---
url: 'https://www.corbado.com/vi/blog/passkeys-va-psd2'
title: 'Passkeys và PSD2: MFA Chống Lừa Đảo Tương Thích PSD2'
description: 'Liệu passkeys có phải là hình thức MFA chống lừa đảo tốt nhất, tuân thủ các yêu cầu của PSD2 và SCA không? Bài viết này sẽ giải đáp mọi thắc mắc.'
lang: 'vi'
author: 'Vincent Delitz'
date: '2025-07-15T13:16:54.332Z'
lastModified: '2026-03-25T10:48:51.951Z'
keywords: 'psd2, tuân thủ psd2, sca, passkeys, mfa chống lừa đảo'
category: 'Passkeys Strategy'
---
# Passkeys và PSD2: MFA Chống Lừa Đảo Tương Thích PSD2
## 1. Giới thiệu
Trong lĩnh vực ngân hàng số, [bảo mật](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android) và trải
nghiệm người dùng không còn phải đối nghịch nhau. Passkeys kết hợp hai yếu tố này, giới
thiệu một hình thức MFA chống lừa đảo (phishing) phù hợp với các yêu cầu của
[PSD2](https://www.corbado.com/blog/psd2-passkeys) và SCA. Passkeys là hình thức
[xác thực an toàn](https://www.corbado.com/vi/glossary/open-id-4-vp) và thân thiện với người dùng nhất có thể
được triển khai trong các [dịch vụ tài chính](https://www.corbado.com/passkeys-for-banking). Bước tiến này đến
vào một thời điểm quan trọng, khi ngành ngân hàng đang phải vật lộn với việc triển khai
**Chỉ thị Dịch vụ Thanh toán sửa đổi (PSD2)** - một khuôn khổ pháp lý được thiết kế để
tăng cường an ninh và khả năng cạnh tranh của lĩnh vực [ngân hàng](https://www.corbado.com/passkeys-for-banking)
châu Âu.
**Passkeys** xuất hiện trong bối cảnh này không chỉ như một giải pháp tuân thủ mà còn là
một hình thức đổi mới tuyệt vời, hứa hẹn **đáp ứng các yêu cầu nghiêm ngặt của PSD2 mà
không ảnh hưởng đến trải nghiệm người dùng (UX)**. Trong bài viết này, chúng ta sẽ phân
tích các sắc thái của [PSD2](https://www.corbado.com/blog/psd2-passkeys) và yêu cầu của nó về **Xác thực Khách
hàng Mạnh (SCA)**: rõ ràng là passkeys đại diện cho tương lai của MFA chống lừa đảo trong
[ngành ngân hàng](https://www.corbado.com/passkeys-for-banking).
## 2. PSD2 là gì?
[PSD2](https://www.corbado.com/blog/psd2-passkeys) là một bộ luật do Liên minh châu Âu ban hành nhằm cách mạng
hóa các dịch vụ
[thanh toán](https://www.corbado.com/vi/blog/xac-thuc-ky-thuat-so-thanh-toan-apple-vs-google-wallet) và bối cảnh
ngân hàng ở châu Âu. **Mục tiêu chính của nó là tăng cường cạnh tranh, nâng cao bảo vệ
người tiêu dùng và thúc đẩy đổi mới** trong không gian
[thanh toán](https://www.corbado.com/vi/blog/xac-thuc-ky-thuat-so-thanh-toan-apple-vs-google-wallet) kỹ thuật số.
Bằng cách yêu cầu **quyền truy cập mở** vào thông tin tài chính của khách hàng cho **các
bên thứ ba được chấp thuận** (với sự đồng ý của khách hàng), PSD2 mở đường cho một hệ sinh
thái tài chính tích hợp, hiệu quả và thân thiện với người dùng hơn. Tuy nhiên, quyền lực
lớn đi kèm với trách nhiệm lớn, và PSD2 giải quyết vấn đề này thông qua việc **tập trung
vào bảo mật**, đặc biệt là qua lăng kính của **các giao thức xác thực**.
> PSD2 là một quy định nhằm chuyển đổi các dịch vụ
> [thanh toán](https://www.corbado.com/vi/blog/xac-thuc-ky-thuat-so-thanh-toan-apple-vs-google-wallet) của EU
> bằng cách thúc đẩy cạnh tranh, [bảo mật](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android) và đổi
> mới.
## 3. SCA là gì?
Trọng tâm của các biện pháp [bảo mật](https://www.corbado.com/vi/blog/cach-bat-passkey-tren-android) của PSD2 là
yêu cầu về Xác thực Khách hàng Mạnh (SCA), một giao thức được thiết kế để **giảm đáng kể
gian lận và tăng cường an ninh cho các khoản thanh toán điện tử**. SCA được xây dựng trên
nguyên tắc rằng các khoản thanh toán điện tử không chỉ nên **liền mạch mà còn phải đủ an
toàn** để chống lại các mối đe dọa khác nhau. Khuôn khổ xác thực này là **bắt buộc** đối
với các
[nhà cung cấp dịch vụ thanh toán](https://www.corbado.com/vi/blog/passkeys-cho-nha-cung-cap-thanh-toan-sdk-ben-thu-ba),
ngân hàng và các cổng thanh toán điện tử hoạt động trong phạm vi của PSD2.
> SCA là tiêu chuẩn xác thực trong lĩnh vực ngân hàng châu Âu.
### 3.1 Các yêu cầu của SCA
Việc triển khai SCA theo PSD2 được xác định bởi một số yêu cầu quan trọng:
#### Xác thực đa yếu tố (MFA)
Xác thực phải bao gồm ít nhất hai yếu tố từ các loại sau:
- **Kiến thức:** Thứ mà chỉ người dùng biết, chẳng hạn như mật khẩu hoặc mã PIN.
- **Sở hữu:** Thứ mà chỉ người dùng sở hữu, như thiết bị di động,
[thẻ thông minh](https://www.corbado.com/vi/glossary/the-thong-minh), hoặc token phần cứng.
- **Đặc tính vốn có:** Thứ vốn có của người dùng, bao gồm các định danh
[sinh trắc học](https://www.corbado.com/vi/blog/sinh-trac-hoc-nhan-thuc-nguoi-thanh-toan) như dấu vân tay, nhận
dạng khuôn mặt hoặc mẫu giọng nói.
#### Liên kết động
Đối với mỗi giao dịch, phải tạo ra một mã xác thực duy nhất
[liên kết động](https://www.corbado.com/vi/blog/lien-ket-dong-passkeys-spc) các chi tiết cụ thể của giao dịch,
chẳng hạn như số tiền và số tài khoản của người nhận.
#### Xác thực lại định kỳ
Người dùng được yêu cầu xác thực lại theo các khoảng thời gian, thường là 90 ngày một lần,
để duy trì quyền truy cập vào các dịch vụ ngân hàng trực tuyến. Tuy nhiên, yêu cầu này đã
được sửa đổi để tối ưu hóa sự cân bằng giữa bảo mật và tiện lợi.
#### Xác thực theo giao dịch cụ thể
SCA phải được áp dụng cho tất cả các giao dịch điện tử, đảm bảo việc xác thực là cụ thể
cho số tiền và người nhận thanh toán, tạo ra một chữ ký duy nhất cho mỗi giao dịch.
#### Phân tích dựa trên rủi ro
Các
[nhà cung cấp dịch vụ thanh toán](https://www.corbado.com/vi/blog/passkeys-cho-nha-cung-cap-thanh-toan-sdk-ben-thu-ba)
nên sử dụng phương pháp tiếp cận dựa trên rủi ro để áp dụng SCA, trong đó các giao dịch có
rủi ro thấp hơn có thể được miễn SCA để hợp lý hóa quy trình thanh toán mà không ảnh hưởng
đến bảo mật (hãy chú ý đến mối liên hệ với passkeys ở đây).
#### Khả năng kiểm toán
Toàn bộ quá trình xác thực phải có thể truy vết và kiểm toán được, với các hồ sơ được duy
trì để chứng minh việc tuân thủ các yêu cầu của SCA.
Bằng cách giới thiệu SCA, PSD2 đã nâng cao đáng kể tiêu chuẩn về bảo mật giao dịch trong
lĩnh vực ngân hàng. Trong phần tiếp theo, chúng ta sẽ tập trung vào các yếu tố khác nhau
liên quan đến Xác thực Đa yếu tố (MFA). Các yếu tố này cũng có tác động đến yêu cầu Xác
thực theo Giao dịch cụ thể (đọc thêm bên dưới).
### 3.2 Sự phát triển của Xác thực Ngân hàng
Trong phần sau, chúng ta sẽ trình bày các giai đoạn phát triển khác nhau của việc xác thực
trong lĩnh vực ngân hàng.
#### 3.2.1 PIN và TAN (từ những năm 1990)
Hành trình xác thực trong ngành ngân hàng bắt đầu với việc sử dụng **Số nhận dạng cá nhân
(PIN)** và **Số xác thực giao dịch (TAN)**. Khách hàng sẽ nhận được một danh sách các mã
TAN, mỗi mã được sử dụng một lần để xác minh giao dịch. Phương pháp này, mặc dù mang tính
cách mạng vào thời điểm đó, nhưng cũng có những nhược điểm, bao gồm nguy cơ danh sách TAN
bị đánh cắp hoặc lạm dụng.
#### 3.2.2 TAN điện tử và TAN di động (từ những năm 2000)
Khi công nghệ phát triển, các ngân hàng đã giới thiệu **TAN điện tử (eTAN)** và **TAN di
động (mTAN)**, trong đó mã TAN được tạo và gửi đến thiết bị di động của khách hàng qua
SMS. Phương pháp này cải thiện bảo mật bằng cách liên kết TAN với thiết bị, nhưng nó cũng
tạo ra các lỗ hổng mới, chẳng hạn như **nguy cơ bị chặn tin nhắn SMS** và **sự bất tiện**
khi phải chờ đợi và quản lý các tin nhắn này. Cho đến khi passkeys ra đời,
[SMS OTP](https://www.corbado.com/vi/blog/ngan-hang-singapore-va-passkeys-thay-the-sms-otp) vẫn được coi là tùy
chọn [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security) thoải mái nhất có sẵn cho ngân hàng từ góc độ
trải nghiệm người dùng.
#### 3.2.3 Thẻ thông minh và Thiết bị Token (từ những năm 2000)
Để tăng cường bảo mật hơn nữa, các ngân hàng đã áp dụng **thẻ thông minh** và **thiết bị
token** tạo ra các mã duy nhất để xác thực. Các giải pháp dựa trên phần cứng này mang lại
mức độ bảo mật cao hơn nhưng cũng **thêm sự phức tạp và bất tiện** cho khách hàng, những
người giờ đây phải mang theo một thiết bị bổ sung.
#### 3.2.4 Sinh trắc học và Ứng dụng Ngân hàng Di động (từ những năm 2010)
Sự phát triển mới nhất trong xác thực ngân hàng bao gồm
[**sinh trắc học**](https://www.corbado.com/blog/passkeys-biometric-authentication) (vân tay hoặc nhận dạng khuôn
mặt) và **ứng dụng ngân hàng di động** với các tính năng bảo mật tích hợp. Các phương pháp
này nhằm mục đích cân bằng giữa bảo mật và sự tiện lợi bằng cách tận dụng các đặc điểm
sinh học độc nhất của người dùng và sự phổ biến của điện thoại thông minh. Tuy nhiên,
chúng cũng yêu cầu khách hàng phải trải qua quá trình tải xuống và thiết lập một ứng dụng
riêng cho mỗi ngân hàng mà người dùng sử dụng.
| Phương thức xác thực | Loại | Mô tả |
| -------------------------- | ----------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Mật khẩu/PIN | Thứ người dùng biết | Kiến thức bí mật truyền thống có thể dễ dàng triển khai và được hiểu rộng rãi. |
| SMS OTP (Mật khẩu một lần) | Thứ người dùng có | Một mật mã tạm thời được gửi đến điện thoại của người dùng, đại diện cho yếu tố sở hữu. |
| Token phần cứng | Thứ người dùng có | Các thiết bị vật lý tạo ra một mật mã dùng một lần cho người dùng. Yêu cầu một ứng dụng iOS / Android gốc của ngân hàng. |
| OTP trên ứng dụng di động | Thứ người dùng có | Một mật mã được tạo trong một ứng dụng ngân hàng hoặc xác thực, thường được bảo mật bằng liên kết thiết bị. Yêu cầu một ứng dụng iOS / Android gốc của ngân hàng. |
| Sinh trắc học | Thứ thuộc về người dùng | Sử dụng vân tay, nhận dạng khuôn mặt hoặc quét mống mắt thường là "lối tắt" trong ứng dụng của ngân hàng dưới dạng mở khóa sinh trắc học cục bộ (ví dụ: Face ID). Yêu cầu một ứng dụng iOS / Android gốc của ngân hàng. |
| Thông báo đẩy | Thứ người dùng có | Phê duyệt giao dịch hoặc nỗ lực đăng nhập thông qua thông báo trên ứng dụng di động. Yêu cầu một ứng dụng iOS / Android gốc của ngân hàng. |
### 3.3 Những thách thức xác thực hiện tại và khó khăn của khách hàng
Mặc dù có những tiến bộ này, khách hàng vẫn phải đối mặt với sự bất tiện và thất vọng đáng
kể với các phương thức xác thực ngân hàng hiện tại và có nguy cơ bị những kẻ lừa đảo nhắm
đến:
- **Phức tạp và Bất tiện:** Việc xếp lớp nhiều bước xác thực, mặc dù tăng cường bảo mật,
thường dẫn đến một quy trình rườm rà cho người dùng. Sự phức tạp này không chỉ là một sự
bất tiện nhỏ; nó có thể ngăn cản khách hàng tham gia vào các dịch vụ ngân hàng số, làm
suy yếu mục đích của chuyển đổi số.
- **Phụ thuộc vào Thiết bị và Nền tảng:** Việc chuyển sang xác thực di động và sinh trắc
học buộc người dùng phải gắn chặt với thiết bị của họ. Sự phụ thuộc này tạo ra một liên
kết mong manh trong trường hợp bị mất cắp. Ngoài ra, các lỗi kỹ thuật có thể khiến các
dịch vụ ngân hàng không thể truy cập được, khiến khách hàng bị mắc kẹt.
- **Lỗ hổng Phishing:** Mặc dù có những tiến bộ, khả năng bị lừa đảo của các yếu tố xác
thực vẫn là một lỗ hổng chưa được SCA giải quyết. Các yếu tố truyền thống như PIN, mật
khẩu, [SMS OTP](https://www.corbado.com/vi/blog/ngan-hang-singapore-va-passkeys-thay-the-sms-otp), email OTP có
thể bị xâm phạm thông qua các kế hoạch [phishing](https://www.corbado.com/glossary/phishing) tinh vi, gây rủi
ro cho dữ liệu và tài chính của khách hàng.
Cho đến ngày nay, các ngân hàng, đặc biệt là các ngân hàng truyền thống, vẫn tiếp tục cảnh
báo khách hàng về nguy cơ [phishing](https://www.corbado.com/glossary/phishing) đáng kể.
> Véc-tơ tấn công có khả năng xảy ra cao nhất không phải là việc đánh cắp thông tin đăng
> nhập hoặc thiết bị, mà là khách hàng sẵn sàng cung cấp cả hai hoặc yếu tố xác thực đầu
> tiên cho những kẻ lừa đảo.
Trong phần tiếp theo, chúng ta sẽ giải thích cách thức hoạt động của nó bằng một ví dụ
thực tế.
## 4. Phishing là vấn đề bảo mật lớn nhất của ngành ngân hàng
Các cuộc tấn công [phishing](https://www.corbado.com/glossary/phishing) từ lâu đã là một mối đe dọa đáng kể đối
với an ninh của ngành ngân hàng, khai thác tâm lý con người (kỹ thuật xã hội) và các lỗ
hổng công nghệ để giành quyền truy cập trái phép vào thông tin tài chính nhạy cảm. Khi các
ngân hàng đã phát triển phương thức xác thực của mình, những kẻ lừa đảo cũng đã thích
nghi, nghĩ ra các kế hoạch tinh vi để vượt qua các biện pháp bảo mật. Hiểu cách phishing
hoạt động, đặc biệt là trong bối cảnh của các phương thức xác thực thường được sử dụng
này, là rất quan trọng để nhận ra **sự cấp bách của các giải pháp xác thực không thể bị
lừa đảo như passkeys**.
### 4.1 Lý thuyết đằng sau các cuộc tấn công Phishing
Về cơ bản, phishing liên quan đến việc lừa các cá nhân tiết lộ thông tin nhạy cảm, chẳng
hạn như thông tin đăng nhập hoặc thông tin tài chính, dưới vỏ bọc là thông tin liên lạc
hợp pháp từ ngân hàng của họ. Điều này thường được thực hiện thông qua các bước sau:
1. **Khởi xướng:** Những kẻ lừa đảo gửi tin nhắn (thường qua email hoặc SMS) bắt chước các
thông báo chính thức của ngân hàng, hoàn chỉnh với logo và ngôn ngữ có vẻ đáng tin cậy.
Những tin nhắn này thường tạo ra cảm giác cấp bách, cho rằng cần phải hành động ngay
lập tức để giải quyết một vấn đề hoặc ngăn chặn việc đóng tài khoản.
2. **Lừa dối:** Tin nhắn chứa một liên kết đến một trang web lừa đảo trông rất giống với
cổng ngân hàng trực tuyến chính thức của ngân hàng. Không nhận thức được sự lừa dối,
nạn nhân bị dẫn đến tin rằng họ đang truy cập trang web hợp pháp của ngân hàng mình.
3. **Thu thập:** Khi ở trên trang web lừa đảo, nạn nhân được nhắc nhập chi tiết xác thực
của họ, chẳng hạn như mã PIN hoặc xác nhận giao dịch bằng OTP được gửi qua SMS. Tin
rằng họ đang tương tác với ngân hàng của mình, nạn nhân tuân thủ, vô tình trao thông
tin đăng nhập của mình cho những kẻ tấn công.
4. **Khai thác:** Với những chi tiết này, những kẻ lừa đảo sau đó có thể truy cập vào tài
khoản ngân hàng của nạn nhân, thực hiện các giao dịch trái phép hoặc thực hiện hành vi
trộm cắp danh tính.
### 4.2 Ví dụ thực tế: Tấn công Phishing vào Deutsche Bank
Hãy xem xét một kịch bản trong đó một khách hàng của Deutsche Bank nhận được một tin nhắn
SMS thông báo rằng tài khoản của họ sẽ bị vô hiệu hóa. Tin nhắn bao gồm một liên kết đến
một trang web để xác minh danh tính của khách hàng, có chứa "deutschebank" trong URL và có
cả chứng chỉ SSL hợp lệ. Trang web này, một bản sao chính xác của trang đăng nhập của
Deutsche Bank (như bạn có thể thấy trong các ảnh chụp màn hình bên dưới), yêu cầu khách
hàng nhập mã PIN ngân hàng trực tuyến của họ và sau đó yêu cầu một mã
[SMS OTP](https://www.corbado.com/vi/blog/ngan-hang-singapore-va-passkeys-thay-the-sms-otp) trong thời gian thực
(không hiển thị trong ảnh chụp màn hình vì lý do bảo mật). Khách hàng không hề hay biết,
việc nhập thông tin này trên trang web lừa đảo cho phép những kẻ tấn công có toàn quyền
truy cập vào tài khoản Deutsche Bank của họ và có khả năng chuyển những khoản tiền lớn
sang các tài khoản khác.
Đây là tin nhắn SMS lừa đảo với lời nhắc lấy lại quyền truy cập vào tài khoản ngân hàng
(chỉ có ảnh chụp màn hình bằng tiếng Đức):
Đây là trang web lừa đảo của những kẻ tấn công
([https://deutschebank-hilfe.info](https://deutschebank-hilfe.info)):
Đây là trang web gốc để tham khảo
([https://meine.deutsche-bank.de](https://meine.deutsche-bank.de)) mà những kẻ tấn công đã
sao chép gần như hoàn hảo (chúng chỉ bỏ qua cảnh báo lừa đảo ở phía dưới):
Những khách hàng đã quen với việc đăng nhập thông qua giao diện người dùng giống hệt này
và sử dụng SMS OTP làm yếu tố xác thực có thể dễ dàng trở thành nạn nhân của các cuộc tấn
công như vậy. Tồn tại một hệ sinh thái đáng kể các bộ công cụ mã nguồn mở được thiết kế để
tập trung vào các cuộc tấn công lừa đảo nhắm vào hệ thống OAuth hoặc ngân hàng (ví dụ:
[https://github.com/gophish/gophish](https://github.com/gophish/gophish)) cho mục đích
nghiên cứu bảo mật. Tuy nhiên, các hệ thống này có thể dễ dàng được điều chỉnh cho các mục
đích xấu.
**Phishing trong lĩnh vực ngân hàng ngày càng trở nên chính xác hơn** với mỗi vụ rò rỉ dữ
liệu trên dark web. Thông thường, thông tin thanh toán như IBAN cũng là một phần của những
vụ rò rỉ này. Mặc dù thông tin này không thể được sử dụng để trực tiếp đánh cắp tiền,
nhưng nó có thể được sử dụng trong các phương pháp tấn công lừa đảo có chủ đích
(spear-phishing), nơi kẻ tấn công biết rằng mục tiêu thực sự là khách hàng của ngân hàng.
### 4.3 Tầm quan trọng của các yếu tố xác thực không thể bị lừa đảo
Lỗ hổng nghiêm trọng trong kịch bản trên nằm ở khả năng bị lừa đảo của các yếu tố xác
thực: **cả mã PIN và SMS OTP đều có thể dễ dàng bị moi móc** từ khách hàng dưới những lý
do giả mạo. Lỗ hổng này nhấn mạnh sự cần thiết của các phương thức xác thực không thể bị
xâm phạm thông qua kỹ thuật xã hội hoặc các cuộc tấn công lừa đảo.
**Các yếu tố xác thực không thể bị lừa đảo, chẳng hạn như những yếu tố được kích hoạt bởi
passkeys**, cung cấp một hàng rào phòng thủ vững chắc chống lại các kế hoạch như vậy. Vì
passkeys không dựa vào các bí mật được chia sẻ có thể bị tiết lộ, lừa gạt khỏi người dùng
hoặc bị chặn, chúng thay đổi cơ bản bối cảnh bảo mật. Với passkeys, quá trình xác thực
liên quan đến bằng chứng nhận dạng mật mã không thể bị những kẻ lừa đảo sao chép, loại bỏ
véc-tơ tấn công phổ biến nhất trong phishing.
> Passkeys chỉ được giới hạn sử dụng trên chính xác tên miền mà chúng đã được đăng ký
> ([relying party](https://www.corbado.com/glossary/relying-party) ID). Về mặt kỹ thuật, không thể sử dụng chúng
> trên một tên miền lừa đảo hoặc gửi passkeys cho kẻ tấn công.
### 4.4 Làm thế nào để chống lại Phishing?
Để chống lại các mối đe dọa phishing một cách hiệu quả, ngành ngân hàng phải áp dụng một
phương pháp tiếp cận đa diện bao gồm:
1. **Giáo dục khách hàng:** Các ngân hàng nên liên tục thông báo cho khách hàng của họ về
những rủi ro của phishing và cách nhận biết các thông tin liên lạc lừa đảo.
2. **Triển khai xác thực không thể bị lừa đảo:** Chuyển sang các phương thức xác thực
không dựa trên thông tin có thể bị moi móc hoặc chặn, từ đó đóng lại cánh cửa đối với
nhiều nỗ lực phishing.
3. **Tăng cường hệ thống phát hiện gian lận:** Sử dụng phân tích nâng cao và học máy để
phát hiện và ngăn chặn các giao dịch trái phép, ngay cả khi những kẻ lừa đảo có được
một số dạng dữ liệu xác thực.
Trong khi phishing vẫn là một mối đe dọa đáng kể đối với ngành ngân hàng, việc áp dụng các
phương thức xác thực không thể bị lừa đảo như passkeys đại diện cho một bước tiến quan
trọng trong việc bảo vệ ngân hàng trực tuyến khỏi những kẻ lừa đảo. **Bằng cách loại bỏ
mắt xích yếu nhất - khả năng bị lừa đảo của các yếu tố xác thực - các ngân hàng có thể
tăng cường đáng kể an ninh cho tài sản và thông tin cá nhân của khách hàng.**
Cho đến ngày nay, Ngân hàng Trung ương châu Âu và các cơ quan giám sát ngân hàng địa
phương (ví dụ: BaFin) vẫn chưa đưa ra quan điểm về việc liệu
[passkeys, nói chung, có được phân loại là 2FA hay không](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication)
hoặc các ngân hàng nên sử dụng chúng như thế nào.
Trong phần tiếp theo, chúng tôi mong muốn giải thích tại sao chúng tôi tin rằng passkeys
tuân thủ PSD2.
## 5. Passkeys có tuân thủ PSD2 không?
Trong các cuộc thảo luận với các bên liên quan từ các lĩnh vực thanh toán,
[fintech](https://www.corbado.com/vi/blog/finom-passkeys) và ngân hàng, một câu hỏi thường xuyên xuất hiện:
**Liệu passkeys có tuân thủ PSD2 không, và chúng có thể đóng vai trò là hình thức xác thực
duy nhất trong các kịch bản ngân hàng không?** Mối quan hệ giữa passkeys và Chỉ thị Dịch
vụ Thanh toán sửa đổi (PSD2) tại Liên minh châu Âu rất tinh tế và đòi hỏi một sự khám phá
chi tiết. Để làm rõ, passkeys thường được phân thành hai loại: **Passkeys đồng bộ hóa (Đa
thiết bị)** và **Passkeys không đồng bộ hóa (Đơn thiết bị)**, mỗi loại có những đặc điểm
riêng biệt về việc tuân thủ PSD2:
| | Passkeys đồng bộ hóa | Passkeys không đồng bộ hóa |
| ------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------- |
| **Khả dụng trên thiết bị** | Đa thiết bị | Đơn thiết bị |
| **Được quản lý bởi** | Hệ điều hành | Cần phần mềm bổ sung |
| **Khóa riêng tư** | Được tải lên tài khoản đám mây của hệ điều hành
(ví dụ: iCloud Keychain, Google Password Manager) hoặc trình quản lý mật khẩu của bên thứ 3
(ví dụ: 1Password, Dashlane) | Nằm trên thiết bị của người dùng |
| **Liên kết thiết bị** | Không | Có |
| **Được sao lưu** | Có | Không |
| **Quan điểm truyền thống về Tuân thủ PSD2** | Không (?) | Có |
Việc tuân thủ là rất quan trọng đối với các tổ chức được quản lý như ngân hàng và các công
ty [bảo hiểm](https://www.corbado.com/passkeys-for-insurance). Tuy nhiên, các chính sách về tuân thủ có thể mất
nhiều thời gian để thay đổi. Trong trường hợp của passkeys, **lợi thế bảo mật lớn nhất là
chúng không thể bị lừa đảo,** vì khách hàng không thể vô tình tiết lộ thông tin này cho
những kẻ tấn công.
## 6. Tại sao Passkeys đồng bộ hóa không phải là một rủi ro
Trong khi passkeys tăng cường đáng kể bảo mật bằng cách không thể bị lừa đảo, chúng lại
chuyển một phần rủi ro sang tài khoản đám mây của khách hàng, chẳng hạn như Apple
[iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain). Điều này làm cho tài khoản đám mây trở thành
một mục tiêu hấp dẫn hơn đối với những kẻ tấn công. Tuy nhiên, **các dịch vụ như Apple
iCloud có các biện pháp bảo mật mạnh mẽ**, đặc biệt là đối với các tính năng hỗ trợ
passkeys.
Thứ nhất, passkeys trên iCloud phụ thuộc vào việc
[xác thực hai yếu tố (2FA)](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication)
được bật trên tài khoản, thêm một lớp bảo mật bổ sung. Điều này có nghĩa là ngay cả khi kẻ
tấn công biết mật khẩu iCloud của khách hàng, họ vẫn cần quyền truy cập vào một thiết bị
đáng tin cậy hoặc số điện thoại để nhận mã [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security).
Apple, và tương tự là Google cho các tài khoản của họ, đầu tư nguồn lực đáng kể vào việc
bảo mật các dịch vụ đám mây này. Các giao thức bảo mật cho các tài khoản hỗ trợ passkeys
trên đám mây rất nghiêm ngặt, khiến cho việc **người dùng trái phép đột nhập gần như là
không thể**. Tiêu chuẩn bảo mật cao này được duy trì thông qua các bản cập nhật và vá lỗi
bảo mật liên tục (và họ cũng đã giới thiệu passkeys cho tài khoản của mình, xem bài viết
này).
Hơn nữa, việc đánh cắp thiết bị hoặc tài khoản đám mây, mặc dù là một rủi ro tiềm tàng,
nhưng không phải là véc-tơ tấn công phổ biến nhất đối với các ứng dụng ngân hàng. Trong
trường hợp cần tăng cường bảo mật, chẳng hạn như đối với các giao dịch đáng ngờ, các ngân
hàng có thể tiếp tục sử dụng SMS OTP làm một yếu tố bổ sung. Bằng cách **thay thế mã PIN /
mật khẩu bằng passkeys**, yếu tố xác thực đầu tiên trở nên không thể bị lừa đảo, giảm đáng
kể nguy cơ tấn công phishing thành công. Một **yếu tố thứ ba có thể được giới thiệu cho
các giao dịch** bị gắn cờ là đáng ngờ, đảm bảo một lập trường bảo mật vững chắc.
> Mặc dù bề mặt tấn công có thể thay đổi, **tổng thể tư thế bảo mật được tăng cường**, làm
> cho passkeys trở thành một lựa chọn hấp dẫn cho các tổ chức được quản lý như ngân hàng
> và các công ty [bảo hiểm](https://www.corbado.com/passkeys-for-insurance) đang tìm cách tăng cường bảo mật cho
> khách hàng mà không phải hy sinh khả năng sử dụng.
## 7. Cách các Ngân hàng số Thúc đẩy Nhà quản lý Phải Hành động
Trái ngược với quan điểm truyền thống (ngại rủi ro) về việc tuân thủ PSD2,
[Finom](https://www.corbado.com/blog/finom-passkeys) và [Revolut](https://www.corbado.com/blog/revolut-passkeys) đã quyết định rằng
**bảo vệ dữ liệu khách hàng quan trọng hơn** và do đó đang sử dụng passkeys, mặc dù thiếu
một quyết định công khai của châu Âu về cách giám sát ngân hàng nên đối xử với passkeys
liên quan đến việc tuân thủ PSD2. Các ngân hàng số và [fintech](https://www.corbado.com/vi/blog/finom-passkeys)
như [Finom](https://www.corbado.com/blog/finom-passkeys) và [Revolut](https://www.corbado.com/blog/revolut-passkeys) đang thách thức
hiện trạng và, bằng cách đó, đang ảnh hưởng đến bối cảnh pháp lý liên quan đến các biện
pháp xác thực được quy định bởi PSD2.
Bằng cách ưu tiên bảo mật và tính toàn vẹn của dữ liệu khách hàng, những người tiên phong
trong lĩnh vực [fintech](https://www.corbado.com/vi/blog/finom-passkeys) này đang áp dụng passkeys ngay cả khi
không có [hướng dẫn](https://www.corbado.com/vi/blog/ung-dung-crud-react-express-mysql) pháp lý rõ ràng từ các cơ
quan châu Âu. Lập trường chủ động này đặt **trách nhiệm lên các nhà quản lý phải đánh giá
lại các khuôn khổ tuân thủ của họ** trước những tiến bộ công nghệ mang lại các giải pháp
bảo mật vượt trội.
Động thái táo bạo của [Finom](https://www.corbado.com/blog/finom-passkeys) và [Revolut](https://www.corbado.com/blog/revolut-passkeys)
trong việc triển khai passkeys làm nổi bật một khía cạnh quan trọng của việc tuân thủ quy
định - đó không phải là việc tuân thủ các tiêu chuẩn một cách cứng nhắc mà là đạt được các
mục tiêu cơ bản của các tiêu chuẩn đó, trong trường hợp này là **bảo mật tối đa cho dữ
liệu và giao dịch của khách hàng**. Bằng cách chọn ưu tiên bảo vệ dữ liệu hơn là tuân thủ
nghiêm ngặt các mô hình tuân thủ truyền thống, các ngân hàng số này đang thiết lập các
tiêu chuẩn mới cho ngành.
> Bằng cách thúc đẩy các nhà quản lý phải hành động, các ngân hàng số này đang ủng hộ một
> sự thay đổi mô hình, trong đó việc tuân thủ phải phát triển song song với các công nghệ
> mới nổi bảo vệ lợi ích của người tiêu dùng một cách hiệu quả hơn.
## 8. Cần những thay đổi quy định nào?
Từ góc độ pháp lý, có một nhu cầu cấp thiết về sự rõ ràng và thích ứng để đáp ứng các tiến
bộ như passkeys trong khuôn khổ tuân thủ PSD2. **Chúng tôi kêu gọi EU đưa ra một lập
trường dứt khoát về passkeys,** công nhận chúng là một hình thức xác thực đa yếu tố (MFA)
vượt trội, phù hợp với các mục tiêu cốt lõi của PSD2 là củng cố an ninh và giảm gian lận
trong hệ sinh thái thanh toán kỹ thuật số.
**Passkeys, về mặt thiết kế, cung cấp một yếu tố xác thực mạnh mẽ, chống lừa đảo, vượt qua
khả năng bảo mật của hầu hết các phương pháp MFA truyền thống.** Điều này không chỉ tăng
cường bảo mật mà còn đơn giản hóa trải nghiệm người dùng, giải quyết hai khía cạnh quan
trọng của việc tuân thủ PSD2.
Lập trường của EU nên phát triển để phản ánh những tiến bộ công nghệ định nghĩa lại những
gì cấu thành xác thực hiệu quả và an toàn. Bằng cách đón nhận những đổi mới như passkeys
và kết hợp chúng vào cơ cấu pháp lý, EU có thể thể hiện cam kết của mình trong việc bảo vệ
người tiêu dùng và thúc đẩy một môi trường tài chính kỹ thuật số hướng tới tương lai.
Khi ngành tài chính tiếp tục đổi mới, các nhà quản lý có trách nhiệm cung cấp
[hướng dẫn](https://www.corbado.com/vi/blog/ung-dung-crud-react-express-mysql) rõ ràng, tiến bộ không chỉ theo
kịp sự thay đổi công nghệ mà còn dự đoán được những phát triển trong tương lai. Các ngân
hàng số hiện đang dẫn đầu, nhưng cuối cùng, trách nhiệm của các cơ quan quản lý là đảm bảo
rằng toàn bộ ngành tài chính có thể tiến lên một cách an toàn và tự tin vào tương lai của
ngân hàng số.
## 9. Khuyến nghị cho các Ngân hàng và Fintech
Việc áp dụng passkeys trong lĩnh vực ngân hàng và fintech nổi bật như một ví dụ điển hình
của sự đổi mới giúp tăng cường đáng kể cả bảo mật và trải nghiệm người dùng. Trong suốt
bài viết của chúng tôi, chúng tôi đã xác lập tiềm năng của passkeys như một giải pháp xác
thực hướng tới tương lai, phù hợp với các yêu cầu bảo mật nghiêm ngặt của PSD2 đồng thời
giảm thiểu các mối đe dọa phổ biến như phishing. Các ngân hàng số / fintech như Finom và
Revolut đã tạo ra một _tiền lệ bằng cách tích hợp passkeys_ vào các khuôn khổ bảo mật của
họ, chứng tỏ hiệu quả và cách tiếp cận lấy khách hàng làm trung tâm.
Một kế hoạch hành động ba bước cho các ngân hàng truyền thống có thể như sau:
1. **Tương tác với các Cơ quan Quản lý Địa phương:** Các ngân hàng truyền thống nên chủ
động tương tác với các cơ quan quản lý địa phương và cơ quan giám sát ngân hàng để thảo
luận về việc triển khai passkeys. Cuộc đối thoại này nên nhằm mục đích làm rõ các quan
điểm pháp lý và mở đường cho việc tích hợp passkeys vào cấu trúc tuân thủ hiện có. Bằng
cách chủ động, các ngân hàng có thể góp phần định hình một môi trường pháp lý hỗ trợ
các phương thức xác thực đổi mới.
2. **Học hỏi từ các Thực tiễn Tốt nhất của Ngân hàng số:** Điều bắt buộc đối với các ngân
hàng truyền thống là quan sát và học hỏi từ các ngân hàng số đã triển khai thành công
passkeys. Nghiên cứu các thực tiễn tốt nhất này sẽ cung cấp những hiểu biết có giá trị
về các khía cạnh vận hành, kỹ thuật và dịch vụ khách hàng của việc triển khai passkey.
Việc chuyển giao kiến thức này có thể hỗ trợ các ngân hàng truyền thống trong việc xây
dựng chiến lược áp dụng passkeys của họ.
3. **Chuyển đổi chiến lược sang Passkeys:** Với sự rõ ràng về quy định và hiểu biết về các
thực tiễn tốt nhất, các ngân hàng truyền thống có thể phát triển một kế hoạch toàn diện
để chuyển đổi khách hàng sang xác thực dựa trên passkey. Kế hoạch này nên bao gồm các
chiến dịch giáo dục khách hàng để giải thích lợi ích và cách sử dụng passkeys, triển
khai theo từng giai đoạn để đảm bảo quá trình chuyển đổi suôn sẻ, và đánh giá liên tục
để giải quyết mọi thách thức kịp thời.
## 10. Kết luận
Tương lai của xác thực ngân hàng nằm ở các công nghệ ưu tiên cả bảo mật và khả năng sử
dụng. **Passkeys** đại diện cho một bước tiến theo hướng này, cung cấp một phương thức
**xác thực không thể bị lừa đảo, thân thiện với người dùng** đáp ứng các tiêu chuẩn do
PSD2 và các khuôn khổ pháp lý khác đặt ra.
Đối với các ngân hàng truyền thống, bây giờ là lúc để đón nhận sự thay đổi và bắt đầu
chuyển đổi sang passkeys. Tuy nhiên, quá trình chuyển đổi này không nên đột ngột mà phải
là một động thái được cân nhắc kỹ lưỡng, có tính đến nhu cầu riêng của cơ sở khách hàng,
môi trường pháp lý cụ thể và sự sẵn sàng về công nghệ của tổ chức.
Mục tiêu cuối cùng là đảm bảo rằng mọi khách hàng đều được hưởng lợi từ bảo mật nâng cao
mà không phải hy sinh sự tiện lợi. Bằng cách áp dụng passkeys, các ngân hàng sẽ không chỉ
bảo vệ khách hàng của mình bằng công nghệ tiên tiến mà còn báo hiệu một cam kết đối với sự
đổi mới và lấy khách hàng làm trung tâm trong kỷ nguyên tài chính số.