Passkeys của Finom: Cách mạng hóa Bảo mật Ngân hàng

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Ngân hàng hiện đại cần bảo mật hàng đầu đồng thời giúp cuộc sống của khách hàng dễ dàng hơn. Đó là lý do tại sao Finom, một công ty fintech tiên phong có trụ sở tại Amsterdam, đã thực hiện một bước tiến vượt bậc bằng cách giới thiệu passkeys làm phương thức xác thực chính mới cho ứng dụng web của họ. Là một minh chứng cho sự đổi mới, việc triển khai passkeys của Finom không chỉ thách thức mô hình mật khẩu truyền thống (+ MFA truyền thống qua SMS OTP) mà còn phù hợp với nhu cầu ngày càng tăng về trải nghiệm người dùng an toàn hơn, tiện lợi hơn và tập trung vào quyền riêng tư. Bài viết này đi sâu vào các cài đặt kỹ thuật và lợi ích cho người dùng cuối của việc triển khai passkeys của Finom, cung cấp những hiểu biết sâu sắc về lý do tại sao cách tiếp cận này có thể báo hiệu một kỷ nguyên mới cho passkeys trong lĩnh vực ngân hàng và dịch vụ tài chính.

Passkeys đại diện cho một sự thay đổi mô hình trong xác thực, chuyển từ các hệ thống dựa trên mật khẩu dễ bị tấn công sang một phương thức xác thực an toàn hơn, chống lừa đảo (phishing). Ứng dụng web của Finom áp dụng công nghệ này, cho phép người dùng xác thực qua nhiều thiết bị khác nhau - máy tính, điện thoại thông minh hoặc khóa bảo mật phần cứng (ví dụ: YubiKeys), do đó cũng hỗ trợ các bộ xác thực (authenticators) đa nền tảng / chuyển vùng.

Finom has introduced passkeys

Join them

Finom đảm bảo khả năng truy cập rộng rãi bằng cách tuân thủ các tiêu chuẩn ngành về khả năng tương thích của trình duyệt và hệ điều hành. Các phiên bản trình duyệt sau đây hỗ trợ passkeys (theo FAQ chính thức về passkeys của Finom):

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

Trái với FAQ chính thức về passkeys của Finom, việc xác thực bằng passkey cũng hoạt động trong quá trình thử nghiệm của chúng tôi trên phiên bản Firefox mới nhất (v122) trên Windows 11 23H2 và macOS Sonoma 14.2.1

Nói chung về hỗ trợ hệ điều hành, đối với các thiết bị máy tính để bàn, chúng tôi đã thử nghiệm xác thực bằng passkey thành công trên Windows 11 và macOS Sonoma (không có phiên bản hệ điều hành tối thiểu chính thức nào được nêu trong FAQ).

Người dùng thiết bị di động phải đảm bảo hệ thống của họ được cập nhật lên iOS 16+ hoặc Android 9+ để hỗ trợ passkey đầy đủ. Điều tốt là phần lớn các thiết bị di động (hơn 94%) đã hỗ trợ passkeys.

Quá trình tạo passkeys tại Finom hỗ trợ toàn bộ băng thông của passkeys, sử dụng nhiều chế độ truyền tải bao gồm USB, NFC, BLE, hybrid và các tùy chọn nội bộ. Sự linh hoạt này đảm bảo rằng người dùng có nhiều lựa chọn để xác thực, phù hợp với sở thích cá nhân hoặc nhu cầu tình huống của họ.

Một số khía cạnh cần nhấn mạnh từ cài đặt máy chủ WebAuthn và phân tích sâu hơn về PublicKeyCredentialCreationOptions:

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• Sử dụng tham số excludeCredentials để tránh tạo passkey mới trên thiết bị đã có passkey.
• ID Bên Tin cậy (Relying Party ID) được đặt thành app.finom.co để đảm bảo xác thực an toàn, dành riêng cho miền.
• Chứng thực trực tiếp (direct attestation) yêu cầu các thiết bị cung cấp các câu lệnh chứng thực, qua đó chứng minh tính xác thực của thông tin xác thực.
• userVerification là bắt buộc, do đó đảm bảo chỉ người dùng hợp pháp mới có thể bắt đầu quá trình xác thực.
• Không khuyến khích residentKeys vì Conditional UI chưa được triển khai. Tuy nhiên, hành vi tạo passkey phụ thuộc rất nhiều vào các bộ xác thực (authenticators) xem chúng có xem xét giá trị của residentKeys hay không. Hơn nữa, Finom thực sự sẽ được hưởng lợi nếu đã tạo resident keys để hỗ trợ Conditional UI trong tương lai. Mặt khác, quyết định này giúp tiết kiệm dung lượng lưu trữ trên các khóa bảo mật (security key) phần cứng (ví dụ: YubiKeys), vì chúng thường chỉ có dung lượng hạn chế cho resident keys.

PublicKeyCredentialRequestOptions cũng quan trọng không kém, tạo điều kiện cho quá trình xác thực với các cấu hình đảm bảo tính linh hoạt và bảo mật:

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• allowCredentials được thiết lập (tất cả thông tin xác thực được thiết lập độc lập với thiết bị mà người dùng đang sử dụng làm client) để đảm bảo chỉ các passkey đã đăng ký mới có thể được sử dụng.
• userVerification không được khuyến khích, điều này khá thú vị trong quy trình đăng nhập, vì nó lại là yêu cầu bắt buộc trong quy trình tạo passkey.

Một khía cạnh hướng tới tương lai trong việc triển khai passkey của Finom là tiềm năng chia sẻ passkey trên nhiều thiết bị. Bằng cách phân tích các tệp liên kết được cung cấp tại https://app.finom.co/.well-known/assetlinks.json cho Android và https://app.finom.co/.well-known/apple-app-site-association cho iOS, rõ ràng Finom đang đặt nền móng cho việc tích hợp passkey liền mạch trên các ứng dụng web và ứng dụng di động gốc của mình. Việc thêm hỗ trợ chia sẻ trên nhiều thiết bị, ví dụ: sử dụng passkey macOS từ ứng dụng web cũng có thể được dùng trong ứng dụng iOS gốc thông qua đồng bộ hóa iCloud Keychain, có thể được bổ sung nhanh chóng. Sáng kiến này hứa hẹn sẽ nâng cao hơn nữa trải nghiệm người dùng bằng cách cho phép xác thực dễ dàng trên các nền tảng và thiết bị khác nhau.

Trọng tâm của việc triển khai passkey của Finom là cam kết ưu tiên ba khía cạnh cơ bản: bảo mật vượt trội, sự đơn giản không đâu sánh bằng và quyền riêng tư dữ liệu tuyệt đối.

• Bảo mật: Hệ thống passkey của Finom được thiết kế để tạo ra một rào cản chống lại các mối đe dọa mạng. Không giống như mật khẩu thông thường, passkeys được kết nối an toàn với thiết bị của người dùng và miền đã được xác minh của Finom, gần như loại bỏ hoàn toàn nguy cơ lừa đảo (phishing) và truy cập gian lận.
• Đơn giản: Sự đơn giản trong việc xác thực bằng passkey của Finom được thể hiện qua quy trình đăng nhập tức thì. Bằng cách sử dụng Face ID, Touch ID hoặc Windows Hello, người dùng có thể truy cập vào tài khoản của mình chỉ trong vài giây mà không cần phải gõ các mật khẩu phức tạp. Quá trình xác thực được tinh giản này không chỉ nâng cao sự tiện lợi cho người dùng mà còn giảm đáng kể thời gian đăng nhập, thiết lập một tiêu chuẩn mới về sự dễ dàng truy cập trong ngành ngân hàng.
• Quyền riêng tư dữ liệu: Finom đặt ưu tiên cao nhất cho quyền riêng tư và bảo mật dữ liệu người dùng. Bằng cách sử dụng một hệ thống mà passkeys vẫn được liên kết với thiết bị của người dùng, Finom đảm bảo rằng thông tin cá nhân, bao gồm cả dữ liệu sinh trắc học, luôn nằm dưới sự kiểm soát của người dùng và không bao giờ được chia sẻ với máy chủ. Cách tiếp cận này không chỉ bảo vệ quyền riêng tư của người dùng mà còn trao cho họ sự tự tin rằng thông tin cá nhân và tài chính của họ được bảo vệ khỏi các truy cập và vi phạm trái phép.

Trên các thiết bị mới, người dùng cần xác nhận việc tạo passkey trong ứng dụng Finom gốc trên iOS / Android thông qua thông báo đẩy hoặc sử dụng liên kết ma thuật qua email. Cho đến khi xác nhận được cung cấp, người dùng không thể tạo passkey.

Xác nhận yêu cầu tạo passkey qua email:

Ngoài ra, bạn có thể xác nhận yêu cầu tạo passkey qua thông báo đẩy (ở đây là ứng dụng Android gốc):

Sau khi tạo passkey thành công, bạn sẽ thấy cửa sổ bật lên này:

Finom đơn giản hóa trải nghiệm đăng nhập bằng cách đặt passkeys làm phương thức xác thực mặc định (ưu tiên passkey) sau khi người dùng nhập địa chỉ email và nhấp vào Tiếp tục (không có trường mật khẩu hiển thị theo mặc định). Cách tiếp cận trực tiếp này nâng cao trải nghiệm người dùng bằng cách loại bỏ các lựa chọn không cần thiết và giảm ưu tiên của mật khẩu. Tuy nhiên, việc thiếu Conditional UI đánh dấu một lĩnh vực tiềm năng để cải thiện trong tương lai.

Khi hủy luồng đăng nhập bằng passkey trong cửa sổ bật lên, người dùng sẽ nhận được cảnh báo sau:

Nếu người dùng quyết định nhấp vào Thử lại, luồng đăng nhập bằng passkey sẽ bắt đầu lại và cửa sổ bật lên của passkeys (ví dụ: Face ID, Touch ID, Windows Hello) sẽ xuất hiện cho phép người dùng quét lại sinh trắc học.

Nếu người dùng quyết định nhấp vào Thử cách khác, họ sẽ được chuyển đến trang đăng nhập cũ với các trường nhập địa chỉ email và mật khẩu:

Finom khuyến cáo mạnh mẽ không sử dụng các thiết bị không riêng tư hoặc có thể truy cập công cộng để xác thực bằng passkey (ví dụ: trong thư viện công cộng). Rủi ro cố hữu với các thiết bị như vậy nằm ở khả năng truy cập của chúng; bất kỳ ai có thể mở khóa thiết bị (dù thông qua mật khẩu, khóa màn hình hoặc dữ liệu sinh trắc học như vân tay hoặc nhận dạng khuôn mặt đã đăng ký trên thiết bị) đều có khả năng xác thực với tư cách là bạn và truy cập vào tài khoản của bạn.

Nắm bắt thực tế đa thiết bị của người dùng ngày nay, Finom hỗ trợ xác thực trên nhiều thiết bị (truyền tải hybrid) bằng cách quét mã QR và kiểm tra vùng lân cận qua Bluetooth. Tính năng này cho phép trải nghiệm xác thực linh hoạt trên các thiết bị khác nhau, tạo điều kiện cho việc đăng nhập liền mạch từ một passkey được lưu trữ trên thiết bị di động khi cố gắng truy cập Finom từ môi trường máy tính để bàn (xem thêm bài viết này để biết thêm chi tiết về xác thực trên nhiều thiết bị bằng passkeys).

Finom đã giới thiệu các tính năng quản lý passkey trực quan cho phép người dùng tùy chỉnh và kiểm soát các phương thức xác thực của mình. Các tính năng này, bao gồm khả năng đổi tên và xóa passkeys, phản ánh sự hiểu biết sâu sắc về sự cần thiết của tính linh hoạt và bảo mật trong việc quản lý truy cập kỹ thuật số.

• Nhiều Passkeys cho các thiết bị khác nhau: Finom khuyến nghị tạo nhiều passkeys trên các thiết bị của người dùng. Cách tiếp cận này đảm bảo quyền truy cập không bị gián đoạn vào các dịch vụ của Finom thông qua passkeys, phục vụ cho trải nghiệm đa thiết bị liền mạch.
• Ngăn chặn trùng lặp thông minh: Tận dụng tham số excludeCredentials trong PublicKeyCredentialCreationOptions, Finom ngăn chặn việc tạo các passkey trùng lặp trên cùng một thiết bị. Biện pháp này không chỉ tăng cường bảo mật mà còn tinh giản trải nghiệm người dùng bằng cách đảm bảo mỗi thiết bị có một passkey duy nhất.
• Xác nhận xóa Passkey yêu cầu xác thực bằng Passkey: Trước khi xóa một passkey, người dùng được yêu cầu xác thực hành động bằng cách sử dụng một passkey. Lớp bảo mật bổ sung này nhấn mạnh tầm quan trọng mà Finom đặt vào việc bảo vệ quyền truy cập của người dùng và đảm bảo rằng chỉ chủ sở hữu hợp pháp mới có thể thực hiện những thay đổi quan trọng như vậy.

Lưu ý rằng, logic phát hiện biểu tượng không thông minh như vẻ ngoài của nó. Tôi đã lưu trữ passkeys cho Google Password manager trên Android của mình, tuy nhiên nó lại được hiển thị là Windows. Điều tương tự cũng áp dụng cho các bộ xác thực (authenticators) đa nền tảng / chuyển vùng như YubiKeys, vốn không bị ràng buộc với một hệ điều hành nhất định.

Sau khi tạo thành công một passkey, người dùng sẽ nhận được một thông báo qua email:

Trong trường hợp người dùng phải đặt lại mật khẩu, không chỉ liên kết thiết bị của ứng dụng iOS / Android gốc bị xóa mà tất cả các passkey của bạn cũng bị xóa. Cụ thể hơn, các khóa công khai của passkeys sẽ bị xóa phía máy chủ, khiến việc đăng nhập bằng passkeys trở nên không thể (ngay cả sau khi bạn đã khôi phục liên kết thiết bị). Các khóa riêng tư của passkey vẫn nằm trên thiết bị nhưng vô dụng cho các lần đăng nhập tiếp theo.

Việc triển khai passkey của Finom không chỉ nhằm tăng cường bảo mật và trải nghiệm người dùng; đó là một động thái chiến lược hướng tới việc tiết kiệm chi phí từ các hệ thống SMS OTP truyền thống và định vị mình là một công ty fintech hiện đại, ưu tiên kỹ thuật số, tự tin cạnh tranh với các ngân hàng và tổ chức tài chính truyền thống. Thiết kế hiện tại của hệ thống cho thấy nhiều hứa hẹn, với không gian để mở rộng sang hỗ trợ ứng dụng gốc, triển khai Conditional UI và xác nhận giao dịch qua passkeys.

Bằng cách loại bỏ SMS OTP - một phương pháp có lịch sử bị ảnh hưởng bởi các lỗ hổng bảo mật - Finom đặt nền móng cho những lợi ích lớn trong chiến lược xác thực và MFA của họ. Quá trình chuyển đổi này không chỉ giảm thiểu các rủi ro liên quan đến SMS OTP mà còn phù hợp với sứ mệnh của Finom là khai thác công nghệ tiên tiến để bảo vệ dữ liệu người dùng, nâng cao trải nghiệm người dùng ngân hàng và tiết kiệm chi phí đáng kể cho MFA qua SMS OTP.

Trong quá trình thử nghiệm, chúng tôi đã xác định một số lĩnh vực chính cần cải thiện:

• Mở rộng hỗ trợ Passkey cho ứng dụng gốc: Nhận thấy sự phổ biến của ngân hàng di động, hy vọng Finom sẽ sớm triển khai hỗ trợ passkey cho các ứng dụng iOS và Android gốc của mình, điều này cũng sẽ tuân thủ chiến lược ưu tiên di động của họ. Với tư cách là người dùng, đặc biệt là khi đến từ một thiết bị máy tính để bàn macOS, việc đăng nhập trên ứng dụng iOS của iPhone sử dụng cùng một iCloud Keychain được kết nối có thể được đơn giản hóa đáng kể so với trải nghiệm đăng nhập hiện nay.
• Xác thực chỉ bằng Passkey: Theo thời gian, chúng tôi cũng kỳ vọng Finom sẽ quảng bá passkeys là yếu tố đầu tiên và duy nhất trên các thiết bị sẵn sàng cho passkey. Điều này cũng bao gồm việc tạo tài khoản mới với passkeys là hình thức xác thực duy nhất (với một số phương án dự phòng).
• Triển khai Conditional UI: Việc giới thiệu Conditional UI sẽ là một tối ưu hóa lớn khác cho trải nghiệm người dùng, đã được chứng minh là thành công lớn trong việc áp dụng passkeys tại các công ty khác.
• Sử dụng Passkeys để xác nhận thanh toán: Trong quá trình thử nghiệm, chúng tôi cũng đã thực hiện một thanh toán thử để kiểm tra xem việc xác nhận thanh toán có hoạt động với passkeys hay không. Tuy nhiên, Finom vẫn sử dụng thông báo đẩy trên ứng dụng gốc và SMS OTP để xác nhận (phương án sau là một yếu tố chi phí đáng kể). Điều này có thể vì các mục đích quy định nhưng chúng tôi hy vọng rằng passkeys cũng có thể được sử dụng ở đây trong tương lai.

Become part of our Passkeys Community for updates & support.

Join

Một câu hỏi vẫn chưa có lời giải đáp trong chiến lược passkey của Finom: Quan điểm của Finom về việc tuân thủ PSD2 và SCA với passkeys là gì? Vấn đề này nói chung chưa được giải quyết triệt để, nhưng sẽ rất thú vị nếu biết thêm về quan điểm của Finom về vấn đề này. Để biết thêm thông tin chi tiết và suy nghĩ về việc tuân thủ PSD2 của passkeys, hãy tham khảo bài viết này.

Việc triển khai passkey của Finom là một ví dụ điển hình cho ngành ngân hàng và dịch vụ tài chính, cho thấy cách các công ty fintech có thể đi đầu trong việc áp dụng các biện pháp bảo mật tiên tiến đáp ứng nhu cầu của người dùng hiện đại. Bằng cách cung cấp một phân tích chi tiết về hệ thống passkey của Finom, bài viết này nhằm mục đích giúp các nhà phát triển phần mềm, quản lý sản phẩm và chuyên gia bảo mật khác tìm hiểu về việc triển khai passkeys trong lĩnh vực tài chính và ngân hàng.