Cơ quan Dịch vụ Tài chính Nhật Bản (FSA) thúc đẩy MFA kháng Phishing (2026)

1. Giới thiệu: Tại sao trang web ngày 16 tháng 4 năm 2026 của FSA lại quan trọng#

Trang web ngày 16 tháng 4 năm 2026 của FSA Nhật Bản rất quan trọng vì nó công khai chuyển mục tiêu từ MFA chung chung sang xác thực kháng phishing. Trang web nêu tên passkey và PKI làm các ví dụ được ưu tiên, bác bỏ email và SMS OTP là sự bảo vệ đủ để chống lại phishing hiện đại và biến một cuộc thảo luận tuân thủ chỉ dành cho ngành thành một tín hiệu thị trường hướng tới người tiêu dùng.

Thông báo của FSA Nhật Bản vào ngày 16 tháng 4 năm 2026 thoạt nhìn có vẻ khiêm tốn. Đó không phải là một luật mới. Đó không phải là một hành động thực thi trực tiếp. Nó không công bố một thời hạn tuân thủ mới. Thay vào đó, nó giới thiệu một chiến dịch công khai với các tờ rơi và áp phích có thể tải xuống.

Những gì Cơ quan Dịch vụ Tài chính (FSA) đã làm ở đây là chuyển cuộc trò chuyện từ một kênh công nghiệp/quản lý sang lĩnh vực công cộng. Cơ quan quản lý không còn chỉ yêu cầu các ngân hàng, công ty môi giới và hiệp hội thương mại tăng cường xác thực. Giờ đây, họ đang nói với người dùng thông thường rằng:

• xác thực chỉ bằng mật khẩu là yếu kém,
• email và SMS OTP không còn đủ an toàn,
• người dùng nên ưu tiên MFA kháng phishing, và
• passkey cùng xác thực PKI là hướng đi đúng đắn.

Đó là một sự thay đổi lớn trong giọng điệu. Và trong các ngành được quản lý chặt chẽ như ngân hàng, giọng điệu thường trở thành áp lực triển khai rất lâu trước khi văn bản quy định chính thức tiếp theo xuất hiện.

Chiến dịch công khai này cũng không xuất hiện từ hư không. Trong bản PDF tóm tắt tiếng Anh tháng 6 năm 2025 của mình, FSA đã cảnh báo rằng xác thực chỉ bằng ID/mật khẩu rất dễ bị tổn thương và mật khẩu một lần được gửi qua email hoặc SMS không đủ hiệu quả để chống lại phishing. Trong khi đó, phạm vi phủ sóng của ngành vào cuối năm 2025 đã mô tả thị trường Nhật Bản có 64 tổ chức Nhóm Làm việc FIDO Nhật Bản và hơn 50 nhà cung cấp passkey đang hoạt động hoặc đã lên kế hoạch, cho thấy động lực triển khai đã là hiện thực trước chiến dịch công khai tháng 4 năm 2026 (phạm vi phủ sóng của CNET Nhật Bản). Để có cái nhìn rộng hơn về cách các ngân hàng, nền tảng và cơ quan quản lý Nhật Bản đã và đang chuyển dịch sang không mật khẩu (passwordless), hãy xem tổng quan về passkey tại Nhật Bản của chúng tôi.

2. Những gì FSA thực sự đã công bố vào ngày 16 tháng 4 năm 2026#

Trang web ngày 16 tháng 4 là một gói chiến dịch công khai có sự phối hợp, không phải là một thông cáo báo chí đơn lẻ. Nó tập hợp 9 tài nguyên có thể tái sử dụng (5 tờ rơi PDF và 4 video quảng bá), điều chỉnh các ngân hàng, nhóm chứng khoán và cảnh sát xoay quanh cùng một thông điệp và nói với người tiêu dùng rằng MFA kháng phishing nên thay thế sự phụ thuộc vào mật khẩu kết hợp với OTP cho các hành trình tài chính rủi ro cao.

Trang web chính thức liên kết 5 tờ rơi PDF, được tổ chức thành một bản tổng quan cộng với các phiên bản chi tiết của hai chủ đề (MFA kháng phishing và nhận thức về email phishing):

• Tổng quan (概要版)
• MFA kháng phishing, tổng quan
• MFA kháng phishing, chi tiết
• Nhận thức về email phishing, tổng quan
• Nhận thức về email phishing, chi tiết

Cùng với các tệp PDF, trang web này cũng quảng bá 4 video quảng cáo về cùng hai chủ đề, được sản xuất ở cả hai định dạng phim truyền hình và manga để chiến dịch có thể tiếp cận các nhóm tuổi và bối cảnh đọc khác nhau, chứ không chỉ những người đọc chính sách.

Chiến dịch này được định vị là một nỗ lực chung của FSA với:

• các hiệp hội ngân hàng trên toàn quốc,
• các ngân hàng shinkin,
• các hợp tác xã tín dụng,
• các ngân hàng lao động,
• các nhóm công nghiệp chứng khoán, và
• Cơ quan Cảnh sát Quốc gia.

Phạm vi đó rất quan trọng. Đây không phải là một cảnh báo thị trường ngách chỉ dành cho chứng khoán. Đó là một thông điệp được phối hợp trên toàn bộ hệ sinh thái tài chính bán lẻ của Nhật Bản.

2.1 Thông điệp chính sách trung tâm#

Thuật ngữ chính được sử dụng trong chiến dịch là フィッシングに耐性のある多要素認証, có nghĩa là xác thực đa yếu tố kháng phishing.

Các tờ rơi giải thích rằng xác thực truyền thống đã tụt hậu so với mô hình mối đe dọa hiện tại:

• mật khẩu có thể bị phishing hoặc tái sử dụng,
• email / SMS OTP có thể bị đánh cắp theo thời gian thực,
• malware có thể theo dõi hoặc thao túng phiên đăng nhập của người dùng, và
• các trang web giả mạo có thể bắt chước thương hiệu thật giống đến mức việc kiểm tra bằng mắt thường không phải là một cách phòng thủ đáng tin cậy.

Sau đó, chiến dịch trình bày hai ví dụ chính về xác thực mạnh mẽ hơn:

1. Passkey
2. Xác thực dựa trên PKI

Phần thứ hai đó rất quan trọng. Nhật Bản không định hình điều này hoàn toàn là "mọi người phải sử dụng passkey". Cơ quan quản lý đang định hình kết quả mong muốn là xác thực kháng phishing, và passkey là một trong những cách rõ ràng nhất cấp độ người tiêu dùng để đạt được điều đó.

Để làm cho sự phân biệt đó trở nên cụ thể, khung của FSA ngầm tách các phương pháp xác thực như thế này:

2.2 Chiến dịch này cũng mang tính hành vi#

Các tài liệu không chỉ tập trung vào công nghệ xác thực. Chúng cũng yêu cầu người dùng:

• tránh đăng nhập từ các liên kết bên trong email hoặc SMS,
• sử dụng bookmark hoặc ứng dụng chính thức,
• không tin tưởng các màn hình lạ và các lời nhắc bất thường,
• ưu tiên các cửa hàng ứng dụng chính thức, và
• cảnh giác với các hướng dẫn trình duyệt lạ, chẳng hạn như các phím tắt bàn phím không mong muốn.

Nói cách khác, FSA không giả định rằng chỉ công nghệ xác thực mới giải quyết được toàn bộ vấn đề. Họ đang kết hợp các biện pháp kỹ thuật với hành vi vệ sinh an ninh mạng.

3. Có gì mới ở đây, và có gì không mới#

Trang web ngày 16 tháng 4 là mới vì nó thay đổi khung công khai, không phải vì nó tạo ra một luật mới độc lập. Sự phát triển thực sự là cơ quan quản lý của Nhật Bản hiện đã giải thích công khai lý do tại sao passkey và PKI tốt hơn so với các luồng mật khẩu cộng với OTP, mang lại cho các tổ chức tài chính vỏ bọc vững chắc hơn để thiết kế lại xác thực xoay quanh khả năng kháng phishing.

3.1 Những gì thực sự mới#

Trang web ngày 16 tháng 4 là mới theo ít nhất bốn khía cạnh:

3.1.1 Passkey hiện đã là một phần từ vựng công khai của cơ quan quản lý#

Nhiều cơ quan quản lý nói về MFA bằng các thuật ngữ trừu tượng. FSA của Nhật Bản đang làm điều gì đó cụ thể hơn: họ đang nói với công chúng rằng passkey là sự bảo vệ mạnh mẽ hơn chống lại phishing và mạo danh so với các mô hình đăng nhập cũ.

Điều đó rất quan trọng vì việc nêu tên công khai làm thay đổi các quyết định về sản phẩm. Một khi cơ quan quản lý công khai nêu tên passkey, các tổ chức tài chính có thể biện minh cho việc đầu tư dễ dàng hơn trong nội bộ:

• các nhóm tuân thủ có thể trích dẫn cơ quan quản lý,
• các nhóm rủi ro có thể kết nối passkey trực tiếp với việc giảm thiểu tổn thất do phishing,
• các nhóm sản phẩm có thể định vị passkey phù hợp với hướng dẫn chính thức thay vì là một dự án đổi mới tùy chọn.

3.1.2 FSA đang công khai hạ cấp OTP#

Đây không phải là một hàm ý tinh tế. Các tài liệu nêu rõ rằng OTP được phân phối qua email hoặc SMS vẫn có thể bị đánh bại bởi:

• phishing theo thời gian thực,
• đánh chặn xen giữa (man-in-the-middle), và
• hành vi trộm cắp có sự hỗ trợ của malware.

Điều đó mạnh mẽ hơn một lưu ý thực hành tốt nhất (best-practice) chung chung rằng OTP là "kém an toàn hơn". Đó là cơ quan quản lý đang nói với công chúng rằng MFA dựa trên OTP không cung cấp khả năng kháng phishing có ý nghĩa.

3.1.3 Thông điệp là xuyên ngành#

Nhật Bản không giới hạn điều này trong một ngành dọc duy nhất. Các ngân hàng, công ty môi giới và các tác nhân tài chính khác đều là một phần của cùng một tín hiệu công khai. Điều đó làm tăng tỷ lệ chuẩn hóa hệ sinh thái rộng lớn hơn:

• các ngân hàng có thể đào tạo người dùng mong đợi đăng nhập mạnh mẽ hơn,
• các công ty môi giới có thể biến xác thực mạnh mẽ hơn thành mặc định cho các hành động rủi ro cao,
• người dùng sẽ bắt gặp ngôn ngữ tương tự ở các tổ chức khác nhau thay vì những lời giải thích mâu thuẫn.

3.1.4 FSA đang trực tiếp giáo dục người tiêu dùng#

Đây là điểm quan trọng nhất.

Có một sự khác biệt rất lớn giữa:

• một cơ quan quản lý nói với các tổ chức tài chính về những gì họ nên triển khai, và
• một cơ quan quản lý nói với khách hàng xác thực an toàn hiện nay trông như thế nào.

Động thái thứ hai làm giảm rủi ro về mặt chính trị và UX của việc triển khai. Một ngân hàng hoặc công ty môi giới hiện có thể nói: "Đây không chỉ là ý tưởng của chúng tôi; đây là hướng đi mà chính cơ quan quản lý đang thúc đẩy."

3.2 Những gì không mới#

Bản thân trang web không tạo ra:

• một nhiệm vụ mới độc lập,
• một thời hạn triển khai mới,
• một đặc tả kỹ thuật chi tiết cho passkey,
• một tuyên bố rằng passkey là công nghệ duy nhất được chấp nhận, hoặc
• một danh sách các biện pháp trừng phạt gắn trực tiếp với chiến dịch này.

Sự phân biệt này rất quan trọng vì nhiều độc giả sẽ phóng đại thông báo này là "Nhật Bản vừa bắt buộc sử dụng passkey". Điều đó là chưa đủ chính xác.

Cách đọc tốt hơn là:

Điều đó quan trọng về mặt chiến lược ngay cả khi tự nó không phải là một quy định mới.

4. Tại sao FSA đúng khi tập trung vào MFA kháng phishing thay vì MFA chung chung#

FSA đúng vì MFA chung chung vẫn để nguyên đường dẫn gian lận chính. Mật khẩu cộng với OTP thêm một bí mật có thể tái sử dụng nữa, trong khi MFA kháng phishing thay đổi giao thức để trang web giả mạo không thể hoàn thành xác thực ngay cả khi người dùng bị lừa thử.

4.1 OTP giải quyết vấn đề của ngày hôm qua#

SMS và email OTP được thiết kế để làm cho việc phát lại (replay) thông tin xác thực khó khăn hơn. Chúng có hiệu quả chống lại một số mô hình tấn công cũ hơn, nhưng những kẻ tấn công hiện đại không cần phải phát lại mã vài giờ sau đó. Chúng đánh cắp mã trong thời gian thực. Điều này thậm chí còn quan trọng hơn trong một thị trường nơi tình trạng sử dụng lại mật khẩu ở Nhật Bản vẫn cực kỳ cao, có nghĩa là yếu tố đầu tiên thường xuyên bị xâm phạm trước khi bước OTP bắt đầu.

Đó là vấn đề trung tâm của phishing theo thời gian thực:

1. Nạn nhân truy cập vào một trang web giả mạo.
2. Nạn nhân nhập tên người dùng và mật khẩu.
3. Kẻ tấn công chuyển tiếp những thông tin xác thực đó đến trang web thật.
4. Trang web thật yêu cầu mã OTP.
5. Trang web giả mạo yêu cầu nạn nhân nhập mã OTP.
6. Kẻ tấn công ngay lập tức sử dụng nó để hoàn tất đăng nhập thật.

Trong quy trình công việc đó, OTP không ngăn chặn được kẻ tấn công. Nó chỉ đơn giản trở thành một bí mật khác mà nạn nhân có thể bị lừa tiết lộ.

4.2 Passkey thay đổi mô hình tin cậy#

Passkey hoạt động khác biệt vì chúng được ràng buộc với nguồn gốc (origin-bound). Thông tin xác thực chỉ có thể được sử dụng trên trang web hợp pháp được liên kết với relying party của passkey. Cơ sở kỹ thuật cho hành vi này nằm trong đặc tả kỹ thuật W3C WebAuthn và tài liệu về passkey của FIDO Alliance, cả hai đều mô tả mô hình phản hồi thử thách (challenge-response) gắn liền với trang web ngăn chặn tên miền giả mạo sử dụng lại thông tin xác thực được tạo cho tên miền thật.

Điều đó có nghĩa là một tên miền giả mạo không thể đơn giản yêu cầu người dùng "nhập passkey" theo cách nó yêu cầu mật khẩu hoặc OTP. Không có gì có thể tái sử dụng để gõ, và trình duyệt / hệ điều hành kiểm tra ngữ cảnh trang web trước khi quá trình xác thực có thể tiếp tục.

Đây là lý do tại sao passkey là trọng tâm của xác thực kháng phishing:

• không có bí mật được chia sẻ để nhập lại,
• người dùng không được yêu cầu truyền một mã có thể tái sử dụng một cách thủ công,
• khóa riêng tư không bao giờ rời khỏi thiết bị của người dùng, và
• authenticator được ràng buộc với nguồn gốc hợp pháp.

Đây cũng là lý do tại sao chiến dịch ngày 16 tháng 4 lại quan trọng. FSA không chỉ nói "hãy sử dụng MFA tốt hơn". Họ đang hướng tới các phương pháp xác thực trong đó trang web phishing bị vô hiệu hóa ở lớp giao thức thay vì yêu cầu người dùng tự phát hiện gian lận một cách thủ công.

4.3 PKI cũng quan trọng#

Chiến dịch của Nhật Bản cũng nêu bật PKI và đề cập rõ ràng rằng thông tin xác thực thẻ My Number có thể được sử dụng trong ngữ cảnh xác thực.

Đó không phải là ngẫu nhiên. Nhật Bản có một lịch sử thể chế sâu sắc hơn với các mô hình danh tính định hướng chứng chỉ so với nhiều thị trường tiêu dùng phương Tây. Vì vậy, trạng thái cuối cùng có thể xảy ra ở Nhật Bản không phải là "chỉ passkey". Nó gần giống với:

• passkey cho đăng nhập tiêu dùng chính thống và các luồng nâng cấp (step-up),
• PKI / xác thực dựa trên chứng chỉ cho các trường hợp đảm bảo mạnh mẽ hơn hoặc định danh giống như khu vực công,
• và một sự ưu tiên rộng lớn hơn của cơ quan quản lý đối với các kết quả kháng phishing.

Đối với các nhóm sản phẩm, điều đó có nghĩa là sự so sánh chiến lược đúng đắn không phải là "passkey so với mật khẩu". Nó giống như:

• passkey so với email/SMS OTP cho đăng nhập của người tiêu dùng,
• passkey so với soft token trong ứng dụng cho UX của ngân hàng,
• passkey so với PKI cho các lớp đảm bảo và chứng minh danh tính (identity proofing).

5. Tại sao ngày 16 tháng 4 thậm chí còn quan trọng hơn trong bối cảnh định hướng quy định trước đó của Nhật Bản#

Ngày 16 tháng 4 quan trọng vì nó chuyển đổi một xu hướng giám sát thành một tiêu chuẩn công khai. Sau khi FSA dành cả năm 2025 để cảnh báo rằng xác thực chỉ bằng mật khẩu và phụ thuộc nhiều vào OTP là quá yếu, chiến dịch tháng 4 năm 2026 nói trực tiếp với người tiêu dùng phương pháp thay thế sẽ như thế nào: MFA kháng phishing sử dụng passkey, PKI hoặc cả hai.

Đến năm 2025 và đầu năm 2026, lĩnh vực tài chính của Nhật Bản đã và đang chuyển dịch sang các biện pháp kiểm soát mạnh mẽ hơn sau các sự cố thỏa hiệp tài khoản liên quan đến phishing trong chứng khoán và các dịch vụ tài chính trực tuyến khác. Bối cảnh là một chuỗi các vụ vi phạm dữ liệu (data breaches) tại Nhật Bản gây chú ý cao đã giữ việc chiếm đoạt tài khoản và đánh cắp thông tin xác thực trong chương trình nghị sự của cơ quan quản lý. Trong các tài liệu liên quan của FSA và bình luận sau đó về những thay đổi trong hướng dẫn, cơ quan quản lý đã đưa ra một sự phân biệt rõ ràng hơn giữa:

• "một số MFA", và
• MFA kháng phishing.

Sự khác biệt đó là tất cả.

MFA chung chung vẫn có thể khiến người dùng dễ bị tổn thương bởi:

• đánh cắp OTP,
• chuyển tiếp trang web giả mạo,
• sự mệt mỏi do thông báo đẩy (push fatigue) / lạm dụng phê duyệt,
• thiết bị đầu cuối bị xâm phạm,
• quy trình khôi phục yếu kém.

Ngược lại, MFA kháng phishing cố gắng chặn dứt điểm đường dẫn gian lận cốt lõi thay vì chỉ thêm một rào cản nữa. Do đó, chiến dịch ngày 16 tháng 4 được xem tốt nhất là một sự vận hành công khai của một định hướng lớn hơn đã hình thành ở Nhật Bản:

• các dịch vụ tài chính không nên chỉ tạo thêm nhiều rào cản (friction),
• họ nên chuyển sang các phương pháp xác thực phá vỡ nền kinh tế phishing.

Nhìn chung, quá trình diễn ra qua bốn cột mốc trong vòng chưa đầy một năm:

Với các nguồn thông tin, tiến trình tương tự được đọc như sau:

• Tháng 6 năm 2025: bản tóm tắt vấn đề bằng tiếng Anh của FSA tuyên bố rằng xác thực chỉ bằng mật khẩu là yếu kém và email / SMS OTP không đủ hiệu quả chống lại phishing.
• Ngày 15 tháng 7 năm 2025: hướng dẫn dự thảo của JSDA thúc đẩy MFA kháng phishing cho các hành động chứng khoán nhạy cảm như đăng nhập, rút tiền và thay đổi tài khoản ngân hàng.
• Cuối năm 2025: báo cáo thị trường mô tả hơn 50 nhà cung cấp passkey và 64 tổ chức thuộc Nhóm Làm việc FIDO Nhật Bản tại Nhật Bản (CNET Nhật Bản).
• Ngày 16 tháng 4 năm 2026: chiến dịch công khai của FSA đưa cùng thông điệp kháng phishing trực tiếp đến người tiêu dùng.

Theo nghĩa đó, trang web này ít mang tính "tiếp thị nhận thức" hơn so với vẻ ngoài của nó. Nó là bộ mặt công khai của một sự chuyển dịch hệ sinh thái và quản lý sâu sắc hơn.

6. Điều này có ý nghĩa gì đối với các ngân hàng, công ty môi giới và fintech Nhật Bản#

Các tổ chức tài chính Nhật Bản nên coi chiến dịch ngày 16 tháng 4 là sự nâng cao kỳ vọng tối thiểu đối với đăng nhập, khôi phục và các hành động tài khoản rủi ro cao. Khi cơ quan quản lý công khai nói rằng email và SMS OTP không đủ hiệu quả, MFA phụ thuộc nhiều vào các phương pháp dự phòng yếu sẽ khó có thể biện minh từ góc độ gian lận, sản phẩm và giám sát.

6.1 "Có MFA" không còn là đủ#

Việc cung cấp SMS OTP làm phương pháp dự phòng đồng thời tiếp thị trải nghiệm như một "MFA an toàn" ngày càng trở nên khó bảo vệ. Thông điệp công khai của cơ quan quản lý giờ đây đưa ra một sự phân biệt khắt khe hơn: MFA kháng phishing phải là đích đến. Công việc của ngành rộng lớn hơn về việc bắt buộc MFA với passkey cũng hướng theo cách tương tự.

Điều đó có nghĩa là các tổ chức nên đánh giá:

• nơi nào SMS/email OTP vẫn còn tồn tại,
• những hành trình nào là rủi ro cao,
• liệu passkey là tùy chọn hay thực sự được khuyến khích,
• mức độ phụ thuộc vào các phương pháp dự phòng dễ bị phishing.

6.2 Các hành trình rủi ro cao cần xử lý đặc biệt#

Các hành trình nhạy cảm nhất không chỉ là đăng nhập. Trên thực tế, các tổ chức nên xem xét từng bề mặt dễ bị phishing:

• đăng nhập,
• thanh toán / rút tiền,
• thay đổi tài khoản đích,
• khôi phục và liên kết lại thiết bị,
• thay đổi hồ sơ và thông tin liên hệ,
• truy cập API hoặc tổng hợp (aggregation).

Nhiều tổ chức vẫn bảo vệ trang đăng nhập mạnh mẽ hơn đường dẫn khôi phục tài khoản. Điều đó là ngược đời. Kẻ tấn công sẽ sử dụng lộ trình yếu nhất hiện có.

6.3 Khôi phục trở thành một vấn đề chiến lược sản phẩm#

Một khi xác thực kháng phishing trở thành tiêu chuẩn, khôi phục sẽ trở thành phần khó nhất của thiết kế.

Việc triển khai passkey vẫn có thể thất bại về mặt vận hành nếu quy trình khôi phục chuyển về các luồng email yếu, tấn công phi kỹ thuật (social engineering) hoặc các thủ tục hỗ trợ giới thiệu lại các bước dễ bị phishing. Chiến dịch FSA của Nhật Bản không giải quyết được thách thức thiết kế đó, nhưng nó làm cho việc bỏ qua nó trở nên bất khả thi.

6.4 UX "truy cập chính thức" nên trở thành một phần của thiết kế sản phẩm#

Một chi tiết ít được đánh giá cao từ các tờ rơi là việc thúc đẩy bookmark và ứng dụng chính thức. Điều đó gợi ý một bài học lớn hơn về sản phẩm:

• chỉ riêng việc xây dựng thương hiệu là không đủ,
• các điểm vào đăng nhập rất quan trọng,
• định tuyến an toàn rất quan trọng,
• UX chống phishing là một phần của hệ thống xác thực.

Đối với các tổ chức tài chính, điều đó có nghĩa là:

• làm nổi bật các đường dẫn đăng nhập dựa trên ứng dụng,
• giảm sự phụ thuộc vào liên kết email,
• giải thích rõ ràng nơi đăng nhập chính thức bắt đầu,
• coi việc làm sạch liên kết đến là một phần của việc ngăn chặn gian lận.

6.5 Soft token không giống như passkey#

Một số tổ chức sẽ phản ứng bằng cách tăng cường phê duyệt dựa trên ứng dụng và coi như vấn đề đã được giải quyết. Điều đó có thể cải thiện bảo mật, nhưng nó không tương đương với passkey.

Tại sao?

• Nhiều luồng soft token độc quyền vẫn phụ thuộc vào việc người dùng phân biệt được trang web thật với trang web giả mạo.
• Một số luồng vẫn có thể bị lạm dụng thông qua chuyển tiếp (relay) thời gian thực hoặc thao túng phê duyệt.
• Việc chuyển đổi ứng dụng và xử lý mã làm tăng thêm rào cản (friction) và sự nhầm lẫn.

Passkey quan trọng vì chúng làm giảm cả khả năng bị phishing và nỗ lực của người dùng.

6.6 Rào cản đối với các đối thủ cạnh tranh vừa mới dịch chuyển#

Một khi FSA bắt đầu giáo dục trực tiếp người tiêu dùng, những kẻ tụt hậu sẽ trở nên dễ thấy hơn. Một công ty vẫn dựa vào mật khẩu + OTP có thể sớm trông lỗi thời so với các đối thủ cung cấp:

• passkey,
• xác thực ràng buộc thiết bị mạnh mẽ hơn,
• hoặc trải nghiệm đăng nhập kháng phishing, có thương hiệu rõ ràng.

Điều đó thay đổi cảnh quan cạnh tranh, không chỉ cảnh quan tuân thủ.

Phần lớn điều này không phải là lãnh thổ mới. Hướng dẫn Passkey cho Doanh nghiệp (Enterprise Passkeys Guide) hướng dẫn từng bước qua việc đánh giá, điều chỉnh các bên liên quan (stakeholder), tích hợp và thử nghiệm đối với các triển khai quy mô lớn cho người tiêu dùng và 10 sai lầm triển khai Passkey mà các ngân hàng mắc phải biên soạn các chế độ lỗi định kỳ mà các đợt triển khai ngân hàng vội vã tiếp tục lặp lại. Những gì chiến dịch của FSA bổ sung là sự cấp bách và sự ủng hộ của công chúng, không phải là một chiến lược mới.

7. Điều này có ý nghĩa gì đối với riêng passkey#

Chiến dịch ngày 16 tháng 4 của Nhật Bản giúp ích cho passkey theo ba cách cụ thể: nó định hình passkey như một công cụ kiểm soát gian lận hơn là các tính năng tiện lợi, nó mở rộng cơ sở các bên liên quan trong nội bộ đối với việc triển khai và nó dạy cho người tiêu dùng rằng passkey là một phần của mô hình đăng nhập tài chính an toàn mà cơ quan quản lý hiện đang ưu tiên.

7.1 Nó định hình lại passkey thành công cụ kiểm soát gian lận, không phải sự tiện lợi#

Nhiều đợt triển khai passkey cho người tiêu dùng được tiếp thị như:

• đăng nhập dễ dàng hơn,
• không có mật khẩu để nhớ,
• đăng nhập nhanh hơn.

Khung của FSA sắc nét hơn nhiều:

• passkey là một sự phòng thủ chống lại sự mạo danh,
• passkey giúp chặn phishing,
• passkey giảm sự phụ thuộc vào các bí mật có thể tái sử dụng.

Đó chính xác là khung mà các ngân hàng và công ty môi giới cần trong nội bộ. Ngân sách bảo mật dễ dàng được phê duyệt cho việc giảm thiểu gian lận hơn là chỉ vì sự tiện lợi.

7.2 Nó mở rộng đối tượng sử dụng passkey bên trong các tổ chức tài chính#

Một dự án xác thực thường phải giành được sự hỗ trợ từ:

• sản phẩm,
• chống gian lận,
• bảo mật,
• tuân thủ,
• pháp lý,
• vận hành,
• và hỗ trợ.

Trang web của FSA cung cấp cho mỗi nhóm đó một lý do để quan tâm:

• nhóm chống gian lận thấy giảm thiểu phishing,
• nhóm bảo mật thấy mã hóa ràng buộc với nguồn gốc,
• nhóm tuân thủ thấy sự phù hợp với cơ quan quản lý,
• nhóm vận hành thấy ít rào cản OTP hơn,
• nhóm sản phẩm thấy một câu chuyện tiêu dùng mạnh mẽ hơn.

7.3 Nó giúp chuẩn hóa passkey cho người dùng thông thường#

Đây có thể là tác động bền vững nhất.

Khi một cơ quan quản lý quốc gia, các hiệp hội tài chính và cảnh sát đều trình bày passkey như một biện pháp bảo vệ được khuyến nghị, nhận thức của người dùng sẽ thay đổi. Nhóm sản phẩm không còn phải giới thiệu passkey như một tính năng mới kỳ lạ. Họ có thể giới thiệu chúng như phương pháp bảo mật mà hệ sinh thái đang hội tụ đến.

Điều đó quan trọng vì thành công của việc triển khai thường phụ thuộc ít vào kỹ thuật mã hóa hơn là vào việc người dùng có đủ tin tưởng luồng mới để áp dụng nó hay không.

7.4 Nó mở rộng đối tượng passkey ra ngoài các phân khúc tiên phong công nghệ#

Chiến dịch của FSA không chỉ nhắm đến các ứng dụng ngân hàng được sử dụng bởi người tiêu dùng yêu thích công nghệ. Nó bao gồm tài khoản chứng khoán, ngân hàng lao động, ngân hàng shinkin và hợp tác xã tín dụng, những bộ phận của hệ thống tài chính Nhật Bản mà những khách hàng lớn tuổi và ít am hiểu công nghệ hơn dựa vào hằng ngày. Đó là điều quan trọng về mặt chiến lược đối với passkey. Một khi những khách hàng đó gặp passkey thông qua nhà môi giới, ngân hàng lao động hoặc hợp tác xã địa phương của họ, sự quen thuộc với passkey sẽ lan rộng vượt xa phân khúc người dùng áp dụng sớm (early-adopter) và bắt đầu chuẩn hóa trên toàn bộ cơ sở khách hàng. Đối với việc áp dụng passkey của người tiêu dùng tại Nhật Bản, đó là loại động lực mà không ngân sách tiếp thị thuần túy nào có thể mua được.

Nhưng nó là con dao hai lưỡi. Một cơ sở nhân khẩu học rộng hơn cũng có nghĩa là sự đa dạng lớn hơn nhiều về thiết bị, phiên bản hệ điều hành, trình duyệt trong ứng dụng và hành vi của trình quản lý thông tin xác thực so với một đợt triển khai hướng tới công nghệ. Đó chính xác là nơi lỗi passkey của ứng dụng gốc (native app) trở thành mối quan tâm ở cấp độ sản xuất, chứ không phải là trường hợp ngoại lệ. Các ngân hàng và công ty môi giới phản ứng với tín hiệu của FSA nên lập kế hoạch cho sự đa dạng về thiết bị và môi trường ứng dụng ngay từ ngày đầu tiên, chứ không phải khám phá ra nó trong các đợt tăng cường hỗ trợ sau khi có quy định bắt buộc.

8. Cách tiếp cận của Nhật Bản dạy cho các quốc gia khác điều gì#

Nhật Bản đang trở thành một trường hợp nghiên cứu hữu ích vì nước này kết hợp sự giám sát, giáo dục công chúng và triển khai hệ sinh thái theo trình tự. Các thị trường khác thường sửa đổi hướng dẫn mà không giải thích mô hình bảo mật mới cho người dùng, điều này làm chậm quá trình áp dụng và khiến xác thực mạnh mẽ hơn có vẻ như là một rào cản sản phẩm bị cô lập thay vì một bản nâng cấp toàn hệ thống.

8.1 Các chiến dịch công khai có thể tăng tốc độ di chuyển kỹ thuật#

Nhiều cơ quan quản lý sửa đổi hướng dẫn nhưng dừng lại trước khi giáo dục công chúng. Nhật Bản đang cho thấy một mô hình khác:

1. áp lực gian lận gia tăng,
2. hướng dẫn giám sát cứng rắn hơn,
3. cơ quan quản lý bắt đầu công khai nêu tên các phương pháp kháng phishing,
4. các tác nhân trong hệ sinh thái có được vỏ bọc để triển khai chúng nhanh hơn.

Chuỗi hành động đó có thể làm giảm rào cản (friction) triển khai theo cách mà một văn bản chính sách thuần túy thường không làm được.

8.2 Mục tiêu nên là khả năng kháng phishing, không chỉ là thay thế OTP#

Một số quốc gia tập trung quá hẹp vào việc "thay thế SMS OTP". Điều đó giúp ích, nhưng nó không đầy đủ.

Chiến dịch của Nhật Bản được định hình tốt hơn vì nó đặt ra câu hỏi cơ bản hơn:

Đó là một bài kiểm tra chuẩn xác.

8.3 Xác thực người tiêu dùng cuối cùng có thể là sự kết hợp (hybrid)#

Sự nhấn mạnh đồng thời của Nhật Bản vào passkey và PKI gợi ý một sự thật rộng lớn hơn mà nhiều thị trường sẽ khám phá lại:

• passkey là tuyệt vời cho việc áp dụng trên thị trường tiêu dùng đại chúng,
• PKI vẫn quan trọng đối với danh tính có mức độ đảm bảo cao,
• các hệ sinh thái mạnh nhất sẽ kết hợp cả hai thay vì buộc một công nghệ phải làm mọi thứ.

Điều đó đặc biệt phù hợp trong các lĩnh vực được quản lý với các chương trình danh tính kỹ thuật số quốc gia.

9. Lộ trình thực tế cho các nhóm phản ứng với tín hiệu này#

Phản hồi đúng đắn đối với tín hiệu ngày 16 tháng 4 là quá trình di chuyển theo từng giai đoạn, chứ không phải là một chương trình thay thế vội vã. Các nhóm trước tiên nên lập bản đồ các hành trình dễ bị phishing, sau đó quyết định nơi nào passkey phù hợp ngay lập tức, nơi nào PKI hoặc liên kết danh tính mạnh mẽ hơn vẫn được yêu cầu và cách khôi phục có thể được thiết kế lại mà không tạo ra các ngoại lệ yếu kém thân thiện với phishing.

9.1 Bước 1: lập bản đồ tất cả các bề mặt xác thực dễ bị phishing#

Bắt đầu với:

• đăng nhập,
• khôi phục,
• thay đổi tài khoản,
• xác nhận giao dịch,
• thay đổi tài khoản được liên kết,
• các điểm vào bằng liên kết email,
• quy trình ghi đè (override) của trung tâm cuộc gọi.

9.2 Bước 2: xác định vị trí passkey phù hợp ngay lập tức#

Passkey thường là sự lựa chọn rõ ràng nhất cho:

• đăng nhập bán lẻ,
• xác thực lại thường xuyên,
• các hành trình ứng dụng/web của bên thứ nhất,
• phiên trình duyệt của người tiêu dùng.

9.3 Bước 3: quyết định nơi nào PKI hoặc liên kết danh tính mạnh mẽ hơn vẫn cần thiết#

Một số luồng có thể cần:

• bằng chứng danh tính được hỗ trợ bằng chứng chỉ,
• liên kết với ID quốc gia,
• sự đảm bảo mạnh mẽ hơn xung quanh những thay đổi nhạy cảm,
• phần cứng hoặc các biện pháp kiểm soát tổ chức vượt xa passkey của người tiêu dùng.

9.4 Bước 4: thiết kế lại khôi phục trước khi bắt buộc áp dụng#

Đừng triển khai xác thực mạnh mẽ mà không thiết kế cơ chế khôi phục mạnh mẽ. Nếu không, tổ chức sẽ chỉ tái tạo các cách giải quyết (workarounds) dễ bị phishing thông qua hỗ trợ và các trường hợp ngoại lệ.

9.5 Bước 5: hướng dẫn người dùng cách hoạt động của quyền truy cập chính thức#

Thông điệp "sử dụng bookmark / sử dụng ứng dụng chính thức" của FSA nên trở thành một phần của quy trình tiếp nhận (onboarding) và hỗ trợ:

• chỉ ra con đường an toàn,
• giải thích tại sao các liên kết đăng nhập lại rủi ro,
• làm cho đường dẫn truy cập chính thức dễ nhớ,
• giảm sự phụ thuộc vào các phím tắt tiện lợi không an toàn.

10. Kết luận#

Ngày 16 tháng 4 năm 2026 không phải là ngày Nhật Bản bắt buộc phải sử dụng passkey về mặt pháp lý. Đó là ngày FSA đặt xác thực kháng phishing thành một kỳ vọng của công chúng, công khai hạ cấp tính bảo mật dựa trên OTP và mang lại cho các ngân hàng, công ty môi giới và các công ty fintech một tín hiệu rõ ràng hơn nhiều rằng điểm đến dài hạn là passkey, PKI và các mô hình đăng nhập không thể phishing khác.

Trang web ngày 16 tháng 4 năm 2026 của FSA Nhật Bản không nên bị hiểu sai thành "Hôm nay Nhật Bản bắt buộc sử dụng passkey về mặt pháp lý". Đó không phải là những gì đã xảy ra.

Nhưng cũng sẽ sai lầm nếu coi đây là một trang web nhận thức nhẹ nhàng.

Những gì đã xảy ra mang tính chiến lược quan trọng hơn:

• cơ quan quản lý đã công khai nói với người tiêu dùng rằng các luồng chỉ dùng mật khẩu và dựa trên OTP không còn đủ an toàn,
• họ đã gọi tên passkey và PKI là những ví dụ về xác thực mạnh mẽ hơn,
• họ đã thống nhất thông điệp đó trên khắp các hiệp hội tài chính và cảnh sát,
• và họ đã đẩy cuộc trò chuyện thị trường từ MFA chung chung sang xác thực kháng phishing.

Đó chính xác là loại tín hiệu làm thay đổi các ưu tiên trong lộ trình của các dịch vụ tài chính.

Đối với Nhật Bản, điều này củng cố thêm căn cứ để triển khai passkey rộng rãi hơn trên khắp các ngân hàng, công ty môi giới và fintech. Đối với phần còn lại của thế giới, đó là một ví dụ rõ ràng về việc một cơ quan quản lý có thể làm được nhiều hơn là chỉ thiết lập các quy tắc: họ có thể định hình lại chính câu chuyện xác thực.

Nếu có một điều cốt lõi cần rút ra, thì đó là:

Trạng thái tương lai không phải là "nhiều MFA hơn". Trạng thái tương lai là xác thực kháng phishing. FSA của Nhật Bản hiện đang nói to điều đó.

Về Corbado#

FSA Nhật Bản đã công khai hạ cấp mật khẩu kết hợp OTP, nhưng việc các cơ quan quản lý nêu tên passkey chỉ là một nửa công việc. Các ngân hàng và công ty môi giới vẫn phải loại bỏ các phương pháp dự phòng dễ bị phishing trên các nhóm thiết bị phân mảnh mà không khóa (lock out) người dùng.

Corbado là nền tảng phân tích passkey cho các nhóm CIAM doanh nghiệp. Nó bổ sung phân tích passkey và các biện pháp kiểm soát triển khai trên IDP hiện có của bạn, do đó các tổ chức đáp ứng tiêu chuẩn MFA kháng phishing của FSA có thể loại bỏ dần SMS và email OTP với khả năng hiển thị cấp độ kiểm toán và công tắc tắt (kill switches) ở cấp độ thiết bị, thay vì các quy định bắt buộc mù quáng.

Khám phá cách các tổ chức tài chính Nhật Bản có thể triển khai MFA kháng phishing mà không gây khóa tài khoản thiết bị đầu cuối. → Trò chuyện với chuyên gia passkey

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

FAQ#

FSA Nhật Bản có bắt buộc sử dụng passkey vào ngày 16 tháng 4 năm 2026 không?#

Không. Trang tin ngày 16 tháng 4 năm 2026 là một chiến dịch nâng cao nhận thức cộng đồng, không phải là một văn bản quy định độc lập. Điểm quan trọng là Cơ quan Dịch vụ Tài chính đã công khai và rõ ràng thúc đẩy xác thực đa yếu tố kháng phishing, nêu bật passkey và PKI như những ví dụ, và thống nhất thông điệp đó với các ngân hàng, công ty chứng khoán và Cơ quan Cảnh sát Quốc gia.

Tại sao FSA nói rằng email và SMS OTP không còn đủ an toàn?#

Các tài liệu của chiến dịch giải thích rằng OTP gửi qua email hoặc SMS vẫn có thể bị vượt qua thông qua tấn công phishing theo thời gian thực, tấn công xen giữa (man-in-the-middle) và malware. Nói cách khác, việc thêm một mã là không đủ nếu kẻ tấn công có thể lừa người dùng nhập mã đó vào một trang web giả mạo hoặc đánh cắp nó từ thiết bị đầu cuối.

Có phải passkey là tùy chọn kháng phishing duy nhất được chấp nhận trong lĩnh vực tài chính của Nhật Bản không?#

Không. Các tài liệu chiến dịch của FSA trình bày passkey và xác thực dựa trên PKI là hai ví dụ chính của MFA kháng phishing. Điều đó có nghĩa là passkey được đặc biệt ưa chuộng, nhưng định hướng quản lý rộng hơn là hướng tới các kết quả xác thực kháng phishing, không phải là một công nghệ bắt buộc duy nhất cho người tiêu dùng.

Tại sao ngày 16 tháng 4 năm 2026 lại quan trọng nếu hướng dẫn giám sát của Nhật Bản đã được dịch chuyển từ trước đó?#

Bởi vì nó đánh dấu sự chuyển dịch từ việc phát tín hiệu từ cơ quan quản lý tới ngành công nghiệp sang phát tín hiệu từ cơ quan quản lý tới công chúng. Một khi FSA bắt đầu nói trực tiếp với người tiêu dùng rằng passkey và PKI bảo vệ họ tốt hơn mật khẩu cộng với OTP, các ngân hàng và công ty chứng khoán Nhật Bản sẽ có cơ sở vững chắc hơn để thiết kế lại hệ thống xác thực khách hàng xoay quanh các phương pháp kháng phishing.