Các loại thẻ thông minh FIDO2 tốt nhất cho xác thực doanh nghiệp năm 2025

Trong nhiều thập kỷ, thẻ thông minh đã là nền tảng của nhận dạng bảo mật cao trong các lĩnh vực chính phủ và doanh nghiệp. Phần cứng an toàn, chống giả mạo của chúng là nền tảng đáng tin cậy để kiểm soát quyền truy cập vào các hệ thống và cơ sở vật chất quan trọng. Tuy nhiên, bối cảnh doanh nghiệp hiện đại, với đặc trưng là việc áp dụng nhanh chóng công nghệ đám mây và mối đe dọa dai dẳng từ các cuộc tấn công lừa đảo (phishing) tinh vi, đặt ra những thách thức mà các phương thức xác thực truyền thống khó có thể đối phó hiệu quả. Để đáp lại, ngành công nghệ đã tập hợp quanh một bộ tiêu chuẩn mới, FIDO2 (Fast Identity Online), và cách triển khai thân thiện với người dùng được gọi là "passkeys," nhằm mang lại phương thức xác thực không mật khẩu thực sự chống lừa đảo (phishing).

Thẻ thông minh FIDO2 tồn tại ở giao điểm chiến lược của hai thế giới này. Chúng không chỉ đại diện cho một loại thông tin xác thực mới mà còn là một công cụ hội tụ mạnh mẽ. Những chiếc thẻ này cho phép một token vật lý duy nhất bảo mật cả các hệ thống cũ phụ thuộc vào Hạ tầng khóa công khai (PKI), chẳng hạn như đăng nhập máy trạm và truy cập VPN, lẫn các ứng dụng web hiện đại tận dụng FIDO2. Trong nhiều trường hợp, cùng một chiếc thẻ cũng có thể quản lý quyền ra vào tòa nhà, hợp nhất toàn bộ hệ thống an ninh của một tổ chức vào một thông tin xác thực duy nhất.

Báo cáo này cung cấp một phân tích chi tiết cho các nhà ra quyết định CNTT và kiến trúc sư bảo mật, trả lời các câu hỏi chính phát sinh khi lựa chọn giải pháp thẻ thông minh FIDO2 vào năm 2025:

1. Các công nghệ cốt lõi đằng sau một thẻ thông minh FIDO2 là gì?

2. Đâu là những thẻ thông minh FIDO2 tốt nhất dành cho doanh nghiệp?

3. Thẻ thông minh FIDO2 có thay thế thẻ thông minh dựa trên PKI truyền thống không?

4. Thẻ thông minh FIDO2 so với passkeys dựa trên nền tảng trên điện thoại và máy tính xách tay như thế nào?

5. Thẻ thông minh FIDO2 nào là lựa chọn phù hợp cho các nhu cầu cụ thể của doanh nghiệp?

Lưu ý về Phạm vi: Các chứng nhận, tùy chọn giao diện và công nghệ truy cập vật lý tích hợp có thể khác nhau đáng kể theo từng đơn vị lưu kho (SKU) ngay cả trong cùng một dòng sản phẩm. Việc xác minh chính xác mã sản phẩm theo yêu cầu của tổ chức trước khi mua hàng là hết sức cần thiết.

Thẻ thông minh FIDO2 là một thiết bị có kích thước bằng thẻ tín dụng (ID-1) chứa một con chip mã hóa an toàn, thường được gọi là thành phần bảo mật. Con chip này hoạt động như một trình xác thực (authenticator) FIDO2, được thiết kế để tạo và lưu trữ các khóa riêng tư mật mã trực tiếp trên thẻ. Kiến trúc này đảm bảo rằng các khóa riêng tư không bao giờ bị lộ ra ngoài máy tính chủ hoặc bất kỳ mạng nào, tạo nên nền tảng cho mô hình bảo mật của nó. Những thẻ này thường có cả giao diện tiếp xúc (tuân thủ ISO/IEC 7816) để sử dụng với các đầu đọc thẻ thông minh truyền thống và giao diện không tiếp xúc Giao tiếp trường gần (NFC) (tuân thủ ISO/IEC 14443) để chạm vào máy tính xách tay, máy tính bảng và điện thoại di động.

Giải thích các tiêu chuẩn chính

Để đưa ra quyết định sáng suốt, việc hiểu rõ một loạt các tiêu chuẩn mà các thiết bị lai này hỗ trợ là điều cần thiết.

• FIDO2 (Fast Identity Online): Đây không phải là một công nghệ duy nhất mà là một bộ tiêu chuẩn mở do Liên minh FIDO (FIDO Alliance) phát triển để thay thế mật khẩu bằng các phương thức xác thực mạnh hơn, đơn giản hơn và an toàn hơn. Dự án FIDO2 bao gồm hai thành phần chính:

  • WebAuthn (Web Authentication): Là một tiêu chuẩn của World Wide Web Consortium (W3C), WebAuthn là một giao diện lập trình ứng dụng (API) cho phép các trình duyệt web và ứng dụng giao tiếp với các trình xác thực (authenticator) FIDO2. Đây là lớp phần mềm cho phép đăng nhập không mật khẩu trên các trang web.

  • CTAP2 (Client to Authenticator Protocol 2): CTAP2 là giao thức cho phép giao tiếp giữa một thiết bị chủ (như máy tính xách tay hoặc điện thoại thông minh) và một trình xác thực bên ngoài (external authenticator) (như thẻ thông minh FIDO2). Giao tiếp này diễn ra qua các giao diện vật lý như đầu đọc tiếp xúc, NFC hoặc USB.

• PKI (Public Key Infrastructure - Hạ tầng khóa công khai): PKI là một hệ thống toàn diện để tạo, quản lý, phân phối và thu hồi chứng chỉ số (digital certificates). Các chứng chỉ này dùng để liên kết các khóa công khai với các danh tính cụ thể, chẳng hạn như một người hoặc một thiết bị. Không giống như FIDO, PKI dựa trên một mô hình tin cậy phân cấp và tập trung, được neo bởi một bên thứ ba đáng tin cậy được gọi là Tổ chức chứng thực (Certificate Authority - CA). CA ký điện tử vào các chứng chỉ, xác nhận danh tính của người nắm giữ, và các dịch vụ tin tưởng vào chữ ký này. Các trường hợp sử dụng chính của PKI trong doanh nghiệp bao gồm đăng nhập Windows bằng thẻ thông minh thông qua Xác thực dựa trên chứng chỉ (Certificate-Based Authentication - CBA), ký tài liệu kỹ thuật số và mã hóa email S/MIME.

• Personal Identity Verification (PIV): PIV là một tiêu chuẩn của chính phủ liên bang Hoa Kỳ, được định nghĩa trong NIST FIPS 201, cho một thông tin xác thực nhận dạng bảo mật cao cấp cho nhân viên và nhà thầu liên bang. Trong lĩnh vực thương mại, một thẻ thông minh "tương thích PIV" là thẻ triển khai mô hình dữ liệu và các hồ sơ chứng chỉ PKI cụ thể được định nghĩa bởi tiêu chuẩn PIV. Khả năng tương thích này giúp nó được hỗ trợ tự nhiên để đăng nhập bằng thẻ thông minh trên các hệ thống Windows, macOS và Linux.

• Initiative for Open Authentication (OATH): OATH là một tiêu chuẩn mở tập trung vào việc tạo mật khẩu một lần (OTP). Nó là cơ sở cho cả thuật toán dựa trên thời gian (TOTP) và dựa trên HMAC (HOTP). Một số thẻ thông minh lai bao gồm một applet OATH để cung cấp khả năng tương thích ngược với các hệ thống cũ, chẳng hạn như VPN, vẫn còn dựa vào OTP để xác thực.

Giải mã các chứng nhận bảo mật

Bảo mật của một thẻ thông minh được xác thực thông qua các chương trình kiểm tra độc lập, nghiêm ngặt. Hai chứng nhận quan trọng nhất trong lĩnh vực này là:

• FIPS 140-2/3 (Federal Information Processing Standard): Đây là một tiêu chuẩn của chính phủ Hoa Kỳ quy định các yêu cầu bảo mật cho các mô-đun mật mã. Chứng nhận FIPS 140-2 hoặc chứng nhận 140-3 mới hơn cho thấy rằng chip mật mã của thẻ thông minh đã được các phòng thí nghiệm được chính phủ công nhận kiểm tra và xác nhận chính thức về tính bảo mật, toàn vẹn và khả năng chống giả mạo. Chứng nhận này thường là một yêu cầu bắt buộc để triển khai trong chính phủ, quốc phòng và các lĩnh vực bảo mật cao khác.

• Common Criteria (CC) Evaluation Assurance Level (EAL): Common Criteria (ISO/IEC 15408) là một tiêu chuẩn quốc tế về chứng nhận bảo mật máy tính. EAL là một mức đánh giá bằng số từ 1 đến 7 mô tả độ sâu và sự nghiêm ngặt của việc đánh giá bảo mật. Một mức đánh giá cao hơn, chẳng hạn như EAL5+ hoặc EAL6+, cho thấy sản phẩm đã trải qua một quá trình xác minh thiết kế, kiểm tra và phân tích nghiêm ngặt hơn, cung cấp mức độ tin cậy cao hơn về các tuyên bố bảo mật của nó.

Một điểm gây nhầm lẫn phổ biến là liệu FIDO có đơn giản là một dạng khác của PKI hay không. Mặc dù cả hai công nghệ đều được xây dựng trên nguyên tắc mật mã bất đối xứng (khóa công khai/riêng tư), mô hình tin cậy cơ bản của chúng lại khác biệt hoàn toàn và phục vụ các mục đích riêng biệt. PKI sử dụng một mô hình tin cậy tập trung, nơi một Tổ chức chứng thực hoạt động như một trung gian đáng tin cậy để xác nhận một danh tính. Một dịch vụ xác minh danh tính của người dùng bằng cách tin tưởng vào CA đã cấp chứng chỉ của họ. Ngược lại hoàn toàn, FIDO sử dụng một mô hình tin cậy phi tập trung. Trong quá trình đăng ký với một dịch vụ mới, trình xác thực (authenticator) FIDO sẽ tạo ra một cặp khóa duy nhất dành riêng cho dịch vụ đó. Dịch vụ sau đó tin tưởng trực tiếp vào khóa công khai đó mà không cần bất kỳ CA trung gian nào. Mối quan hệ trực tiếp, theo từng dịch vụ này chính là điều làm cho FIDO vốn đã bảo vệ quyền riêng tư (ngăn chặn việc theo dõi người dùng trên các trang web khác nhau) và đơn giản hóa đáng kể việc triển khai cho xác thực dựa trên web.

Các loại thẻ thông minh được chọn để đánh giá trong bài viết này là những sản phẩm mà FIDO2 là một tính năng chính, được ghi nhận rõ ràng và thiết kế cho việc triển khai ở quy mô doanh nghiệp. Phương pháp này ưu tiên các sản phẩm có tài liệu kỹ thuật rõ ràng, hỗ trợ phần mềm quản lý mạnh mẽ và có sẵn trên thị trường vào năm 2025.

HID Crescendo C2300 được định vị là giải pháp tinh túy cho các doanh nghiệp lớn muốn hợp nhất quyền truy cập vật lý và logic vào một thẻ công ty hội tụ duy nhất. Đây là một thông tin xác thực đa giao thức, thực tế được thiết kế cho các tổ chức có các khoản đầu tư đáng kể vào cả hệ thống PKI cũ và hạ tầng đám mây hiện đại.

Sức mạnh chính của C2300 nằm ở khả năng hỗ trợ đa giao thức rộng rãi, hoạt động như một "con dao đa năng Thụy Sĩ" cho việc xác thực doanh nghiệp. Nó cung cấp các khả năng mạnh mẽ cho FIDO2/WebAuthn, PKI (trong cấu hình tương thích PIV), và OATH tùy chọn để tạo OTP. Sự linh hoạt này cho phép một thẻ duy nhất có thể hỗ trợ đăng nhập không mật khẩu vào các ứng dụng đám mây, đăng nhập Windows an toàn, ký tài liệu kỹ thuật số và xác thực với các VPN cũ.

Điểm khác biệt chính của nó là sự tích hợp sâu với Hệ thống Kiểm soát Truy cập Vật lý (PACS), là các hệ thống điện tử kiểm soát việc ra vào các tòa nhà và khu vực an ninh. Các SKU cụ thể của C2300 có thể được đặt hàng với một loạt các công nghệ PACS nhúng, bao gồm các tiêu chuẩn hiện đại như Seos và iCLASS SE, cũng như các hệ thống cũ như MIFARE DESFire và Prox. Điều này cho phép một giải pháp "một thẻ duy nhất" thực sự, nhưng đòi hỏi phải xác minh cẩn thận mã sản phẩm chính xác để đảm bảo khả năng tương thích với hạ tầng đầu đọc cửa hiện có của tổ chức. Để đảm bảo an toàn, mô-đun mật mã của thẻ được chứng nhận FIPS 140-2 và đã được đánh giá theo Tiêu chí chung ở mức EAL5+. Đối với các đợt triển khai quy mô lớn, C2300 tích hợp với các hệ thống quản lý thông tin xác thực như HID WorkforceID, cung cấp quyền kiểm soát tập trung đối với việc cấp phát, cập nhật và thu hồi.

Trường hợp sử dụng lý tưởng cho Crescendo C2300 là một doanh nghiệp đang tìm kiếm một thông tin xác thực duy nhất để quản lý quyền ra vào tòa nhà, đăng nhập Windows bằng thẻ thông minh, xác thực hệ thống cũ và SSO không mật khẩu hiện đại đến các dịch vụ đám mây như Microsoft Entra ID.

Dòng Thales SafeNet IDPrime được thiết kế riêng cho các tổ chức có hạ tầng PKI sâu rộng, đặc biệt là những tổ chức trong các ngành được quản lý chặt chẽ như tài chính và chính phủ, yêu cầu thông tin xác thực bảo mật cao và đang tìm cách bổ sung các khả năng FIDO2 và sinh trắc học trên thẻ.

Dòng sản phẩm được chia thành hai loại chính. Thẻ SafeNet IDPrime 3930/3940 FIDO là các thông tin xác thực lai mạnh mẽ được xây dựng trên nền tảng Java Card, kết hợp các applet PKI và FIDO mạnh mẽ. Những thẻ này được chứng nhận FIPS 140-2 và được xây dựng xung quanh một thành phần bảo mật được chứng nhận CC EAL6+, đặt chúng ở mức bảo mật cao nhất. Chúng được thiết kế cho các môi trường nơi PKI là công nghệ chính nhưng cần một cầu nối đến xác thực FIDO hiện đại.

Thẻ thông minh SafeNet IDPrime FIDO Bio là một mô hình khác biệt và sáng tạo, bổ sung một tính năng quan trọng: cảm biến vân tay trên thẻ. Điều này cho phép xác minh sinh trắc học "khớp trên thẻ", trong đó mẫu vân tay của người dùng được đăng ký, lưu trữ và xác minh an toàn trực tiếp trên thành phần bảo mật của thẻ. Dữ liệu sinh trắc học không bao giờ rời khỏi thẻ, mang lại mức độ riêng tư và bảo mật cao nhất bằng cách đảm bảo người trình diện thông tin xác thực là chủ sở hữu hợp pháp của nó. Mô hình này lý tưởng cho các tổ chức muốn loại bỏ mã PIN và thực thi một yếu tố xác thực sinh trắc học ở cấp độ thông tin xác thực.

Danh mục sản phẩm của Thales rất phù hợp cho các tổ chức phụ thuộc nhiều vào PKI muốn bổ sung xác thực FIDO2 chống lừa đảo (phishing) cho các dịch vụ web, với IDPrime FIDO Bio cung cấp một tùy chọn cao cấp để thực thi xác minh người dùng (user verification) sinh trắc học mạnh mẽ trực tiếp trên thẻ.

Thẻ vân tay sinh trắc học FEITIAN là một giải pháp được xây dựng có mục đích cho các tổ chức đang ưu tiên trải nghiệm người dùng liền mạch, sinh trắc học và không mật khẩu cho các ứng dụng web và đám mây. Triết lý thiết kế của nó tập trung vào sự đơn giản và xác thực mạnh mẽ, thân thiện với người dùng.

Tính năng cốt lõi của thẻ này là cảm biến vân tay tích hợp, tạo điều kiện cho việc xác minh khớp trên thẻ. Thiết kế này cho phép người dùng xác thực với các dịch vụ hỗ trợ FIDO2 chỉ bằng một cú chạm đơn giản, loại bỏ hoàn toàn nhu cầu nhập mã PIN thông qua đầu đọc được kết nối. Thẻ hỗ trợ cả tiêu chuẩn FIDO2 hiện đại và tiền thân của nó, U2F, đảm bảo khả năng tương thích rộng rãi với nhiều dịch vụ trực tuyến. Mặc dù FEITIAN cũng được biết đến với dòng sản phẩm khóa bảo mật USB BioPass phong phú, sản phẩm cụ thể này là một thẻ có kiểu dáng ID-1. Về mặt kiến trúc, đây là một thẻ giao diện kép (tiếp xúc và không tiếp xúc) không dùng pin, lấy năng lượng từ trường NFC hoặc đầu đọc tiếp xúc trong quá trình giao dịch.

Thẻ này phù hợp nhất cho một công ty hoạt động chủ yếu trên nền tảng đám mây hoặc một bộ phận cụ thể muốn triển khai một passkey chỉ dùng sinh trắc học, đơn giản, bảo mật cao dưới dạng thẻ quen thuộc để xác thực dịch vụ web, mà không cần thêm sự phức tạp của việc quản lý thông tin xác thực PKI.

TrustSEC cung cấp con đường được cho là linh hoạt và thân thiện với tích hợp nhất cho các tổ chức có các chương trình thẻ thông minh đã được thiết lập, đặc biệt là những chương trình được xây dựng trên nền tảng mở Java Card.

Điểm bán hàng độc đáo của nó là applet FIDO2 Java Card. Đây là một thành phần phần mềm có thể được tải một cách an toàn lên các thẻ thông minh dựa trên Java Card hiện có và tương thích của một tổ chức. Cách tiếp cận này có thể mang tính chuyển đổi đối với các doanh nghiệp lớn hoặc các cơ quan chính phủ đã triển khai hàng triệu thẻ cho PKI hoặc các chức năng khác. Bằng cách triển khai một applet mới thay vì cấp lại phần cứng vật lý mới, các tổ chức có thể bổ sung các khả năng FIDO2 hiện đại với khoản tiết kiệm khổng lồ về chi phí và nỗ lực hậu cần.

Đối với các tổ chức thực hiện các đợt triển khai mới, TrustSEC cũng cung cấp các thẻ thông minh FIDO2 hoàn chỉnh, được cấp phép sẵn. Chúng có sẵn trong các cấu hình tiêu chuẩn cũng như một biến thể sinh trắc học bao gồm cảm biến vân tay trên thẻ để xác minh khớp trên thẻ.

Kịch bản lý tưởng cho sản phẩm của TrustSEC, đặc biệt là applet, là một tổ chức lớn cần bổ sung hỗ trợ FIDO2 vào hệ thống thẻ thông minh hiện có của mình một cách hiệu quả về chi phí và ít gây gián đoạn nhất có thể.

AuthenTrend ATKey.Card NFC là một thẻ thông minh hiện đại, ưu tiên sinh trắc học, đồng thời giải quyết các yêu cầu quan trọng của doanh nghiệp và chính phủ bằng cách cung cấp khả năng tương thích PIV. Nó nhằm mục đích mang lại trải nghiệm tốt nhất của cả hai thế giới, kết hợp giao diện sinh trắc học thân thiện với người dùng với sự hỗ trợ cho các hệ thống PKI cũ.

Thẻ có cảm biến vân tay nổi bật để xác minh khớp trên thẻ, cho phép trải nghiệm "chạm-sinh-trắc-học" đơn giản và an toàn cho các luồng xác thực FIDO2. Điều quan trọng là các SKU cụ thể của ATKey.Card bao gồm một applet PIV, cho phép thẻ lưu trữ chứng chỉ X.509 và hoạt động như một thẻ thông minh truyền thống để đăng nhập dựa trên chứng chỉ vào các máy trạm Windows và macOS. Khả năng PIV này làm cho nó trở thành đối thủ cạnh tranh trực tiếp với các sản phẩm lai từ HID và Thales.

Là một thẻ giao diện kép (NFC và tiếp xúc), nó được thiết kế để có khả năng tương thích rộng với PC, máy tính xách tay và thiết bị di động. Nhà cung cấp cung cấp tài liệu về việc tích hợp nó với các nhà cung cấp danh tính đám mây như Microsoft Entra ID để đăng nhập không mật khẩu.

ATKey.Card là một lựa chọn tuyệt vời cho một tổ chức muốn dẫn đầu chiến lược xác thực của mình bằng một trải nghiệm không mật khẩu, sinh trắc học hiện đại cho người dùng nhưng cũng phải duy trì khả năng tương thích ngược với các hệ thống cũ yêu cầu đăng nhập bằng thẻ thông minh dựa trên PIV.

Thẻ Token2 T2F2-NFC-Card được định vị là lựa chọn hàng đầu cho các đợt triển khai quy mô lớn, có ý thức về ngân sách, nơi mục tiêu chính là cung cấp các passkeys FIDO2 tuân thủ tiêu chuẩn cho một lượng lớn người dùng một cách hiệu quả và giá cả phải chăng.

Tính năng kỹ thuật nổi bật của nó là khả năng lưu trữ lên đến 300 khóa lưu trữ cục bộ (resident keys) (còn được gọi là thông tin xác thực có thể khám phá hoặc passkeys) trên một thẻ duy nhất. Con số này cao hơn đáng kể so với nhiều trình xác thực (authenticator) khác và lý tưởng cho những người dùng, chẳng hạn như các nhà phát triển hoặc quản trị viên hệ thống, cần truy cập vào một tập hợp lớn và đa dạng các dịch vụ trực tuyến. Thẻ hỗ trợ đầy đủ các tiêu chuẩn FIDO2.1 và CTAP2, đảm bảo khả năng tương thích rộng rãi với tất cả các nền tảng và trình duyệt chính.

Phiên bản "Release 3" của thẻ còn tăng thêm giá trị bằng cách bao gồm một applet OpenPGP. Đây là một tính năng có giá trị cho người dùng kỹ thuật, nhà phát triển và các chuyên gia bảo mật dựa vào tiêu chuẩn OpenPGP để mã hóa email, ký mã hoặc các tác vụ mật mã khác. Để xác minh người dùng (user verification), thẻ dựa vào mã PIN được nhập qua giao diện đầu đọc của thiết bị chủ, vì nó không có cảm biến sinh trắc học tích hợp.

Thẻ này hoàn toàn phù hợp để triển khai các trình xác thực (authenticator) FIDO2 cho một lực lượng lao động lớn, sinh viên, hoặc nhà thầu, nơi chi phí là yếu tố thúc đẩy chính và sinh trắc học trên thẻ không phải là yêu cầu bắt buộc.

Thẻ BoBeePass FIDO 2nd Gen từ SmartDisplayer là thông tin xác thực có công nghệ tham vọng nhất trong danh sách này, đẩy lùi các giới hạn về kết nối trong kiểu dáng ID-1 tiêu chuẩn.

Tính năng độc đáo nhất của nó là kết nối 3 trong 1, tích hợp NFC, Bluetooth Low Energy (BLE), và một cổng USB vật lý trực tiếp trên thẻ. Thiết kế đa phương tiện này được cung cấp năng lượng bởi một pin sạc bên trong và nhằm mục đích cung cấp kết nối phổ quát trên máy tính để bàn, máy tính xách tay và thiết bị di động. Thẻ cũng bao gồm một cảm biến vân tay nhúng để xác minh sinh trắc học khớp trên thẻ và đã đạt được chứng nhận FIDO2 Level 2 (L2), một cấp độ xác thực bảo mật cao hơn từ Liên minh FIDO (FIDO Alliance) chứng thực sức mạnh của thiết kế và môi trường hoạt động của nó.

Tuy nhiên, lời hứa về kết nối phổ quát đi kèm với một lưu ý quan trọng tùy thuộc vào nền tảng. Mặc dù ấn tượng về mặt công nghệ, tiện ích của phương thức truyền BLE của nó bị vô hiệu hóa trên các thiết bị Apple, vì iOS và iPadOS không hỗ trợ xác thực FIDO qua BLE. Hơn nữa, iPad không hỗ trợ xác thực FIDO qua NFC, giới hạn việc sử dụng không tiếp xúc của nó trên các thiết bị đó với đầu đọc tiếp xúc hoặc kết nối USB trực tiếp. Do đó, chức năng "3 trong 1" của nó không thể áp dụng phổ biến, một yếu tố quan trọng cần xem xét cho bất kỳ tổ chức nào có sự hiện diện đáng kể của các thiết bị Apple.

BoBeePass phù hợp nhất cho một tổ chức có tầm nhìn xa, có khả năng hoạt động chủ yếu trong môi trường Windows và Android, đánh giá cao chứng nhận FIDO L2 và muốn khám phá tiềm năng của các thông tin xác thực đa phương tiện.

Việc lựa chọn công nghệ xác thực phù hợp là một quyết định chiến lược phụ thuộc vào các trường hợp sử dụng cụ thể, mô hình mối đe dọa và hạ tầng CNTT hiện có của một tổ chức. Bảng so sánh sau đây cung cấp một khuôn khổ rõ ràng để đánh giá các vai trò khác nhau của thẻ thông minh FIDO2, thẻ thông minh PKI truyền thống và các passkeys dựa trên nền tảng ngày càng phổ biến.

Phân tích và làm rõ

Vai trò lâu dài của PKI bắt nguồn từ khả năng phục vụ các chức năng ngoài việc xác thực người dùng đơn giản. FIDO2 được thiết kế để trả lời câu hỏi, "Bạn có phải là người mà bạn nói không?" PKI, thông qua chữ ký số, được thiết kế để cung cấp sự xác nhận và chống chối bỏ, trả lời câu hỏi, "Bạn đã ủy quyền cho hành động cụ thể này chưa?". Đây là những chức năng bảo mật hoàn toàn khác nhau, đó là lý do tại sao nhiều doanh nghiệp, đặc biệt là trong các ngành được quản lý, yêu cầu cả hai. Các nhà cung cấp danh tính hiện đại như Microsoft Entra ID thừa nhận điều này bằng cách hỗ trợ cả FIDO2 và Xác thực dựa trên chứng chỉ (CBA) như các phương thức đăng nhập song song, chống lừa đảo.

Sự trỗi dậy của passkeys nền tảng, được tích hợp liền mạch vào các hệ điều hành bởi Apple, Google và Microsoft, mang lại sự tiện lợi vô song cho người dùng. Tuy nhiên, sự tiện lợi này đi kèm với cái giá là mất đi quyền kiểm soát của doanh nghiệp. Sự khác biệt quan trọng đối với một doanh nghiệp là giữa passkeys được đồng bộ hóa và passkeys gắn liền với thiết bị. Passkeys nền tảng thường được đồng bộ hóa thông qua tài khoản đám mây cá nhân của người dùng (ví dụ: iCloud Keychain hoặc Google Password Manager). Điều này có nghĩa là một passkey được tạo cho tài khoản công ty trên một máy tính xách tay làm việc được quản lý có thể tự động đồng bộ hóa với máy tính bảng cá nhân, không được quản lý của nhân viên ở nhà. Đối với bất kỳ môi trường bảo mật cao nào, việc mất kiểm soát đối với vị trí và vòng đời của trình xác thực (authenticator) là một rủi ro không thể chấp nhận.

Thẻ thông minh FIDO2 giải quyết vấn đề này bằng cách cung cấp một passkey gắn liền với thiết bị có độ bảo mật cao. Khóa mật mã được liên kết vật lý và logic với thẻ do công ty cấp. Các đội ngũ bảo mật CNTT kiểm soát việc cấp phát, quản lý và thu hồi token vật lý này, cung cấp một mức độ kiểm toán và kiểm soát không thể đạt được với các passkeys được đồng bộ hóa. Điều này làm cho các trình xác thực gắn liền với thiết bị như thẻ thông minh trở nên cần thiết để bảo vệ các máy trạm dùng chung, quản lý quyền truy cập đặc quyền và hoạt động trong các môi trường cách ly hoặc được quản lý chặt chẽ.

Câu trả lời trực tiếp là không; thẻ thông minh FIDO2 không thay thế hoàn toàn thẻ thông minh PKI truyền thống. Thay vào đó, chúng đại diện cho một sự tiến hóa, tích hợp các khả năng mới để giải quyết các mối đe dọa hiện đại trong khi cùng tồn tại với các công nghệ đã được thiết lập. Mối quan hệ này là bổ sung cho nhau, không phải thay thế.

Chức năng chính của FIDO2 là thay thế lời nhắc mật khẩu trong quá trình xác thực. Với vai trò này, nó là một giải pháp thay thế trực tiếp và vượt trội hơn hẳn so với các bí mật dựa trên kiến thức, cung cấp khả năng chống lại lừa đảo, tấn công nhồi thông tin xác thực (credential stuffing) và các cuộc tấn công phổ biến khác. Nó hiện đại hóa trải nghiệm đăng nhập cho các ứng dụng web và đám mây, giúp nó vừa an toàn hơn vừa thân thiện với người dùng hơn.

Tuy nhiên, FIDO2 không được thiết kế để giải quyết một tập hợp rộng hơn các chức năng mật mã mà PKI đã xử lý trong nhiều thập kỷ. Các trường hợp sử dụng như chữ ký số có giá trị pháp lý trên tài liệu, S/MIME cho email được mã hóa và ký, và một số loại xác thực máy-với-máy được xây dựng dựa trên tiêu chuẩn chứng chỉ X.509 và mô hình tin cậy phân cấp của PKI. Các chức năng này thường có các yêu cầu pháp lý hoặc quy định cụ thể mà FIDO2 không đáp ứng được.

Giải pháp thực tế của ngành công nghiệp cho sự khác biệt này là thẻ thông minh lai. Các thông tin xác thực như HID Crescendo C2300 và Thales SafeNet IDPrime series là hiện thân của chiến lược cùng tồn tại này. Chúng cho phép một tổ chức triển khai xác thực FIDO2 chống lừa đảo cho tất cả các ứng dụng hiện đại, đồng thời giữ lại các khoản đầu tư và khả năng của mình trong PKI cho các hệ thống cũ và các quy trình làm việc chuyên biệt vẫn còn phụ thuộc vào nó. Điều này cho phép hiện đại hóa xác thực một cách theo từng giai đoạn và chiến lược mà không làm gián đoạn các quy trình kinh doanh quan trọng.

Việc lựa chọn một thẻ thông minh FIDO2 nên được thúc đẩy bởi tình hình bảo mật cụ thể, hạ tầng hiện có và các trường hợp sử dụng chính của một tổ chức. Các khuyến nghị sau đây được cấu trúc xung quanh các kịch bản doanh nghiệp phổ biến.

• Đối với các môi trường phụ thuộc nhiều vào PKI (Tài chính, Chính phủ): Các tổ chức phụ thuộc nhiều vào PKI để đăng nhập Windows bằng thẻ thông minh, chữ ký số và mã hóa dữ liệu nên ưu tiên các thẻ lai. HID Crescendo C2300 và Thales SafeNet IDPrime 3930/3940 FIDO là những lựa chọn hàng đầu. Chúng cho phép triển khai dần dần FIDO2 cho đăng nhập một lần (single sign-on) (SSO) trên web và đám mây mà không làm gián đoạn các quy trình làm việc PKI quan trọng hiện có.

• Đối với truy cập vật lý và logic hội tụ: Để đạt được tầm nhìn "một thẻ duy nhất", HID Crescendo C2300 là giải pháp trực tiếp nhất. Điều quan trọng là phải chọn SKU cụ thể có nhúng công nghệ PACS (ví dụ: Seos, iCLASS, Prox) phù hợp với hạ tầng đầu đọc cửa hiện có của tòa nhà. Cách tiếp cận này giúp đơn giản hóa việc quản lý thông tin xác thực và cải thiện trải nghiệm của nhân viên.

• Đối với yêu cầu sinh trắc học trên thẻ bắt buộc: Khi chính sách bảo mật quy định rằng việc xác minh sinh trắc học phải diễn ra trên chính trình xác thực (authenticator), thay vì trên thiết bị chủ (như Windows Hello), các lựa chọn chính là Thales IDPrime FIDO Bio, AuthenTrend ATKey.Card NFC, hoặc FEITIAN Biometric Fingerprint Card. Những thẻ này cung cấp bằng chứng mạnh mẽ về sự hiện diện của người dùng (user presence) và sự sở hữu bằng cách chuyển việc kiểm tra sinh trắc học sang thông tin xác thực.

• Đối với các đợt triển khai quy mô lớn, nhạy cảm về chi phí: Khi mục tiêu là cung cấp passkeys FIDO2 cho một lượng lớn nhà thầu, đối tác hoặc nhân viên mà ngân sách là một hạn chế chính, Token2 T2F2-NFC-Card PIN+ (Release 3) mang lại sự cân bằng tuyệt vời giữa các tính năng và chi phí. Dung lượng khóa lưu trữ cục bộ (resident key) cao và tuân thủ các tiêu chuẩn làm cho nó trở thành một giải pháp hiệu quả và có thể mở rộng.

• Đối với các tổ chức có triển khai Java Card hiện có: Applet TrustSEC FIDO2 mang đến một con đường nâng cấp độc đáo, mạnh mẽ và hiệu quả về chi phí. Đối với các tổ chức đã cấp một số lượng lớn thẻ Java Card tương thích, việc triển khai applet này có thể bổ sung các khả năng xác thực FIDO2 hiện đại mà không tốn kém chi phí và gánh nặng hậu cần khổng lồ của một chu kỳ thay thế phần cứng hoàn chỉnh.

Bối cảnh xác thực doanh nghiệp đang trải qua một sự thay đổi cơ bản, với thẻ thông minh FIDO2 nổi lên như một cầu nối quan trọng giữa các khoản đầu tư bảo mật cũ và các khuôn khổ hiện đại, không mật khẩu. Báo cáo này đã cung cấp một phân tích chi tiết về công nghệ, các sản phẩm hàng đầu và các cân nhắc chiến lược cho việc triển khai chúng. Tóm lại, các câu hỏi chính được đặt ra ở phần đầu có thể được trả lời như sau:

1. Các công nghệ cốt lõi đằng sau một thẻ thông minh FIDO2 là gì? Đó là một trình xác thực phần cứng dưới dạng thẻ chứa một con chip mật mã an toàn. Con chip này chạy các giao thức FIDO2 hiện đại, chống lừa đảo (WebAuthn và CTAP2) để xác thực web, thường đi kèm với các khả năng Hạ tầng khóa công khai (PKI) truyền thống cho các trường hợp sử dụng cũ như đăng nhập bằng thẻ thông minh và ký số.

2. Đâu là những loại tốt nhất vào năm 2025? Thẻ tốt nhất được xác định bởi trường hợp sử dụng cụ thể. Crescendo C2300 của HID vượt trội trong việc hội tụ truy cập vật lý và logic. Dòng IDPrime của Thales lý tưởng cho các môi trường PKI bảo mật cao, với mô hình FIDO Bio bổ sung sinh trắc học trên thẻ. AuthenTrend và FEITIAN cung cấp các giải pháp tập trung vào sinh trắc học mạnh mẽ. Token2 cung cấp một lựa chọn hiệu quả về chi phí cho các đợt triển khai quy mô lớn, và BoBeePass giới thiệu kết nối đa phương tiện sáng tạo, mặc dù có những hạn chế về nền tảng.

3. Chúng có thay thế thẻ thông minh PKI không? Không, chúng bổ sung cho nhau. FIDO2 được thiết kế để thay thế mật khẩu để xác thực, cung cấp một hàng phòng thủ vượt trội chống lại lừa đảo. PKI tiếp tục là cần thiết cho các chức năng rộng hơn như chữ ký số, mã hóa email và xác nhận (attestation). Chiến lược doanh nghiệp chủ đạo là cùng tồn tại, thường là trên một thẻ lai duy nhất.

4. Chúng so với passkeys nền tảng như thế nào? Thẻ thông minh FIDO2 cung cấp một passkey gắn liền với thiết bị, giúp doanh nghiệp kiểm soát vật lý và khả năng kiểm toán đối với chính thông tin xác thực. Điều này trái ngược với các passkeys được đồng bộ hóa do các nhà cung cấp nền tảng như Apple và Google cung cấp, vốn ưu tiên sự tiện lợi của người dùng hơn là quyền kiểm soát của doanh nghiệp. Đối với các bối cảnh bảo mật cao và máy trạm dùng chung, bản chất gắn liền với thiết bị của thẻ thông minh là một lợi thế bảo mật quan trọng.

5. Tôi nên chọn loại nào? Lựa chọn cuối cùng phải phù hợp với mục tiêu chính của tổ chức bạn. Nếu việc hợp nhất quyền truy cập tòa nhà và CNTT là mục tiêu, một thẻ hội tụ là câu trả lời. Nếu việc đảm bảo sinh trắc học ở cấp độ thông tin xác thực là tối quan trọng, một mô hình khớp trên thẻ là bắt buộc. Nếu việc tích hợp với một hạ tầng PKI sâu rộng là ưu tiên, một thẻ lai mạnh mẽ là cần thiết. Và nếu việc triển khai passkeys ở quy mô lớn với ngân sách hạn hẹp là động lực chính, một thẻ chỉ FIDO2 hiệu quả về chi phí là lựa chọn hợp lý. Con đường phía trước là một con đường cùng tồn tại chiến lược: tận dụng FIDO2 để xác thực hiện đại, chống lừa đảo ở bất cứ đâu có thể, đồng thời giữ lại PKI cho các chức năng thiết yếu mà chỉ nó mới có thể cung cấp.