---
url: 'https://www.corbado.com/vi/blog/passkey-sinh-trac-hoc-cuc-bo'
title: 'Ứng dụng gốc: Passkey so với Sinh trắc học cục bộ'
description: 'Hiểu rõ lợi ích của việc sử dụng passkey cùng với sinh trắc học cục bộ để bảo mật ứng dụng tối ưu và cho phép người dùng truy cập liền mạch.'
lang: 'vi'
author: 'Vincent Delitz'
date: '2025-06-17T14:38:38.365Z'
lastModified: '2026-03-25T10:08:13.289Z'
keywords: 'sinh trắc học cục bộ, sinh trắc học trên thiết bị'
category: 'Passkeys Strategy'
---

# Ứng dụng gốc: Passkey so với Sinh trắc học cục bộ

## 1. Giới thiệu

Sau khi [sinh trắc học](https://www.corbado.com/vi/blog/sinh-trac-hoc-nhan-thuc-nguoi-thanh-toan) trên điện thoại
di động trở nên phổ biến, nhiều ứng dụng gốc đã bắt đầu sử dụng các tính năng như
[Face ID](https://www.corbado.com/faq/is-face-id-passkey) hoặc Touch ID (hoặc tương đương trên
[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)) để bảo vệ quyền truy cập ứng dụng. Việc
bảo vệ bằng [sinh trắc học](https://www.corbado.com/vi/blog/sinh-trac-hoc-nhan-thuc-nguoi-thanh-toan) cục bộ này
cải thiện đáng kể sự tiện lợi cho người dùng bằng cách cho phép truy cập nhanh chóng và
liền mạch. Thoạt nhìn, passkey và
[sinh trắc học](https://www.corbado.com/vi/blog/sinh-trac-hoc-nhan-thuc-nguoi-thanh-toan) cục bộ có vẻ thừa thãi
vì cả hai đều liên quan đến việc xác minh người dùng. Nhưng chúng phục vụ các mục đích cơ
bản khác nhau. Bài viết này sẽ khám phá:

- **Passkey so với Sinh trắc học cục bộ:** Sinh trắc học cục bộ và passkey khác nhau như
  thế nào về vai trò và chức năng?
- **Thêm Passkey vào ứng dụng có Sinh trắc học cục bộ:** Có hợp lý không khi thêm passkey
  vào các ứng dụng đã sử dụng sinh trắc học? Lợi ích là gì?

Đến cuối bài, chúng ta sẽ hiểu rõ hơn về thời điểm và cách thức tận dụng các giải pháp này
cùng nhau để tạo ra một trải nghiệm ứng dụng an toàn hơn, thân thiện với người dùng và
liền mạch hơn. Chúng tôi cũng sẽ phác thảo các kịch bản thực tế nơi việc kết hợp passkey
và sinh trắc học cục bộ có thể tăng cường cả
[bảo mật](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android) và sự tiện lợi, đảm bảo rằng các nhà
phát triển có thể đưa ra quyết định sáng suốt để đáp ứng nhu cầu của người dùng một cách
hiệu quả.

## 2. Sinh trắc học cục bộ bảo vệ ứng dụng như thế nào?

Các phương pháp [xác thực sinh trắc học](https://www.corbado.com/vi/faq/ngan-hang-cung-cap-passkey) cục bộ, chẳng
hạn như [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Touch ID của Apple, hoặc các khả năng sinh
trắc học của [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android), tận dụng các đặc điểm thể
chất độc nhất (ví dụ: đặc điểm khuôn mặt hoặc dấu vân tay) để xác minh danh tính của người
dùng. Không giống như mã PIN hoặc mật khẩu truyền thống, vốn dựa vào thứ mà người dùng
biết, sinh trắc học dựa vào thứ vốn có của người dùng. Sự thay đổi này loại bỏ nhu cầu
nhập mã lặp đi lặp lại, giảm đáng kể sự phiền toái và giúp việc truy cập ứng dụng hàng
ngày vừa nhanh chóng vừa an toàn.

### 2.1 Lịch sử bảo mật ứng dụng: Từ mã PIN và mật khẩu đến sinh trắc học

Trước khi sinh trắc học trở nên phổ biến trên điện thoại di động, các ứng dụng nhằm bảo vệ
nội dung nhạy cảm thường yêu cầu người dùng nhập thêm mã PIN hoặc mật khẩu mỗi khi khởi
chạy. Mặc dù cách tiếp cận này tăng cường
[bảo mật](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android), nó cũng gây thêm sự bất tiện, đặc biệt
là khi người dùng đã được xác thực vào đầu phiên làm việc của họ. Sự xuất hiện của công
nghệ nhận dạng khuôn mặt và quét vân tay trên thiết bị đã đơn giản hóa quy trình này. Thay
vì phải nhập mã lặp đi lặp lại, người dùng giờ đây có thể mở khóa ứng dụng bằng một lần
quét khuôn mặt nhanh hoặc một cú chạm ngắn. Nếu vì lý do nào đó, việc kiểm tra sinh trắc
học không thành công hoặc người dùng không muốn bật tính năng này, một mã PIN, mật mã hoặc
mật khẩu dự phòng vẫn có sẵn. Thiết kế này đảm bảo cả sự tiện lợi và khả năng truy cập mà
không ảnh hưởng đến [bảo mật](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android).

### 2.2 Xác minh cục bộ so với Xác thực từ xa

Điều quan trọng là phải phân biệt giữa kiểm tra sinh trắc học cục bộ và các sự kiện xác
thực từ xa đầy đủ. Xác thực từ xa xảy ra vào đầu một phiên mới, xác minh danh tính của
người dùng với hệ thống backend của dịch vụ bằng các thông tin xác thực như mật khẩu hoặc
passkey. Bước này thiết lập lòng tin giữa người dùng và dịch vụ.

Ngược lại, sinh trắc học cục bộ tập trung vào việc xác minh lại danh tính trong một phiên
đã được xác thực và đang diễn ra. Thay vì yêu cầu người dùng nhập lại mật khẩu hoặc các
thông tin xác thực khác khi họ rời khỏi ứng dụng trong thời gian ngắn hoặc khóa điện
thoại, sinh trắc học cục bộ xác nhận rằng cùng một người dùng được ủy quyền vẫn đang kiểm
soát thiết bị. Việc xác minh tập trung vào thiết bị này không yêu cầu kết nối internet
hoặc tương tác với máy chủ từ xa, giúp nó nhanh chóng, đáng tin cậy và liền mạch trong sử
dụng hàng ngày.

### 2.3 Mô-đun bảo mật phần cứng và tính không thể chuyển nhượng

Dữ liệu sinh trắc học được lưu trữ và xử lý an toàn trong các mô-đun bảo mật phần cứng
chuyên dụng - như [Secure Enclave](https://www.corbado.com/glossary/secure-enclave) trên
[iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios) hoặc Trusted Execution Environment (TEE) trên
[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android). Các mô-đun đáng tin cậy này được thiết kế
để giữ an toàn cho dữ liệu sinh trắc học nhạy cảm khỏi bị giả mạo, trích xuất hoặc chuyển
giao.

Do sự neo giữ ở cấp độ phần cứng này, việc xác minh sinh trắc học không thể dễ dàng chia
sẻ qua các thiết bị hoặc dịch vụ. Các mẫu sinh trắc học của mỗi thiết bị vẫn là duy nhất
cho đơn vị cụ thể đó, đảm bảo rằng nếu người dùng nâng cấp lên một chiếc điện thoại mới,
họ phải đăng ký lại sinh trắc học của mình từ đầu. Mặc dù điều này thêm một bước nhỏ khi
chuyển đổi thiết bị, nó bảo vệ chống lại truy cập trái phép và ngăn chặn các cuộc tấn công
từ xa có thể khai thác dữ liệu sinh trắc học được lưu trữ tập trung. Hơn nữa, sinh trắc
học cục bộ hoạt động mà không cần kết nối internet, giúp chúng đáng tin cậy ngay cả khi
thiết bị ngoại tuyến.

### 2.4 Tóm tắt: Sinh trắc học cục bộ

Sinh trắc học cục bộ tinh giản hóa bảo mật bằng cách xác minh rằng người hiện đang sử dụng
thiết bị thực sự là người dùng hợp pháp, đã được xác thực mà không yêu cầu nhập lại mã PIN
hoặc mật khẩu tùy chỉnh lặp đi lặp lại trong trường hợp ứng dụng có chức năng quan trọng
như [ngân hàng](https://www.corbado.com/passkeys-for-banking), [bảo hiểm](https://www.corbado.com/passkeys-for-insurance) hoặc các chi
tiết cá nhân khác.

Chúng duy trì sự tiện lợi bằng cách hoạt động liền mạch và tức thì trên thiết bị, hoạt
động ngoại tuyến và dựa vào các vùng an toàn phần cứng để bảo vệ dữ liệu sinh trắc học
nhạy cảm. Mặc dù chúng không thể thay thế nhu cầu xác thực từ xa ban đầu (chẳng hạn như
passkey hoặc mật khẩu) để thiết lập danh tính người dùng ngay từ đầu, chúng rất giỏi trong
việc quản lý và bảo vệ các phiên tiếp theo, đang diễn ra.

Những hạn chế của chúng như thiếu tính di động và cần phải đăng ký lại trên các thiết bị
mới là sự đánh đổi để có được sự tiện lợi nâng cao và bảo mật chặt chẽ ở cấp độ thiết bị.
Cuối cùng, sinh trắc học cục bộ đóng vai trò như một phương pháp mạnh mẽ, thân thiện với
người dùng để đảm bảo sự tin cậy liên tục trong một phiên ứng dụng sau khi lòng tin đó
được thiết lập ban đầu.

## 3. Passkey bảo vệ ứng dụng như thế nào?

Passkey thay đổi bản chất của việc xác thực bằng cách thay thế các bí mật được chia sẻ như
mật khẩu bằng các chứng danh
[mã hóa bất đối xứng](https://www.corbado.com/vi/blog/webauthn-pubkeycredparams-credentialpublickey). Không giống
như sinh trắc học cục bộ, chỉ xác minh một người dùng đã được xác thực tại chỗ, passkey
đóng vai trò là phương pháp chính để nhận dạng người dùng với một dịch vụ từ xa. Điều này
đảm bảo một trải nghiệm đăng nhập an toàn, chống lừa đảo ngay cả trong kịch bản mà người
dùng và thiết bị ban đầu chưa được biết đến bởi backend của ứng dụng.

### 3.1 Từ Mật khẩu đến Passkey: Một bước nhảy vọt về bảo mật

Trước khi có passkey, phương pháp phổ biến để thiết lập lòng tin với một dịch vụ từ xa
liên quan đến mật khẩu - những bí mật được chia sẻ mà cả người dùng và máy chủ đều biết.
Mặc dù mật khẩu dễ triển khai, chúng dễ bị tấn công bởi các mối đe dọa như lừa đảo, nhồi
thông tin xác thực và tái sử dụng mật khẩu.

Passkey giải quyết những thách thức này bằng cách sử dụng một cặp khóa mã hóa: một khóa
riêng tư được lưu trữ an toàn trên thiết bị của người dùng và một khóa công khai tương ứng
được đăng ký với dịch vụ. Khi một nỗ lực đăng nhập xảy ra, dịch vụ sẽ gửi một thử thách mà
chỉ có khóa riêng tư của người dùng mới có thể giải quyết được. Điều này đảm bảo rằng ngay
cả khi kẻ tấn công chặn dữ liệu hoặc cố gắng lừa người dùng tiết lộ thông tin xác thực,
chúng cũng không thể truy cập trái phép.

### 3.2 Mật mã khóa công khai và khả năng chống lừa đảo

Passkey sử dụng mật mã bất đối xứng:

- **Khóa riêng tư (Phía máy khách):** Được lưu trữ an toàn trong vùng an toàn (secure
  enclave) của thiết bị, không thể truy cập bởi các ứng dụng khác hoặc thậm chí cả hệ điều
  hành.
- **Khóa công khai (Phía máy chủ):** Được đăng ký với backend của ứng dụng, nhưng tự nó vô
  dụng nếu không có khóa riêng tư. Vì người dùng không bao giờ gửi khóa riêng tư qua mạng
  và không bao giờ có một “bí mật được chia sẻ” để nhập, các nỗ lực lừa đảo phần lớn trở
  nên vô hiệu. Kẻ tấn công không thể lừa người dùng nhập thứ mà họ không biết, và việc
  chặn khóa công khai không mang lại lợi thế nào. Kiến trúc này, được hỗ trợ bởi các tiêu
  chuẩn như [FIDO2](https://www.corbado.com/glossary/fido2) và WebAuthn, đảm bảo rằng toàn bộ luồng xác thực dựa
  trên các hoạt động mã hóa có thể chứng minh được thay vì thông tin xác thực do người
  dùng nhập.

Điều này đặc biệt quan trọng đối với các hệ thống mà ngoài ứng dụng gốc còn có các trang
web đang được sử dụng, nơi lừa đảo là một vấn đề lớn.
[Passkey được tạo](https://www.corbado.com/vi/faq/passkey-duoc-tao-ra-nhu-the-nao) trên thiết bị di động có thể
được sử dụng thông qua Xác thực chéo thiết bị (Cross-Device-Authentication) cả trên các
trang web trên máy tính để bàn.

### 3.3 Tính di động trên nhiều thiết bị, Đồng bộ hóa đám mây và Trải nghiệm liền mạch

Một trong những lợi thế cốt lõi của passkey là tính di động liền mạch của chúng trên các
thiết bị của người dùng. Các hệ điều hành hiện đại có thể đồng bộ hóa passkey thông qua
lưu trữ đám mây an toàn (ví dụ: [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain),
[Google Password](https://www.corbado.com/blog/how-to-use-google-password-manager) Manager), cho phép người dùng
đăng nhập từ nhiều thiết bị mà không cần đăng ký lại hoặc nhớ mật khẩu cho lần cài đặt ứng
dụng đầu tiên. Hơn nữa, passkey cũng có thể được sử dụng trong các kịch bản yêu cầu yếu tố
thứ hai để cung cấp sự bảo vệ tương tự xác thực hai yếu tố mà không gây ra sự phiền toái.
Sự phối hợp này cho phép đăng nhập nhanh chóng, an toàn bất kể người dùng chọn thiết bị
nào, củng cố một hệ sinh thái nơi [xác thực an toàn](https://www.corbado.com/vi/glossary/open-id-4-vp) vừa có thể
truy cập phổ biến vừa dễ dàng duy trì.

### 3.4 Tóm tắt: Passkey

Passkey đại diện cho một phương pháp mạnh mẽ, chống lừa đảo để xác thực người dùng chưa
xác định với các dịch vụ từ xa. Bằng cách tận dụng mật mã bất đối xứng và chuyển từ bí mật
được chia sẻ sang khóa riêng tư lưu trữ trên thiết bị, chúng loại bỏ nhiều điểm yếu đã gây
khó khăn cho các hệ thống dựa trên mật khẩu. Passkey kết hợp bảo mật mạnh mẽ, tính di động
toàn cầu và tích hợp trực tiếp với các thành phần bảo mật phần cứng. Do đó, chúng đóng vai
trò là một nền tảng vững chắc để thiết lập danh tính người dùng - điều mà chỉ riêng sinh
trắc học cục bộ không thể cung cấp. Trong bối cảnh của ứng dụng gốc, passkey là bước đầu
tiên quan trọng trong việc tạo ra một phiên an toàn, sau đó sinh trắc học cục bộ có thể
được sử dụng để duy trì quyền truy cập người dùng nhanh chóng và tiện lợi.

## 4. Phân tích chi tiết: Passkey & Sinh trắc học cục bộ

Khi nói đến xác thực trong các ứng dụng gốc, **passkey** và **sinh trắc học cục bộ** đóng
những vai trò quan trọng nhưng khác nhau. Mặc dù cả hai đều cải thiện trải nghiệm người
dùng và bảo mật, chúng giải quyết các vấn đề cơ bản khác nhau:

![passkeys vs local biometrics](https://www.corbado.com/website-assets/passkeys_vs_local_biometrics_9c14be9d62.png)

- **Passkey** xác thực người dùng chưa xác định với một dịch vụ từ xa, thường là trong lần
  đăng nhập đầu tiên hoặc khi tạo một phiên mới.
- **Sinh trắc học cục bộ**, chẳng hạn như [Face ID](https://www.corbado.com/faq/is-face-id-passkey) hoặc Touch
  ID, xác minh lại một người dùng đã được xác thực tại chỗ, đảm bảo tính liên tục và tiện
  lợi cho các phiên đang diễn ra.

Hiểu rõ những khác biệt này là rất quan trọng đối với các nhà phát triển nhằm tạo ra các
luồng xác thực mạnh mẽ, vừa an toàn vừa thân thiện với người dùng.

### 4.1 Passkey so với Sinh trắc học cục bộ: So sánh chi tiết

Để hiểu rõ hơn về sự khác biệt và vai trò bổ sung của passkey và sinh trắc học cục bộ,
bảng dưới đây so sánh các đặc điểm chính của chúng trên nhiều phương diện, bao gồm mục
đích, trường hợp sử dụng, bảo mật và tính di động. So sánh này làm nổi bật cách các công
nghệ này giải quyết các vấn đề cơ bản khác nhau trong khi phối hợp với nhau để tăng cường
cả bảo mật và sự tiện lợi cho người dùng.

![comparing passkeys local biometrics](https://www.corbado.com/website-assets/comparing_passkeys_local_biometrics_87468e72a0.png)

| Khía cạnh                         | Passkey                                                                                                                                                                                                | Sinh trắc học cục bộ                                                                                                                                                     |
| --------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Giai đoạn                         | Sau khi cài đặt ứng dụng, Đăng nhập lại, Hết thời gian phiên                                                                                                                                           | Ứng dụng đã được cài đặt & đăng nhập                                                                                                                                     |
| Mục đích cốt lõi                  | Xác thực người dùng chưa xác định (đăng nhập ban đầu)                                                                                                                                                  | Xác minh người dùng hiện tại (đã được xác thực) là chủ sở hữu hợp pháp của thiết bị/ứng dụng                                                                             |
| Bảo vệ                            | Truy cập vào tài khoản người dùng                                                                                                                                                                      | Truy cập vào ứng dụng đã đăng nhập                                                                                                                                       |
| Trường hợp sử dụng                | Lý tưởng cho lần đăng nhập đầu tiên hoặc sau khi cài đặt lại, thiết lập lòng tin với các dịch vụ và cho phép đăng nhập trên nhiều nền tảng, nhiều thiết bị                                             | Lý tưởng để xác minh lại xem người cầm thiết bị có phải là chủ sở hữu của thiết bị hay không, mở khóa ứng dụng nhanh chóng mà không cần nhập lại mật khẩu/passkey        |
| Mô hình xác thực                  | Xác thực từ xa: xác minh danh tính với hệ thống backend                                                                                                                                                | Xác minh cục bộ: kiểm tra dữ liệu sinh trắc học được lưu trữ an toàn trên thiết bị, không liên hệ với máy chủ từ xa                                                      |
| MFA                               | Có + chống lừa đảo                                                                                                                                                                                     | Không                                                                                                                                                                    |
| Sinh trắc học gốc                 | Có (ví dụ: Face ID, Touch ID, Android Biometrics)                                                                                                                                                      | Có (ví dụ: Face ID, Touch ID, Android Biometrics)                                                                                                                        |
| Phạm vi & Tính di động            | Khả năng sử dụng trên nhiều thiết bị, nhiều nền tảng, nhiều ứng dụng (ứng dụng gốc + web) nhờ đồng bộ hóa khóa an toàn trên đám mây                                                                    | Dành riêng cho thiết bị, không thể chuyển nhượng: các mẫu sinh trắc học phải được đăng ký lại trên thiết bị mới <br/> <br/>Không thể dễ dàng di chuyển giữa các nền tảng |
| Lưu trữ & Bảo mật dữ liệu         | Khóa riêng tư được lưu trữ trong vùng an toàn (secure enclave)<br/> <br/>Khóa công khai được lưu trữ phía máy chủ<br/> <br/>Không có bí mật chia sẻ nào được truyền đi<br/> <br/>chống lừa đảo         | Các mẫu sinh trắc học được lưu trữ trong vùng an toàn phần cứng trên thiết bị<br/> <br/>Không bao giờ rời khỏi thiết bị<br/> <br/>Được bảo vệ bởi phần cứng của thiết bị |
| Yêu cầu Internet                  | Yêu cầu kết nối internet để xác thực với dịch vụ từ xa và đăng ký khóa.                                                                                                                                | Không yêu cầu kết nối internet; việc xác minh hoàn toàn cục bộ, hữu ích ngay cả khi ngoại tuyến và ứng dụng có trường hợp sử dụng ngoại tuyến                            |
| Sao lưu & Phục hồi                | Khóa có thể được sao lưu và khôi phục qua đồng bộ hóa đám mây (ví dụ: iCloud Keychain, Google Password Manager), đảm bảo phục hồi dễ dàng nếu thiết bị bị mất hoặc thay thế                            | Không có cơ chế sao lưu tích hợp cho sinh trắc học; nếu thiết bị hỏng, người dùng phải đăng ký lại dữ liệu sinh trắc học của họ trên thiết bị mới                        |
| Tích hợp với Trang web & Ứng dụng | Có thể được sử dụng cho cả ứng dụng gốc và trang web. Passkey đơn giản hóa luồng đăng nhập bằng cách xác thực người dùng mà không tiết lộ thông tin xác thực, tăng cường bảo mật trên mọi phương diện  | Giới hạn trong thiết bị và ứng dụng được cài đặt cục bộ.                                                                                                                 |
| Triển khai cho nhà phát triển     | Tích hợp bằng các tiêu chuẩn web (WebAuthn, FIDO2) và API nền tảng gốc<br/> <br/>Backend phải xử lý khóa công khai và các thử thách.                                                                   | Tận dụng SDK nền tảng (iOS, Android) cho các lời nhắc sinh trắc học<br/> <br/>Không yêu cầu xử lý backend đặc biệt.                                                      |
| Trải nghiệm người dùng            | Sau khi thiết lập ban đầu, người dùng có thể đăng nhập nhanh chóng mà không cần nhớ email hoặc mật khẩu, ngay cả trên các thiết bị mới<br/> <br/>Quy trình giới thiệu được tinh giản với ít ma sát hơn | Cung cấp quyền truy cập lại tức thì, không cần mật khẩu vào các ứng dụng sau khi người dùng đã xác thực.                                                                 |

### 4.2 Cách Passkey và Sinh trắc học cục bộ bổ sung cho nhau

Mặc dù bảng trên nêu bật những khác biệt cốt lõi, điều quan trọng là phải nhận ra rằng
passkey và sinh trắc học cục bộ không phải là các công nghệ cạnh tranh - chúng bổ sung cho
nhau. Cùng nhau, chúng cung cấp một trải nghiệm xác thực nhiều lớp:

![complementary authentication passkeys local biometrics](https://www.corbado.com/website-assets/complementary_authentication_passkeys_local_biometrics_e1303e682f.png)

1. **Passkey cho Xác thực ban đầu, Đăng nhập lại và MFA** Passkey rất quan trọng trong
   việc thiết lập lòng tin giữa người dùng và dịch vụ từ xa. Chúng cung cấp xác thực chống
   lừa đảo, đa nền tảng và đa thiết bị bằng cách sử dụng mật mã bất đối xứng. Điều này đảm
   bảo rằng ngay cả khi kẻ tấn công chặn dữ liệu, chúng cũng không thể truy cập vào tài
   khoản người dùng. Với việc đồng bộ hóa đám mây liền mạch (ví dụ:
   [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) hoặc
   [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)), passkey cho phép
   người dùng đăng nhập dễ dàng trên các thiết bị, khiến chúng trở nên lý tưởng cho các
   lần đăng nhập đầu tiên, cài đặt lại hoặc các kịch bản xác thực đa yếu tố (MFA). Chúng
   cũng đóng vai trò là cầu nối giữa các ứng dụng di động và trang web, mang lại trải
   nghiệm nhất quán và an toàn trên toàn hệ sinh thái. Đối với các ứng dụng yêu cầu bảo
   mật cao hơn, passkey có thể thay thế các phương pháp yếu tố thứ hai truyền thống bằng
   một giải pháp MFA độc lập.
2. **Sinh trắc học cục bộ để xác minh liên tục:** Sau khi được xác thực, sinh trắc học cục
   bộ cung cấp quyền truy cập nhanh chóng, an toàn và liền mạch vào các ứng dụng bằng cách
   xác minh rằng cùng một người dùng được ủy quyền đang vận hành thiết bị. Không giống như
   passkey, việc kiểm tra sinh trắc học cục bộ tập trung vào thiết bị và hoạt động ngoại
   tuyến, dựa vào các vùng an toàn phần cứng để lưu trữ và xử lý dữ liệu. Điều này đảm bảo
   rằng thông tin nhạy cảm không bao giờ rời khỏi thiết bị, thêm một lớp bảo mật mà không
   yêu cầu người dùng nhập liệu liên tục. Bằng cách giảm nhu cầu nhập lại thông tin xác
   thực, sinh trắc học cục bộ nâng cao trải nghiệm người dùng, đặc biệt đối với các ứng
   dụng xử lý thông tin nhạy cảm như [ngân hàng](https://www.corbado.com/passkeys-for-banking) hoặc
   [chăm sóc sức khỏe](https://www.corbado.com/passkeys-for-healthcare). Chúng bảo vệ các phiên đang diễn ra bằng
   cách xác minh người cầm thiết bị, đảm bảo sự tiện lợi mà không ảnh hưởng đến bảo mật.

Bằng cách kết hợp passkey và sinh trắc học cục bộ, các nhà phát triển có thể cung cấp một
luồng xác thực thân thiện với người dùng, an toàn và liền mạch.

### 4.3 Tại sao kết hợp cả hai là một bước đi thông minh

Bằng cách kết hợp passkey và sinh trắc học cục bộ, các nhà phát triển có thể tạo ra một
luồng xác thực mạnh mẽ:

- **Cải thiện bảo mật:** Passkey bảo vệ chống lại lừa đảo, nhồi thông tin xác thực và trộm
  cắp mật khẩu, trong khi sinh trắc học cục bộ ngăn chặn truy cập trái phép vào các phiên
  đã được xác thực.
- **Nâng cao trải nghiệm người dùng:** Sinh trắc học cục bộ loại bỏ nhu cầu nhập lại mật
  khẩu hoặc passkey nhiều lần, tạo ra một trải nghiệm liền mạch sau khi xác thực ban đầu.
  Trong trường hợp cần xác thực lại do hết thời gian chờ hoặc đăng xuất, việc xác thực lại
  cũng dễ dàng như mở khóa ứng dụng.
- **Đơn giản hóa truy cập đa thiết bị:** Passkey cho phép xác thực đa nền tảng, trong khi
  sinh trắc học cục bộ cung cấp bảo mật tiện lợi ở cấp độ thiết bị. Nếu passkey được sử
  dụng trên web, việc thêm chúng vào ứng dụng gốc là một bước bổ sung quan trọng để thu
  hẹp khoảng cách và cung cấp trải nghiệm passkey đầy đủ dịch vụ cho người dùng.

Sự phối hợp này đảm bảo rằng các ứng dụng có thể cung cấp cả **xác thực mạnh** và **sự
tiện lợi liền mạch** - một sự kết hợp chiến thắng cho kỳ vọng của người dùng hiện đại.

## 5. Nghiên cứu tình huống và ví dụ thực tế

Để hiểu rõ hơn về cách các ví dụ và sự kết hợp trong thế giới thực hoạt động, chúng ta sẽ
xem xét hai cách triển khai khác nhau: một cách chỉ tận dụng passkey và một cách khác sử
dụng phương pháp kết hợp.

### 5.1 Tích hợp Passkey để xác thực: Kayak

Ứng dụng [Kayak](https://www.corbado.com/blog/kayak-passkeys) thể hiện một cách triển khai passkey để xác thực
người dùng. Passkey được tích hợp liền mạch vào quy trình đăng nhập, cung cấp cho người
dùng tùy chọn xác thực mà không cần nhớ địa chỉ email hoặc mật khẩu. Như được hiển thị
trên màn hình xác thực, người dùng có thể trực tiếp chọn một passkey để đăng nhập. Cách
tiếp cận này đơn giản hóa đáng kể trải nghiệm người dùng bằng cách giảm tải nhận thức và
loại bỏ sự phiền toái liên quan đến mật khẩu.

![kayak passkeys](https://www.corbado.com/website-assets/kayak_passkeys_e0775703ef.jpg)

Sau khi được xác thực qua passkey, người dùng có quyền truy cập không hạn chế vào ứng dụng
mà không cần xác thực lại. Thiết kế này đặc biệt phù hợp với
[Kayak](https://www.corbado.com/blog/kayak-passkeys), một ứng dụng [du lịch](https://www.corbado.com/passkeys-for-travel) chủ yếu quản
lý lịch sử đặt chỗ và lịch trình, vốn không được coi là dữ liệu nhạy cảm hoặc quan trọng
cao.

**Điểm nổi bật chính trong cách tiếp cận của Kayak:**

- **Đăng nhập bằng Passkey trên màn hình xác thực:** Ứng dụng ngay lập tức cung cấp đăng
  nhập bằng passkey, giảm các bước và nâng cao sự tiện lợi cho người dùng.
- **Không có bảo vệ sinh trắc học cục bộ sau khi đăng nhập:** Vì ứng dụng không xử lý dữ
  liệu cá nhân nhạy cảm, [Kayak](https://www.corbado.com/blog/kayak-passkeys) đã chọn không triển khai các biện
  pháp bảo vệ sinh trắc học cục bộ, như Face ID hoặc khóa vân tay, cho trạng thái đã đăng
  nhập. Quyết định này phù hợp với nhu cầu bảo mật dữ liệu của ứng dụng trong khi vẫn duy
  trì trải nghiệm liền mạch cho người dùng.

Việc triển khai này cho thấy cách passkey có thể tinh giản hóa quy trình xác thực trong
khi loại bỏ nhu cầu về mật khẩu, mang lại trải nghiệm liền mạch cho người dùng. Tuy nhiên,
trong các kịch bản mà các hành động nhạy cảm hoặc quan trọng hơn được thực hiện trong ứng
dụng, các lớp bảo mật bổ sung, chẳng hạn như sinh trắc học cục bộ, có thể là cần thiết.
Hãy cùng khám phá cách GitHub tận dụng cả passkey và sinh trắc học để đảm bảo an ninh mà
không ảnh hưởng đến khả năng sử dụng.

### 5.2 Sử dụng sinh trắc học để bảo vệ nội dung ứng dụng: GitHub

GitHub cân bằng việc tích hợp passkey để đăng nhập an toàn với sinh trắc học cục bộ để bảo
vệ nội dung ứng dụng ở trạng thái đã đăng nhập. Passkey được cung cấp như một tùy chọn
đăng nhập nhanh, chống lừa đảo, điều này đặc biệt quan trọng với các yêu cầu xác thực đa
yếu tố (MFA) của GitHub. Điều này loại bỏ nhu cầu người dùng phải quản lý mật khẩu hoặc mã
dùng một lần, mang lại trải nghiệm đăng nhập liền mạch và an toàn. Nhưng vì mục đích của
bài viết này, chúng tôi sẽ không xem xét việc triển khai passkey của họ.

**Lớp bảo mật bổ sung của GitHub với sinh trắc học cục bộ:** Bởi vì GitHub cũng cung cấp
các hoạt động nhạy cảm như hợp nhất các pull request, GitHub cho phép người dùng bật bảo
vệ sinh trắc học cục bộ nếu họ cảm thấy cần thiết. Trong ví dụ này, Face ID được sử dụng
để khóa ứng dụng trên [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios), đảm bảo chỉ chủ sở hữu
thiết bị mới có thể truy cập hoặc thực thi Ứng dụng GitHub. Ứng dụng yêu cầu rõ ràng các
đặc quyền cần thiết từ hệ điều hành để kích hoạt sinh trắc học và cung cấp các khoảng thời
gian có thể cấu hình (ví dụ: ngay lập tức hoặc sau một thời gian chờ xác định).

![github local biometrics](https://www.corbado.com/website-assets/github_local_biometrics_d9f8d2adc7.png)

**Điểm nổi bật chính trong cách tiếp cận của GitHub:**

- **Đăng nhập bằng Passkey để tuân thủ MFA:** GitHub tận dụng passkey để tinh giản hóa
  việc đăng nhập an toàn mà không ảnh hưởng đến các tiêu chuẩn xác thực đa yếu tố.
- **Khóa sinh trắc học để bảo vệ ứng dụng:** Bằng cách sử dụng sinh trắc học cục bộ như
  Face ID, GitHub đảm bảo rằng các phiên đã đăng nhập không thể bị lạm dụng hoặc truy cập
  bởi các cá nhân không được ủy quyền. Lớp bảo mật bổ sung này rất quan trọng đối với các
  ứng dụng xử lý dữ liệu hoặc hành động nhạy cảm của người dùng.

Cùng nhau, những ví dụ này minh họa cách passkey và sinh trắc học cục bộ có thể được điều
chỉnh cho phù hợp với nhu cầu của các ứng dụng khác nhau, cân bằng giữa sự tiện lợi của
người dùng với các biện pháp bảo mật thích hợp.

## 6. Khuyến nghị

Dưới đây là bốn khuyến nghị được điều chỉnh cho các kịch bản phổ biến nơi sinh trắc học
cục bộ và passkey có thể được triển khai. Các khuyến nghị được cấu trúc để các nhà phát
triển, quản lý sản phẩm và người ra quyết định có thể nhanh chóng xác định phương pháp nào
phù hợp nhất với tình huống của họ. Một bảng tóm tắt theo sau, giúp dễ dàng ánh xạ mỗi
khuyến nghị với một kịch bản nhất định:

1. **Đối với các ứng dụng dữ liệu được quản lý, nhạy cảm hoặc có giá trị cao: Passkey +
   Sinh trắc học cục bộ** Nếu ứng dụng của bạn xử lý dữ liệu quan trọng, cá nhân, được
   quản lý hoặc có độ nhạy cảm cao (ví dụ: tài chính,
   [chăm sóc sức khỏe](https://www.corbado.com/passkeys-for-healthcare), chính phủ, thông tin nhận dạng cá nhân),
   **hãy triển khai sinh trắc học cục bộ** để xác thực lại an toàn, liền mạch. Điều này
   đảm bảo rằng một khi người dùng đã đăng nhập, quyền truy cập liên tục vào các tính năng
   nhạy cảm được bảo vệ bởi các yếu tố trên thiết bị (Face ID, Touch ID, quét vân tay) mà
   không cần nhập lại thông tin xác thực. Đồng thời, đây cũng là một dấu hiệu mạnh mẽ để
   triển khai passkey và thực thi yêu cầu MFA trên các loại thiết bị. Đây là nơi Corbado's
   Enterprise Passkey Suite có thể giúp bạn, đặc biệt nếu bạn đang triển khai ở quy mô lớn
   và muốn đảm bảo rằng bạn có thể đạt được 100% tỷ lệ chấp nhận passkey.
2. **Ứng dụng tiêu dùng quy mô lớn: Tích hợp Passkey trên tất cả các thiết bị** Ngay cả
   ngoài các lĩnh vực nhạy cảm, việc triển khai passkey cũng có ý nghĩa để tránh lừa đảo
   và loại bỏ nỗi đau mật khẩu. Khi lập kế hoạch triển khai passkey, hãy đảm bảo nó là một
   phần của **chiến lược xác thực toàn diện bao trùm tất cả các loại thiết bị**, bao gồm
   ứng dụng gốc, giao diện web và các điểm cuối được kết nối khác. Đừng coi passkey như
   một tính năng riêng lẻ; thay vào đó, hãy tích hợp chúng một cách nhất quán trên di
   động, máy tính để bàn và web để cung cấp trải nghiệm đăng nhập thống nhất và thân thiện
   với người dùng. Khi passkey đã là một phần của xác thực web của bạn, **việc mở rộng
   chức năng này sang các ứng dụng gốc của bạn là bắt buộc**. Điều này đảm bảo trải nghiệm
   đăng nhập nhất quán, an toàn và thân thiện với người dùng trên tất cả các nền tảng, tận
   dụng bảo mật mạnh mẽ và sự tiện lợi của passkey ở mọi nơi dịch vụ của bạn được cung
   cấp.
3. **Ứng dụng mới hoàn toàn hoặc độc lập:** Đối với các ứng dụng mới (greenfield) hoặc các
   ứng dụng độc lập không có gánh nặng xác thực cũ từ web, hãy xem xét **bắt đầu với
   passkey ngay từ đầu**. Bằng cách đó, bạn tạo ra một sơ đồ xác thực đảm bảo cho tương
   lai giúp loại bỏ các vấn đề về mật khẩu và đặt nền móng cho các hành trình người dùng
   liền mạch và an toàn trên tất cả các nền tảng. Hãy xem giải pháp Corbado Complete của
   chúng tôi.
4. **Tránh triển khai một phần cho các hệ sinh thái đa thiết bị:** Nếu dịch vụ của bạn
   trải rộng trên nhiều loại thiết bị (ví dụ: di động, web và máy tính để bàn), đừng giới
   thiệu passkey chỉ trong một môi trường. **Việc triển khai một phần làm giảm tính nhất
   quán và có thể gây nhầm lẫn cho người dùng.** Thay vào đó, hãy áp dụng passkey một cách
   thống nhất để đảm bảo trải nghiệm đăng nhập mượt mà, thống nhất ở mọi nơi. Việc triển
   khai chúng từng bước hoặc trước tiên trên các loại thiết bị lớn nhất và sau đó trong
   ứng dụng gốc là hợp lý, nhưng nên được thực hiện trong một khung thời gian ngắn.

Trong khi các khuyến nghị trên bao gồm một loạt các kịch bản phổ biến, có vô số tình huống
khác mà việc lựa chọn triển khai sinh trắc học cục bộ, passkey hoặc cả hai có thể khác
nhau. Mỗi ứng dụng có nhu cầu bảo mật, khả năng sử dụng và tuân thủ riêng, và điều cần
thiết là các nhà phát triển, quản lý sản phẩm và lãnh đạo doanh nghiệp phải đánh giá kỹ
lưỡng các yếu tố này trước khi quyết định một phương pháp. Bằng cách cân nhắc cẩn thận các
trường hợp sử dụng cụ thể, yêu cầu quy định và kỳ vọng của người dùng, bạn có thể tạo ra
một chiến lược xác thực không chỉ bảo vệ người dùng và dữ liệu của họ mà còn mang lại trải
nghiệm liền mạch, thân thiện với người dùng mà khách hàng ngày nay mong đợi.

## 7. Kết luận

Như chúng ta đã thấy, sinh trắc học cục bộ và passkey phục vụ các vai trò cơ bản khác nhau
nhưng bổ sung cho nhau trong các chiến lược xác thực hiện đại. Sinh trắc học cục bộ đơn
giản hóa việc xác minh phiên đang diễn ra bằng cách tận dụng các đặc điểm vốn có của người
dùng để kiểm tra nhanh chóng, trên thiết bị, trong khi passkey thiết lập một mối quan hệ
tin cậy an toàn và chống lừa đảo với các dịch vụ từ xa. Bằng cách kết hợp các phương pháp
này một cách chu đáo, các nhà phát triển có thể tạo ra một trải nghiệm người dùng vừa liền
mạch vừa có độ bảo mật cao, đáp ứng hiệu quả nhu cầu của một bối cảnh kỹ thuật số đa dạng
và đòi hỏi khắt khe. Quay trở lại các câu hỏi từ phần Giới thiệu:

- **Passkey so với Sinh trắc học cục bộ: Sinh trắc học cục bộ và passkey khác nhau như thế
  nào về vai trò và chức năng?** Sinh trắc học cục bộ cung cấp việc xác minh lại tiện lợi,
  tập trung vào thiết bị cho những người dùng đã được xác thực, đảm bảo rằng chủ sở hữu
  hợp pháp đang liên tục kiểm soát thiết bị. Ngược lại, passkey thay thế các bí mật được
  chia sẻ như mật khẩu, cho phép xác thực từ xa ban đầu an toàn và tính di động dễ dàng
  trên nhiều thiết bị, do đó loại bỏ rủi ro lừa đảo và cung cấp trải nghiệm đăng nhập
  thống nhất trên các nền tảng và yếu tố hình thức.
- **Thêm Passkey vào ứng dụng có Sinh trắc học cục bộ: Có hợp lý không khi thêm passkey
  vào các ứng dụng đã sử dụng sinh trắc học?** Có, điều đó thường có ý nghĩa. Chỉ riêng
  sinh trắc học không thiết lập danh tính người dùng ban đầu với các dịch vụ từ xa, trong
  khi passkey thì có. Việc kết hợp passkey cùng với sinh trắc học cục bộ hiện có có thể
  tăng cường bảo mật tổng thể trong khi vẫn duy trì sự tiện lợi cho người dùng. Passkey xử
  lý bước đầu tiên quan trọng của việc xác thực và tính di động trên nhiều thiết bị, trong
  khi sinh trắc học tinh giản hóa quyền truy cập tiếp theo và xác minh phiên đang diễn ra.

Bằng cách nhận ra vai trò riêng biệt nhưng bổ sung lẫn nhau của passkey và sinh trắc học
cục bộ, các nhà phát triển và người ra quyết định có thể triển khai một phương pháp xác
thực toàn diện cân bằng giữa bảo mật, sự tiện lợi và sự hài lòng của người dùng. Khi làm
như vậy, các ứng dụng trở nên kiên cường hơn trước các mối đe dọa, dễ điều hướng hơn và dễ
thích ứng hơn với các yêu cầu của người dùng và quy định đang phát triển - cuối cùng mang
lại một môi trường kỹ thuật số liền mạch và đáng tin cậy.