Get your free and exclusive 80-page Banking Passkey Report
github local biometrics

Ứng dụng gốc: Passkey so với Sinh trắc học cục bộ

Hiểu rõ lợi ích của việc sử dụng passkey cùng với sinh trắc học cục bộ để bảo mật ứng dụng tối ưu và cho phép người dùng truy cập liền mạch.

Vincent Delitz

Vincent

Created: June 17, 2025

Updated: July 8, 2025


See the original blog version in English here.

Our mission is to make the Internet a safer place and passkeys provide a superior solution to achieve that. That's why we want to keep you updated with the latest industry insights here.

1. Giới thiệu#

Sau khi sinh trắc học trên điện thoại di động trở nên phổ biến, nhiều ứng dụng gốc đã bắt đầu sử dụng các tính năng như Face ID hoặc Touch ID (hoặc tương đương trên Android) để bảo vệ quyền truy cập ứng dụng. Việc bảo vệ bằng sinh trắc học cục bộ này cải thiện đáng kể sự tiện lợi cho người dùng bằng cách cho phép truy cập nhanh chóng và liền mạch. Thoạt nhìn, passkey và sinh trắc học cục bộ có vẻ thừa thãi vì cả hai đều liên quan đến việc xác minh người dùng. Nhưng chúng phục vụ các mục đích cơ bản khác nhau. Bài viết này sẽ khám phá:

  • Passkey so với Sinh trắc học cục bộ: Sinh trắc học cục bộ và passkey khác nhau như thế nào về vai trò và chức năng?
  • Thêm Passkey vào ứng dụng có Sinh trắc học cục bộ: Có hợp lý không khi thêm passkey vào các ứng dụng đã sử dụng sinh trắc học? Lợi ích là gì?

Đến cuối bài, chúng ta sẽ hiểu rõ hơn về thời điểm và cách thức tận dụng các giải pháp này cùng nhau để tạo ra một trải nghiệm ứng dụng an toàn hơn, thân thiện với người dùng và liền mạch hơn. Chúng tôi cũng sẽ phác thảo các kịch bản thực tế nơi việc kết hợp passkey và sinh trắc học cục bộ có thể tăng cường cả bảo mật và sự tiện lợi, đảm bảo rằng các nhà phát triển có thể đưa ra quyết định sáng suốt để đáp ứng nhu cầu của người dùng một cách hiệu quả.

2. Sinh trắc học cục bộ bảo vệ ứng dụng như thế nào?#

Các phương pháp xác thực sinh trắc học cục bộ, chẳng hạn như Face ID, Touch ID của Apple, hoặc các khả năng sinh trắc học của Android, tận dụng các đặc điểm thể chất độc nhất (ví dụ: đặc điểm khuôn mặt hoặc dấu vân tay) để xác minh danh tính của người dùng. Không giống như mã PIN hoặc mật khẩu truyền thống, vốn dựa vào thứ mà người dùng biết, sinh trắc học dựa vào thứ vốn có của người dùng. Sự thay đổi này loại bỏ nhu cầu nhập mã lặp đi lặp lại, giảm đáng kể sự phiền toái và giúp việc truy cập ứng dụng hàng ngày vừa nhanh chóng vừa an toàn.

Substack Icon

Subscribe to our Passkeys Substack for the latest news.

Subscribe

2.1 Lịch sử bảo mật ứng dụng: Từ mã PIN và mật khẩu đến sinh trắc học#

Trước khi sinh trắc học trở nên phổ biến trên điện thoại di động, các ứng dụng nhằm bảo vệ nội dung nhạy cảm thường yêu cầu người dùng nhập thêm mã PIN hoặc mật khẩu mỗi khi khởi chạy. Mặc dù cách tiếp cận này tăng cường bảo mật, nó cũng gây thêm sự bất tiện, đặc biệt là khi người dùng đã được xác thực vào đầu phiên làm việc của họ. Sự xuất hiện của công nghệ nhận dạng khuôn mặt và quét vân tay trên thiết bị đã đơn giản hóa quy trình này. Thay vì phải nhập mã lặp đi lặp lại, người dùng giờ đây có thể mở khóa ứng dụng bằng một lần quét khuôn mặt nhanh hoặc một cú chạm ngắn. Nếu vì lý do nào đó, việc kiểm tra sinh trắc học không thành công hoặc người dùng không muốn bật tính năng này, một mã PIN, mật mã hoặc mật khẩu dự phòng vẫn có sẵn. Thiết kế này đảm bảo cả sự tiện lợi và khả năng truy cập mà không ảnh hưởng đến bảo mật.

2.2 Xác minh cục bộ so với Xác thực từ xa#

Điều quan trọng là phải phân biệt giữa kiểm tra sinh trắc học cục bộ và các sự kiện xác thực từ xa đầy đủ. Xác thực từ xa xảy ra vào đầu một phiên mới, xác minh danh tính của người dùng với hệ thống backend của dịch vụ bằng các thông tin xác thực như mật khẩu hoặc passkey. Bước này thiết lập lòng tin giữa người dùng và dịch vụ.

Ngược lại, sinh trắc học cục bộ tập trung vào việc xác minh lại danh tính trong một phiên đã được xác thực và đang diễn ra. Thay vì yêu cầu người dùng nhập lại mật khẩu hoặc các thông tin xác thực khác khi họ rời khỏi ứng dụng trong thời gian ngắn hoặc khóa điện thoại, sinh trắc học cục bộ xác nhận rằng cùng một người dùng được ủy quyền vẫn đang kiểm soát thiết bị. Việc xác minh tập trung vào thiết bị này không yêu cầu kết nối internet hoặc tương tác với máy chủ từ xa, giúp nó nhanh chóng, đáng tin cậy và liền mạch trong sử dụng hàng ngày.

2.3 Mô-đun bảo mật phần cứng và tính không thể chuyển nhượng#

Dữ liệu sinh trắc học được lưu trữ và xử lý an toàn trong các mô-đun bảo mật phần cứng chuyên dụng - như Secure Enclave trên iOS hoặc Trusted Execution Environment (TEE) trên Android. Các mô-đun đáng tin cậy này được thiết kế để giữ an toàn cho dữ liệu sinh trắc học nhạy cảm khỏi bị giả mạo, trích xuất hoặc chuyển giao.

Do sự neo giữ ở cấp độ phần cứng này, việc xác minh sinh trắc học không thể dễ dàng chia sẻ qua các thiết bị hoặc dịch vụ. Các mẫu sinh trắc học của mỗi thiết bị vẫn là duy nhất cho đơn vị cụ thể đó, đảm bảo rằng nếu người dùng nâng cấp lên một chiếc điện thoại mới, họ phải đăng ký lại sinh trắc học của mình từ đầu. Mặc dù điều này thêm một bước nhỏ khi chuyển đổi thiết bị, nó bảo vệ chống lại truy cập trái phép và ngăn chặn các cuộc tấn công từ xa có thể khai thác dữ liệu sinh trắc học được lưu trữ tập trung. Hơn nữa, sinh trắc học cục bộ hoạt động mà không cần kết nối internet, giúp chúng đáng tin cậy ngay cả khi thiết bị ngoại tuyến.

Slack Icon

Become part of our Passkeys Community for updates & support.

Join

2.4 Tóm tắt: Sinh trắc học cục bộ#

Sinh trắc học cục bộ tinh giản hóa bảo mật bằng cách xác minh rằng người hiện đang sử dụng thiết bị thực sự là người dùng hợp pháp, đã được xác thực mà không yêu cầu nhập lại mã PIN hoặc mật khẩu tùy chỉnh lặp đi lặp lại trong trường hợp ứng dụng có chức năng quan trọng như ngân hàng, bảo hiểm hoặc các chi tiết cá nhân khác.

Chúng duy trì sự tiện lợi bằng cách hoạt động liền mạch và tức thì trên thiết bị, hoạt động ngoại tuyến và dựa vào các vùng an toàn phần cứng để bảo vệ dữ liệu sinh trắc học nhạy cảm. Mặc dù chúng không thể thay thế nhu cầu xác thực từ xa ban đầu (chẳng hạn như passkey hoặc mật khẩu) để thiết lập danh tính người dùng ngay từ đầu, chúng rất giỏi trong việc quản lý và bảo vệ các phiên tiếp theo, đang diễn ra.

Những hạn chế của chúng như thiếu tính di động và cần phải đăng ký lại trên các thiết bị mới là sự đánh đổi để có được sự tiện lợi nâng cao và bảo mật chặt chẽ ở cấp độ thiết bị. Cuối cùng, sinh trắc học cục bộ đóng vai trò như một phương pháp mạnh mẽ, thân thiện với người dùng để đảm bảo sự tin cậy liên tục trong một phiên ứng dụng sau khi lòng tin đó được thiết lập ban đầu.

3. Passkey bảo vệ ứng dụng như thế nào?#

Passkey thay đổi bản chất của việc xác thực bằng cách thay thế các bí mật được chia sẻ như mật khẩu bằng các chứng danh mã hóa bất đối xứng. Không giống như sinh trắc học cục bộ, chỉ xác minh một người dùng đã được xác thực tại chỗ, passkey đóng vai trò là phương pháp chính để nhận dạng người dùng với một dịch vụ từ xa. Điều này đảm bảo một trải nghiệm đăng nhập an toàn, chống lừa đảo ngay cả trong kịch bản mà người dùng và thiết bị ban đầu chưa được biết đến bởi backend của ứng dụng.

StateOfPasskeys Icon

Want to find out how many people use passkeys?

View Adoption Data

3.1 Từ Mật khẩu đến Passkey: Một bước nhảy vọt về bảo mật#

Trước khi có passkey, phương pháp phổ biến để thiết lập lòng tin với một dịch vụ từ xa liên quan đến mật khẩu - những bí mật được chia sẻ mà cả người dùng và máy chủ đều biết. Mặc dù mật khẩu dễ triển khai, chúng dễ bị tấn công bởi các mối đe dọa như lừa đảo, nhồi thông tin xác thực và tái sử dụng mật khẩu.

Passkey giải quyết những thách thức này bằng cách sử dụng một cặp khóa mã hóa: một khóa riêng tư được lưu trữ an toàn trên thiết bị của người dùng và một khóa công khai tương ứng được đăng ký với dịch vụ. Khi một nỗ lực đăng nhập xảy ra, dịch vụ sẽ gửi một thử thách mà chỉ có khóa riêng tư của người dùng mới có thể giải quyết được. Điều này đảm bảo rằng ngay cả khi kẻ tấn công chặn dữ liệu hoặc cố gắng lừa người dùng tiết lộ thông tin xác thực, chúng cũng không thể truy cập trái phép.

3.2 Mật mã khóa công khai và khả năng chống lừa đảo#

Passkey sử dụng mật mã bất đối xứng:

  • Khóa riêng tư (Phía máy khách): Được lưu trữ an toàn trong vùng an toàn (secure enclave) của thiết bị, không thể truy cập bởi các ứng dụng khác hoặc thậm chí cả hệ điều hành.
  • Khóa công khai (Phía máy chủ): Được đăng ký với backend của ứng dụng, nhưng tự nó vô dụng nếu không có khóa riêng tư. Vì người dùng không bao giờ gửi khóa riêng tư qua mạng và không bao giờ có một “bí mật được chia sẻ” để nhập, các nỗ lực lừa đảo phần lớn trở nên vô hiệu. Kẻ tấn công không thể lừa người dùng nhập thứ mà họ không biết, và việc chặn khóa công khai không mang lại lợi thế nào. Kiến trúc này, được hỗ trợ bởi các tiêu chuẩn như FIDO2 và WebAuthn, đảm bảo rằng toàn bộ luồng xác thực dựa trên các hoạt động mã hóa có thể chứng minh được thay vì thông tin xác thực do người dùng nhập.

Điều này đặc biệt quan trọng đối với các hệ thống mà ngoài ứng dụng gốc còn có các trang web đang được sử dụng, nơi lừa đảo là một vấn đề lớn. Passkey được tạo trên thiết bị di động có thể được sử dụng thông qua Xác thực chéo thiết bị (Cross-Device-Authentication) cả trên các trang web trên máy tính để bàn.

Demo Icon

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

3.3 Tính di động trên nhiều thiết bị, Đồng bộ hóa đám mây và Trải nghiệm liền mạch#

Một trong những lợi thế cốt lõi của passkey là tính di động liền mạch của chúng trên các thiết bị của người dùng. Các hệ điều hành hiện đại có thể đồng bộ hóa passkey thông qua lưu trữ đám mây an toàn (ví dụ: iCloud Keychain, Google Password Manager), cho phép người dùng đăng nhập từ nhiều thiết bị mà không cần đăng ký lại hoặc nhớ mật khẩu cho lần cài đặt ứng dụng đầu tiên. Hơn nữa, passkey cũng có thể được sử dụng trong các kịch bản yêu cầu yếu tố thứ hai để cung cấp sự bảo vệ tương tự xác thực hai yếu tố mà không gây ra sự phiền toái. Sự phối hợp này cho phép đăng nhập nhanh chóng, an toàn bất kể người dùng chọn thiết bị nào, củng cố một hệ sinh thái nơi xác thực an toàn vừa có thể truy cập phổ biến vừa dễ dàng duy trì.

3.4 Tóm tắt: Passkey#

Passkey đại diện cho một phương pháp mạnh mẽ, chống lừa đảo để xác thực người dùng chưa xác định với các dịch vụ từ xa. Bằng cách tận dụng mật mã bất đối xứng và chuyển từ bí mật được chia sẻ sang khóa riêng tư lưu trữ trên thiết bị, chúng loại bỏ nhiều điểm yếu đã gây khó khăn cho các hệ thống dựa trên mật khẩu. Passkey kết hợp bảo mật mạnh mẽ, tính di động toàn cầu và tích hợp trực tiếp với các thành phần bảo mật phần cứng. Do đó, chúng đóng vai trò là một nền tảng vững chắc để thiết lập danh tính người dùng - điều mà chỉ riêng sinh trắc học cục bộ không thể cung cấp. Trong bối cảnh của ứng dụng gốc, passkey là bước đầu tiên quan trọng trong việc tạo ra một phiên an toàn, sau đó sinh trắc học cục bộ có thể được sử dụng để duy trì quyền truy cập người dùng nhanh chóng và tiện lợi.

4. Phân tích chi tiết: Passkey & Sinh trắc học cục bộ#

Khi nói đến xác thực trong các ứng dụng gốc, passkeysinh trắc học cục bộ đóng những vai trò quan trọng nhưng khác nhau. Mặc dù cả hai đều cải thiện trải nghiệm người dùng và bảo mật, chúng giải quyết các vấn đề cơ bản khác nhau:

  • Passkey xác thực người dùng chưa xác định với một dịch vụ từ xa, thường là trong lần đăng nhập đầu tiên hoặc khi tạo một phiên mới.
  • Sinh trắc học cục bộ, chẳng hạn như Face ID hoặc Touch ID, xác minh lại một người dùng đã được xác thực tại chỗ, đảm bảo tính liên tục và tiện lợi cho các phiên đang diễn ra.

Hiểu rõ những khác biệt này là rất quan trọng đối với các nhà phát triển nhằm tạo ra các luồng xác thực mạnh mẽ, vừa an toàn vừa thân thiện với người dùng.

Analyzer Icon

Are your users passkey-ready?

Test Passkey-Readiness

4.1 Passkey so với Sinh trắc học cục bộ: So sánh chi tiết#

Để hiểu rõ hơn về sự khác biệt và vai trò bổ sung của passkey và sinh trắc học cục bộ, bảng dưới đây so sánh các đặc điểm chính của chúng trên nhiều phương diện, bao gồm mục đích, trường hợp sử dụng, bảo mật và tính di động. So sánh này làm nổi bật cách các công nghệ này giải quyết các vấn đề cơ bản khác nhau trong khi phối hợp với nhau để tăng cường cả bảo mật và sự tiện lợi cho người dùng.

Khía cạnhPasskeySinh trắc học cục bộ
Giai đoạnSau khi cài đặt ứng dụng, Đăng nhập lại, Hết thời gian phiênỨng dụng đã được cài đặt & đăng nhập
Mục đích cốt lõiXác thực người dùng chưa xác định (đăng nhập ban đầu)Xác minh người dùng hiện tại (đã được xác thực) là chủ sở hữu hợp pháp của thiết bị/ứng dụng
Bảo vệTruy cập vào tài khoản người dùngTruy cập vào ứng dụng đã đăng nhập
Trường hợp sử dụngLý tưởng cho lần đăng nhập đầu tiên hoặc sau khi cài đặt lại, thiết lập lòng tin với các dịch vụ và cho phép đăng nhập trên nhiều nền tảng, nhiều thiết bịLý tưởng để xác minh lại xem người cầm thiết bị có phải là chủ sở hữu của thiết bị hay không, mở khóa ứng dụng nhanh chóng mà không cần nhập lại mật khẩu/passkey
Mô hình xác thựcXác thực từ xa: xác minh danh tính với hệ thống backendXác minh cục bộ: kiểm tra dữ liệu sinh trắc học được lưu trữ an toàn trên thiết bị, không liên hệ với máy chủ từ xa
MFACó + chống lừa đảoKhông
Sinh trắc học gốcCó (ví dụ: Face ID, Touch ID, Android Biometrics)Có (ví dụ: Face ID, Touch ID, Android Biometrics)
Phạm vi & Tính di độngKhả năng sử dụng trên nhiều thiết bị, nhiều nền tảng, nhiều ứng dụng (ứng dụng gốc + web) nhờ đồng bộ hóa khóa an toàn trên đám mâyDành riêng cho thiết bị, không thể chuyển nhượng: các mẫu sinh trắc học phải được đăng ký lại trên thiết bị mới

Không thể dễ dàng di chuyển giữa các nền tảng
Lưu trữ & Bảo mật dữ liệuKhóa riêng tư được lưu trữ trong vùng an toàn (secure enclave)

Khóa công khai được lưu trữ phía máy chủ

Không có bí mật chia sẻ nào được truyền đi

chống lừa đảo
Các mẫu sinh trắc học được lưu trữ trong vùng an toàn phần cứng trên thiết bị

Không bao giờ rời khỏi thiết bị

Được bảo vệ bởi phần cứng của thiết bị
Yêu cầu InternetYêu cầu kết nối internet để xác thực với dịch vụ từ xa và đăng ký khóa.Không yêu cầu kết nối internet; việc xác minh hoàn toàn cục bộ, hữu ích ngay cả khi ngoại tuyến và ứng dụng có trường hợp sử dụng ngoại tuyến
Sao lưu & Phục hồiKhóa có thể được sao lưu và khôi phục qua đồng bộ hóa đám mây (ví dụ: iCloud Keychain, Google Password Manager), đảm bảo phục hồi dễ dàng nếu thiết bị bị mất hoặc thay thếKhông có cơ chế sao lưu tích hợp cho sinh trắc học; nếu thiết bị hỏng, người dùng phải đăng ký lại dữ liệu sinh trắc học của họ trên thiết bị mới
Tích hợp với Trang web & Ứng dụngCó thể được sử dụng cho cả ứng dụng gốc và trang web. Passkey đơn giản hóa luồng đăng nhập bằng cách xác thực người dùng mà không tiết lộ thông tin xác thực, tăng cường bảo mật trên mọi phương diệnGiới hạn trong thiết bị và ứng dụng được cài đặt cục bộ.
Triển khai cho nhà phát triểnTích hợp bằng các tiêu chuẩn web (WebAuthn, FIDO2) và API nền tảng gốc

Backend phải xử lý khóa công khai và các thử thách.
Tận dụng SDK nền tảng (iOS, Android) cho các lời nhắc sinh trắc học

Không yêu cầu xử lý backend đặc biệt.
Trải nghiệm người dùngSau khi thiết lập ban đầu, người dùng có thể đăng nhập nhanh chóng mà không cần nhớ email hoặc mật khẩu, ngay cả trên các thiết bị mới

Quy trình giới thiệu được tinh giản với ít ma sát hơn
Cung cấp quyền truy cập lại tức thì, không cần mật khẩu vào các ứng dụng sau khi người dùng đã xác thực.

4.2 Cách Passkey và Sinh trắc học cục bộ bổ sung cho nhau#

Mặc dù bảng trên nêu bật những khác biệt cốt lõi, điều quan trọng là phải nhận ra rằng passkey và sinh trắc học cục bộ không phải là các công nghệ cạnh tranh - chúng bổ sung cho nhau. Cùng nhau, chúng cung cấp một trải nghiệm xác thực nhiều lớp:

  1. Passkey cho Xác thực ban đầu, Đăng nhập lại và MFA Passkey rất quan trọng trong việc thiết lập lòng tin giữa người dùng và dịch vụ từ xa. Chúng cung cấp xác thực chống lừa đảo, đa nền tảng và đa thiết bị bằng cách sử dụng mật mã bất đối xứng. Điều này đảm bảo rằng ngay cả khi kẻ tấn công chặn dữ liệu, chúng cũng không thể truy cập vào tài khoản người dùng. Với việc đồng bộ hóa đám mây liền mạch (ví dụ: iCloud Keychain hoặc Google Password Manager), passkey cho phép người dùng đăng nhập dễ dàng trên các thiết bị, khiến chúng trở nên lý tưởng cho các lần đăng nhập đầu tiên, cài đặt lại hoặc các kịch bản xác thực đa yếu tố (MFA). Chúng cũng đóng vai trò là cầu nối giữa các ứng dụng di động và trang web, mang lại trải nghiệm nhất quán và an toàn trên toàn hệ sinh thái. Đối với các ứng dụng yêu cầu bảo mật cao hơn, passkey có thể thay thế các phương pháp yếu tố thứ hai truyền thống bằng một giải pháp MFA độc lập.
  2. Sinh trắc học cục bộ để xác minh liên tục: Sau khi được xác thực, sinh trắc học cục bộ cung cấp quyền truy cập nhanh chóng, an toàn và liền mạch vào các ứng dụng bằng cách xác minh rằng cùng một người dùng được ủy quyền đang vận hành thiết bị. Không giống như passkey, việc kiểm tra sinh trắc học cục bộ tập trung vào thiết bị và hoạt động ngoại tuyến, dựa vào các vùng an toàn phần cứng để lưu trữ và xử lý dữ liệu. Điều này đảm bảo rằng thông tin nhạy cảm không bao giờ rời khỏi thiết bị, thêm một lớp bảo mật mà không yêu cầu người dùng nhập liệu liên tục. Bằng cách giảm nhu cầu nhập lại thông tin xác thực, sinh trắc học cục bộ nâng cao trải nghiệm người dùng, đặc biệt đối với các ứng dụng xử lý thông tin nhạy cảm như ngân hàng hoặc chăm sóc sức khỏe. Chúng bảo vệ các phiên đang diễn ra bằng cách xác minh người cầm thiết bị, đảm bảo sự tiện lợi mà không ảnh hưởng đến bảo mật.

Bằng cách kết hợp passkey và sinh trắc học cục bộ, các nhà phát triển có thể cung cấp một luồng xác thực thân thiện với người dùng, an toàn và liền mạch.

PasskeyAssessment Icon

Get a free passkey assessment in 15 minutes.

Book free consultation

4.3 Tại sao kết hợp cả hai là một bước đi thông minh#

Bằng cách kết hợp passkey và sinh trắc học cục bộ, các nhà phát triển có thể tạo ra một luồng xác thực mạnh mẽ:

  • Cải thiện bảo mật: Passkey bảo vệ chống lại lừa đảo, nhồi thông tin xác thực và trộm cắp mật khẩu, trong khi sinh trắc học cục bộ ngăn chặn truy cập trái phép vào các phiên đã được xác thực.
  • Nâng cao trải nghiệm người dùng: Sinh trắc học cục bộ loại bỏ nhu cầu nhập lại mật khẩu hoặc passkey nhiều lần, tạo ra một trải nghiệm liền mạch sau khi xác thực ban đầu. Trong trường hợp cần xác thực lại do hết thời gian chờ hoặc đăng xuất, việc xác thực lại cũng dễ dàng như mở khóa ứng dụng.
  • Đơn giản hóa truy cập đa thiết bị: Passkey cho phép xác thực đa nền tảng, trong khi sinh trắc học cục bộ cung cấp bảo mật tiện lợi ở cấp độ thiết bị. Nếu passkey được sử dụng trên web, việc thêm chúng vào ứng dụng gốc là một bước bổ sung quan trọng để thu hẹp khoảng cách và cung cấp trải nghiệm passkey đầy đủ dịch vụ cho người dùng.

Sự phối hợp này đảm bảo rằng các ứng dụng có thể cung cấp cả xác thực mạnhsự tiện lợi liền mạch - một sự kết hợp chiến thắng cho kỳ vọng của người dùng hiện đại.

5. Nghiên cứu tình huống và ví dụ thực tế#

Để hiểu rõ hơn về cách các ví dụ và sự kết hợp trong thế giới thực hoạt động, chúng ta sẽ xem xét hai cách triển khai khác nhau: một cách chỉ tận dụng passkey và một cách khác sử dụng phương pháp kết hợp.

5.1 Tích hợp Passkey để xác thực: Kayak#

Ứng dụng Kayak thể hiện một cách triển khai passkey để xác thực người dùng. Passkey được tích hợp liền mạch vào quy trình đăng nhập, cung cấp cho người dùng tùy chọn xác thực mà không cần nhớ địa chỉ email hoặc mật khẩu. Như được hiển thị trên màn hình xác thực, người dùng có thể trực tiếp chọn một passkey để đăng nhập. Cách tiếp cận này đơn giản hóa đáng kể trải nghiệm người dùng bằng cách giảm tải nhận thức và loại bỏ sự phiền toái liên quan đến mật khẩu.

Sau khi được xác thực qua passkey, người dùng có quyền truy cập không hạn chế vào ứng dụng mà không cần xác thực lại. Thiết kế này đặc biệt phù hợp với Kayak, một ứng dụng du lịch chủ yếu quản lý lịch sử đặt chỗ và lịch trình, vốn không được coi là dữ liệu nhạy cảm hoặc quan trọng cao.

Điểm nổi bật chính trong cách tiếp cận của Kayak:

  • Đăng nhập bằng Passkey trên màn hình xác thực: Ứng dụng ngay lập tức cung cấp đăng nhập bằng passkey, giảm các bước và nâng cao sự tiện lợi cho người dùng.
  • Không có bảo vệ sinh trắc học cục bộ sau khi đăng nhập: Vì ứng dụng không xử lý dữ liệu cá nhân nhạy cảm, Kayak đã chọn không triển khai các biện pháp bảo vệ sinh trắc học cục bộ, như Face ID hoặc khóa vân tay, cho trạng thái đã đăng nhập. Quyết định này phù hợp với nhu cầu bảo mật dữ liệu của ứng dụng trong khi vẫn duy trì trải nghiệm liền mạch cho người dùng.

Việc triển khai này cho thấy cách passkey có thể tinh giản hóa quy trình xác thực trong khi loại bỏ nhu cầu về mật khẩu, mang lại trải nghiệm liền mạch cho người dùng. Tuy nhiên, trong các kịch bản mà các hành động nhạy cảm hoặc quan trọng hơn được thực hiện trong ứng dụng, các lớp bảo mật bổ sung, chẳng hạn như sinh trắc học cục bộ, có thể là cần thiết. Hãy cùng khám phá cách GitHub tận dụng cả passkey và sinh trắc học để đảm bảo an ninh mà không ảnh hưởng đến khả năng sử dụng.

5.2 Sử dụng sinh trắc học để bảo vệ nội dung ứng dụng: GitHub#

GitHub cân bằng việc tích hợp passkey để đăng nhập an toàn với sinh trắc học cục bộ để bảo vệ nội dung ứng dụng ở trạng thái đã đăng nhập. Passkey được cung cấp như một tùy chọn đăng nhập nhanh, chống lừa đảo, điều này đặc biệt quan trọng với các yêu cầu xác thực đa yếu tố (MFA) của GitHub. Điều này loại bỏ nhu cầu người dùng phải quản lý mật khẩu hoặc mã dùng một lần, mang lại trải nghiệm đăng nhập liền mạch và an toàn. Nhưng vì mục đích của bài viết này, chúng tôi sẽ không xem xét việc triển khai passkey của họ.

Lớp bảo mật bổ sung của GitHub với sinh trắc học cục bộ: Bởi vì GitHub cũng cung cấp các hoạt động nhạy cảm như hợp nhất các pull request, GitHub cho phép người dùng bật bảo vệ sinh trắc học cục bộ nếu họ cảm thấy cần thiết. Trong ví dụ này, Face ID được sử dụng để khóa ứng dụng trên iOS, đảm bảo chỉ chủ sở hữu thiết bị mới có thể truy cập hoặc thực thi Ứng dụng GitHub. Ứng dụng yêu cầu rõ ràng các đặc quyền cần thiết từ hệ điều hành để kích hoạt sinh trắc học và cung cấp các khoảng thời gian có thể cấu hình (ví dụ: ngay lập tức hoặc sau một thời gian chờ xác định).

Điểm nổi bật chính trong cách tiếp cận của GitHub:

  • Đăng nhập bằng Passkey để tuân thủ MFA: GitHub tận dụng passkey để tinh giản hóa việc đăng nhập an toàn mà không ảnh hưởng đến các tiêu chuẩn xác thực đa yếu tố.
  • Khóa sinh trắc học để bảo vệ ứng dụng: Bằng cách sử dụng sinh trắc học cục bộ như Face ID, GitHub đảm bảo rằng các phiên đã đăng nhập không thể bị lạm dụng hoặc truy cập bởi các cá nhân không được ủy quyền. Lớp bảo mật bổ sung này rất quan trọng đối với các ứng dụng xử lý dữ liệu hoặc hành động nhạy cảm của người dùng.

Cùng nhau, những ví dụ này minh họa cách passkey và sinh trắc học cục bộ có thể được điều chỉnh cho phù hợp với nhu cầu của các ứng dụng khác nhau, cân bằng giữa sự tiện lợi của người dùng với các biện pháp bảo mật thích hợp.

6. Khuyến nghị#

Dưới đây là bốn khuyến nghị được điều chỉnh cho các kịch bản phổ biến nơi sinh trắc học cục bộ và passkey có thể được triển khai. Các khuyến nghị được cấu trúc để các nhà phát triển, quản lý sản phẩm và người ra quyết định có thể nhanh chóng xác định phương pháp nào phù hợp nhất với tình huống của họ. Một bảng tóm tắt theo sau, giúp dễ dàng ánh xạ mỗi khuyến nghị với một kịch bản nhất định:

  1. Đối với các ứng dụng dữ liệu được quản lý, nhạy cảm hoặc có giá trị cao: Passkey + Sinh trắc học cục bộ Nếu ứng dụng của bạn xử lý dữ liệu quan trọng, cá nhân, được quản lý hoặc có độ nhạy cảm cao (ví dụ: tài chính, chăm sóc sức khỏe, chính phủ, thông tin nhận dạng cá nhân), hãy triển khai sinh trắc học cục bộ để xác thực lại an toàn, liền mạch. Điều này đảm bảo rằng một khi người dùng đã đăng nhập, quyền truy cập liên tục vào các tính năng nhạy cảm được bảo vệ bởi các yếu tố trên thiết bị (Face ID, Touch ID, quét vân tay) mà không cần nhập lại thông tin xác thực. Đồng thời, đây cũng là một dấu hiệu mạnh mẽ để triển khai passkey và thực thi yêu cầu MFA trên các loại thiết bị. Đây là nơi Corbado's Enterprise Passkey Suite có thể giúp bạn, đặc biệt nếu bạn đang triển khai ở quy mô lớn và muốn đảm bảo rằng bạn có thể đạt được 100% tỷ lệ chấp nhận passkey.
  2. Ứng dụng tiêu dùng quy mô lớn: Tích hợp Passkey trên tất cả các thiết bị Ngay cả ngoài các lĩnh vực nhạy cảm, việc triển khai passkey cũng có ý nghĩa để tránh lừa đảo và loại bỏ nỗi đau mật khẩu. Khi lập kế hoạch triển khai passkey, hãy đảm bảo nó là một phần của chiến lược xác thực toàn diện bao trùm tất cả các loại thiết bị, bao gồm ứng dụng gốc, giao diện web và các điểm cuối được kết nối khác. Đừng coi passkey như một tính năng riêng lẻ; thay vào đó, hãy tích hợp chúng một cách nhất quán trên di động, máy tính để bàn và web để cung cấp trải nghiệm đăng nhập thống nhất và thân thiện với người dùng. Khi passkey đã là một phần của xác thực web của bạn, việc mở rộng chức năng này sang các ứng dụng gốc của bạn là bắt buộc. Điều này đảm bảo trải nghiệm đăng nhập nhất quán, an toàn và thân thiện với người dùng trên tất cả các nền tảng, tận dụng bảo mật mạnh mẽ và sự tiện lợi của passkey ở mọi nơi dịch vụ của bạn được cung cấp.
  3. Ứng dụng mới hoàn toàn hoặc độc lập: Đối với các ứng dụng mới (greenfield) hoặc các ứng dụng độc lập không có gánh nặng xác thực cũ từ web, hãy xem xét bắt đầu với passkey ngay từ đầu. Bằng cách đó, bạn tạo ra một sơ đồ xác thực đảm bảo cho tương lai giúp loại bỏ các vấn đề về mật khẩu và đặt nền móng cho các hành trình người dùng liền mạch và an toàn trên tất cả các nền tảng. Hãy xem giải pháp Corbado Complete của chúng tôi.
  4. Tránh triển khai một phần cho các hệ sinh thái đa thiết bị: Nếu dịch vụ của bạn trải rộng trên nhiều loại thiết bị (ví dụ: di động, web và máy tính để bàn), đừng giới thiệu passkey chỉ trong một môi trường. Việc triển khai một phần làm giảm tính nhất quán và có thể gây nhầm lẫn cho người dùng. Thay vào đó, hãy áp dụng passkey một cách thống nhất để đảm bảo trải nghiệm đăng nhập mượt mà, thống nhất ở mọi nơi. Việc triển khai chúng từng bước hoặc trước tiên trên các loại thiết bị lớn nhất và sau đó trong ứng dụng gốc là hợp lý, nhưng nên được thực hiện trong một khung thời gian ngắn.

Trong khi các khuyến nghị trên bao gồm một loạt các kịch bản phổ biến, có vô số tình huống khác mà việc lựa chọn triển khai sinh trắc học cục bộ, passkey hoặc cả hai có thể khác nhau. Mỗi ứng dụng có nhu cầu bảo mật, khả năng sử dụng và tuân thủ riêng, và điều cần thiết là các nhà phát triển, quản lý sản phẩm và lãnh đạo doanh nghiệp phải đánh giá kỹ lưỡng các yếu tố này trước khi quyết định một phương pháp. Bằng cách cân nhắc cẩn thận các trường hợp sử dụng cụ thể, yêu cầu quy định và kỳ vọng của người dùng, bạn có thể tạo ra một chiến lược xác thực không chỉ bảo vệ người dùng và dữ liệu của họ mà còn mang lại trải nghiệm liền mạch, thân thiện với người dùng mà khách hàng ngày nay mong đợi.

7. Kết luận#

Như chúng ta đã thấy, sinh trắc học cục bộ và passkey phục vụ các vai trò cơ bản khác nhau nhưng bổ sung cho nhau trong các chiến lược xác thực hiện đại. Sinh trắc học cục bộ đơn giản hóa việc xác minh phiên đang diễn ra bằng cách tận dụng các đặc điểm vốn có của người dùng để kiểm tra nhanh chóng, trên thiết bị, trong khi passkey thiết lập một mối quan hệ tin cậy an toàn và chống lừa đảo với các dịch vụ từ xa. Bằng cách kết hợp các phương pháp này một cách chu đáo, các nhà phát triển có thể tạo ra một trải nghiệm người dùng vừa liền mạch vừa có độ bảo mật cao, đáp ứng hiệu quả nhu cầu của một bối cảnh kỹ thuật số đa dạng và đòi hỏi khắt khe. Quay trở lại các câu hỏi từ phần Giới thiệu:

  • Passkey so với Sinh trắc học cục bộ: Sinh trắc học cục bộ và passkey khác nhau như thế nào về vai trò và chức năng? Sinh trắc học cục bộ cung cấp việc xác minh lại tiện lợi, tập trung vào thiết bị cho những người dùng đã được xác thực, đảm bảo rằng chủ sở hữu hợp pháp đang liên tục kiểm soát thiết bị. Ngược lại, passkey thay thế các bí mật được chia sẻ như mật khẩu, cho phép xác thực từ xa ban đầu an toàn và tính di động dễ dàng trên nhiều thiết bị, do đó loại bỏ rủi ro lừa đảo và cung cấp trải nghiệm đăng nhập thống nhất trên các nền tảng và yếu tố hình thức.
  • Thêm Passkey vào ứng dụng có Sinh trắc học cục bộ: Có hợp lý không khi thêm passkey vào các ứng dụng đã sử dụng sinh trắc học? Có, điều đó thường có ý nghĩa. Chỉ riêng sinh trắc học không thiết lập danh tính người dùng ban đầu với các dịch vụ từ xa, trong khi passkey thì có. Việc kết hợp passkey cùng với sinh trắc học cục bộ hiện có có thể tăng cường bảo mật tổng thể trong khi vẫn duy trì sự tiện lợi cho người dùng. Passkey xử lý bước đầu tiên quan trọng của việc xác thực và tính di động trên nhiều thiết bị, trong khi sinh trắc học tinh giản hóa quyền truy cập tiếp theo và xác minh phiên đang diễn ra.

Bằng cách nhận ra vai trò riêng biệt nhưng bổ sung lẫn nhau của passkey và sinh trắc học cục bộ, các nhà phát triển và người ra quyết định có thể triển khai một phương pháp xác thực toàn diện cân bằng giữa bảo mật, sự tiện lợi và sự hài lòng của người dùng. Khi làm như vậy, các ứng dụng trở nên kiên cường hơn trước các mối đe dọa, dễ điều hướng hơn và dễ thích ứng hơn với các yêu cầu của người dùng và quy định đang phát triển - cuối cùng mang lại một môi trường kỹ thuật số liền mạch và đáng tin cậy.

Schedule a call to get your free enterprise passkey assessment.

Talk to a Passkey Expert

Share this article


LinkedInTwitterFacebook

Enjoyed this read?

🤝 Join our Passkeys Community

Share passkeys implementation tips and get support to free the world from passwords.

🚀 Subscribe to Substack

Get the latest news, strategies, and insights about passkeys sent straight to your inbox.

Related Articles