Chiến lược Passkey: Tại sao việc triển khai Passkey của bạn sẽ thất bại

1. Giới thiệu#

Passkey đang nổi lên như một tiêu chuẩn đăng nhập mới, mang lại trải nghiệm người dùng không rào cản và bảo mật mạnh mẽ hơn mật khẩu. Các doanh nghiệp áp dụng passkey vì ba lý do chính:

• Cải thiện UX và Doanh thu (Các công ty Thương mại điện tử & Giao dịch): Passkey tạo ra trải nghiệm đăng nhập liền mạch, giảm thiểu rào cản lúc thanh toán, tăng tỷ lệ chuyển đổi, thúc đẩy khả năng giữ chân khách hàng và giảm số lần đặt lại mật khẩu. Đối với các nền tảng thương mại điện tử và thị trường trực tuyến, xác thực gắn liền trực tiếp với doanh thu - mỗi rào cản đăng nhập được loại bỏ sẽ chuyển hóa thành tỷ lệ giữ chân khách hàng cao hơn và nhiều giao dịch thành công hơn.

• Tăng cường bảo mật đồng thời cắt giảm chi phí (Doanh nghiệp lớn & Các lĩnh vực tập trung vào 2FA): Passkey giúp giảm sự phụ thuộc vào các SMS OTP đắt đỏ, cắt giảm đáng kể chi phí xác thực. Các doanh nghiệp lớn, cơ quan chính phủ và các ngành có yêu cầu tuân thủ nghiêm ngặt hiện đang sử dụng xác thực hai yếu tố (2FA) truyền thống đang chuyển sang passkey như một giải pháp thay thế an toàn, tiết kiệm chi phí.

• Tiến tới hoàn toàn không sử dụng mật khẩu (Tổ chức tài chính & Doanh nghiệp hay bị gian lận nhắm tới): Các ngân hàng, nền tảng fintech và doanh nghiệp có rủi ro cao đang áp dụng passkey để loại bỏ hoàn toàn mật khẩu và chuyển sang mô hình xác thực chống lừa đảo (phishing-resistant). Passkey miễn nhiễm với các cuộc tấn công nhồi thông tin xác thực (credential stuffing), tấn công phát lại (replay attacks) và các chiến thuật tấn công phi kỹ thuật (social engineering) - những lợi ích mang tính quyết định đối với các ngành thường xuyên bị gian lận nhắm tới.

Tuy nhiên, việc chỉ triển khai và bật passkey không đảm bảo thành công cho các đợt triển khai quy mô lớn - các dự án thường thất bại. Việc áp dụng, triển khai chiến lược, sự đồng thuận của các bên liên quan, thử nghiệm kỹ lưỡng và tích hợp stack toàn doanh nghiệp là chìa khóa để dự án thành công. Thách thức không chỉ là cung cấp passkey mà là thúc đẩy việc áp dụng passkey. Bài viết này phác thảo một chiến lược bốn giai đoạn để triển khai passkey, thúc đẩy việc áp dụng, chuyển đổi sang xác thực không mật khẩu và tự động hóa quá trình khôi phục:

Nó cũng khám phá cách Corbado tận dụng các thông tin chi tiết dựa trên dữ liệu để tối đa hóa ROI, cắt giảm chi phí xác thực, giảm đáng kể chi phí SMS, hướng tới không mật khẩu và tăng cường bảo mật.

2. Giai đoạn I: Bổ sung passkey – Giai đoạn triển khai#

Giới thiệu passkey như một tùy chọn đăng nhập là bước đầu tiên hướng tới một hệ thống xác thực an toàn và thân thiện hơn với người dùng. Tuy nhiên, việc triển khai passkey không phải là quy trình một kích cỡ vừa cho tất cả - cách bạn thêm passkey phụ thuộc vào hệ thống xác thực hiện tại của bạn. Chúng tôi đã đề cập nhiều đến độ phức tạp của việc triển khai trên blog của mình (ví dụ: ở đây và ở đây) và giải thích cách để triển khai đúng.

2.1 Các CIAM hiện có và tác động của chúng đối với việc triển khai passkey#

Khi bắt đầu triển khai, các doanh nghiệp thường rơi vào một trong ba danh mục về hệ thống xác thực hiện tại của họ:

Triển khai passkey đòi hỏi phải điều hướng một hệ sinh thái vô cùng phức tạp. Thách thức không chỉ nằm ở việc thêm hỗ trợ cho WebAuthn mà còn phải đảm bảo khả năng tương thích liền mạch trên hàng ngàn sự kết hợp giữa hệ điều hành/trình duyệt/nhà cung cấp passkey:

2.1.1 Việc áp dụng của người dùng & Rào cản hành vi#

• Passkey đại diện cho một sự thay đổi lớn trong trải nghiệm người dùng, gây ra sự nhầm lẫn ban đầu do sự xa lạ và các hành vi không nhất quán trên các trình duyệt và thiết bị.

• Người dùng thường gặp khó khăn với các thông điệp không rõ ràng và các trường hợp ngoại lệ chưa biết, làm giảm đáng kể niềm tin và tỷ lệ áp dụng.

• Doanh nghiệp thường đánh giá thấp mức độ ăn sâu của thói quen sử dụng mật khẩu, do đó việc chủ động giáo dục người dùng, hướng dẫn UX rõ ràng và quá trình làm quen (onboarding) không rào cản là rất quan trọng.

2.1.2 Triển khai kỹ thuật phức tạp#

• Việc triển khai passkey đòi hỏi nỗ lực kỹ thuật lớn ban đầu do sự phức tạp của giao thức WebAuthn và sự đa dạng trong tương tác của thiết bị/trình duyệt.

• Việc tích hợp với các nhà cung cấp danh tính (IdP) hiện có hoặc hệ thống quản lý quyền truy cập và danh tính khách hàng (CIAM) tạo ra thêm các thách thức kỹ thuật, thường bị đánh giá thấp cho đến khi bắt đầu triển khai.

• Việc cập nhật liên tục các thông số kỹ thuật WebAuthn đòi hỏi phải bảo trì thường xuyên và chuyên môn của nhà phát triển, làm tăng chi phí và độ phức tạp trong dài hạn.

2.1.3 Sự không chắc chắn về ROI & Quản lý chi phí#

• Các doanh nghiệp thường gặp khó khăn trong việc biện minh cho các khoản đầu tư vào passkey nếu không có bằng chứng rõ ràng về việc tiết kiệm chi phí hoạt động ngay lập tức, chẳng hạn như giảm chi phí SMS OTP và giảm số lượng yêu cầu hỗ trợ.

• Rào cản UX ban đầu có thể vô tình làm tăng các yêu cầu hỗ trợ khách hàng, bù đắp mất khoản tiết kiệm dự kiến trừ khi được quản lý cẩn thận thông qua hướng dẫn người dùng chủ động và các quy trình dự phòng (fallback) được thiết kế tốt.

• Nếu không có phương pháp tiếp cận chiến lược để thúc đẩy việc áp dụng, các doanh nghiệp có nguy cơ không nhận ra được sự giảm thiểu dự kiến về gian lận, các cuộc tấn công lừa đảo và các tổn thất tài chính liên quan.

2.1.4 Rủi ro tuân thủ & Bảo mật#

• Sự không chắc chắn về quy định (ví dụ: PSD2 và các khung tuân thủ khác) làm tăng độ phức tạp, với việc các doanh nghiệp thường không rõ passkey phù hợp như thế nào trong bối cảnh quy định hiện tại.

• Các rủi ro bảo mật mới xuất hiện xung quanh việc chia sẻ thiết bị và đồng bộ hóa passkey, tạo ra các lỗ hổng tiềm ẩn nếu không được quản lý đúng cách.

• Các doanh nghiệp phải chủ động thiết lập các khả năng giám sát và kiểm toán mạnh mẽ để phát hiện và giảm thiểu các mối đe dọa bảo mật mới nổi, nhấn mạnh vai trò quan trọng của khả năng quan sát thời gian thực và quản lý tuân thủ.

Để điều hướng thành công những phức tạp này, doanh nghiệp phải vượt qua việc triển khai đơn thuần, tận dụng các giải pháp toàn diện như của Corbado kết hợp tích hợp liền mạch, hướng dẫn áp dụng mang tính chiến lược, thông tin chi tiết dựa trên phân tích và quản lý tuân thủ bảo mật chủ động.

2.2 Cách Corbado giúp triển khai passkey trong mọi trường hợp#

Corbado cung cấp một giải pháp passkey toàn diện nhằm loại bỏ sự phức tạp của việc triển khai WebAuthn trên các hệ thống xác thực khác nhau. Dù bạn tự sở hữu hệ thống xác thực, quản lý một frontend tùy chỉnh với backend IDP, hay phụ thuộc vào giải pháp IDP được quản lý hoàn toàn, Corbado đều đảm bảo sự tích hợp và triển khai passkey liền mạch, cũng như theo dõi việc áp dụng.

2.2.1 Tích hợp & Triển khai Passkey liền mạch#

• Backend SDKs & WebAuthn Server: Xử lý tất cả quá trình đăng ký, xác thực và mã hóa WebAuthn, loại bỏ nhu cầu tự xây dựng cơ sở hạ tầng WebAuthn trong nội bộ.

• Frontend SDKs & UI Components: Cung cấp các thành phần giao diện người dùng (UI) có thể tùy chỉnh và xây dựng sẵn để đăng nhập, đăng ký và quản lý passkey, đơn giản hóa việc triển khai đa trình duyệt và đa thiết bị.

• Khả năng tương thích IDP & Bất khả tri với nhà cung cấp: Hoạt động cùng với các IDP hiện có như Okta, Auth0, IBM, Cognito và những nhà cung cấp khác, mở rộng khả năng hỗ trợ passkey ngay cả khi thiếu sự hỗ trợ gốc từ nhà cung cấp.

2.2.2 Tối ưu hóa trải nghiệm người dùng & Việc áp dụng#

• Khả năng tương thích đa trình duyệt & đa hệ điều hành: Đã được thử nghiệm và xác nhận trước trên hàng ngàn sự kết hợp giữa trình duyệt, hệ điều hành và nhà cung cấp passkey, giảm chi phí thử nghiệm.

• Xử lý dự phòng & Luồng đăng nhập liền mạch: Đảm bảo quá trình chuyển đổi suôn sẻ từ đăng nhập bằng mật khẩu sang passkey, ngăn chặn việc bị khóa tài khoản và các rào cản trong quá trình áp dụng. Ngoài ra, thiết bị được tự động phát hiện và passkey được đề xuất dựa trên thiết bị được phát hiện.

• UX ưu tiên Passkey & Tăng tốc độ đăng ký: Khuyến khích người dùng áp dụng passkey bằng cách hướng dẫn họ thông qua quá trình tạo passkey tự động và các luồng dự phòng an toàn. Hơn nữa, các thành phần UI cũng được tối ưu hóa cho passkey.

2.2.3 Bị bỏ qua nhưng cần thiết: Giám sát, Tuân thủ & Cập nhật#

Việc tự triển khai (DIY) thường bỏ qua hoạt động giám sát theo thời gian thực và sự tuân thủ bảo mật, những yếu tố trở nên quan trọng khi mở rộng quy mô. Nếu không có chúng, việc triển khai passkey sẽ đối mặt với rủi ro bảo mật, điểm mù hoạt động và chi phí bảo trì cao. Corbado loại bỏ những vấn đề này bằng cách cung cấp:

2.2.4 Giám sát tự động & Khả năng quan sát#

• Ghi nhật ký & Gỡ lỗi xác thực: Theo dõi mọi sự kiện passkey để có cái nhìn sâu sắc về bảo mật và xử lý sự cố.

• Phân tích hiệu suất & Áp dụng: Giám sát mức sử dụng passkey, tỷ lệ dự phòng và các điểm nghẽn UX để tối ưu hóa. Hãy xem các phân tích về passkey để biết các KPI chi tiết và cẩm nang phân tích xác thực của chúng tôi cho một khung đo lường rộng hơn.

• Triển khai theo giai đoạn: Cho phép triển khai theo từng giai đoạn để kiểm soát việc áp dụng trên mỗi trình duyệt hoặc trên các ứng dụng khác nhau.

2.2.5 Bảo mật & Tuân thủ liên tục#

• Tự động hóa bảo mật WebAuthn: Giảm tải việc thực thi mã hóa và xử lý rủi ro.

• Luôn cập nhật SDK & API: Duy trì khả năng tương thích giữa các trình duyệt và thiết bị.

2.2.6 Phần quan trọng nhất diễn ra sau quá trình Triển khai#

Hầu hết các doanh nghiệp chỉ tập trung vào đợt ra mắt ban đầu, bỏ qua khả năng mở rộng, bảo mật, khả năng quan sát và việc áp dụng cho đến khi vấn đề phát sinh. Corbado đảm bảo việc triển khai passkey của bạn vẫn an toàn, được tối ưu hóa và được xây dựng để mở rộng quy mô. Nhưng quan trọng hơn, việc áp dụng passkey thường bị bỏ qua hoàn toàn, không được đo lường và không được quản lý. Tại Corbado, việc áp dụng là số liệu duy nhất định nghĩa sự thành công. Mọi việc chúng tôi làm đều được thiết kế để đảm bảo tỷ lệ áp dụng cao và do đó tỷ lệ đăng nhập bằng passkey cao.

3. Giai đoạn II: Từ triển khai đến áp dụng: thách thức chính của doanh nghiệp#

Như chúng tôi đã vạch ra ở trên, hầu hết các doanh nghiệp đều tập trung vào việc triển khai passkey ở quy mô lớn, nhưng thách thức thực sự không nằm ở việc triển khai - mà ở việc áp dụng. Trong phần này, chúng ta sẽ xem xét lý do tại sao tỷ lệ áp dụng thấp sẽ giết chết dự án passkey của bạn.

3.1 Dự án thất bại: Tỷ lệ áp dụng thấp giết chết dự án passkey của bạn như thế nào#

Nếu người dùng không chuyển sang dùng passkey và tỷ lệ đăng nhập bằng passkey không tăng, dự án đã thất bại: Người dùng không làm quen với passkey, rủi ro bảo mật vẫn còn, chi phí không giảm và mật khẩu tiếp tục thống trị. Việc quản lý quá trình chuyển đổi này là phần quan trọng nhất của hành trình. Bảng sau tóm tắt lý do tại sao điều này lại quan trọng đến vậy.

3.2 Cách Corbado Connect đảm bảo việc áp dụng passkey#

Đây là giai đoạn phần mềm của Corbado hỗ trợ trong từng bước của quá trình chuyển đổi. Chúng tôi đã phác thảo các chiến lược chính xác trong Hướng dẫn Doanh nghiệp của mình và xây dựng phần mềm xung quanh nó. Tăng tỷ lệ áp dụng passkey trên quy mô lớn và xây dựng các phân tích để đảm bảo người dùng thực hiện chuyển đổi là cốt lõi của giải pháp của chúng tôi.

Để nhấn mạnh tầm quan trọng của việc áp dụng, chúng tôi sẽ dành riêng một bài viết về nó vì nếu không có việc áp dụng, toàn bộ dự án passkey sẽ thất bại.

Quản lý hành vi người dùng, đo lường tiến độ và hướng dẫn người dùng chuyển đổi là nơi sự thành công thực sự diễn ra. Việc áp dụng passkey là bước ngoặt - nếu không có nó, doanh nghiệp không giảm được chi phí, không cải thiện bảo mật và không loại bỏ được mật khẩu. Đây là lý do tại sao quản lý quá trình chuyển đổi là giai đoạn quan trọng nhất của bất kỳ dự án passkey nào.

4. Giai đoạn III: Tắt mật khẩu – bước đi quan trọng tiếp theo#

Tiến tới không mật khẩu và chỉ để lại passkey như một phương thức xác thực chống lừa đảo là mục tiêu tối cao của chiến lược passkey. Bước này đòi hỏi phải tắt mật khẩu.

4.1 Cách tắt mật khẩu và bảo mật cho khách hàng#

Thời điểm và chiến lược phụ thuộc vào ngành, nhu cầu bảo mật và sự sẵn sàng của người dùng. Giai đoạn này thường là bước tiếp theo sau khi tỷ lệ áp dụng passkey đạt đến mức tới hạn, nhưng trong một số trường hợp, đặc biệt là trong các lĩnh vực bảo mật cao như tài chính, các tổ chức phải chuyển sang không mật khẩu ngay lập tức để loại bỏ rủi ro lừa đảo.

Làm thế nào để chuyển sang không mật khẩu bằng passkey?

Vì quá trình chuyển đổi này rất quan trọng và đòi hỏi một chiến lược dựa trên dữ liệu, chúng tôi sẽ dành riêng một bài viết cho chủ đề này, phác thảo các phương pháp thực tiễn tốt nhất và các chiến lược triển khai khi dốc toàn lực với passkey.

4.2 Cách Corbado cho phép triển khai và chiến lược không mật khẩu dựa trên dữ liệu#

Hệ thống phân tích của Corbado đóng vai trò chính trong việc xác định khi nào người dùng sẵn sàng tắt mật khẩu của họ. Bằng cách theo dõi các điểm chạm quan trọng trong hành trình đăng nhập và sau đăng nhập, hệ thống của chúng tôi sẽ dần dần chuyển giao những khách hàng đã có kinh nghiệm sử dụng passkey trước tiên sang một tương lai không có mật khẩu.

Việc chuyển đổi này gần như không bao giờ là một phần của quá trình triển khai passkey ban đầu mà nó đòi hỏi dữ liệu áp dụng thực tế và theo dõi sự sẵn sàng lũy tiến của người dùng. Với Corbado Connect, việc loại bỏ mật khẩu là một lớp bổ sung có thể được kích hoạt ở giai đoạn sau, đảm bảo quá trình chuyển đổi suôn sẻ, có kiểm soát sang mô hình xác thực hoàn toàn không mật khẩu trong cùng một Khung Passkey Doanh nghiệp (Enterprise Passkey Framework).

5. Giai đoạn IV: Tự động hóa Khôi phục#

Ngay cả khi việc áp dụng passkey đã rất mạnh mẽ và môi trường gần như hoặc hoàn toàn không mật khẩu, người dùng đôi khi vẫn sẽ mất quyền truy cập vào passkey hoặc thiết bị chính của họ, mặc dù điều này ít xảy ra hơn nhiều so với mật khẩu hoặc số di động. Điều này làm cho các phương thức khôi phục và dự phòng được thiết kế tốt trở nên thiết yếu.

5.1 Tại sao quá trình khôi phục hợp lý lại cần thiết đối với chiến lược không mật khẩu với passkey?#

Một quá trình khôi phục tự động, có chiến lược không chỉ bảo vệ những thành quả bảo mật khó khăn mới đạt được của bạn mà còn ngăn chặn các điểm nghẽn hỗ trợ tốn kém. Mục tiêu là đảm bảo rằng ngay cả trong những trường hợp xấu nhất như mất thiết bị hoặc passkey bị thu hồi, người dùng vẫn có thể lấy lại quyền truy cập một cách đáng tin cậy mà không làm ảnh hưởng đến mức độ bảo mật tổng thể của hệ thống.

5.1.1 Khôi phục MFA Thông minh: Số hóa Chi phí Khôi phục MFA#

Đối với các trường hợp sử dụng được quy định hoặc có độ bảo mật cao hơn, các giải pháp khôi phục nâng cao ("thông minh") sẽ vượt qua các OTP điện thoại hoặc email đơn giản. Chúng thường liên quan đến xác minh danh tính kỹ thuật số (IDV), kiểm tra ID hình ảnh và kiểm tra độ sống thực thể (liveness checks). Đây là cách các phương pháp này cải thiện cả bảo mật và trải nghiệm người dùng:

• Xác minh Selfie + Độ sống: Người dùng có thể khôi phục tài khoản của mình một cách an toàn bằng cách chụp ảnh selfie trực tiếp cùng với ảnh thẻ ID của họ. Các nhà cung cấp xác minh danh tính hiện đại thực hiện các kiểm tra sinh trắc học theo thời gian thực để xác nhận rằng (1) ID là hợp lệ, và (2) ảnh selfie là của một người thật, đang sống khớp với ID đó. Điều này giúp ngăn ngừa gian lận và các kịch bản đánh cắp ID, làm cho nó trở thành một sự thay thế mạnh mẽ cho các quy trình KYC thủ công.

• Dự phòng Đa thiết bị & Môi trường Đã biết: Nếu người dùng vẫn có quyền truy cập vào một thiết bị đáng tin cậy khác có passkey hợp lệ, họ có thể khôi phục bằng cách quét mã QR an toàn. Phương án dự phòng hợp lý này tận dụng passkey và độ tin cậy của thiết bị hiện có của người dùng để khôi phục quyền truy cập ngay lập tức.

• Giảm Hỗ trợ Thủ công: Bằng cách số hóa quá trình xác minh, doanh nghiệp có thể cắt giảm đáng kể chi phí hỗ trợ thủ công, điều đặc biệt tốn kém đối với các đợt triển khai MFA quy mô lớn. Các luồng tự động hướng dẫn người dùng từng bước, làm giảm lượng vé và cuộc gọi đến bộ phận hỗ trợ.

Hơn nữa, điều quan trọng là phải theo dõi các phát triển xung quanh Digital Credentials API, vì điều này có khả năng sẽ trở thành một phương thức quan trọng để thiết lập và khôi phục tài khoản trong tương lai, đặc biệt với sự ra mắt của các sáng kiến như EU Digital Identity Wallet và các triển khai tương tự khác.

5.1.2 Những Cân nhắc về Tần suất Khôi phục#

Các sự kiện khôi phục passkey diễn ra ít thường xuyên hơn, đặc biệt là đối với người tiêu dùng, vì hầu hết passkey hiện nay được đồng bộ hóa với các tài khoản đám mây (ví dụ: Apple iCloud Keychain, Google Password Manager). Một người dùng chuyển đổi thiết bị trong cùng một hệ sinh thái sẽ tự động có quyền truy cập vào các passkey đã đồng bộ hóa của họ. Tuy nhiên, trong các sự chuyển đổi chéo hệ sinh thái (như iOS sang Android) hoặc nếu người dùng mất quyền truy cập vào số điện thoại được sử dụng để dự phòng, một luồng khôi phục mạnh mẽ và tự động sẽ trở nên vô cùng quan trọng. Khuyến nghị thiết lập ít nhất một passkey được đồng bộ hóa trước khi tắt mật khẩu.

5.2 Cách Corbado kích hoạt quá trình tự động khôi phục#

Giống như Corbado hỗ trợ trong các giai đoạn trước với việc triển khai passkey, các chỉ số áp dụng theo thời gian thực và loại bỏ dần mật khẩu, nó cũng cung cấp các luồng khôi phục và phân tích sẵn có để duy trì quyền truy cập của người dùng một cách an toàn với luồng khôi phục thích ứng. Ngoài ra, Corbado có kế hoạch hỗ trợ khôi phục thông qua Digital Credentials API khi mức độ áp dụng của nó đủ cao.

• Xác minh Định danh: Corbado trước tiên xác nhận email hoặc số điện thoại đã được xác minh của người dùng để thiết lập kênh liên lạc an toàn.

• Tùy chọn MFA Thông minh: Nếu yêu cầu bảo mật đòi hỏi, Corbado có thể bắt đầu quá trình kiểm tra độ sống tự động hoặc xác minh ID, đảm bảo người dùng thực sự là người mà họ xác nhận.

• Môi trường Phiên bản Đã biết: Hệ thống có thể tính đến vị trí, dấu vân tay thiết bị (device fingerprint) hoặc các lần đăng nhập thành công trước đó để hợp lý hóa quá trình khôi phục ít rào cản nếu mức độ rủi ro thấp.

Tự động hóa khôi phục là mảnh ghép cuối cùng hoàn thiện bức tranh không mật khẩu. Bằng cách đảm bảo các phương thức dự phòng bảo mật cao dù là đơn giản hay "thông minh", bạn vẫn duy trì được các lợi ích của passkey và duy trì trải nghiệm người dùng không rào cản. Một quá trình khôi phục được lập kế hoạch tốt là điều cần thiết để xây dựng lòng tin trong một thế giới không có mật khẩu. Nó đảm bảo rằng những lợi ích lớn về bảo mật và trải nghiệm người dùng mà bạn đã xây dựng trong các Giai đoạn từ I đến III vẫn còn nguyên vẹn ngay cả khi người dùng làm mất passkey chính của họ.

6. Kết luận#

Passkey là một sự chuyển dịch mạnh mẽ trong xác thực, hứa hẹn mang lại khả năng bảo mật tốt hơn, trải nghiệm người dùng không rào cản và tiết kiệm chi phí. Tuy nhiên, như chúng tôi đã vạch ra, chỉ cần kích hoạt passkey là không đủ. Việc áp dụng, chiến lược triển khai và tích hợp trên toàn doanh nghiệp là chìa khóa thành công. Trong phần giới thiệu, chúng tôi đã xác định ba động lực cốt lõi để các doanh nghiệp áp dụng passkey, mỗi động lực đều chịu ảnh hưởng trực tiếp từ các thách thức và chiến lược được đề cập trong bốn giai đoạn triển khai passkey.

• Làm thế nào để cải thiện UX và doanh thu bằng passkey? Passkey cải thiện đáng kể trải nghiệm người dùng bằng cách loại bỏ những rắc rối của mật khẩu, dẫn đến tỷ lệ giữ chân và tỷ lệ chuyển đổi cao hơn. Tuy nhiên, như đã thấy ở Giai đoạn II (Áp dụng), chỉ cần cung cấp passkey là không đủ người dùng phải được hướng dẫn chủ động để chuyển đổi. Thách thức trong việc áp dụng đặc biệt rõ rệt ở các doanh nghiệp có hệ thống xác thực tùy chỉnh hoặc backend IDP/CIAM có frontend tùy chỉnh, nơi các quyết định về UX ảnh hưởng lớn đến việc người dùng có đón nhận passkey hay không. Thông điệp rõ ràng, đăng ký passkey theo tiến trình và sự khuyến khích mang tính chiến lược là rất quan trọng để đảm bảo passkey không chỉ là một tùy chọn mà là phương thức xác thực được ưa chuộng. Các doanh nghiệp cũng phải theo dõi tỷ lệ áp dụng, tinh chỉnh luồng onboarding và cung cấp các cơ chế dự phòng liền mạch để loại bỏ rào cản.

• Làm thế nào để tăng cường bảo mật và cắt giảm chi phí bằng passkey? Passkey loại bỏ rủi ro lừa đảo (phishing) và giảm sự phụ thuộc vào các tin nhắn SMS OTP đắt đỏ, nhưng những lợi ích này chỉ hiện thực hóa khi tỷ lệ áp dụng cao. Như đã đề cập ở Giai đoạn III (Chuyển đổi Không mật khẩu), việc giảm chi phí xác thực đòi hỏi một cách tiếp cận có cấu trúc, dựa trên dữ liệu, vượt ra khỏi việc chỉ kích hoạt passkey để chủ động biến chúng thành phương thức xác thực chủ đạo. Các doanh nghiệp với giải pháp IDP/CIAM được quản lý toàn diện đặc biệt phải đối mặt với thách thức ở đây, vì họ có quyền kiểm soát hạn chế. Tuy nhiên, Corbado cung cấp các công cụ để theo dõi quá trình sử dụng passkey, thực thi đăng nhập ưu tiên passkey và dần dần loại bỏ mật khẩu để phù hợp với các mục tiêu bảo mật và tuân thủ. Hơn nữa, các tổ chức có hệ thống xác thực tùy chỉnh phải đảm bảo rằng các chính sách bảo mật và tùy chọn dự phòng của họ không vô tình giữ lại việc sử dụng mật khẩu.

• Làm thế nào để tiến tới không mật khẩu với passkey?: Một hệ sinh thái xác thực thực sự an toàn, không cần mật khẩu là mục tiêu tối thượng, nhưng để đạt được nó đòi hỏi việc lên kế hoạch cẩn thận. Việc áp dụng được cân nhắc kỹ lưỡng và chiến lược khôi phục tự động đảm bảo rằng việc loại bỏ mật khẩu không dẫn đến chi phí hỗ trợ cao hơn hay lỗ hổng bảo mật. Doanh nghiệp phải triển khai các giải pháp dự phòng không đưa trở lại những phương pháp xác thực yếu kém, như khôi phục qua email hoặc luồng khôi phục thiết bị không an toàn. Các hệ thống xác thực tùy chỉnh phải xây dựng và duy trì các cơ chế khôi phục riêng của họ, trong khi các doanh nghiệp sử dụng backend IDP/CIAM phải tích hợp các tùy chọn dự phòng phù hợp với khả năng của nhà cung cấp. Corbado tự động hóa quy trình này với quá trình khôi phục MFA thông minh, xác thực đa thiết bị và chiến lược dự phòng thích ứng, đảm bảo người dùng luôn an toàn và có thể hoạt động ngay cả trong những trường hợp xấu nhất.

Bất kể kiến trúc xác thực của một doanh nghiệp như thế nào, sự thành công của passkey không chỉ phụ thuộc vào việc triển khai mà còn ở quá trình áp dụng, chuyển đổi và quản lý bảo mật. Các doanh nghiệp thất bại trong việc thúc đẩy quá trình áp dụng có nguy cơ duy trì những lỗ hổng bảo mật và chi phí cũ, ngay cả sau khi đã triển khai passkey. Corbado đảm bảo rằng doanh nghiệp không chỉ có thể triển khai passkey mà còn thúc đẩy tỷ lệ áp dụng của người dùng, thực thi các chính sách không mật khẩu và quản lý khôi phục an toàn mà không làm giảm đi trải nghiệm người dùng.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

Các Câu Hỏi Thường Gặp#

Làm thế nào để các doanh nghiệp thực sự thúc đẩy việc áp dụng passkey sau khi hoàn tất triển khai kỹ thuật?#

Việc thúc đẩy áp dụng đòi hỏi phải chủ động hướng dẫn người dùng thông qua quá trình đăng ký lũy tiến, các luồng tạo passkey tự động và thông điệp UX rõ ràng, thay vì chỉ cung cấp passkey như một tùy chọn. Các phân tích theo dõi tỷ lệ đăng nhập bằng passkey, tỷ lệ dự phòng và các điểm nghẽn UX là rất cần thiết để xác định các rào cản. Không có lớp quản lý áp dụng này, doanh nghiệp không thể giảm chi phí SMS OTP, loại bỏ rủi ro lừa đảo (phishing) hay loại bỏ dần mật khẩu.

Khi nào là thời điểm thích hợp để tắt mật khẩu sau khi triển khai passkey?#

Đối với hầu hết các lĩnh vực như SaaS và thương mại điện tử, mật khẩu nên được loại bỏ dần khi tỷ lệ áp dụng passkey đạt đến ngưỡng tới hạn về đăng nhập, được xác nhận thông qua phân tích theo thời gian thực về sự sẵn sàng của người dùng. Tài chính và các doanh nghiệp có rủi ro cao nên loại bỏ mật khẩu ngay lập tức vì không thể trì hoãn khả năng chống lừa đảo để chờ đạt các mốc thời gian áp dụng. Khuyến nghị thiết lập ít nhất một passkey được đồng bộ hóa cho mỗi người dùng trước khi vô hiệu hóa mật khẩu.

Việc thiết lập CIAM hoặc IDP hiện tại của doanh nghiệp ảnh hưởng như thế nào đến độ phức tạp khi triển khai passkey?#

Doanh nghiệp thường chia thành ba loại: hệ thống xác thực hoàn toàn tùy chỉnh, frontend tùy chỉnh với backend IDP và các stack được quản lý hoàn toàn như Okta hoặc Auth0. Các thiết lập IDP được quản lý hoàn toàn có ít tính linh hoạt nhất và cần sự hỗ trợ của chuyên gia để mở rộng tính năng passkey gốc. Các hệ thống xác thực tùy chỉnh mang gánh nặng kỹ thuật cao nhất do tính phức tạp của giao thức WebAuthn và hàng ngàn sự kết hợp giữa hệ điều hành, trình duyệt và nhà cung cấp passkey.

Những tùy chọn khôi phục tài khoản nào hoạt động trong một môi trường passkey hoàn toàn không mật khẩu?#

Các tùy chọn khôi phục bao gồm xác minh ảnh selfie và độ sống đối chiếu với ID có ảnh, khôi phục chéo thiết bị dựa trên mã QR sử dụng passkey đáng tin cậy đã có và dự phòng phiên bản thích ứng dựa trên dấu vân tay thiết bị (device fingerprint) và vị trí. Digital Credentials API là một kênh khôi phục mới nổi, phù hợp với các sáng kiến như EU Digital Identity Wallet. Việc tự động hóa các luồng này giúp giảm thiểu chi phí hỗ trợ thủ công, điều đặc biệt tốn kém đối với các hoạt động triển khai quy mô lớn.