Passkey của Mastercard: Dịch vụ Payment Passkey của Mastercard

Trong những năm gần đây, ngành tài chính đã chứng kiến sự quan tâm ngày càng tăng đối với việc nâng cao bảo mật và trải nghiệm người dùng bằng các phương thức xác thực sáng tạo. Passkey hiện đang nổi lên như một giải pháp rất hấp dẫn và ngày càng được ưa chuộng tại các ngân hàng (ví dụ: Revolut), công ty công nghệ tài chính (fintech) (ví dụ: Finom), và các nhà cung cấp dịch vụ thanh toán (ví dụ: PayPal).

Các bài blog trước của chúng tôi đã đề cập sâu rộng về những tác động của sự thay đổi công nghệ này, đặc biệt trong bối cảnh của PSD2 / Xác thực Khách hàng Mạnh (SCA):

• Passkey ràng buộc thiết bị và Passkey đồng bộ hóa
• Phân tích các yêu cầu của PSD2 & SDA
• Yêu cầu SCA có ý nghĩa gì đối với Passkey
• Những ảnh hưởng của PSD3 / PSR đối với Passkey
• Liên kết động.

Khi chúng ta tiếp tục phân tích thế giới xác thực an toàn, Mastercard đã giới thiệu một dịch vụ mới cho passkey: Payment Passkey của Mastercard. Dịch vụ này, còn được biết đến với tên kỹ thuật là Dịch vụ Xác thực Token của Mastercard (TAS), đại diện cho một bước đi chiến lược nhằm thay thế các phương thức xác thực lỗi thời bằng một phương pháp an toàn, liền mạch và thân thiện với người dùng, tận dụng sinh trắc học (ví dụ: Face ID, Touch ID). Dịch vụ này nhằm mục đích hợp lý hóa quy trình thanh toán trực tuyến, kết hợp bảo mật với sự tiện lợi cho hàng triệu người mua sắm trên toàn cầu. Bản thân việc đặt tên kép này có vẻ mang tính chiến lược. Payment Passkey truyền đạt rõ ràng lợi ích cho người dùng về việc đăng nhập bằng sinh trắc học đơn giản tới người tiêu dùng và người bán, trong khi Dịch vụ Xác thực Token lại phù hợp với các chi tiết triển khai kỹ thuật liên quan đến các nhà phát triển và đối tác tích hợp hệ thống.

Bài blog này phân tích cách tiếp cận của Mastercard, khám phá công nghệ, trải nghiệm người dùng, lợi ích và những tác động trong ngành của Payment Passkey.

Việc tích hợp passkey vào lĩnh vực dịch vụ tài chính là một sự chuyển dịch hướng tới xác thực an toàn và thân thiện với người dùng hơn.

Động lực chính đằng sau là kỳ vọng của người tiêu dùng. Như Mastercard đã tiết lộ trong các tuyên bố trước đây, người tiêu dùng ghét mật khẩu:

• 7 trên 10 người tiêu dùng cảm thấy quá tải bởi số lượng mật khẩu họ cần quản lý
• Hơn 80% các vụ vi phạm dữ liệu đã được xác nhận là do mật khẩu. Bên cạnh đó

Mastercard thừa nhận rằng bất kỳ bí mật được chia sẻ nào, bao gồm cả OTP, đều đang trở thành mục tiêu của tội phạm mạng. Đó là lý do tại sao Mastercard muốn thay thế mật khẩu bằng các yếu tố dựa trên con người. Passkey, bằng cách tận dụng sinh trắc học trên thiết bị (ví dụ: Face ID, Touch ID), đã giải quyết nhu cầu này một cách hiệu quả.

Ngoài ra, passkey loại bỏ các điểm yếu bảo mật truyền thống liên quan đến mật khẩu, chẳng hạn như rủi ro lừa đảo giả mạo (phishing). Bằng cách thay thế mật khẩu bằng các khóa mã hóa đơn giản để sử dụng nhưng khó khai thác, passkey cung cấp một giải pháp hấp dẫn cho các tổ chức tài chính muốn vừa tăng cường bảo mật vừa hợp lý hóa các tương tác của người dùng.

Mô hình bảo mật của Passkey phù hợp với các yêu cầu nghiêm ngặt của các quy định tài chính như Xác thực Khách hàng Mạnh (SCA) theo PSD2. SCA yêu cầu xác thực đa yếu tố cho hầu hết các giao dịch thanh toán điện tử và truy cập tài khoản, đòi hỏi xác thực bằng ít nhất hai yếu tố độc lập từ ba loại:

• Kiến thức (thứ người dùng biết)
• Sở hữu (thứ người dùng sở hữu)
• Vốn có (thứ thuộc về người dùng)

Passkey đáp ứng các yêu cầu này một cách tự nhiên: khóa riêng tư an toàn được lưu trữ trên thiết bị đại diện cho yếu tố 'Sở hữu', trong khi sinh trắc học được sử dụng để mở khóa nó đại diện cho yếu tố 'Vốn có'. Nếu mã PIN của thiết bị được sử dụng, nó có thể đáp ứng yếu tố 'Kiến thức'. Tuy nhiên, đang có một cuộc thảo luận trong ngành về việc liệu passkey đồng bộ hóa có cần cung cấp thêm một số đảm bảo về việc ràng buộc thiết bị hay không.

Hơn nữa, các quy định về thanh toán thường yêu cầu liên kết động, đảm bảo rằng quy trình xác thực liên kết bằng mã hóa số tiền giao dịch cụ thể và người nhận thanh toán với sự chấp thuận của người dùng. Các phương thức triển khai passkey, đặc biệt khi được tích hợp với các giao thức như EMV 3DS hoặc sử dụng các tiện ích mở rộng như Xác nhận Thanh toán An toàn (SPC), được thiết kế để kết hợp các chi tiết giao dịch này vào chữ ký mã hóa, đáp ứng yêu cầu quan trọng này.

Việc Mastercard giới thiệu Payment Passkey không phải là một sự kiện riêng lẻ mà là đỉnh cao của một cam kết chiến lược dài hạn nhằm thúc đẩy bảo mật thanh toán và áp dụng các tiêu chuẩn xác thực không mật khẩu.

Mastercard là một trong những thành viên đầu tiên của liên minh FIDO, động lực đằng sau passkey & WebAuthn, nơi họ đã tham gia từ năm 2012.

Trong quá khứ, Mastercard đã ra mắt Dịch vụ Xác thực Sinh trắc học của Mastercard, đây là bước đầu tiên theo hướng passkey. Dịch vụ này đã được thiết kế để tuân thủ các tiêu chuẩn FIDO.

Vào tháng 9 năm 2023, Mastercard đã cung cấp một bản cập nhật về passkey và Xác nhận Thanh toán An toàn (SPC). Trong đó, Mastercard đã chia sẻ quan điểm của họ về các quy trình tiềm năng của passkey tiêu chuẩn so với passkey SPC. Các bản mô phỏng đã ở mức độ chi tiết (như bạn sẽ thấy bên dưới).

Vào tháng 8 năm 2024, Mastercard đã ra mắt Dịch vụ Payment Passkey tại Ấn Độ, một thị trường đặc trưng bởi khối lượng thanh toán kỹ thuật số cao và tỷ lệ sử dụng di động đáng kể. Lần ra mắt ban đầu này có khả năng đóng vai trò là một môi trường thử nghiệm quy mô lớn về khả năng mở rộng và hiệu quả, đặc biệt là trong một môi trường mà gian lận dựa trên OTP là một mối lo ngại đã biết.

Sau khi ra mắt tại Ấn Độ, Mastercard đã mở rộng dịch vụ sang các khu vực trọng điểm khác, bao gồm Châu Á - Thái Bình Dương (ban đầu là Singapore), Mỹ Latinh (bắt đầu với Brazil) và Trung Đông và Châu Phi (MEA), bắt đầu với Các Tiểu vương quốc Ả Rập Thống nhất. Cách tiếp cận theo từng khu vực này cho phép Mastercard điều chỉnh việc triển khai và quan hệ đối tác của mình cho phù hợp với động lực thị trường và bối cảnh pháp lý địa phương.

Một yếu tố quan trọng của chiến lược này là việc nhấn mạnh vào quan hệ đối tác. Ở mỗi khu vực ra mắt, Mastercard đã hợp tác chặt chẽ với các đối tác địa phương quan trọng, bao gồm các nhà tổng hợp thanh toán:

• Nhà tổng hợp thanh toán:
  • Ấn Độ: Juspay, Razorpay hoặc PayU
  • Mỹ Latinh: Yuno
  • MEA: noon Payments, Tap Payments
• Người bán trực tuyến:
  • Ấn Độ: bigbasket
  • Mỹ Latinh: Sympla
• Các ngân hàng hàng đầu: (như
  • Ấn Độ: Axis Bank
  • Singapore: DBS hoặc UOB

Những mối quan hệ đối tác này rất cần thiết để tích hợp dịch vụ Payment Passkey vào các hệ sinh thái thanh toán hiện có, đối phó với các quy định địa phương và tiếp cận một lượng lớn người tiêu dùng. Điều này thể hiện một mô hình linh hoạt, hợp tác thay vì một cách tiếp cận từ trên xuống, một kích cỡ cho tất cả.

Tính đến tháng 6 năm 2025, Mastercard đã có những bước tiến đáng kể trong chiến lược thanh toán an toàn trên khắp châu Âu. Công ty đã đạt được những tiến bộ đáng kể, chủ yếu được thúc đẩy bởi việc áp dụng rộng rãi công nghệ token hóa, với gần 50% giao dịch thương mại điện tử ở châu Âu hiện đang sử dụng công nghệ này. Token hóa thay thế số thẻ thanh toán nhạy cảm bằng các mã định danh kỹ thuật số an toàn, giảm thiểu việc lộ thông tin thanh toán của khách hàng và tăng cường đáng kể tính bảo mật.

Đồng thời, Mastercard đã bắt đầu triển khai payment passkey với các đối tác ban đầu đáng chú ý bao gồm Dintero, Netopia và Solidgate. Mặc dù payment passkey vẫn đang trong giai đoạn đầu so với token hóa, việc giới thiệu chúng phù hợp với tầm nhìn rộng lớn hơn của Mastercard về thương mại điện tử không mật khẩu, không ma sát.

Những thành tựu chính ở châu Âu:

• Áp dụng token hóa: Gần một nửa thương mại điện tử của châu Âu hiện được bảo mật thông qua token hóa.
• Phạm vi phủ sóng rộng:
  • Token hóa được triển khai tại 45 quốc gia châu Âu.
  • Click to Pay (thanh toán không mật khẩu) hoạt động tại 26 thị trường, với số lượt đăng ký tăng gấp đôi trong vòng một năm.
• Triển khai passkey sớm: Payment passkey được ra mắt với các nhà cung cấp dịch vụ thanh toán châu Âu được chọn lọc.

Những phát triển này nêu bật chiến lược hai hướng của Mastercard: mở rộng mạnh mẽ token hóa ngày hôm nay, được bổ sung bằng việc áp dụng chiến lược, hướng tới tương lai của payment passkey.

Payment Passkey của Mastercard được kích hoạt bởi Dịch vụ Xác thực Token của Mastercard (TAS). TAS là cơ sở hạ tầng nền tảng cho phép người bán và ví kỹ thuật số cung cấp cho người tiêu dùng khả năng xác thực các giao dịch trực tuyến của họ bằng sinh trắc học được liên kết với passkey Mastercard của họ, thay thế cho mật khẩu truyền thống hoặc OTP. Dịch vụ này không hoạt động một mình. Nó được tích hợp sâu với các công nghệ cốt lõi khác của Mastercard, đặc biệt là token hóa và có thể là khung EMV 3DS, đồng thời tuân thủ các tiêu chuẩn toàn cầu.

Một khía cạnh thiết yếu của dịch vụ là sự tích hợp với Dịch vụ Token hóa của Mastercard, thường được gọi là MDES (Dịch vụ Kích hoạt Kỹ thuật số của Mastercard). Token hóa là một biện pháp bảo mật quan trọng thay thế Số tài khoản chính (PAN) 16 chữ số thực của người tiêu dùng bằng một mã định danh kỹ thuật số duy nhất hoặc "token". Token này là duy nhất cho một thiết bị, người bán hoặc bối cảnh giao dịch cụ thể. Khi một giao dịch xảy ra, chỉ có token được truyền đi, có nghĩa là người bán không bao giờ cần lưu trữ hoặc xử lý PAN thực, giảm đáng kể rủi ro liên quan đến vi phạm dữ liệu. Payment Passkey của Mastercard sau đó đóng vai trò là cơ chế để xác thực ý định của người dùng hợp pháp để sử dụng thông tin xác thực đã được token hóa này cho một giao dịch cụ thể.

Bản thân việc xác thực tận dụng passkey được lưu trữ trên thiết bị của người dùng, được mở khóa thông qua sinh trắc học trên thiết bị (vân tay, quét khuôn mặt) hoặc mã PIN/mật mã của thiết bị. Điều cần thiết là phải hiểu rằng dữ liệu sinh trắc học được sử dụng để mở khóa passkey vẫn được bảo mật trên thiết bị của người dùng và không bao giờ được chia sẻ với Mastercard, người bán hoặc bất kỳ bên thứ ba nào khác. Cơ chế passkey chỉ đơn giản là xác nhận việc xác thực cục bộ thành công (ví dụ: Face ID, Touch ID) trước khi cho phép quy trình ký mã hóa tiếp tục.

Mặc dù các chi tiết triển khai cụ thể có thể khác nhau, Payment Passkey có khả năng hoạt động trong hoặc song song với khung EMV 3-D Secure (3DS), tiêu chuẩn ngành để bảo mật các giao dịch không xuất trình thẻ (CNP). EMV 3DS tạo điều kiện cho việc trao đổi dữ liệu giao dịch phong phú giữa người bán và tổ chức phát hành thẻ, cho phép tổ chức phát hành thực hiện đánh giá rủi ro. Nếu giao dịch được coi là có rủi ro cao, tổ chức phát hành có thể "thách thức" người dùng thực hiện xác thực bổ sung (SCA). Payment Passkey của Mastercard cung cấp một phương pháp an toàn và có khả năng mượt mà hơn nhiều để hoàn thành thử thách SCA này so với các phương pháp truyền thống như OTP. Các dịch vụ liên quan của Mastercard, như Identity Check Express và Xác thực Ủy quyền cho Người bán, tận dụng rõ ràng các khả năng của FIDO / WebAuthn trong luồng EMV 3DS, cho phép người bán (với sự cho phép của tổ chức phát hành) thực hiện xác thực thay mặt cho tổ chức phát hành bằng các phương pháp hiện đại này.

Sự phối hợp giữa passkey và token hóa tạo ra một kiến trúc bảo mật nhiều lớp. Passkey bảo mật bước xác thực người dùng, ngăn chặn các cá nhân không được ủy quyền khởi tạo giao dịch. Token hóa bảo vệ thông tin xác thực thanh toán cơ bản, giảm thiểu giá trị của bất kỳ dữ liệu nào có khả năng bị lộ trong các vụ vi phạm. Cách tiếp cận kết hợp này giải quyết gian lận từ nhiều góc độ, làm cho toàn bộ quy trình giao dịch trở nên kiên cường hơn đáng kể. Hơn nữa, việc tích hợp xác thực passkey vào cơ sở hạ tầng EMV 3DS đã được thiết lập là một cách tiếp cận thực tế giúp tạo điều kiện cho việc áp dụng. Nó cho phép các tổ chức phát hành và tổ chức thanh toán tăng cường bảo mật và trải nghiệm người dùng bằng cách tận dụng các khoản đầu tư hiện có của họ vào công nghệ 3DS, thay vì yêu cầu triển khai các hệ thống xác thực hoàn toàn riêng biệt.

Một mục tiêu chính của Payment Passkey của Mastercard là cách mạng hóa trải nghiệm thanh toán trực tuyến, làm cho nó nhanh hơn, đơn giản hơn và an toàn hơn bằng cách loại bỏ sự phiền toái liên quan đến mật khẩu và OTP. Hành trình của người dùng bao gồm cả việc tạo passkey ban đầu và việc sử dụng nó sau đó để xác thực các khoản thanh toán.

Người dùng có thể được nhắc tạo Payment Passkey của Mastercard tại một số điểm trong tương tác của họ với các dịch vụ của Mastercard. Các kịch bản phổ biến bao gồm:

• Trong lúc thanh toán: Thông thường, tùy chọn tạo passkey được trình bày sau khi người dùng đã hoàn thành thành công một bước xác thực truyền thống cho một giao dịch, chẳng hạn như một thử thách EMV 3DS liên quan đến OTP hoặc một phương pháp khác. Việc giới thiệu theo ngữ cảnh này tận dụng trải nghiệm tức thì của người dùng với các phương pháp có khả năng gây phiền toái cao hơn để làm nổi bật lợi ích của một quy trình thanh toán mượt mà hơn trong tương lai.
• Trong các ứng dụng của tổ chức phát hành: Các ngân hàng phát hành thẻ Mastercard có thể tích hợp luồng tạo passkey trực tiếp vào các ứng dụng ngân hàng di động của họ, cho phép người dùng chủ động liên kết một passkey với thẻ của họ.
• Trong khi thêm thẻ: Tùy chọn cũng có thể được trình bày khi người dùng thêm thẻ Mastercard của họ vào ví kỹ thuật số hoặc lưu nó dưới dạng Thẻ được lưu trữ (Card-on-File - CoF) với một người bán hoặc dịch vụ như Click to Pay.

Hãy phân tích ngắn gọn ví dụ tạo passkey trong quá trình thanh toán.

Sau khi nhấp vào nút “Thanh toán”, người dùng được chuyển hướng từ cửa hàng mẫu (https://decorshop.com) đến một trang web do Mastercard lưu trữ (https://verify.mastercard.com). Trang web này là một phần của quy trình xác thực EMV 3DS.

Sau khi quá trình này hoàn tất thành công, người dùng có tùy chọn tạo passkey. Lưu ý rằng passkey này sẽ được tạo cho Relying Party ID của Mastercard (ví dụ: verify.mastercard.com hoặc mastercard.com). Vì vậy, passkey không được đăng ký với người bán nơi người dùng muốn chuyển tiền đến. Điều này cho phép cùng một passkey được sử dụng trên bất kỳ người bán nào sử dụng dịch vụ Payment Passkey của Mastercard chứ không chỉ tại người bán cụ thể này.

Nguồn: https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Sau khi quyết định tạo passkey, quá trình xác thực cục bộ (ở đây là điện thoại thông minh Android đã lưu passkey trong Trình quản lý mật khẩu của Google) được tiến hành. Sau khi hoàn tất việc tạo passkey, người dùng được chuyển hướng trở lại từ trang web của Mastercard về cửa hàng.

Nguồn: https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Khi người dùng đã có Payment Passkey của Mastercard được liên kết với thông tin xác thực thẻ của họ, quy trình thanh toán tại các người bán tham gia sẽ được hợp lý hóa đáng kể:

1. Chọn thẻ: Người dùng bắt đầu thanh toán và chọn thẻ Mastercard của họ. Đây có thể là một thẻ được lưu trữ an toàn thông qua dịch vụ Click to Pay của Mastercard, được lưu trực tiếp với người bán (Secure Card on File - SCOF) hoặc thậm chí được nhập trong một luồng thanh toán của khách.
2. Lời nhắc xác thực: Thay vì được yêu cầu nhập mật khẩu, CVV hoặc OTP, người dùng được nhắc xác thực bằng Payment Passkey của Mastercard. Luồng chính xác có thể thay đổi:
   • Luồng Passkey tiêu chuẩn: Người dùng có thể trải qua một chuyển hướng ngắn, liền mạch đến một tên miền do Mastercard kiểm soát (ví dụ: verify.mastercard.com). Tại đây, lời nhắc WebAuthn tiêu chuẩn xuất hiện, yêu cầu người dùng xác nhận giao dịch bằng cảm biến sinh trắc học hoặc mã PIN của thiết bị. Sau khi xác thực cục bộ thành công, họ được chuyển hướng trở lại trang web của người bán để hoàn tất việc mua hàng. Luồng này xảy ra trong bối cảnh bên thứ nhất, nơi người dùng xác thực trực tiếp với Mastercard.
   • Luồng Xác nhận Thanh toán An toàn (SPC) (Tiềm năng): Một luồng thay thế, có khả năng liền mạch hơn liên quan đến SPC. Trong kịch bản này, người dùng vẫn ở trên trang web của người bán. Một cửa sổ bật lên gốc của trình duyệt xuất hiện, hiển thị các chi tiết giao dịch chính (tên người bán, số tiền, thông tin thẻ một phần) và nhắc xác thực bằng passkey trực tiếp. Điều này loại bỏ hoàn toàn việc chuyển hướng và cung cấp liên kết động mạnh mẽ bằng cách nhúng các chi tiết giao dịch vào yêu cầu xác thực. Xin lưu ý rằng passkey SPC vẫn đang trong giai đoạn ý tưởng và chưa quyết định liệu chúng có được phát hành rộng rãi hay không (chủ yếu do Apple không đồng ý). Luồng này sẽ hoạt động trong bối cảnh bên thứ ba, nơi người bán gọi xác thực cho passkey Mastercard, có khả năng sử dụng thông tin xác thực được chia sẻ qua EMV 3DS.

Nguồn: https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Sự phối hợp giữa Payment Passkey của Mastercard và Click to Pay đặc biệt đáng chú ý. Click to Pay cung cấp một cách tiêu chuẩn hóa, an toàn để người tiêu dùng lưu trữ chi tiết thẻ đã được token hóa của họ để thanh toán trực tuyến dễ dàng hơn tại các người bán tham gia. Payment Passkey đóng vai trò là lớp xác thực sinh trắc học hiện đại để truy cập và sử dụng các thông tin xác thực Click to Pay đã được lưu trữ này. Sự kết hợp này là chìa khóa để đạt được trải nghiệm thanh toán "một cú nhấp chuột" thực sự, loại bỏ cả việc nhập thẻ thủ công và các thách thức về mật khẩu/OTP. Việc ra mắt toàn cầu lần đầu tiên dịch vụ Click to Pay tích hợp với Payment Passkey của Mastercard và Tap Payments nhấn mạnh định hướng chiến lược này. Điều này tận dụng cơ sở hạ tầng và mạng lưới người bán Click to Pay hiện có, cung cấp một cơ chế mở rộng mạnh mẽ cho việc áp dụng Payment Passkey.

Bảng dưới đây tóm tắt các đặc điểm chính của các luồng xác thực tiềm năng:

Đối với người bán, việc áp dụng Dịch vụ Payment Passkey / Dịch vụ Xác thực Token của Mastercard có nghĩa là

• Giảm gian lận và bồi hoàn: Đây được cho là lợi ích đáng kể nhất. Bằng cách gắn xác thực trực tiếp với sinh trắc học duy nhất của người dùng hoặc mã PIN của thiết bị thông qua passkey chống lừa đảo giả mạo (phishing), nguy cơ giao dịch trái phép giảm mạnh. Việc sử dụng token hóa nền tảng còn bảo vệ dữ liệu thẻ. Việc xác thực mạnh hơn này cũng có thể dẫn đến việc chuyển giao trách nhiệm đối với một số loại gian lận, tương tự như những lợi ích được thấy với việc áp dụng EMV 3DS. Các nghiên cứu điển hình, chẳng hạn như nghiên cứu liên quan đến noon Payments, báo cáo rõ ràng về việc giảm tỷ lệ gian lận sau khi triển khai Payment Passkey và Click to Pay.
• Tăng tỷ lệ chấp thuận và chuyển đổi: Sự phiền toái khi thanh toán là nguyên nhân chính gây ra việc từ bỏ giỏ hàng. Việc loại bỏ nhu cầu nhớ mật khẩu hoặc nhập OTP giúp quy trình thanh toán trở nên mượt mà hơn, dẫn đến tỷ lệ hoàn thành cao hơn. Hơn nữa, tín hiệu xác thực mạnh mẽ do passkey cung cấp giúp các ngân hàng phát hành tự tin hơn để chấp thuận giao dịch, giảm khả năng bị từ chối sai tốn kém. Tỷ lệ chấp thuận cao hơn trực tiếp chuyển thành doanh số và doanh thu tăng. Các đối tác như Yuno đã lưu ý rằng passkey thúc đẩy tỷ lệ chuyển đổi cao hơn.
• Cải thiện trải nghiệm khách hàng và hình ảnh thương hiệu: Cung cấp một quy trình thanh toán tiên tiến, an toàn và dễ dàng giúp nâng cao sự hài lòng của khách hàng và xây dựng lòng tin vào thương hiệu của người bán. Việc cung cấp một cách thanh toán an toàn hơn rõ rệt có thể là một yếu tố khác biệt cạnh tranh.

Đối với người tiêu dùng, dịch vụ này cho phép:

• Thanh toán liền mạch và nhanh hơn: Lợi ích tức thì nhất là loại bỏ sự phiền phức. Người dùng không còn cần phải nhớ các mật khẩu phức tạp hoặc chờ đợi và nhập OTP thủ công. Xác thực diễn ra nhanh chóng bằng cách sử dụng các phương pháp sinh trắc học quen thuộc (ví dụ: Face ID, Touch ID) được sử dụng để mở khóa điện thoại của họ. Bản chất "đăng ký một lần, sử dụng mọi nơi" trên các người bán tham gia mang lại sự tiện lợi đáng kể.
• Tăng cường bảo mật và sự yên tâm: Payment Passkey cung cấp bảo mật mạnh mẽ hơn về cơ bản so với mật khẩu hoặc OTP. Chúng có khả năng chống lừa đảo giả mạo (phishing) và nhiều hình thức gian lận trực tuyến. Việc biết rằng các giao dịch được bảo vệ bằng sinh trắc học mang lại cho người tiêu dùng sự tự tin và yên tâm hơn khi mua sắm trực tuyến.
• Bảo vệ quyền riêng tư: Vì dữ liệu sinh trắc học vẫn còn trên thiết bị và token hóa bảo vệ số thẻ thực tế, nên ít thông tin nhạy cảm hơn được truyền đi trong quá trình giao dịch.

Bảng sau tóm tắt đề xuất giá trị cho mỗi nhóm bên liên quan:

Đối với các người bán và nhà phát triển muốn tận dụng lợi ích của Payment Passkey của Mastercard, việc tích hợp diễn ra thông qua Dịch vụ Xác thực Token của Mastercard (TAS). TAS được thiết kế để hoạt động cùng với các giải pháp token hóa và thanh toán hiện có của Mastercard, chủ yếu là Click to Pay và Secure Card on File (SCOF). Về cơ bản, TAS cung cấp lớp xác thực sinh trắc học tiên tiến cho các giao dịch sử dụng thông tin xác thực đã được token hóa và lưu trữ qua các dịch vụ này.

Cách tiếp cận tích hợp xác thực passkey vào các dịch vụ đã được thiết lập như Click to Pay và SCOF nhằm mục đích giảm thiểu sự gián đoạn cho người bán. Thay vì yêu cầu một lộ trình tích hợp hoàn toàn mới, các doanh nghiệp đã sử dụng các giải pháp Mastercard này có thể thấy việc thêm hỗ trợ passkey là một quy trình hợp lý hơn, tận dụng cơ sở hạ tầng hiện có của họ.

Mastercard cung cấp các tài nguyên để tích hợp thông qua cổng thông tin Mastercard Developers (developer.mastercard.com). Các tài nguyên này bao gồm SDK và API được thiết kế để tạo điều kiện thuận lợi cho việc triển khai các chức năng của TAS. Mặc dù các thông số kỹ thuật chi tiết yêu cầu truy cập vào cổng thông tin, các đoạn tài liệu tiết lộ các trường hợp sử dụng cụ thể và các lệnh gọi API liên quan đến quản lý passkey trong bối cảnh thanh toán, chẳng hạn như "Tạo Passkey sau khi Định danh & Xác minh (ID&V)", "Tạo Passkey sau khi Xác thực Giao dịch" và "Sử dụng Passkey để Xác thực Giao dịch". Sự tồn tại của các chức năng được xác định này cho thấy một khung tích hợp có cấu trúc và hoàn thiện đã có sẵn cho các nhà phát triển.

Một video chính thức giải thích khái niệm này cũng có sẵn:

Các người bán và nhà phát triển quan tâm đến việc triển khai Payment Passkey của Mastercard nên tham khảo cổng thông tin Mastercard Developers để biết tài liệu chi tiết, SDK, API và các hướng dẫn tích hợp cụ thể liên quan đến nền tảng họ đã chọn (ví dụ: Click to Pay, SCOF) và môi trường kỹ thuật.

Việc Mastercard ra mắt Dịch vụ Payment Passkey là một bước phát triển quan trọng, đánh dấu một cam kết rõ ràng của một mạng lưới thanh toán lớn trong việc vượt qua mật khẩu và OTP để hướng tới xác thực sinh trắc học an toàn và thân thiện với người dùng hơn. Điều này phù hợp với tầm nhìn rộng lớn hơn của Mastercard về tương lai của thương mại điện tử, bao gồm việc loại bỏ hoàn toàn việc nhập thẻ thủ công vào năm 2030 tại các khu vực như châu Âu, thay vào đó dựa vào token hóa và các phương thức xác thực liền mạch như passkey.

Mastercard không đơn độc trong nỗ lực này. Visa đã ra mắt dịch vụ có tên tương tự của riêng mình là Dịch vụ Payment Passkey của Visa. Giống như sản phẩm của Mastercard, dịch vụ của Visa được xây dựng trên các tiêu chuẩn FIDO, sử dụng sinh trắc học trên thiết bị, nhằm mục đích thay thế mật khẩu/OTP, tích hợp với token hóa và Click to Pay, và nhấn mạnh lợi ích kép của việc tăng cường bảo mật (giảm gian lận) và cải thiện trải nghiệm người dùng. Visa nhấn mạnh khả năng giảm tỷ lệ gian lận lên đến 50% so với SMS OTP và lưu ý đến sự hỗ trợ rộng rãi của hệ điều hành và trình duyệt cho FIDO. Một điểm khác biệt tiềm năng được đề cập trong tài liệu của Visa là khái niệm "hỗ trợ xác thực do Visa quản lý" hoặc "mô hình liên kết", trong đó Visa xử lý sự phức tạp của việc xác thực FIDO cốt lõi, có khả năng đơn giản hóa việc tích hợp cho người bán và tổ chức phát hành. Các chiến lược song song và thậm chí cả các quy ước đặt tên tương tự được áp dụng bởi hai mạng lưới thẻ lớn nhất cho thấy mạnh mẽ một sự hội tụ toàn ngành xung quanh FIDO passkey như là tiêu chuẩn tương lai để xác thực các khoản thanh toán trực tuyến. Sự thúc đẩy phối hợp này mang lại lợi ích cho toàn bộ hệ sinh thái bằng cách thúc đẩy khả năng tương tác và giảm sự phân mảnh.

American Express cũng đang tích cực kết hợp các công nghệ xác thực hiện đại. Mặc dù họ chưa ra mắt một thương hiệu "Dịch vụ Payment Passkey" riêng biệt như Visa và Mastercard (tính đến tháng 5 năm 2025), họ đã tích hợp các khả năng sinh trắc học dựa trên FIDO/WebAuthn (nhận dạng khuôn mặt và vân tay) trực tiếp vào nền tảng SafeKey hiện có của họ. Bản thân SafeKey được xây dựng trên tiêu chuẩn EMV 3-D Secure. American Express, cũng là một thành viên hội đồng quản trị của Liên minh FIDO, do đó đang tận dụng cùng một công nghệ không mật khẩu cốt lõi nhưng nhúng nó vào trong khuôn khổ bảo mật đã được thiết lập của họ. Điều này có thể phản ánh một chiến lược thương hiệu khác, tận dụng sự công nhận của SafeKey, hoặc có khả năng là sự khác biệt về kiến trúc xuất phát từ mô hình mạng của họ. Tuy nhiên, hướng đi là nhất quán: tận dụng sinh trắc học trên thiết bị và các tiêu chuẩn FIDO để xác thực trực tuyến mạnh mẽ hơn, mượt mà hơn.

Sự ra đời của Dịch vụ Payment Passkey của Mastercard đại diện cho một bước ngoặt trong sự phát triển của bảo mật thanh toán trực tuyến và trải nghiệm người dùng. Bằng cách áp dụng các tiêu chuẩn passkey FIDO và tích hợp chúng chặt chẽ với token hóa và các giải pháp thanh toán hiện có như Click to Pay, Mastercard đang giải quyết những thiếu sót nghiêm trọng của việc xác thực dựa trên mật khẩu và OTP truyền thống.

Sáng kiến này mang lại những lợi ích đáng kể trên toàn hệ sinh thái thanh toán. Đối với người bán, nó hứa hẹn giảm đáng kể tổn thất do gian lận và bồi hoàn, cùng với tỷ lệ chấp thuận giao dịch cao hơn và cải thiện tỷ lệ chuyển đổi nhờ quy trình thanh toán không ma sát. Đối với người tiêu dùng, nó mang lại một cách thanh toán trực tuyến nhanh hơn, tiện lợi hơn và an toàn hơn rõ rệt, tận dụng sinh trắc học quen thuộc trên thiết bị trong khi loại bỏ nhu cầu quản lý mật khẩu hoặc xử lý OTP.

Nền tảng công nghệ - kết hợp xác thực chống lừa đảo giả mạo với việc giảm thiểu dữ liệu của token hóa, tất cả trong khuôn khổ các tiêu chuẩn EMVCo đã được thiết lập - tạo ra một lớp phòng thủ mạnh mẽ, nhiều lớp chống lại gian lận. Việc triển khai toàn cầu theo định hướng chiến lược, dựa trên quan hệ đối tác của Mastercard càng cho thấy tầm quan trọng và cam kết lâu dài đằng sau công nghệ này.

Khi Visa đi theo một con đường song song với Dịch vụ Payment Passkey của riêng mình và American Express tích hợp các khả năng sinh trắc học tương tự vào SafeKey, hướng đi đã rõ ràng: passkey đang nhanh chóng trở thành tiêu chuẩn mới để bảo mật các khoản thanh toán kỹ thuật số.