêu dùng vì nó chẳng đòi hỏi mua rời thêm gì cả.

Về lý thuyết, Apple, Google hoặc Microsoft có thể định nghĩa lại phân khúc này bằng cách phô diễn các passkey không đồng bộ, ràng buộc nền tảng bằng trải nghiệm UX bóng bẩy tương tự loại đồng bộ. Chưa có một dấu hiệu công khai nào cho thấy họ dự định làm điều đó. Miễn là đồng bộ vẫn là mặc định, các nền tảng OS này là đối thủ với nhau ở sân chơi passkey đồng bộ chứ không phải passkey ràng buộc phần cứng, và các security key riêng biệt cộng với thẻ thông minh FIDO2 vẫn sẽ là lối đi duy nhất thực sự cho phần cứng người tiêu dùng.

8.4 Bộ mặt thật của Cuộc đua này ra sao?#

Cuộc đua thực sự chẳng phải là "security key đấu với thẻ thông minh". Câu hỏi quan trọng là ai xây dựng nên nền tảng xác thực người tiêu dùng biết kết hợp yếu tố phần cứng tại đúng chỗ quan trọng, kết hợp phần mềm, dữ liệu và kỹ thuật thúc đẩy sự chấp nhận ở tất cả những nơi còn lại. Căn cứ vào bài diễn thuyết chính ở FIDO Alliance Authenticate 2024, người thắng cuộc dễ xảy ra nhất trong 3 đến 5 năm tới là:

• Ba đến năm ngân hàng lớn và mạng lưới thanh toán đã biến thẻ thông minh FIDO2 thành trải nghiệm mặc định của người tiêu dùng.
• Một hoặc hai nhà sản xuất phần cứng thực hiện chuyển đổi thành công sang vai trò nền tảng xác thực với các chức năng phân tích mức độ giao dịch (ceremony-level) thực chất, chứ không chỉ quẩn quanh IAM và quản lý thiết bị.
• Các chương trình tài khoản có giá trị cao như Google's Advanced Protection và OpenAI's Advanced Account Security, miễn là họ chứng minh được rằng 5 đến 10% khách hàng sẽ thực sự chi tiền mua phần cứng đổi lấy tính năng bảo vệ cao cấp.

Các công ty phần cứng thuần túy, nếu giữ nguyên mô hình thuần túy, có khả năng rất thấp để vô địch thị trường tiêu dùng. Kết cục của họ là trở thành các nhà cung cấp mạch chip silicon nằm bên trong nền tảng của ai đó. Đấy là một hoạt động kinh doanh tốt và là lợi thế rõ rệt trong khối doanh nghiệp, nhưng đấy không phải là bá chủ tiêu dùng.

9. Các Ngân hàng, Nhà phát hành và Đội ngũ Sản phẩm nên làm gì tiếp theo?#

Có ba hành động cốt lõi mang ý nghĩa lớn đối với bất kỳ nhóm sản phẩm nào muốn đánh giá loại passkey ràng buộc phần cứng trong vòng 12 tháng tới, dựa trên cẩm nang triển khai FIDO Alliance cùng hướng dẫn về nhận dạng từ Gartner. Chọn trường hợp sử dụng (use case) nơi phần cứng thực sự chiến thắng. Cặp nối từng hệ thống phần cứng được triển khai chung với các kỹ thuật adoption engineering. Và xây dựng vòng lặp dữ liệu phản hồi ngay từ ngày đầu tiên.

1. Chọn đúng trường hợp sử dụng: xác nhận giao dịch 3DS có giá trị cao, xác thực tăng cường (step-up authentication) trong các hành trình giao dịch được quản lý chặt, và phục hồi tài khoản cho các tệp đối tượng có rủi ro cao. Đừng nhồi nhét phần cứng vào bước đăng nhập đại trà của mọi người tiêu dùng.
2. Kẹp phần cứng chung với adoption engineering: các cơ chế theo dõi và ghi dữ liệu, xử lý lỗi của ứng dụng gốc, định tuyến thông minh theo thiết bị và thực hiện so sánh đánh giá một cách rành mạch trước dữ liệu tham chiếu nền tảng của passkey đồng bộ.
3. Sớm xây dựng vòng lặp dữ liệu: đính kèm chức năng đo đạc đo lường phễu ngay từ đợt pilot đầu tiên, không phải là sau khi đã ra mắt rộng rãi. Các đội nhóm nhìn ra được hãng sản xuất Android nào, phiên bản iOS nào, hay loại trình duyệt nào hay làm fail tính năng chạm thẻ, mới có thể đưa ra chỉnh sửa sau đó vài tuần. Các đội nhóm không làm được như thế sẽ bị bó buộc trong hàng loạt giả định và phỏng đoán mông lung, rồi chỉ có thể chắp tay đợi ticket hỗ trợ.

Đối với các nhà sản xuất phần cứng, thông điệp còn bén hơn nữa. Hãy quyết định xem liệu công ty sẽ mãi là nhà cung cấp thiết bị rời rạc hay là sẽ xây nền tảng. Cả hai đều sống được. Cố làm cả hai cùng lúc mà không thật sự dốc hết tâm thế sẽ khiến khâu nền tảng đói vốn và làm lộ trình silicon bị xao lãng.

10. Kết luận#

Passkey ràng buộc phần cứng vẫn là loại thông tin xác thực tiêu dùng duy nhất vượt được NIST AAL3, tồn tại được sau khi bị lộ tài khoản đám mây và hoàn toàn thỏa mãn các cách diễn giải quy định khắt khe nhất của PSD2, PSD3 cùng các quy chế khác tương tự. Công nghệ hoàn toàn ổn. Vi mạch silicon rất xịn. Các tiêu chuẩn công nghiệp đều trưởng thành.

Những gì mà thứ công nghệ này không tự nó gồng gánh nổi là đánh chiếm sự chấp nhận của người tiêu dùng. Apple với Google trấn giữ OS cùng lớp trình duyệt web. Ngân hàng và các nhà phát hành chốt chặn các cổng phân phối bán lẻ. Các công ty làm phần cứng thì kiểm soát mạch chip silicon. Cuộc đua tiếp cận người tiêu dùng chỉ ngã ngũ khi có ai đó gom cả ba món ấy hợp nhất bằng một nền tảng phần mềm truyền lửa thúc đẩy sự chấp nhận, đo lường được chi tiết từng giao dịch một và lách qua được những khe hẹp ngõ cụt.

Công thức vô địch sẽ là phần cứng cộng hưởng cùng khả năng quan sát passkey cộng thêm adoption engineering liên tục. Nhà cung cấp hoặc nhà phát hành nào triển khai được đủ ba mảnh ghép ấy sẽ viết tiếp bộ quy tắc tiêu dùng cho một thập niên tới. Những ai không làm thì rồi chỉ mang linh kiện đi bán lại vào trong nền tảng của người kia mà thôi.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

Câu hỏi thường gặp#

Sự khác biệt giữa passkey ràng buộc phần cứng và passkey đồng bộ dành cho người tiêu dùng là gì?#

Passkey ràng buộc phần cứng giữ khóa bí mật bên trong một linh kiện an toàn vật lý như security key, thẻ thông minh FIDO2 hay một con chip TPM nằm sẵn trong thiết bị. Khóa riêng (private key) đó không bao giờ rời khỏi hardware. Passkey đồng bộ thì nằm trên iCloud Keychain, Google Password Manager hay các chương trình quản lý của bên thứ ba, và chúng sẽ tự copy nhân bản chéo trên các thiết bị qua đám mây. Passkey ràng buộc phần cứng thì đạt được mức an ninh NIST AAL3 do khóa private key không thể chiết xuất (export) ra. Passkey đồng bộ thì giới hạn ở mức AAL2 vì con đường đám mây làm nó có thể lấy (recover) lại khóa. Chỉ một sự cách biệt cấp bậc như thế lại cực kỳ trọng yếu trong con mắt của các cơ quan chính phủ, luật lệ về tài chính, hay sức khỏe y tế.

Tại sao thẻ bảo mật phần cứng (hardware security keys) vẫn chưa phổ biến với người tiêu dùng dù có sự xuất hiện của passkey?#

Apple và Google kiểm soát hệ điều hành và các trình duyệt web mà hơn 99% người dùng cá nhân (theo StatCounter) sử dụng. Hai ông lớn ấy ưu ái các kho chứa passkey đồng bộ của nhà mình bên trong các màn hình (prompts) nhắc lệnh của WebAuthn. Nhóm bộ xác thực hardware authenticator bị lấp xuống dưới một tới 3 nhấp chuột sâu bên trong quy trình chuẩn gốc (default flow) theo tài liệu của hệ thống Apple AuthenticationServices và Android Credential Manager. Giao tiếp qua đường NFC lại đang bị chắp vá phân mảnh nặng trên các máy Android của đủ nhà sản xuất, trong khi chức năng Conditional UI thì auto-chọn vào nhóm đăng nhập được đồng bộ đám mây. Thêm vào tất cả điều trên là lý do khách hàng hầu hết sẽ không móc túi chi 40 đến 80 USD cho cái bộ khóa phụ độc lập kia, nếu chả có nền tảng dịch vụ nào bắt họ phải xài.

Những trường hợp sử dụng nào biện minh cho passkey ràng buộc phần cứng đối với người tiêu dùng?#

Ba nhóm lĩnh vực truyền được động lực đủ mạnh để người dùng mua chúng. Nhóm 1 là thanh toán với mảng ngân hàng, nơi mà PSD2, PSD3, chuẩn của RBI Ấn Độ và APRA CPS 234 ở Úc, ai cũng đòi hỏi công đoạn kiểm định nhân thân cực chặt chẽ. Thứ hai là crypto và việc tự giữ tài sản trong kho chứa của mình (self-custody), nơi lỡ đánh mất cái key thôi thì bằng với việc mất tiền vĩnh viễn, thế nên Trezor với Ledger mới bán được hơn 9 triệu bộ tay cầm cứng cho người ta. Cuối cùng, đó là bảo mật cho những tài khoản giá trị khủng và cao: như email chính chủ yếu nhất, các chiếc ví nhận dạng nhà nước, các tài khoản streamer hay tác giả chuyên nghiệp mà lỡ mất là hối hận ngàn năm. Google Advanced Protection Program và OpenAI Advanced Account Security cho ChatGPT, (đã công bố tháng 4 năm 2026 với 1 cái set đôi YubiKey bán tầm 68 USD có in chung cả 2 brand) đều nhắm tới cái nhóm tệp user này. Còn nằm ngoài ba cái gạch đầu dòng kia, tiện hơn thì auto passkey đồng bộ sẽ đoạt cúp vô địch.

Thẻ thông minh FIDO2 (FIDO2 smart cards) nằm ở đâu trong cuộc đua passkey phần cứng cho người tiêu dùng?#

Nhà sản xuất thẻ như CompoSecure (mỗi năm ném vào thị trường khoảng 100 triệu thẻ credit kim loại, theo 10-K, và gọi đồ FIDO2 của mình là Arculus) hay IDEMIA vẫn tiếp tục phát triển mảng thẻ quẹt chạm NFC được bọc chíp để chạy FIDO2. Thường thì mỗi khách đều có 1 cái thẻ credit cả rồi, nên nhúng FIDO2 thẳng vào đấy thì coi như xong bước phải mang thêm cục cứng phụ nào cả. Lúc đó, ngân hàng số và các ví crypto gom cả đăng nhập, chứng minh quyền trả tiền, hay chốt hạ bước kiểm soát an ninh vào thẳng cái định dạng format thẻ đó. Mấy phần chua xót nhất bao gồm phải làm cho NFC tương thích chạy trơn tru mượt mà trên trình duyệt của máy dùng Android với Apple iOS, với phải dỗ ngon dỗ ngọt bên phát hành thẻ (issuers) cắn răng đội thêm phí sản xuất 2 đến 5 USD / thẻ.

Cần điều gì để thực sự chiến thắng thị trường passkey phần cứng người tiêu dùng?#

Cần phần cứng phải tốt, nhưng mới thế thì chả thấm vào đâu. Kẻ giật giải vô địch sẽ là người cặp chéo 1 cái nền tảng phần cứng chất lượng, kết dính với hạ tầng theo dõi (intelligence platform), thứ mà đi chẩn bệnh từng cái click nhỏ ở phần setup và đăng nhập, biết điều khiển luồng (routes) để nắn né xa mấy cặp kết nối máy/hệ điều hành hay giật lỗi ngáo đá, với nộp bằng chứng chứng tỏ rõ lên bàn giấy của bên phát hành thẻ là cước lừa đảo fraud và rác hỗ trợ support đã sụt rõ nét. Mù cái phần soi kỹ (funnel-level passkey observability), các vendors với hệ thống ngân hàng làm sao thấy được 60% user từ bỏ giao dịch NFC, như đã bị chỉ điểm ở Authenticate 2024 của FIDO, hoặc là Conditional UI đã cướp nhịp ẩn chìm lời gọi prompt của thẻ dưới nước theo W3C WebAuthn Level 3. Cuộc đấu sinh tử này sẽ do mảng dữ liệu (data) + mảng công nghệ (software) ra tay chọn tướng tài, chứ hoàn toàn không phải vì bộ thẻ cứng bọc ngoài Titan bền ra sao.