Hiểu rõ lợi ích của việc sử dụng passkey cùng với sinh trắc học cục bộ để bảo mật ứng dụng tối ưu và cho phép người dùng truy cập liền mạch.
Vincent
Created: June 17, 2025
Updated: July 8, 2025
See the original blog version in English here.
Our mission is to make the Internet a safer place and passkeys provide a superior solution to achieve that. That's why we want to keep you updated with the latest industry insights here.
Sau khi sinh trắc học trên điện thoại di động trở nên phổ biến, nhiều ứng dụng gốc đã bắt đầu sử dụng các tính năng như Face ID hoặc Touch ID (hoặc tương đương trên Android) để bảo vệ quyền truy cập ứng dụng. Việc bảo vệ bằng sinh trắc học cục bộ này cải thiện đáng kể sự tiện lợi cho người dùng bằng cách cho phép truy cập nhanh chóng và liền mạch. Thoạt nhìn, passkey và sinh trắc học cục bộ có vẻ thừa thãi vì cả hai đều liên quan đến việc xác minh người dùng. Nhưng chúng phục vụ các mục đích cơ bản khác nhau. Bài viết này sẽ khám phá:
Đến cuối bài, chúng ta sẽ hiểu rõ hơn về thời điểm và cách thức tận dụng các giải pháp này cùng nhau để tạo ra một trải nghiệm ứng dụng an toàn hơn, thân thiện với người dùng và liền mạch hơn. Chúng tôi cũng sẽ phác thảo các kịch bản thực tế nơi việc kết hợp passkey và sinh trắc học cục bộ có thể tăng cường cả bảo mật và sự tiện lợi, đảm bảo rằng các nhà phát triển có thể đưa ra quyết định sáng suốt để đáp ứng nhu cầu của người dùng một cách hiệu quả.
Recent Articles
Các phương pháp xác thực sinh trắc học cục bộ, chẳng hạn như Face ID, Touch ID của Apple, hoặc các khả năng sinh trắc học của Android, tận dụng các đặc điểm thể chất độc nhất (ví dụ: đặc điểm khuôn mặt hoặc dấu vân tay) để xác minh danh tính của người dùng. Không giống như mã PIN hoặc mật khẩu truyền thống, vốn dựa vào thứ mà người dùng biết, sinh trắc học dựa vào thứ vốn có của người dùng. Sự thay đổi này loại bỏ nhu cầu nhập mã lặp đi lặp lại, giảm đáng kể sự phiền toái và giúp việc truy cập ứng dụng hàng ngày vừa nhanh chóng vừa an toàn.
Trước khi sinh trắc học trở nên phổ biến trên điện thoại di động, các ứng dụng nhằm bảo vệ nội dung nhạy cảm thường yêu cầu người dùng nhập thêm mã PIN hoặc mật khẩu mỗi khi khởi chạy. Mặc dù cách tiếp cận này tăng cường bảo mật, nó cũng gây thêm sự bất tiện, đặc biệt là khi người dùng đã được xác thực vào đầu phiên làm việc của họ. Sự xuất hiện của công nghệ nhận dạng khuôn mặt và quét vân tay trên thiết bị đã đơn giản hóa quy trình này. Thay vì phải nhập mã lặp đi lặp lại, người dùng giờ đây có thể mở khóa ứng dụng bằng một lần quét khuôn mặt nhanh hoặc một cú chạm ngắn. Nếu vì lý do nào đó, việc kiểm tra sinh trắc học không thành công hoặc người dùng không muốn bật tính năng này, một mã PIN, mật mã hoặc mật khẩu dự phòng vẫn có sẵn. Thiết kế này đảm bảo cả sự tiện lợi và khả năng truy cập mà không ảnh hưởng đến bảo mật.
Điều quan trọng là phải phân biệt giữa kiểm tra sinh trắc học cục bộ và các sự kiện xác thực từ xa đầy đủ. Xác thực từ xa xảy ra vào đầu một phiên mới, xác minh danh tính của người dùng với hệ thống backend của dịch vụ bằng các thông tin xác thực như mật khẩu hoặc passkey. Bước này thiết lập lòng tin giữa người dùng và dịch vụ.
Ngược lại, sinh trắc học cục bộ tập trung vào việc xác minh lại danh tính trong một phiên đã được xác thực và đang diễn ra. Thay vì yêu cầu người dùng nhập lại mật khẩu hoặc các thông tin xác thực khác khi họ rời khỏi ứng dụng trong thời gian ngắn hoặc khóa điện thoại, sinh trắc học cục bộ xác nhận rằng cùng một người dùng được ủy quyền vẫn đang kiểm soát thiết bị. Việc xác minh tập trung vào thiết bị này không yêu cầu kết nối internet hoặc tương tác với máy chủ từ xa, giúp nó nhanh chóng, đáng tin cậy và liền mạch trong sử dụng hàng ngày.
Dữ liệu sinh trắc học được lưu trữ và xử lý an toàn trong các mô-đun bảo mật phần cứng chuyên dụng - như Secure Enclave trên iOS hoặc Trusted Execution Environment (TEE) trên Android. Các mô-đun đáng tin cậy này được thiết kế để giữ an toàn cho dữ liệu sinh trắc học nhạy cảm khỏi bị giả mạo, trích xuất hoặc chuyển giao.
Do sự neo giữ ở cấp độ phần cứng này, việc xác minh sinh trắc học không thể dễ dàng chia sẻ qua các thiết bị hoặc dịch vụ. Các mẫu sinh trắc học của mỗi thiết bị vẫn là duy nhất cho đơn vị cụ thể đó, đảm bảo rằng nếu người dùng nâng cấp lên một chiếc điện thoại mới, họ phải đăng ký lại sinh trắc học của mình từ đầu. Mặc dù điều này thêm một bước nhỏ khi chuyển đổi thiết bị, nó bảo vệ chống lại truy cập trái phép và ngăn chặn các cuộc tấn công từ xa có thể khai thác dữ liệu sinh trắc học được lưu trữ tập trung. Hơn nữa, sinh trắc học cục bộ hoạt động mà không cần kết nối internet, giúp chúng đáng tin cậy ngay cả khi thiết bị ngoại tuyến.
Sinh trắc học cục bộ tinh giản hóa bảo mật bằng cách xác minh rằng người hiện đang sử dụng thiết bị thực sự là người dùng hợp pháp, đã được xác thực mà không yêu cầu nhập lại mã PIN hoặc mật khẩu tùy chỉnh lặp đi lặp lại trong trường hợp ứng dụng có chức năng quan trọng như ngân hàng, bảo hiểm hoặc các chi tiết cá nhân khác.
Chúng duy trì sự tiện lợi bằng cách hoạt động liền mạch và tức thì trên thiết bị, hoạt động ngoại tuyến và dựa vào các vùng an toàn phần cứng để bảo vệ dữ liệu sinh trắc học nhạy cảm. Mặc dù chúng không thể thay thế nhu cầu xác thực từ xa ban đầu (chẳng hạn như passkey hoặc mật khẩu) để thiết lập danh tính người dùng ngay từ đầu, chúng rất giỏi trong việc quản lý và bảo vệ các phiên tiếp theo, đang diễn ra.
Những hạn chế của chúng như thiếu tính di động và cần phải đăng ký lại trên các thiết bị mới là sự đánh đổi để có được sự tiện lợi nâng cao và bảo mật chặt chẽ ở cấp độ thiết bị. Cuối cùng, sinh trắc học cục bộ đóng vai trò như một phương pháp mạnh mẽ, thân thiện với người dùng để đảm bảo sự tin cậy liên tục trong một phiên ứng dụng sau khi lòng tin đó được thiết lập ban đầu.
Passkey thay đổi bản chất của việc xác thực bằng cách thay thế các bí mật được chia sẻ như mật khẩu bằng các chứng danh mã hóa bất đối xứng. Không giống như sinh trắc học cục bộ, chỉ xác minh một người dùng đã được xác thực tại chỗ, passkey đóng vai trò là phương pháp chính để nhận dạng người dùng với một dịch vụ từ xa. Điều này đảm bảo một trải nghiệm đăng nhập an toàn, chống lừa đảo ngay cả trong kịch bản mà người dùng và thiết bị ban đầu chưa được biết đến bởi backend của ứng dụng.
Trước khi có passkey, phương pháp phổ biến để thiết lập lòng tin với một dịch vụ từ xa liên quan đến mật khẩu - những bí mật được chia sẻ mà cả người dùng và máy chủ đều biết. Mặc dù mật khẩu dễ triển khai, chúng dễ bị tấn công bởi các mối đe dọa như lừa đảo, nhồi thông tin xác thực và tái sử dụng mật khẩu.
Passkey giải quyết những thách thức này bằng cách sử dụng một cặp khóa mã hóa: một khóa riêng tư được lưu trữ an toàn trên thiết bị của người dùng và một khóa công khai tương ứng được đăng ký với dịch vụ. Khi một nỗ lực đăng nhập xảy ra, dịch vụ sẽ gửi một thử thách mà chỉ có khóa riêng tư của người dùng mới có thể giải quyết được. Điều này đảm bảo rằng ngay cả khi kẻ tấn công chặn dữ liệu hoặc cố gắng lừa người dùng tiết lộ thông tin xác thực, chúng cũng không thể truy cập trái phép.
Passkey sử dụng mật mã bất đối xứng:
Điều này đặc biệt quan trọng đối với các hệ thống mà ngoài ứng dụng gốc còn có các trang web đang được sử dụng, nơi lừa đảo là một vấn đề lớn. Passkey được tạo trên thiết bị di động có thể được sử dụng thông qua Xác thực chéo thiết bị (Cross-Device-Authentication) cả trên các trang web trên máy tính để bàn.
Một trong những lợi thế cốt lõi của passkey là tính di động liền mạch của chúng trên các thiết bị của người dùng. Các hệ điều hành hiện đại có thể đồng bộ hóa passkey thông qua lưu trữ đám mây an toàn (ví dụ: iCloud Keychain, Google Password Manager), cho phép người dùng đăng nhập từ nhiều thiết bị mà không cần đăng ký lại hoặc nhớ mật khẩu cho lần cài đặt ứng dụng đầu tiên. Hơn nữa, passkey cũng có thể được sử dụng trong các kịch bản yêu cầu yếu tố thứ hai để cung cấp sự bảo vệ tương tự xác thực hai yếu tố mà không gây ra sự phiền toái. Sự phối hợp này cho phép đăng nhập nhanh chóng, an toàn bất kể người dùng chọn thiết bị nào, củng cố một hệ sinh thái nơi xác thực an toàn vừa có thể truy cập phổ biến vừa dễ dàng duy trì.
Passkey đại diện cho một phương pháp mạnh mẽ, chống lừa đảo để xác thực người dùng chưa xác định với các dịch vụ từ xa. Bằng cách tận dụng mật mã bất đối xứng và chuyển từ bí mật được chia sẻ sang khóa riêng tư lưu trữ trên thiết bị, chúng loại bỏ nhiều điểm yếu đã gây khó khăn cho các hệ thống dựa trên mật khẩu. Passkey kết hợp bảo mật mạnh mẽ, tính di động toàn cầu và tích hợp trực tiếp với các thành phần bảo mật phần cứng. Do đó, chúng đóng vai trò là một nền tảng vững chắc để thiết lập danh tính người dùng - điều mà chỉ riêng sinh trắc học cục bộ không thể cung cấp. Trong bối cảnh của ứng dụng gốc, passkey là bước đầu tiên quan trọng trong việc tạo ra một phiên an toàn, sau đó sinh trắc học cục bộ có thể được sử dụng để duy trì quyền truy cập người dùng nhanh chóng và tiện lợi.
Khi nói đến xác thực trong các ứng dụng gốc, passkey và sinh trắc học cục bộ đóng những vai trò quan trọng nhưng khác nhau. Mặc dù cả hai đều cải thiện trải nghiệm người dùng và bảo mật, chúng giải quyết các vấn đề cơ bản khác nhau:
Hiểu rõ những khác biệt này là rất quan trọng đối với các nhà phát triển nhằm tạo ra các luồng xác thực mạnh mẽ, vừa an toàn vừa thân thiện với người dùng.
Để hiểu rõ hơn về sự khác biệt và vai trò bổ sung của passkey và sinh trắc học cục bộ, bảng dưới đây so sánh các đặc điểm chính của chúng trên nhiều phương diện, bao gồm mục đích, trường hợp sử dụng, bảo mật và tính di động. So sánh này làm nổi bật cách các công nghệ này giải quyết các vấn đề cơ bản khác nhau trong khi phối hợp với nhau để tăng cường cả bảo mật và sự tiện lợi cho người dùng.
Khía cạnh | Passkey | Sinh trắc học cục bộ |
---|---|---|
Giai đoạn | Sau khi cài đặt ứng dụng, Đăng nhập lại, Hết thời gian phiên | Ứng dụng đã được cài đặt & đăng nhập |
Mục đích cốt lõi | Xác thực người dùng chưa xác định (đăng nhập ban đầu) | Xác minh người dùng hiện tại (đã được xác thực) là chủ sở hữu hợp pháp của thiết bị/ứng dụng |
Bảo vệ | Truy cập vào tài khoản người dùng | Truy cập vào ứng dụng đã đăng nhập |
Trường hợp sử dụng | Lý tưởng cho lần đăng nhập đầu tiên hoặc sau khi cài đặt lại, thiết lập lòng tin với các dịch vụ và cho phép đăng nhập trên nhiều nền tảng, nhiều thiết bị | Lý tưởng để xác minh lại xem người cầm thiết bị có phải là chủ sở hữu của thiết bị hay không, mở khóa ứng dụng nhanh chóng mà không cần nhập lại mật khẩu/passkey |
Mô hình xác thực | Xác thực từ xa: xác minh danh tính với hệ thống backend | Xác minh cục bộ: kiểm tra dữ liệu sinh trắc học được lưu trữ an toàn trên thiết bị, không liên hệ với máy chủ từ xa |
MFA | Có + chống lừa đảo | Không |
Sinh trắc học gốc | Có (ví dụ: Face ID, Touch ID, Android Biometrics) | Có (ví dụ: Face ID, Touch ID, Android Biometrics) |
Phạm vi & Tính di động | Khả năng sử dụng trên nhiều thiết bị, nhiều nền tảng, nhiều ứng dụng (ứng dụng gốc + web) nhờ đồng bộ hóa khóa an toàn trên đám mây | Dành riêng cho thiết bị, không thể chuyển nhượng: các mẫu sinh trắc học phải được đăng ký lại trên thiết bị mới Không thể dễ dàng di chuyển giữa các nền tảng |
Lưu trữ & Bảo mật dữ liệu | Khóa riêng tư được lưu trữ trong vùng an toàn (secure enclave) Khóa công khai được lưu trữ phía máy chủ Không có bí mật chia sẻ nào được truyền đi chống lừa đảo | Các mẫu sinh trắc học được lưu trữ trong vùng an toàn phần cứng trên thiết bị Không bao giờ rời khỏi thiết bị Được bảo vệ bởi phần cứng của thiết bị |
Yêu cầu Internet | Yêu cầu kết nối internet để xác thực với dịch vụ từ xa và đăng ký khóa. | Không yêu cầu kết nối internet; việc xác minh hoàn toàn cục bộ, hữu ích ngay cả khi ngoại tuyến và ứng dụng có trường hợp sử dụng ngoại tuyến |
Sao lưu & Phục hồi | Khóa có thể được sao lưu và khôi phục qua đồng bộ hóa đám mây (ví dụ: iCloud Keychain, Google Password Manager), đảm bảo phục hồi dễ dàng nếu thiết bị bị mất hoặc thay thế | Không có cơ chế sao lưu tích hợp cho sinh trắc học; nếu thiết bị hỏng, người dùng phải đăng ký lại dữ liệu sinh trắc học của họ trên thiết bị mới |
Tích hợp với Trang web & Ứng dụng | Có thể được sử dụng cho cả ứng dụng gốc và trang web. Passkey đơn giản hóa luồng đăng nhập bằng cách xác thực người dùng mà không tiết lộ thông tin xác thực, tăng cường bảo mật trên mọi phương diện | Giới hạn trong thiết bị và ứng dụng được cài đặt cục bộ. |
Triển khai cho nhà phát triển | Tích hợp bằng các tiêu chuẩn web (WebAuthn, FIDO2) và API nền tảng gốc Backend phải xử lý khóa công khai và các thử thách. | Tận dụng SDK nền tảng (iOS, Android) cho các lời nhắc sinh trắc học Không yêu cầu xử lý backend đặc biệt. |
Trải nghiệm người dùng | Sau khi thiết lập ban đầu, người dùng có thể đăng nhập nhanh chóng mà không cần nhớ email hoặc mật khẩu, ngay cả trên các thiết bị mới Quy trình giới thiệu được tinh giản với ít ma sát hơn | Cung cấp quyền truy cập lại tức thì, không cần mật khẩu vào các ứng dụng sau khi người dùng đã xác thực. |
Mặc dù bảng trên nêu bật những khác biệt cốt lõi, điều quan trọng là phải nhận ra rằng passkey và sinh trắc học cục bộ không phải là các công nghệ cạnh tranh - chúng bổ sung cho nhau. Cùng nhau, chúng cung cấp một trải nghiệm xác thực nhiều lớp:
Bằng cách kết hợp passkey và sinh trắc học cục bộ, các nhà phát triển có thể cung cấp một luồng xác thực thân thiện với người dùng, an toàn và liền mạch.
Bằng cách kết hợp passkey và sinh trắc học cục bộ, các nhà phát triển có thể tạo ra một luồng xác thực mạnh mẽ:
Sự phối hợp này đảm bảo rằng các ứng dụng có thể cung cấp cả xác thực mạnh và sự tiện lợi liền mạch - một sự kết hợp chiến thắng cho kỳ vọng của người dùng hiện đại.
Để hiểu rõ hơn về cách các ví dụ và sự kết hợp trong thế giới thực hoạt động, chúng ta sẽ xem xét hai cách triển khai khác nhau: một cách chỉ tận dụng passkey và một cách khác sử dụng phương pháp kết hợp.
Ứng dụng Kayak thể hiện một cách triển khai passkey để xác thực người dùng. Passkey được tích hợp liền mạch vào quy trình đăng nhập, cung cấp cho người dùng tùy chọn xác thực mà không cần nhớ địa chỉ email hoặc mật khẩu. Như được hiển thị trên màn hình xác thực, người dùng có thể trực tiếp chọn một passkey để đăng nhập. Cách tiếp cận này đơn giản hóa đáng kể trải nghiệm người dùng bằng cách giảm tải nhận thức và loại bỏ sự phiền toái liên quan đến mật khẩu.
Sau khi được xác thực qua passkey, người dùng có quyền truy cập không hạn chế vào ứng dụng mà không cần xác thực lại. Thiết kế này đặc biệt phù hợp với Kayak, một ứng dụng du lịch chủ yếu quản lý lịch sử đặt chỗ và lịch trình, vốn không được coi là dữ liệu nhạy cảm hoặc quan trọng cao.
Điểm nổi bật chính trong cách tiếp cận của Kayak:
Việc triển khai này cho thấy cách passkey có thể tinh giản hóa quy trình xác thực trong khi loại bỏ nhu cầu về mật khẩu, mang lại trải nghiệm liền mạch cho người dùng. Tuy nhiên, trong các kịch bản mà các hành động nhạy cảm hoặc quan trọng hơn được thực hiện trong ứng dụng, các lớp bảo mật bổ sung, chẳng hạn như sinh trắc học cục bộ, có thể là cần thiết. Hãy cùng khám phá cách GitHub tận dụng cả passkey và sinh trắc học để đảm bảo an ninh mà không ảnh hưởng đến khả năng sử dụng.
GitHub cân bằng việc tích hợp passkey để đăng nhập an toàn với sinh trắc học cục bộ để bảo vệ nội dung ứng dụng ở trạng thái đã đăng nhập. Passkey được cung cấp như một tùy chọn đăng nhập nhanh, chống lừa đảo, điều này đặc biệt quan trọng với các yêu cầu xác thực đa yếu tố (MFA) của GitHub. Điều này loại bỏ nhu cầu người dùng phải quản lý mật khẩu hoặc mã dùng một lần, mang lại trải nghiệm đăng nhập liền mạch và an toàn. Nhưng vì mục đích của bài viết này, chúng tôi sẽ không xem xét việc triển khai passkey của họ.
Lớp bảo mật bổ sung của GitHub với sinh trắc học cục bộ: Bởi vì GitHub cũng cung cấp các hoạt động nhạy cảm như hợp nhất các pull request, GitHub cho phép người dùng bật bảo vệ sinh trắc học cục bộ nếu họ cảm thấy cần thiết. Trong ví dụ này, Face ID được sử dụng để khóa ứng dụng trên iOS, đảm bảo chỉ chủ sở hữu thiết bị mới có thể truy cập hoặc thực thi Ứng dụng GitHub. Ứng dụng yêu cầu rõ ràng các đặc quyền cần thiết từ hệ điều hành để kích hoạt sinh trắc học và cung cấp các khoảng thời gian có thể cấu hình (ví dụ: ngay lập tức hoặc sau một thời gian chờ xác định).
Điểm nổi bật chính trong cách tiếp cận của GitHub:
Cùng nhau, những ví dụ này minh họa cách passkey và sinh trắc học cục bộ có thể được điều chỉnh cho phù hợp với nhu cầu của các ứng dụng khác nhau, cân bằng giữa sự tiện lợi của người dùng với các biện pháp bảo mật thích hợp.
Dưới đây là bốn khuyến nghị được điều chỉnh cho các kịch bản phổ biến nơi sinh trắc học cục bộ và passkey có thể được triển khai. Các khuyến nghị được cấu trúc để các nhà phát triển, quản lý sản phẩm và người ra quyết định có thể nhanh chóng xác định phương pháp nào phù hợp nhất với tình huống của họ. Một bảng tóm tắt theo sau, giúp dễ dàng ánh xạ mỗi khuyến nghị với một kịch bản nhất định:
Trong khi các khuyến nghị trên bao gồm một loạt các kịch bản phổ biến, có vô số tình huống khác mà việc lựa chọn triển khai sinh trắc học cục bộ, passkey hoặc cả hai có thể khác nhau. Mỗi ứng dụng có nhu cầu bảo mật, khả năng sử dụng và tuân thủ riêng, và điều cần thiết là các nhà phát triển, quản lý sản phẩm và lãnh đạo doanh nghiệp phải đánh giá kỹ lưỡng các yếu tố này trước khi quyết định một phương pháp. Bằng cách cân nhắc cẩn thận các trường hợp sử dụng cụ thể, yêu cầu quy định và kỳ vọng của người dùng, bạn có thể tạo ra một chiến lược xác thực không chỉ bảo vệ người dùng và dữ liệu của họ mà còn mang lại trải nghiệm liền mạch, thân thiện với người dùng mà khách hàng ngày nay mong đợi.
Như chúng ta đã thấy, sinh trắc học cục bộ và passkey phục vụ các vai trò cơ bản khác nhau nhưng bổ sung cho nhau trong các chiến lược xác thực hiện đại. Sinh trắc học cục bộ đơn giản hóa việc xác minh phiên đang diễn ra bằng cách tận dụng các đặc điểm vốn có của người dùng để kiểm tra nhanh chóng, trên thiết bị, trong khi passkey thiết lập một mối quan hệ tin cậy an toàn và chống lừa đảo với các dịch vụ từ xa. Bằng cách kết hợp các phương pháp này một cách chu đáo, các nhà phát triển có thể tạo ra một trải nghiệm người dùng vừa liền mạch vừa có độ bảo mật cao, đáp ứng hiệu quả nhu cầu của một bối cảnh kỹ thuật số đa dạng và đòi hỏi khắt khe. Quay trở lại các câu hỏi từ phần Giới thiệu:
Bằng cách nhận ra vai trò riêng biệt nhưng bổ sung lẫn nhau của passkey và sinh trắc học cục bộ, các nhà phát triển và người ra quyết định có thể triển khai một phương pháp xác thực toàn diện cân bằng giữa bảo mật, sự tiện lợi và sự hài lòng của người dùng. Khi làm như vậy, các ứng dụng trở nên kiên cường hơn trước các mối đe dọa, dễ điều hướng hơn và dễ thích ứng hơn với các yêu cầu của người dùng và quy định đang phát triển - cuối cùng mang lại một môi trường kỹ thuật số liền mạch và đáng tin cậy.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Related Articles
Table of Contents