Hướng dẫn sử dụng passkey cho cổng thông tin khách hàng bảo hiểm

1. Giới thiệu#

Các cổng thông tin khách hàng Bảo hiểm đang chịu áp lực từ nhiều phía cùng một lúc. Rủi ro chiếm đoạt tài khoản đang gia tăng, chi phí SMS OTP ở quy mô lớn rất đắt đỏ, các trung tâm tổng đài phải gánh chịu hậu quả từ các lỗi mật khẩu và MFA, đồng thời các cơ quan quản lý ngày càng kỳ vọng vào việc triển khai MFA chống lừa đảo. Sự kết hợp đó khiến bảo hiểm trở thành một trong những trường hợp sử dụng xác thực khách hàng rõ ràng nhất cho passkey.

Bài viết này đề cập đến:

1. Tại sao các cổng thông tin bảo hiểm là một trường hợp sử dụng passkey mạnh mẽ Rủi ro ATO, các quy trình OTP đắt đỏ, phát hiện gian lận chậm trễ và áp lực pháp lý ngày càng tăng.
2. Passkey so với các phương pháp xác thực cũ như thế nào SMS OTP, email OTP, TOTP và độ tin cậy của thiết bị trên các khía cạnh bảo mật, UX, tuân thủ và chi phí.
3. Điều gì khiến việc triển khai tại các công ty bảo hiểm trở nên khác biệt Nền tảng CIAM cũ, kiến trúc cổng thông tin đa thương hiệu, quy trình của đại lý so với chủ hợp đồng và quy định khu vực.
4. Cách các công ty bảo hiểm có thể triển khai passkey với một mô hình hoạt động thực tế Cần đo lường điều gì, cách sử dụng mô hình trưởng thành và cách chuyển từ các lần đăng nhập phụ thuộc nhiều vào OTP sang MFA chống lừa đảo.
5. Passkey thúc đẩy việc áp dụng kỹ thuật số và chuyển đổi sang tự phục vụ như thế nào Lập luận chiến lược cho các nhà lãnh đạo cấp C và VP: chuyển đổi kênh, giảm tải cho trung tâm tổng đài và kết nối khả năng quan sát xác thực với các kết quả kinh doanh.

2. Tại sao các cổng thông tin khách hàng bảo hiểm lại là mục tiêu chính của việc chiếm đoạt tài khoản?#

Các cổng thông tin khách hàng bảo hiểm lưu giữ một số dữ liệu cá nhân nhạy cảm nhất hiện có trong khi thường dựa vào các biện pháp bảo mật đăng nhập yếu kém. Điều đó khiến chúng trở thành mục tiêu tự nhiên của các cuộc tấn công dựa trên thông tin xác thực. Tài khoản của chủ hợp đồng chứa số An sinh Xã hội, thông tin ngân hàng, hồ sơ sức khỏe và lịch sử yêu cầu bồi thường. Tất cả những thứ này có thể được kiếm tiền thông qua việc đánh cắp danh tính hoặc các yêu cầu bồi thường gian lận.

Khác với các cổng thông tin ngân hàng nơi việc giám sát giao dịch phát hiện gian lận trong thời gian thực, gian lận bảo hiểm thường mất vài tuần hoặc vài tháng mới lộ diện. Một kẻ tấn công có quyền truy cập vào tài khoản của chủ hợp đồng có thể thay đổi người thụ hưởng, nộp hồ sơ yêu cầu bồi thường gian lận, hoặc đánh cắp dữ liệu cá nhân rất lâu trước khi công ty bảo hiểm phát hiện ra sự cố xâm phạm.

Quy mô của vấn đề:

• Nhồi thông tin xác thực ngay từ cửa trước: NYDFS đã phạt tám công ty bảo hiểm ô tô tổng cộng 19 triệu USD vào tháng 10 năm 2025, đặc biệt vì họ đã không bắt buộc MFA trên các hệ thống báo giá công khai. Những kẻ tấn công đã sử dụng nhồi thông tin xác thực để truy cập hàng loạt vào dữ liệu tài xế nhạy cảm.
• SMS OTP đắt đỏ và mong manh: Ở quy mô công ty bảo hiểm (hàng triệu chủ hợp đồng), chi phí gửi SMS OTP cộng dồn rất nhanh chóng. Một nhà cung cấp gửi 10 triệu OTP mỗi tháng với mức phí 0,03 USD mỗi tin nhắn sẽ chi 3,6 triệu USD hàng năm và đó là giả định tỷ lệ gửi thành công là 100%. Trên thực tế, việc lọc của nhà mạng, chuyển mạng giữ số và chuyển vùng quốc tế khiến 5 đến 15 % số lượng OTP không bao giờ đến nơi, mỗi lần gửi lỗi có khả năng tạo ra một cuộc gọi hỗ trợ.
• Tải trọng lên trung tâm tổng đài từ việc đặt lại mật khẩu: Các trung tâm tổng đài bảo hiểm vốn đã xử lý các yêu cầu bồi thường và chính sách phức tạp. Việc thêm đặt lại mật khẩu và khắc phục sự cố MFA vào quy trình này làm chuyển hướng thời gian của tổng đài viên khỏi các hoạt động tạo ra doanh thu. Các ước tính trong ngành cho thấy các cuộc gọi liên quan đến xác thực chiếm 20 đến 40 % tổng khối lượng cuộc gọi đến trung tâm tổng đài đối với các dịch vụ tài chính tiêu dùng.
• Áp lực pháp lý đang thắt chặt: Ngoài NYDFS, Quy tắc Bảo vệ FTC đã bắt buộc sử dụng MFA đối với các tổ chức tài chính phi ngân hàng kể từ tháng 6 năm 2023, và Luật Mô hình Bảo mật Dữ liệu Bảo hiểm NAIC (được áp dụng ở hơn 25 tiểu bang) yêu cầu MFA dựa trên rủi ro đối với tất cả các bên được cấp phép.

Dữ liệu có giá trị cao, phát hiện gian lận chậm trễ, chi phí OTP gia tăng và quy định thắt chặt tất cả đều hướng tới một điểm chung: các cổng thông tin bảo hiểm đang rất cần xác thực chống lừa đảo.

3. Passkey so với SMS OTP, email OTP, TOTP và độ tin cậy của thiết bị đối với các cổng thông tin bảo hiểm như thế nào?#

Việc chọn đúng phương pháp xác thực có nghĩa là cân nhắc giữa bảo mật, trải nghiệm người dùng, khôi phục, độ phức tạp triển khai, gánh nặng hỗ trợ, tư thế tuân thủ và chi phí ở quy mô lớn. Bảng dưới đây phân tích cách mỗi tùy chọn hoạt động.

Tóm lại: Passkey là lựa chọn duy nhất đạt điểm cao nhất trên các phương diện bảo mật, UX, gánh nặng hỗ trợ, tuân thủ và chi phí ở quy mô lớn. Sự đánh đổi là độ phức tạp triển khai, nhưng đó là khoản đầu tư một lần sẽ mang lại lợi ích khi mức độ chấp nhận tăng lên.

4. Điều gì khiến việc triển khai passkey trở nên khác biệt đối với các công ty bảo hiểm?#

Việc triển khai passkey trong bảo hiểm không giống như việc triển khai chúng trong ngân hàng hoặc SaaS. Các công ty bảo hiểm đối phó với cơ sở hạ tầng cũ, sự phức tạp của đa thương hiệu, tệp người dùng đa dạng và các yêu cầu quy định nhiều lớp định hình từng quyết định triển khai.

4.1 Nền tảng CIAM cũ#

Hầu hết các công ty bảo hiểm lớn điều hành danh tính người tiêu dùng của họ trên các nền tảng CIAM doanh nghiệp như Ping Identity, ForgeRock hoặc Okta. Các nền tảng này hiện hỗ trợ FIDO2/WebAuthn ở cấp độ giao thức, nhưng sự hỗ trợ đó chỉ bao gồm phần phụ trợ. Lớp áp dụng (lời nhắc đăng ký, lời nhắc nhận diện thiết bị, xử lý lỗi và đo từ xa phía máy khách) có thể bị thiếu hoặc yêu cầu sự phát triển tùy chỉnh đáng kể.

Điều này tạo ra "bẫy 1%" giống như đã thấy trong các đợt triển khai ngân hàng: hộp kiểm IdP đã được đánh dấu, nhưng mức độ áp dụng bị đình trệ vì không ai xây dựng hành trình sản phẩm để đưa chủ hợp đồng từ mật khẩu sang passkey.

4.2 Các cổng thông tin đa thương hiệu và chiến lược rpID#

Một công ty bảo hiểm lớn điển hình vận hành các sản phẩm ô tô, nhà, nhân thọ và chuyên biệt, thường trên các miền phụ riêng biệt hoặc thậm chí các miền riêng biệt có được thông qua M&A. Passkey được ràng buộc về nguồn gốc: thông tin xác thực được tạo trên auto.insurer.com sẽ không hoạt động trên life.insurer.com trừ khi cả hai đều chia sẻ cùng một Relying Party ID (rpID).

Cách khắc phục:

• Xác định một rpID duy nhất gắn với miền chính (ví dụ: insurergroup.com) trước khi bất kỳ công việc nào về passkey bắt đầu.
• Định tuyến tất cả các lần xác thực thông qua một lớp SSO tập trung (OIDC/SAML) sử dụng rpID dùng chung này.
• Nếu các tên miền cũ không thể được hợp nhất ngay lập tức, hãy sử dụng Nguồn gốc Liên quan (Related Origins) để thu hẹp khoảng cách mà không bắt buộc đăng ký lại.

4.3 Các quy trình của đại lý so với chủ hợp đồng#

Bảo hiểm có hai nhóm người dùng rất khác nhau truy cập vào cùng một hệ thống phụ trợ:

Branch Insurance đã chỉ ra cách điều này hoạt động trong thực tế: họ bắt đầu với các đại lý (tần suất cao hơn, môi trường được kiểm soát tốt hơn) và đạt được tỷ lệ áp dụng 25% ban đầu trước khi mở rộng sang chủ hợp đồng. Việc ưu tiên cho đại lý trước đã tạo dựng được niềm tin nội bộ và làm nổi bật các vấn đề cụ thể về thiết bị ngay từ đầu.

4.4 Cảnh quan tuân thủ khu vực#

Xác thực trong bảo hiểm không chỉ là vấn đề quy định của Hoa Kỳ. Các quy tắc cụ thể khác nhau tùy theo thị trường, nhưng hướng đi thì nhất quán: kiểm soát danh tính mạnh mẽ hơn, phạm vi MFA rộng hơn và giám sát kỹ hơn các kênh kỹ thuật số tiếp xúc với khách hàng.

• Hoa Kỳ: NYDFS Part 500 bắt buộc sử dụng MFA phổ quát chậm nhất vào tháng 11 năm 2025 đối với các tổ chức nằm trong phạm vi, bao gồm các công ty bảo hiểm được cấp phép tại New York. NYDFS đánh giá rõ ràng SMS OTP là yếu kém và khuyến nghị các giải pháp thay thế chống lừa đảo. Luật Mô hình Bảo mật Dữ liệu Bảo hiểm NAIC thúc đẩy MFA dựa trên rủi ro trên 25+ tiểu bang, trong khi Quy tắc Bảo vệ FTC yêu cầu MFA cho một số tổ chức tài chính phi ngân hàng và các trung gian.
• EU: DORA đã có hiệu lực vào ngày 17 tháng 1 năm 2025 và áp dụng cho các công ty bảo hiểm trên toàn EU. DORA có phạm vi rộng hơn một quy tắc MFA, nhưng nó nâng cao tiêu chuẩn về quản lý rủi ro CNTT-TT, báo cáo sự cố, kiểm tra khả năng phục hồi và giám sát bên thứ ba đối với các hệ thống tiếp xúc với khách hàng.
• Úc: APRA CPS 234 yêu cầu các biện pháp kiểm soát an toàn thông tin tương xứng với rủi ro trên toàn bộ các công ty bảo hiểm và các thực thể khác được APRA quy định. Hướng dẫn MFA năm 2023 của APRA kêu gọi cụ thể việc tăng cường xác thực đối với quyền truy cập đặc quyền, quyền truy cập từ xa và các hoạt động rủi ro cao, đồng thời lưu ý rằng các khoảng trống MFA trọng yếu ảnh hưởng đến chủ hợp đồng có thể tương đương với một điểm yếu bảo mật phải báo cáo.
• Canada: Hướng dẫn OSFI B-13 áp dụng cho các tổ chức tài chính được quản lý bởi liên bang, bao gồm cả các công ty bảo hiểm. OSFI nói rằng các công ty nên thực hiện các biện pháp kiểm soát truy cập và danh tính dựa trên rủi ro, bao gồm MFA trên các kênh đối ngoại và tài khoản đặc quyền.

Đối với các công ty bảo hiểm đa quốc gia, ý nghĩa thực tế rất đơn giản: thiết kế xác thực khách hàng để đáp ứng quy chế khắt khe nhất được áp dụng. Hướng đi chung là tiến tới MFA dựa trên rủi ro và ngày càng chống lừa đảo, chứ không tiếp tục phụ thuộc vào SMS OTP.

5. Các công ty bảo hiểm nên đo lường điều gì trước và sau khi ra mắt passkey?#

Việc ra mắt passkey mà không có đo lường phía máy khách giống như viết một hợp đồng bảo hiểm mà không có dữ liệu thẩm định. Bạn sẽ không biết điều gì đang thất bại, ở đâu hoặc đối với ai cho đến khi trung tâm tổng đài của bạn bị quá tải. Sai lầm "triển khai mù quáng" từ các đợt triển khai trong lĩnh vực ngân hàng cũng áp dụng tương tự ở đây, đặc biệt là do sự đa dạng về nhân khẩu học của chủ hợp đồng mà các công ty bảo hiểm phải xử lý.

Ở mức tối thiểu, các công ty bảo hiểm nên đo lường ba kết quả hướng tới doanh nghiệp:

• Tỷ lệ đăng nhập thành công: Chủ hợp đồng và đại lý có hoàn tất đăng nhập đáng tin cậy hơn sau khi triển khai passkey không?
• Tỷ lệ đăng ký: Người dùng có thực sự tạo passkey không, hay việc áp dụng bị đình trệ sau lời nhắc đầu tiên?
• Tần suất dự phòng và khối lượng hỗ trợ: Người dùng có quay trở lại với SMS hoặc khôi phục mật khẩu không, và các phiếu hỗ trợ liên quan đến xác thực có giảm đi không?

Nếu ba con số đó di chuyển theo đúng hướng, thì việc triển khai đang có hiệu quả. Nếu không, bạn cần điều chỉnh thời gian nhắc nhở, thiết kế dự phòng, phạm vi thiết bị hoặc hướng dẫn người dùng trước khi mở rộng thêm.

5.1 Các hành trình thay đổi tài khoản và yêu cầu bồi thường quan trọng hơn các lần đăng nhập chung#

Cổng thông tin bảo hiểm không chỉ là những trải nghiệm "đăng nhập và kiểm tra số dư". Những khoảnh khắc rủi ro cao nhất thường xảy ra khi một chủ hợp đồng nộp hồ sơ yêu cầu bồi thường, thay đổi chi tiết thanh toán, cập nhật địa chỉ, thêm tài xế, thay đổi người thụ hưởng hoặc truy cập vào các tài liệu nhạy cảm. Những hành trình đó không nên được gộp vào một KPI đăng nhập chung.

Do đó, các công ty bảo hiểm nên theo dõi hiệu suất passkey một cách riêng biệt cho các sự kiện tài khoản có rủi ro cao. Nếu tỷ lệ đăng nhập thành công tổng thể có vẻ tốt nhưng các hành trình liên quan đến bồi thường hoặc liên quan đến thanh toán vẫn quay lại dùng SMS hoặc khôi phục thủ công, thì việc triển khai thực tế không làm giảm rủi ro hoạt động ở những nơi quan trọng nhất. Đây là một trong những điểm khác biệt lớn nhất giữa bảo hiểm và các ứng dụng tiêu dùng được sử dụng thường xuyên hơn.

5.2 Lần đăng nhập tần suất thấp thay đổi chiến lược áp dụng#

Nhiều chủ hợp đồng chỉ đăng nhập một vài lần mỗi năm: khi gia hạn, sau khi gặp vấn đề về hóa đơn hoặc khi gửi yêu cầu bồi thường. Điều đó khiến việc áp dụng passkey trong bảo hiểm về cơ bản khác với các sản phẩm được sử dụng hàng ngày. Bạn có ít cơ hội hơn để nhắc nhở, hướng dẫn và khôi phục từ một trải nghiệm ban đầu tồi tệ.

Đó là lý do tại sao các công ty bảo hiểm nên đo lường lượt đăng ký theo hành trình chứ không chỉ theo tổng số. Một lời nhắc được hiển thị sau một lần thanh toán thành công hoặc kiểm tra tình trạng bồi thường có thể chuyển đổi tốt hơn nhiều so với một lời nhắc lạnh lùng trên màn hình đăng nhập đầu tiên vào nhiều tháng sau lần phiên trước. Trong bảo hiểm, những khoảnh khắc áp dụng tốt nhất thường gắn với sự tin cậy và việc hoàn thành tác vụ, chứ không phải tần suất đăng nhập.

6. Mô hình Trưởng thành Xác thực Bảo hiểm là gì?#

Khuôn khổ bốn cấp độ này cung cấp cho các công ty bảo hiểm một cách để chuẩn hóa vị trí hiện tại của họ về xác thực, đặt các mốc mục tiêu và truyền đạt tiến độ cho ban giám đốc, các cơ quan quản lý và kiểm toán viên. Mỗi cấp độ được xây dựng dựa trên cấp độ trước đó.

Biểu đồ sau đây mô phỏng bốn cấp độ trưởng thành dưới dạng một tiến trình từ chỉ SMS đến khả năng quan sát đầy đủ.

Cách sử dụng mô hình này:

1. Đánh giá: Xác định cấp độ hiện tại của bạn bằng cách kiểm tra các phương pháp xác thực, phạm vi dữ liệu đo từ xa và những khoảng trống trong việc tuân thủ trên tất cả các cổng thông tin khách hàng.
2. Mục tiêu: Đặt lộ trình 12 đến 18 tháng để đạt ít nhất Cấp độ 3. Các công ty bảo hiểm dưới sự giám sát của NYDFS nên đặt mục tiêu Cấp độ 4 để hỗ trợ yêu cầu chứng nhận kép của CEO/CISO.
3. Giao tiếp: Sử dụng mô hình trong các bài thuyết trình trước hội đồng quản trị và đệ trình quy định để thể hiện sự tiến bộ có cấu trúc thay vì những cải thiện ngẫu nhiên.

7. Passkey thúc đẩy việc áp dụng kỹ thuật số và chuyển đổi sang tự phục vụ như thế nào#

Hầu hết các giám đốc điều hành bảo hiểm coi xác thực là một mối quan tâm của bộ phận CNTT. Đó là một sai lầm. Đối với các nhà lãnh đạo cấp C và VP, những người có chương trình nghị sự chiến lược bao gồm việc chuyển chủ hợp đồng từ các trung tâm tổng đài và chi nhánh sang hình thức tự phục vụ kỹ thuật số, xác thực là điểm ma sát lớn nhất cản trở con đường này.

7.1 Xác thực là cửa ngõ cho mọi sáng kiến kỹ thuật số#

Mọi sáng kiến bảo hiểm kỹ thuật số - bồi thường tự phục vụ, thay đổi hợp đồng trực tuyến, thanh toán kỹ thuật số, quy trình ký điện tử - đều bắt đầu bằng một lần đăng nhập. Nếu chủ hợp đồng không thể vượt qua cánh cửa đó một cách đáng tin cậy, thì không có khoản đầu tư nào ở các bước tiếp theo mang lại ROI.

Dữ liệu rất rõ ràng:

• 43% người tiêu dùng nói rằng việc quản lý thông tin đăng nhập ảnh hưởng đến việc họ sẵn sàng sử dụng các dịch vụ trực tuyến nói chung.
• 64% đã từ bỏ việc mua hàng vì họ phải tạo tài khoản hoặc không thể đăng nhập.
• 60% người tiêu dùng nhận thấy cổng thông tin bảo hiểm, hưu trí và thế chấp khó sử dụng, với việc đăng nhập là điểm thất bại đầu tiên và phổ biến nhất.
• Chỉ 20% khách hàng bảo hiểm nói rằng các kênh kỹ thuật số là cách họ ưu tiên tương tác với công ty bảo hiểm, phần lớn là do trải nghiệm - bắt đầu từ xác thực - kém hơn so với những gì họ nhận được từ các ứng dụng ngân hàng và bán lẻ.

Biểu đồ sau đây minh họa cách bốn điểm dữ liệu này kết hợp thành một mô hình ngăn cản việc áp dụng duy nhất.

Đối với các công ty bảo hiểm đang chi hàng triệu USD cho việc thiết kế lại cổng thông tin, chatbot và quy trình bồi thường kỹ thuật số, một trải nghiệm đăng nhập bằng mật khẩu cộng SMS OTP làm suy yếu toàn bộ khoản đầu tư. Những chủ hợp đồng không đăng nhập được hoặc bỏ cuộc trong sự thất vọng sẽ quay về gọi điện cho trung tâm liên lạc hoặc đến chi nhánh - chính xác là các kênh chi phí cao mà chiến lược kỹ thuật số được cho là sẽ thay thế.

7.2 Định lượng sự chuyển dịch tự phục vụ#

Việc chuyển chủ hợp đồng từ các kênh có sự hỗ trợ của con người sang tự phục vụ kỹ thuật số là một trong những chiến lược giảm chi phí mang lại hiệu quả cao nhất trong ngành bảo hiểm:

• Các tương tác qua điện thoại có chi phí 8 đến 15 USD cho mỗi liên hệ so với dưới 1 USD cho dịch vụ tự phục vụ. Ở quy mô công ty bảo hiểm, thậm chí chỉ cần chuyển đổi 10% từ điện thoại sang kỹ thuật số cũng tiết kiệm được hàng triệu USD mỗi năm.
• Người dùng cổng thông tin có khả năng hủy bỏ chính sách của họ thấp hơn 12% so với người không dùng cổng thông tin. Người dùng đa kênh cho thấy tỷ lệ duy trì cao hơn 25%.
• Các công ty bảo hiểm triển khai tự phục vụ kỹ thuật số báo cáo việc giảm chi phí dịch vụ từ 15 đến 25 % và chi phí xử lý bồi thường giảm 30%.
• 82% khách hàng bảo hiểm muốn giải quyết vấn đề mà không cần gọi điện, nhưng chỉ có 56% báo cáo rằng có đủ công cụ tự phục vụ - một khoảng cách mà sự ma sát khi xác thực càng làm rộng thêm.

Biểu đồ dưới đây cho thấy so sánh kinh tế giữa các kênh này.

Passkey giải quyết trực tiếp khoảng cách giữa ý định của khách hàng và việc sử dụng cổng thông tin thực tế. Khi việc đăng nhập mất dưới 2 giây với xác nhận sinh trắc học thay vì quy trình dùng mật khẩu cộng OTP vốn có tỷ lệ thất bại 5 đến 15 %, sẽ có nhiều chủ hợp đồng hoàn thành hành trình kỹ thuật số hơn thay vì nhấc điện thoại lên gọi.

7.3 Khả năng quan sát của Corbado mang lại điều gì đặc biệt về việc áp dụng kỹ thuật số#

Hầu hết các công ty bảo hiểm đều biết rằng tỷ lệ áp dụng kỹ thuật số của họ thấp hơn mức mong muốn. Điều họ không thể trả lời là tại sao. Có phải là do thiết bị không tương thích? Do sự ma sát trong luồng đăng ký? Tại một HĐH cụ thể hoặc trình duyệt mà passkey thất bại một cách âm thầm? Hay một phân khúc nhân khẩu học không bao giờ nhận được lời nhắc?

Đây là nơi mà khả năng quan sát xác thực của Corbado cung cấp một điều mà không có công cụ nào khác trên thị trường đưa ra: khả năng kết nối dữ liệu đo từ xa xác thực trực tiếp với các chỉ số kinh doanh như tỷ lệ áp dụng kỹ thuật số, tỷ lệ hoàn thành tự phục vụ và chuyển đổi kênh.

Corbado cho thấy:

• Nơi các chủ hợp đồng rời khỏi kênh xác thực - không chỉ là "đăng nhập thất bại" mà là ở giai đoạn nào trong quy trình, trên thiết bị nào, đối với phân khúc người dùng nào.
• Những nhóm nào đang bị kẹt lại với các phương thức cũ - ví dụ: những chủ hợp đồng trên 60 tuổi sử dụng Android không bao giờ thấy lời nhắc passkey vì thiết bị của họ không tương thích, âm thầm chuyển họ sang SMS và sau đó đến trung tâm tổng đài.
• Mối liên kết trực tiếp giữa thành công trong xác thực và sự tương tác kỹ thuật số - nếu tỷ lệ đăng nhập thành công tăng thêm 10 điểm phần trăm, thì mức sử dụng cổng thông tin tự phục vụ sẽ tăng lên bao nhiêu? Khối lượng cuộc gọi đến trung tâm liên lạc sẽ giảm bao nhiêu?

Đối với một CIO hay SVP về Kỹ thuật số khi trình bày trước ban giám đốc, điều này sẽ biến "chúng tôi đã ra mắt passkey" thành "passkey đã làm tăng mức độ sử dụng tự phục vụ kỹ thuật số lên X%, giảm khối lượng cuộc gọi đến trung tâm tổng đài lên Y% và tiết kiệm Z USD mỗi quý." Đó chính là câu chuyện chiến lược minh chứng cho khoản đầu tư và đẩy nhanh lộ trình chuyển đổi kỹ thuật số rộng lớn hơn.

8. Corbado giúp các công ty bảo hiểm triển khai passkey như thế nào#

Hầu hết các công ty bảo hiểm đã có một nền tảng CIAM (Ping, ForgeRock, Okta) có thể xử lý quy trình WebAuthn. Điều họ thiếu là lớp áp dụng nhằm biến việc "chúng tôi hỗ trợ passkey" thành "50% chủ hợp đồng của chúng tôi sử dụng passkey." Corbado cung cấp lớp đó.

8.1 Công cụ áp dụng#

Các thành phần giao diện người dùng và logic quyết định được xây dựng sẵn của Corbado xử lý hành trình đăng ký mà các nền tảng CIAM để lại cho sự phát triển tùy chỉnh:

• Lời nhắc đăng ký theo ngữ cảnh xuất hiện vào những khoảnh khắc tin cậy cao (ngay sau một lần kiểm tra MFA thành công) thay vì bị chôn vùi trong cài đặt tài khoản.
• Mức độ khẩn cấp lũy tiến di chuyển từ lời nhắc "Tùy chọn" sang "Đề xuất" rồi "Bắt buộc" trong một khoảng thời gian có thể định cấu hình, phù hợp với đường cong áp dụng 12 đến 18 tháng mà hầu hết các công ty bảo hiểm cần.
• Thử nghiệm A/B đối với thông điệp đăng ký, thời gian và vị trí để tối ưu hóa tỷ lệ chuyển đổi trên các phân khúc chủ hợp đồng và dòng sản phẩm khác nhau.

8.2 Thông minh thiết bị#

Corbado duy trì một ma trận liên tục được cập nhật về khả năng tương thích passkey ở cấp độ thiết bị:

• Nếu một dòng máy Samsung cụ thể có việc triển khai passkey bị lỗi, Corbado sẽ tự động ẩn lời nhắc, chuyển người dùng sang một phương án dự phòng mà không gây khó chịu.
• Trí tuệ Passkey phát hiện khả năng của thiết bị trước khi nhắc nhở, ngăn chặn lỗi "Thao tác bị gián đoạn" gây ra sự đột biến yêu cầu hỗ trợ.
• Sự đa dạng về thiết bị đặc thù của ngành bảo hiểm (máy tính bảng cũ của những người về hưu, các máy trạm của đại lý dùng chung, máy tính xách tay do công ty quản lý) được xử lý thông qua các chính sách tin cậy có thể định cấu hình.

8.3 Dự phòng thông minh#

Corbado ngăn chặn các lần khóa vĩnh viễn bằng cách định tuyến thông minh người dùng sang các lựa chọn thay thế khi thiết bị hoặc môi trường của họ chưa sẵn sàng cho passkey:

• Chủ hợp đồng dùng các thiết bị không tương thích sẽ thấy quá trình chuyển đổi suôn sẻ sang phương thức tốt nhất tiếp theo thay vì một màn hình báo lỗi.
• Luồng khôi phục sử dụng kiểm chứng danh tính (eKYC, quét ID + liveness) cho phép đăng ký lại mà không cần sự can thiệp của trung tâm tổng đài.
• Các chính sách dự phòng dành riêng cho đại lý có thể điều chỉnh cho các máy trạm dùng chung và môi trường proxy của công ty mà ngăn chặn các luồng kết hợp (mã QR).

8.4 Đo từ xa pháp y#

Corbado cung cấp "tầm nhìn X-Ray" mà nhật ký CIAM phía máy chủ không thể có:

• Bảng điều khiển Độ tin cậy Thiết bị hiển thị tỷ lệ thành công theo loại passkey, phân loại thiết bị và phạm vi của yếu tố SCA.
• Phát hiện bất thường theo thời gian thực đánh dấu các mẫu hành vi không bình thường (đột biến trên thiết bị dùng chung, đăng ký từ các môi trường đáng ngờ) trước khi chúng trở thành sự cố bảo mật.
• Báo cáo sẵn sàng cho kiểm toán cung cấp cho CISO dữ liệu cần thiết cho chứng nhận hàng năm của NYDFS, các kỳ kiểm tra của NAIC và báo cáo nội bộ của ban giám đốc.

Corbado không thay thế hệ thống CIAM hiện tại của bạn. Nó nằm phía trước, xử lý sự phức tạp trong thế giới thực của sự phân mảnh thiết bị, giáo dục người dùng và khả năng hiển thị hoạt động điều quyết định liệu khoản đầu tư passkey của bạn có mang lại ROI hay bị đình trệ ở mức dưới 1% áp dụng.

9. Kết luận#

Cổng thông tin khách hàng bảo hiểm đang chịu áp lực từ nhiều hướng cùng một lúc: các cuộc tấn công ATO ngày càng tăng, cơ sở hạ tầng SMS OTP tốn kém, trung tâm tổng đài quá tải vì việc đặt lại mật khẩu, kỳ vọng quy định ngày càng khắt khe trên toàn Hoa Kỳ, EU, Úc và Canada - cùng với một nhiệm vụ chiến lược nhằm chuyển chủ hợp đồng từ các kênh tốn kém liên quan đến con người sang hình thức tự phục vụ kỹ thuật số. Passkey giải quyết cả năm vấn đề bằng cách loại bỏ thông tin xác thực dễ bị lừa đảo, xóa bỏ chi phí cho mỗi lần xác thực, giảm gánh nặng hỗ trợ, điều chỉnh theo sự chuyển dịch về MFA mạnh mẽ hơn và loại bỏ sự ma sát khi đăng nhập cản trở việc áp dụng kỹ thuật số.

Aflac (500.000 đăng ký, tỷ lệ thành công 96%), Branch Insurance (giảm 50% số phiếu hỗ trợ) và HealthEquity (triển khai bắt buộc không có tùy chọn từ chối) đã chứng minh rằng việc áp dụng ở quy mô lớn có hiệu quả. Chìa khóa là coi passkey như một hành trình sản phẩm chứ không phải một hộp kiểm cơ sở hạ tầng: đầu tư vào quy trình đăng ký, trang bị công cụ cho khách hàng, lên kế hoạch dự phòng và xây dựng hệ thống đo từ xa nhằm kết nối hiệu suất xác thực với các chỉ số kinh doanh mà ban giám đốc của bạn thực sự quan tâm - tỷ lệ áp dụng kỹ thuật số, giảm thiểu cuộc gọi cho trung tâm tổng đài và hoàn thành tự phục vụ.

Sử dụng Mô hình Trưởng thành Xác thực Bảo hiểm để chuẩn hóa tư thế hiện tại của bạn, thiết lập mục tiêu 12 đến 18 tháng và truyền đạt tiến trình có cấu trúc cho ban giám đốc và các cơ quan quản lý của bạn.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

Những Câu Hỏi Thường Gặp#

Làm thế nào passkey giảm thiểu rủi ro chiếm đoạt tài khoản cho các cổng thông tin khách hàng bảo hiểm?#

Passkey sử dụng mật mã khóa công khai-riêng tư được gắn với tên miền của công ty bảo hiểm, giúp chúng miễn nhiễm với các cuộc tấn công lừa đảo, nhồi thông tin xác thực và hoán đổi SIM vốn thường nhắm vào các quy trình sử dụng mật khẩu và SMS OTP. Aflac báo cáo tỷ lệ đăng nhập thành công đạt 96% sau khi triển khai passkey, và Branch Insurance nhận thấy số lượng phiếu hỗ trợ giảm khoảng 50%. Vì không có bí mật chia sẻ nào được truyền đi trong quá trình xác thực, những kẻ tấn công không thể thu thập thông tin xác thực có thể tái sử dụng ngay cả khi chúng kiểm soát mạng.

Các khuôn khổ tuân thủ nào định hình yêu cầu xác thực cho các cổng thông tin khách hàng bảo hiểm và passkey giúp ích như thế nào?#

Tại Mỹ, NYDFS Part 500, Quy tắc Bảo vệ FTC và Luật Mô hình Bảo mật Dữ liệu Bảo hiểm NAIC đều thúc đẩy các công ty bảo hiểm hướng tới MFA mạnh mẽ hơn. Bên ngoài nước Mỹ, các công ty bảo hiểm EU chịu sự điều chỉnh của DORA, các công ty bảo hiểm Úc theo APRA CPS 234 và các công ty bảo hiểm Canada theo Hướng dẫn OSFI B-13, tất cả đều nâng cao kỳ vọng về các biện pháp kiểm soát xác thực cho các hệ thống tiếp xúc với khách hàng. Passkey giúp ích vì chúng cung cấp MFA chống lừa đảo bằng cách sử dụng thông tin xác thực mật mã FIDO2/WebAuthn đồng thời giảm sự phụ thuộc vào các quy trình SMS OTP yếu hơn.

Passkey so với SMS OTP, TOTP và độ tin cậy của thiết bị đối với xác thực cổng thông tin bảo hiểm như thế nào?#

SMS OTP có chi phí 0,01 đến 0,05 USD cho mỗi tin nhắn ở quy mô lớn, dễ bị hoán đổi SIM và lừa đảo và tạo ra khối lượng lớn cuộc gọi đến trung tâm tổng đài do lỗi gửi. Các ứng dụng TOTP loại bỏ chi phí cho mỗi tin nhắn nhưng vẫn có thể bị lừa đảo và yêu cầu nhập mã thủ công. Độ tin cậy của thiết bị giúp giảm ma sát trên các thiết bị đã biết nhưng không cung cấp khả năng chống lừa đảo. Passkey kết hợp bảo mật chống lừa đảo với chi phí bằng không cho mỗi lần xác thực và thời gian đăng nhập dưới 2 giây, biến chúng thành phương thức duy nhất đạt điểm cao nhất trên các phương diện bảo mật, UX, chi phí và tuân thủ.

Điều gì làm cho việc triển khai passkey khác biệt đối với các công ty bảo hiểm so với các ngân hàng hoặc công ty SaaS?#

Các công ty bảo hiểm phải đối mặt với sự phức tạp của cổng thông tin đa thương hiệu, nơi các sản phẩm ô tô, nhà và nhân thọ có thể chạy trên các miền phụ riêng biệt yêu cầu một chiến lược rpID thống nhất. Các nền tảng CIAM cũ như Ping, ForgeRock hoặc Okta xử lý WebAuthn ở phần phụ trợ nhưng cung cấp các công cụ áp dụng hạn chế. Các quy trình của đại lý so với chủ hợp đồng yêu cầu mức độ tin cậy và cấu hình thiết bị khác nhau. Áp lực pháp lý cũng trải dài trên nhiều khu vực tài phán: các công ty bảo hiểm Mỹ đối mặt với NYDFS Part 500, Luật Mô hình NAIC và Quy tắc Bảo vệ FTC, các công ty bảo hiểm EU chịu sự điều chỉnh của DORA, các công ty bảo hiểm Úc phải trả lời APRA CPS 234 và các công ty bảo hiểm Canada theo Hướng dẫn OSFI B-13. Điều đó đòi hỏi một kế hoạch triển khai đáp ứng tiêu chuẩn nghiêm ngặt nhất được áp dụng.

Mô hình Trưởng thành Xác thực Bảo hiểm là gì và làm thế nào các công ty bảo hiểm có thể sử dụng nó để chuẩn hóa tiến độ của họ?#

Mô hình Trưởng thành Xác thực Bảo hiểm xác định bốn cấp độ: Cấp độ 1 (chỉ dùng SMS) với OTP đơn yếu tố và không có khả năng chống lừa đảo; Cấp độ 2 (hỗ trợ MFA) với mật khẩu cộng với SMS hoặc TOTP đáp ứng các tuân thủ cơ bản; Cấp độ 3 (chống lừa đảo) với passkey được triển khai, đăng ký được bảo mật và các phương án dự phòng thông minh; Cấp độ 4 (chống lừa đảo + khả năng quan sát) với tính năng đo từ xa đầy đủ, độ tin cậy của thiết bị và giám sát liên tục. Các công ty bảo hiểm có thể sử dụng mô hình này để xác định cấp độ hiện tại của họ, đặt ra các mốc mục tiêu và truyền đạt tiến độ cho ban giám đốc và các cơ quan quản lý.