Cách đạt tỷ lệ chấp nhận Passkey cao trong luồng đăng nhập

1. Giới thiệu#

Chúng ta đã thảo luận về việc tối ưu hóa luồng tạo passkey, bước đầu tiên quan trọng hướng tới việc áp dụng passkey thành công. Tuy nhiên, sau khi tạo, việc đảm bảo người dùng liên tục chọn passkey làm phương thức đăng nhập ưa thích của họ là điều cần thiết. Trong bài viết này, chúng tôi chuyển trọng tâm sang cải thiện tỷ lệ đăng nhập bằng passkey - chìa khóa để đạt được sự chấp nhận passkey có ý nghĩa trong thực tế. Cụ thể, chúng tôi sẽ trả lời các câu hỏi sau:

• Các thực hành tốt nhất để tối ưu hóa tỷ lệ đăng nhập bằng passkey là gì?
• Làm thế nào để các doanh nghiệp khuyến khích hiệu quả việc sử dụng passkey nhất quán ở quy mô lớn?

Bạn sẽ tìm hiểu các chiến lược đã được chứng minh và các cách tiếp cận thực tế phù hợp với môi trường doanh nghiệp, cho phép tổ chức của bạn chuyển đổi thành công người dùng từ mật khẩu sang passkey. Mặc dù bài viết trước của chúng tôi đã đề cập đến việc tạo passkey và đăng ký ban đầu, bài viết này đặc biệt nhắm vào các chiến lược được thiết kế để tối ưu hóa việc sử dụng passkey liên tục, đảm bảo rằng passkey trở thành phương thức xác thực chính cho người dùng của bạn theo thời gian.

2. Tại sao việc chấp nhận Passkey quan trọng hơn việc triển khai: Tỷ lệ đăng nhập Passkey#

Đạt được mức đăng ký passkey cao chỉ là một phần của câu đố; tỷ lệ đăng nhập passkey - tỷ lệ phần trăm tổng số lượt đăng nhập diễn ra thông qua passkey thay vì các phương thức dự phòng cung cấp sự phản ánh chính xác nhất về việc sử dụng passkey thực sự. Một hệ thống tạo ra các lượt đăng ký passkey nhưng không thấy các passkey đó được sử dụng trong xác thực hàng ngày sẽ không mang lại các lợi ích bảo mật và sự tiện lợi đã hứa. Dưới đây là những cân nhắc chính để hiểu tại sao việc sử dụng cũng quan trọng như việc tạo:

2.1 Tỷ lệ đăng nhập bằng Passkey là chỉ số chấp nhận tối thượng#

Mặc dù các lượt đăng ký passkey mới rất quan trọng, các tổ chức nên đo lường thành công của việc áp dụng thông qua số lượng lượt đăng nhập thực sự diễn ra qua passkey. Tỷ lệ phần trăm sử dụng passkey / tỷ lệ đăng nhập passkey cao tương quan trực tiếp với việc ít thiết lập lại mật khẩu hơn, chi phí OTP thấp hơn và sự hài lòng của người dùng được cải thiện. Để theo dõi chi tiết các số liệu này, hãy xem hướng dẫn phân tích passkey của chúng tôi.

2.2 Vượt qua tổng số thô và số lượng tạo Passkey#

Ngay cả khi một nền tảng báo cáo hàng trăm ngàn hoặc hàng triệu thông tin xác thực passkey, những con số thô này không nhất thiết chuyển thành hoạt động passkey hàng ngày mạnh mẽ. Chỉ số cốt lõi là tỷ lệ đăng nhập passkey, tức là tỷ trọng của tổng số lượt đăng nhập bằng passkey.

2.3 Các mức độ phức tạp triển khai khác nhau#

Mỗi quy trình làm việc đăng nhập passkey, cho dù đó là tự động khởi chạy lời nhắc passkey (identifier-first) hay cung cấp một nút passkey riêng biệt, đều có thể tác động đáng kể đến việc người dùng sử dụng. Một số luồng đòi hỏi nhiều nỗ lực hơn để nâng cao tỷ lệ đăng nhập passkey.

2.4 Phân biệt việc tạo và việc sử dụng liên tục#

Mặc dù hành trình ban đầu của người dùng (nhắc nhở, nhắn tin, thiết kế nghi lễ) rất quan trọng đối với việc đăng ký passkey, việc duy trì động lực đòi hỏi các luồng sau khi đăng ký được tối ưu hóa cẩn thận. Chỉ có passkey "trong hồ sơ" là không đủ - các cú hích liên tục, lời nhắc nhở về mức độ bao phủ thiết bị và trải nghiệm đăng nhập không ma sát là cần thiết để giữ mức độ sử dụng cao, nhưng yếu tố quan trọng nhất là thúc đẩy việc đăng nhập bằng passkey một cách thuận tiện.

2.5 So sánh Tự làm vs. Giải pháp từ nhà cung cấp: Tỷ lệ đăng nhập Passkey là bao nhiêu?#

Nhiều nhà cung cấp giải pháp trích dẫn số lượng tạo ấn tượng hoặc "số liệu chấp nhận không xác định", nhưng câu hỏi quan trọng là hệ thống của họ chuyển đổi hiệu quả như thế nào các đăng ký passkey mới thành lượt đăng nhập passkey hàng ngày. Trong một số trường hợp, khối lượng sử dụng tuyệt đối có thể cao do cơ sở người dùng lớn, nhưng tỷ lệ phần trăm tổng số lượt đăng nhập được quy cho passkey vẫn thấp. Trong bài viết này, chúng tôi sẽ làm nổi bật các chiến lược quan trọng để đảm bảo luồng đăng nhập passkey của bạn chuyển thành việc sử dụng passkey liên tục, thực sự như là một sự chuẩn bị để tiến tới không mật khẩu (passwordless) hoàn toàn.

Tóm lại, việc tăng cường tỷ lệ đăng nhập passkey chính là yếu tố cốt lõi quyết định sự thành công của bất kỳ dự án passkey nào. Bằng cách áp dụng các luồng đăng nhập được hoạch định tốt, nhắc nhở người dùng nhất quán và quản lý dự phòng cẩn thận, các doanh nghiệp có thể nâng mức sử dụng passkey lên 50% và cao hơn, mở đường để thực sự thay thế mật khẩu và trải nghiệm những lợi ích của một hệ sinh thái không mật khẩu.

3. Cách tiếp cận kỹ thuật: Passkey có thể được sử dụng để đăng nhập như thế nào?#

Trước khi đi sâu vào các thực hành tốt nhất để tối ưu hóa việc chấp nhận đăng nhập passkey, điều quan trọng là phải phác thảo ngắn gọn các phương pháp kỹ thuật khác nhau có sẵn để tích hợp xác thực dựa trên passkey vào các luồng đăng nhập của bạn. Mỗi phương pháp đều có những điểm mạnh và sự cân nhắc riêng ảnh hưởng đến tỷ lệ chấp nhận tổng thể, trải nghiệm người dùng và hiệu quả bảo mật. Hiểu được các tùy chọn này tạo tiền đề cho việc áp dụng hiệu quả các thực hành tốt nhất phù hợp với trường hợp sử dụng cụ thể của bạn.

3.1 Conditional UI#

Conditional UI cho phép tự động đề xuất một passkey hiện có trong quá trình nhắc đăng nhập, giảm đáng kể ma sát, đặc biệt là trên nền tảng di động. Cách tiếp cận này tận dụng khả năng của nền tảng gốc, nâng cao trải nghiệm người dùng bằng cách giảm thiểu các bước cần thiết để bắt đầu xác thực bằng passkey. Tuy nhiên, nó có những hạn chế, đặc biệt khi có nhiều tài khoản được liên kết với cùng một nền tảng. Người dùng có thể gặp nhầm lẫn về việc passkey được cung cấp thuộc về tài khoản nào, có khả năng gây ra sự do dự hoặc hủy bỏ đăng nhập. Ngoài ra, mặc dù Conditional UI tích hợp trơn tru với các trình quản lý mật khẩu, nó không được áp dụng phổ biến. Người dùng có thể hủy lời nhắc Conditional UI để xác minh thông tin xác thực một cách thủ công, cho thấy sự cần thiết phải có thêm sự rõ ràng hoặc đảm bảo trong luồng đăng nhập. Conditional UI không phải là một cơ chế xác thực độc lập, nó được coi là một tiện ích bổ sung và phải được kết hợp với phương pháp Đăng nhập tự động bằng Passkey hoặc nút Passkey.

3.2 Đăng nhập / Kích hoạt tự động với Passkey (Các luồng Identifier-First)#

Trong các luồng identifier-first, người dùng nhập mã định danh của họ (chẳng hạn như email hoặc tên người dùng) và nếu có sẵn một passkey hợp lệ, quá trình đăng nhập sẽ tự động bắt đầu. Chúng tôi cũng sẽ gọi phương pháp này là kích hoạt tự động. Phương pháp này giảm đáng kể ma sát, làm cho việc đăng nhập gần như dễ dàng đối với người dùng có passkey đã đăng ký có thể truy cập được trên thiết bị hiện tại của họ. Tuy nhiên, sự phức tạp khi triển khai phát sinh khi xác định tính khả dụng của passkey trên các thiết bị và trình duyệt khác nhau, vì tiêu chuẩn WebAuthn không hỗ trợ trực tiếp việc phát hiện passkey trên web. Do đó, các nhà cung cấp thường đơn giản hóa cơ chế phát hiện hoặc nhắc nhở người dùng mỗi lần, gây thất vọng cho người dùng khi phải đối mặt với các tùy chọn không thể truy cập như mã QR không cần thiết, đặc biệt là các trường hợp sử dụng trong đó người dùng có nhiều thiết bị và sự kết hợp của thiết bị di động, máy tính xách tay cá nhân và công việc, cũng như thiết bị gia đình. Một bài viết đầy đủ dành riêng cho các luồng Identifier-First có thể được tìm thấy tại đây.

3.3 Cách tiếp cận nút Passkey (Tránh liệt kê tài khoản)#

Cách tiếp cận nút passkey liên quan đến việc cung cấp một nút riêng biệt, chuyên dụng bên dưới các phương thức đăng nhập truyền thống, nhắc nhở rõ ràng người dùng bắt đầu xác thực passkey một cách thủ công. Phương pháp này giải quyết hiệu quả các mối lo ngại về liệt kê tài khoản vì các nghi lễ xác thực chỉ diễn ra nếu có một passkey hợp lệ trên thiết bị của người dùng, do đó ngăn ngừa rò rỉ liên quan đến sự tồn tại của tài khoản hoặc thông tin xác thực. Mặc dù đơn giản và an toàn, nhược điểm chính là người tiêu dùng hạn chế sử dụng. Nếu không tự động khởi tạo đăng nhập bằng passkey, người dùng thường mặc định sử dụng các phương pháp dựa trên mật khẩu quen thuộc. Các doanh nghiệp áp dụng phương pháp này nên kết hợp nó với thông điệp chiến lược, chẳng hạn như lời nhắc hoặc biểu ngữ, để hướng sự chú ý của người dùng vào việc sử dụng passkey và truyền đạt rõ ràng các lợi ích về tiện ích và bảo mật mà passkey mang lại. Corbado tận dụng Passkey Intelligence và nút passkey One-Tap để đảm bảo mức độ chấp nhận đăng nhập passkey cao, ngay cả trong kịch bản này - nhưng chúng ta sẽ nói thêm về điều đó ở phần sau của bài viết.

3.4 Sử dụng Passkey như yếu tố thứ hai#

Phương pháp này tích hợp passkey như một yếu tố bổ sung sau khi người dùng đã xác thực ban đầu qua mật khẩu. Sau khi nhập mật khẩu thành công, người dùng chọn giữa passkey và các yếu tố thứ hai truyền thống như SMS hoặc ứng dụng xác thực. Ưu điểm chính của cách tiếp cận này là sự gián đoạn tối thiểu đối với quy trình đăng nhập hiện có, giúp các doanh nghiệp dần dần giới thiệu passkey dễ dàng hơn mà không yêu cầu thay đổi hành vi đáng kể của người dùng. Tuy nhiên, nó mang lại ít sự cải thiện UX và giữ cho khách hàng bị neo vào xác thực dựa trên mật khẩu, do đó hạn chế quá trình chuyển đổi sang môi trường thực sự không có mật khẩu. Do đó, cách tiếp cận này phù hợp nhất với các kịch bản thận trọng hoặc bị chi phối bởi quy định tuân thủ, nơi mà việc giới thiệu passkey dần dần là thích hợp hơn.

3.5 Cách tiếp cận ưu tiên thiết bị di động (Passkey chỉ trên thiết bị di động)#

Cách tiếp cận ưu tiên thiết bị di động độc quyền tận dụng các passkey được đồng bộ hóa có sẵn trên thiết bị di động. Khi đăng nhập từ máy tính để bàn, người dùng thường xác thực bằng cách quét mã QR hiển thị trên màn hình của họ để bắt đầu tạo hoặc đăng nhập bằng passkey thông qua thiết bị di động. Chiến lược này đặc biệt hấp dẫn đối với các tổ chức dùng thiết bị di động làm nền tảng hoặc các ngân hàng số nhằm giảm độ phức tạp bằng cách liên kết chặt chẽ với trải nghiệm người dùng lấy thiết bị di động làm trung tâm hiện có của họ. Tuy nhiên, nó đặt trách nhiệm đáng kể lên người dùng, đòi hỏi họ phải liên tục sử dụng thiết bị di động của mình để xác thực, điều này có thể gây ra ma sát. Sự phụ thuộc vào mã QR cũng không trực quan đối với nhiều người dùng, có khả năng cản trở sự chấp nhận rộng rãi hơn trừ khi được bổ sung bởi sự hướng dẫn và giáo dục người dùng rõ ràng, hỗ trợ. Cách tiếp cận này cho đến ngày nay chỉ được sử dụng trong các triển khai quy mô nhỏ chứ không phải trong các triển khai quy mô lớn.

4. Các thực hành tốt nhất cho đăng nhập Passkey#

Bây giờ chúng ta đã khám phá các phương pháp kỹ thuật để tích hợp passkey vào các luồng đăng nhập, hãy cùng phân tích xem các tổ chức lớn như Amazon, Microsoft, Google và myGov đã triển khai thành công passkey trên quy mô lớn như thế nào. Bằng cách kiểm tra các ví dụ quy mô lớn này, chúng ta sẽ xác định các thực hành tốt nhất và các thông tin chi tiết thực tế có thể hướng dẫn doanh nghiệp của bạn đạt được sự chấp nhận passkey cao và tỷ lệ đăng nhập passkey liên tục ở mức cao.

4.1 Amazon đã tiếp cận đăng nhập bằng Passkey như thế nào?#

• Đăng nhập tự động với Passkey: Sau khi người dùng nhập email của họ, Amazon tự động khởi chạy một luồng passkey nếu một passkey hợp lệ có khả năng khả dụng trên thiết bị. Như có thể thấy trong ảnh chụp màn hình ở trên, ban đầu không có nút để bắt đầu đăng nhập bằng passkey; nó xuất hiện sau đó.
• Xử lý hủy của người dùng: Khi người dùng hủy hoặc lời nhắc passkey không thành công, luồng đăng nhập sẽ hoàn tác hiển thị một nút passkey có thể nhìn thấy hoặc dự phòng mật khẩu. Người dùng có thể thử lại passkey bất cứ lúc nào bằng cách nhấp vào "Use passkey" hoặc tiếp tục với các luồng mật khẩu hiện có nếu thực sự cần thiết.
• Conditional UI: Tất cả các màn hình đều hỗ trợ tự động điền và Conditional UI, nhưng như chúng ta đã quan sát, một số người dùng bỏ qua tính năng tự động điền và nhập mã định danh của họ theo cách thủ công.

4.2 Microsoft đã tiếp cận đăng nhập bằng Passkey như thế nào?#

• Mặc định thành Passkey: Khi người dùng nhập email của họ, Microsoft sẽ kiểm tra xem liệu có một passkey được lưu trữ cho nền tảng đó hay không. Nếu có khả năng khả dụng, hệ thống sẽ tự động nhắc passkey - tự động kích hoạt buổi lễ WebAuthn (đăng nhập tự động).
• Luồng bị hủy & Dự phòng mật khẩu: Nếu người dùng hủy lời nhắc passkey hoặc không có passkey hợp lệ trên thiết bị đó, hệ thống sẽ không tự động chuyển sang luồng dự phòng mà sẽ hiển thị trang lỗi passkey nơi các tùy chọn bổ sung có thể được sử dụng.
• Conditional UI: Trên live.com, hiện tại Microsoft không triển khai Conditional UI, có khả năng do sự phức tạp liên quan đến Truy cập có điều kiện (Conditional Access) trong hệ thống Entra cơ bản.

4.3 Google đã tiếp cận Đăng nhập bằng Passkey như thế nào?#

• Đăng nhập tự động với Passkey: Sau khi người dùng nhập email của họ, Google cũng tự động khởi tạo luồng passkey nếu có khả năng có passkey hợp lệ trên thiết bị. Việc đăng nhập tự động không được kích hoạt trong tất cả các trường hợp có liên quan, tránh được đăng nhập bằng mã QR.
• Xử lý hủy của người dùng: Khi người dùng hủy hoặc lời nhắc passkey không thành công, luồng đăng nhập sẽ hoàn tác về một trang lỗi thông tin để thúc đẩy người dùng thử lại quá trình đăng nhập. Người dùng chỉ có thể thử lại passkey sau lần hủy thứ hai, tại thời điểm đó Google tăng cường thông báo lỗi và bao gồm một cuộc khảo sát ngắn. Chúng tôi đã dành một bài viết đầy đủ cho các cơ chế dự phòng tốt nhất.

• Conditional UI: Tất cả các màn hình hiện đều hỗ trợ Conditional UI, mặc dù Google ban đầu ra mắt mà không có nó.

4.4 myGov đã tiếp cận Đăng nhập bằng Passkey như thế nào?#

• Nút Passkey riêng biệt: Màn hình đăng nhập có một tùy chọn rời rạc "Sign in with passkey". Mặc dù triển khai đơn giản, cách tiếp cận này phụ thuộc vào việc người dùng nhận thấy và chọn tùy chọn passkey. Gần đây đã di chuyển tùy chọn đăng nhập passkey lên trên để tăng cường nhận thức của người dùng.
• Tắt Mật khẩu: Sau khi tạo passkey, người dùng có thể vô hiệu hóa hoàn toàn mật khẩu, một lợi thế bảo mật lớn. Tuy nhiên, luồng đăng nhập mặc định là SMS OTP nếu passkey không được kích hoạt rõ ràng và có thể gây nhầm lẫn.
• Không có Conditional UI: myGov hiện không tận dụng tự động điền passkey (conditional UI) trên web hoặc ứng dụng gốc của nó, bỏ lỡ trải nghiệm đăng nhập "một cú nhấp chuột" không ma sát cho các thiết bị sẵn sàng hỗ trợ passkey, điều này đặc biệt quan trọng khi sử dụng phương pháp Nút Passkey. Chúng tôi cũng có một bài phân tích đầy đủ về Triển khai Passkey myGov.

4.5 Tóm tắt: Các điểm chung và Sự kiện quan trọng#

Dưới đây là phần so sánh súc tích về cách Amazon, Microsoft, Google và myGov cấu trúc các luồng đăng nhập passkey của họ, tập trung vào việc họ tự động kích hoạt passkey (đăng nhập tự động) hay dựa vào nút passkey riêng biệt, trí thông minh được sử dụng để kiểm tra tính khả dụng của thông tin xác thực, liệu một yếu tố bổ sung có được áp dụng hay không, việc hỗ trợ Conditional UI, và mức độ chấp nhận passkey tổng thể mà mỗi cách tiếp cận đạt được.

Bài học rút ra

1. Đăng nhập Passkey Tự động Tăng Mức độ Chấp nhận
   Amazon, Microsoft và Google xác nhận rằng một khi người dùng đã nhập mã định danh, việc tự động nhắc passkey mang lại tỷ lệ đăng nhập passkey cao hơn - đặc biệt là trên thiết bị di động. myGov, ngược lại, bám sát vào một nút passkey riêng biệt, làm giảm việc sử dụng passkey hàng ngày. Điều này có thể do cách tiếp cận thận trọng hơn đối với Liệt kê tài khoản.
2. Xử lý Dự phòng
   Tất cả các giải pháp đều trở lại các tùy chọn dự phòng nếu lời nhắc passkey không thành công hoặc bị hủy, nhưng các chi tiết có thể thay đổi (ví dụ: Amazon cung cấp nút passkey rõ ràng; Microsoft hiển thị trang lỗi). Logic dự phòng này phải trực quan để duy trì sự tin tưởng của người dùng.
3. Conditional UI
   Google & Amazon sử dụng Conditional UI để giảm ma sát bằng cách tự động đề xuất passkey. Microsoft không thực hiện nó do sự phức tạp của Entra nội bộ. myGov không kết hợp bất kỳ giao diện người dùng tự động điền passkey nào.
4. Tác động đến Yêu cầu MFA
   Tất cả các ví dụ ngoại trừ Amazon dựa vào passkey như một yếu tố MFA khép kín. Công ty lớn duy nhất khác theo đuổi việc xử lý Passkey như là yếu tố đơn là Paypal nhưng đã đổi hướng ở Mỹ do tỷ lệ gian lận bằng passkey thấp hơn nhiều. Mặc dù trong trường hợp của họ, họ không coi nó là sự thay thế cho yếu tố đầu tiên (mật khẩu) mà là sự thay thế cho yếu tố thứ hai (SMS OTP).
5. Kết quả Áp dụng
   Amazon, Microsoft và Google đều thể hiện tỷ lệ đăng nhập passkey cao. Việc sử dụng myGov tụt lại phía sau, bị cản trở bởi một nút passkey rời rạc mà không có đăng nhập passkey tự động.

Bằng cách kết hợp phát hiện tự động, trí thông minh dự phòng và conditional UI tùy chọn, Amazon, Microsoft và Google chứng minh cách liên tục thúc đẩy passkey làm phương thức đăng nhập chính. Trong khi đó, myGov đưa ra một ví dụ cảnh báo về cách một cách tiếp cận dựa trên nút, ưu tiên bảo mật đơn giản hơn có thể trông như thế nào.

5. Cơ sở: Đăng nhập Tự động vs Nút Passkey#

Khi tích hợp passkey vào luồng đăng nhập của bạn, hai tùy chọn chính nổi bật đối với xác thực hàng ngày: đăng nhập tự động (một phương pháp tiếp cận identifier-first) và một nút passkey riêng biệt, chuyên dụng. Mỗi phương pháp cung cấp những lợi thế, sự đánh đổi và trải nghiệm người dùng khác biệt. Sau khi triển khai các luồng đăng ký passkey thành công, bước tiếp theo là đảm bảo người dùng đăng nhập bằng passkey thay vì mặc định với thông tin đăng nhập dự phòng. Dưới đây, chúng tôi khám phá chi tiết hơn cả hai phương pháp trước khi giới thiệu giải pháp One-Tap của Corbado.

5.1 Cách tiếp cận Đăng nhập Tự động bằng Passkey#

Người dùng nhập mã định danh của họ (ví dụ: email hoặc tên người dùng) và nếu hệ thống phát hiện ra rằng có thể có một passkey hợp lệ trên thiết bị hoặc nền tảng này, nó sẽ tự động bắt đầu luồng passkey. Thay vì yêu cầu chọn thủ công (ví dụ: "Nhấp vào đây để sử dụng passkey"), người dùng được hướng dẫn suôn sẻ để đăng nhập bằng sinh trắc học (hoặc mã PIN) nếu passkey có sẵn và có thể truy cập được.

Ưu điểm

1. Đăng nhập Liền mạch: Đăng nhập tự động giảm đáng kể ma sát của việc sử dụng passkey - người dùng chỉ cần nhập email của họ và một lời nhắc passkey sẽ xuất hiện.
2. Tỷ lệ Đăng nhập Passkey Cao: Bởi vì sử dụng passkey là mặc định khi có sẵn, tỷ lệ đăng nhập hàng ngày thông qua passkey có xu hướng cao (50% - 80% hoặc hơn).
3. Giảm chi phí SMS OTP: Bằng cách khuyến khích sử dụng passkey cho xác thực hàng ngày, sự phụ thuộc vào SMS hoặc email OTP tốn kém giảm đi, tiết kiệm chi phí hoạt động.

Thách thức

• Độ Phức Tạp của Việc Phát Hiện: Việc xác định xem liệu một passkey thực sự tồn tại cho một người dùng nhất định trên một thiết bị cụ thể có phức tạp không vì WebAuthn không trực tiếp cung cấp các kiểm tra tính khả dụng của passkey. Nhiều giải pháp quay lại việc luôn cố gắng thực hiện luồng tự động, điều này có thể gây nhầm lẫn nếu người dùng không thực sự có passkey trên thiết bị này, dẫn đến ngõ cụt trong lời nhắc của hệ điều hành:

• Rủi ro Liệt kê Tài khoản: Bằng cách yêu cầu mã định danh của người dùng trước, bạn phải giảm thiểu rủi ro tiết lộ liệu email đó đã được đăng ký hay chưa. Việc triển khai phát hiện bot, giới hạn tỷ lệ và các thông báo "xử lý lỗi" nhất quán giúp giải quyết vấn đề này.

Nhìn chung, một luồng identifier-first tự động cố gắng đăng nhập passkey là động lực lớn nhất để có tỷ lệ đăng nhập passkey cao. Nếu sự ma sát của người dùng là mối quan tâm hàng đầu của bạn và nền tảng của bạn có thể hỗ trợ logic nâng cao để xử lý kịch bản "không tìm thấy passkey" một cách mượt mà, cách tiếp cận này thường là tốt nhất.

5.2 Cách tiếp cận Nút Passkey Riêng biệt với Passkey#

Nút (hoặc liên kết) "Sign in with Passkey" riêng biệt xuất hiện bên cạnh các thông tin xác thực truyền thống. Thay vì tự động khởi chạy luồng passkey, hệ thống đợi cho đến khi người dùng nhấp vào nút passkey. Chỉ sau đó, buổi lễ passkey mới bắt đầu, xác minh xem liệu có passkey tồn tại trên thiết bị của người dùng hay không.

Ưu điểm

1. Sự Đơn Giản Trong Việc Triển Khai: Bạn có thể thêm một nút passkey dưới hoặc gần các trường tên người dùng/mật khẩu với sự gián đoạn tối thiểu đối với các luồng hiện có.
2. Không Có Bước Định Danh: Người dùng thích passkey có thể tiến hành trực tiếp xác thực passkey, bỏ qua bước nhập email/tên người dùng.
3. Tránh Độ Phức Tạp Bổ Sung: Bạn không cần logic phát hiện thiết bị hoặc passkey nâng cao, vì người dùng đang chọn đăng nhập bằng passkey một cách rõ ràng.

Thách thức

1. Sử dụng Passkey Thấp Nhất: Trên thực tế, nhiều người dùng bỏ qua nút passkey do thói quen hoặc không quen thuộc, mặc định là các luồng mật khẩu hoặc OTP đã biết — do đó việc sử dụng passkey vẫn ở mức thấp.
2. Ít Tiết Kiệm SMS OTP Hơn: Bởi vì passkey vẫn là tùy chọn hoặc "ẩn", tiết kiệm chi phí của bạn từ việc giảm sử dụng OTP sẽ ở mức tối thiểu.
3. Giảm Lợi Ích Bảo Mật: Hệ thống tiếp tục phụ thuộc vào các phương pháp dự phòng ngay cả khi một passkey có thể tồn tại, không thúc đẩy các hành vi mới hướng tới việc sử dụng không mật khẩu.

Tóm lại, các nút passkey rất đơn giản để triển khai nhưng thường mang lại tỷ lệ đăng nhập passkey thấp. Tuy nhiên, chúng có thể đóng vai trò như một biện pháp chuyển tiếp hoặc cách tiếp cận dự phòng cho các tổ chức lo ngại về việc liệt kê tài khoản hoặc thiếu cơ sở hạ tầng để tự động phát hiện passkey.

6. Chiến lược Đăng nhập Nâng cao của Corbado: Đạt Mức độ Chấp nhận Passkey Cao với Nút Passkey One-Tap & Passkey Intelligence#

Khi tích hợp passkey, nhiều doanh nghiệp bị mắc kẹt giữa hai thái cực không hoàn hảo:

• Đăng nhập tự động bằng passkey trên mỗi lần nhập email / tên người dùng, điều này có thể dẫn đến lời nhắc sai, người dùng nhầm lẫn và mã QR.
• Chỉ cung cấp nút passkey riêng biệt mà người dùng thường xuyên bỏ qua vì thói quen, dẫn đến mức sử dụng passkey hàng ngày ở mức tối thiểu.

Corbado thu hẹp khoảng cách này bằng Passkey Intelligence và Nút Passkey One-Tap, hai cải tiến độc quyền dành cho các đợt triển khai quy mô lớn giúp nâng cao tỷ lệ sử dụng passkey từ tỷ lệ phần trăm một chữ số lên hơn 50% và thường là +80% của tất cả các lần đăng nhập, đồng thời thúc đẩy tỷ lệ đăng nhập thành công đạt gần 100%.

6.1 Cách tiếp cận Đăng nhập Tự động bằng Passkey với Corbado#

Thách thức lớn nhất với cách tiếp cận tự động là quyết định khi nào bắt đầu đăng nhập tự động, vì điều này phụ thuộc vào nhiều yếu tố. Corbado giải quyết vấn đề này bằng Engine Passkey Intelligence của mình.

6.1.1 Passkey Intelligence là gì?#

Passkey Intelligence là một lớp động dự đoán liệu passkey của người dùng có nhiều khả năng khả dụng trên thiết bị hoặc môi trường hiện tại hay không. Sử dụng các tín hiệu như:

• Dữ liệu Thiết bị & Trình duyệt: Phiên bản hệ điều hành, khả năng của trình duyệt, hỗ trợ passkey đã biết.
• Lịch sử Người dùng: Số lần đăng nhập passkey thành công trước đây, việc sử dụng phương pháp dự phòng, bỏ qua các mẫu cho môi trường và thiết bị này.
• Chỉ Báo Rủi ro: Tần suất thử nghiệm, tín hiệu IP hoặc thay đổi tác nhân người dùng (user agent).

6.1.2 Passkey Intelligence giải quyết việc Đăng nhập Tự động như thế nào?#

Engine của Corbado quyết định liệu nên:

1. Tự động kích hoạt đăng nhập passkey (tương tự như phương pháp identifier-first).
2. Khôi phục một cách trơn tru về các luồng dự phòng nếu chúng tôi phát hiện thấy luồng passkey khó có khả năng thành công (ví dụ: thiết bị hiện tại không có passkey và thiết bị không có khả năng sử dụng xác thực qua nhiều thiết bị).

Điều này loại bỏ việc phỏng đoán. Thay vì "luôn luôn thử passkey" một cách bao trùm, hệ thống của bạn sẽ nhẹ nhàng thúc đẩy những người dùng có passkey chỉ khi có khả năng thành công, giảm thiểu sự thất vọng và thúc đẩy sự chấp nhận.

Trong các đợt triển khai thực tế, Passkey Intelligence đã chứng minh khả năng giảm thiểu tỷ lệ lỗi đối với các lần đăng nhập bằng passkey hơn 95% so với một phương pháp tiếp cận đơn giản luôn tự động bắt đầu mỗi lần.

6.2 Cách tiếp cận Nút Passkey Riêng biệt với Corbado#

Thách thức lớn nhất đối với phương pháp nút passkey riêng biệt là tỷ lệ sử dụng cực kỳ thấp. Người dùng chỉ đơn giản tiếp tục sử dụng biểu mẫu đăng nhập truyền thống quen thuộc. Vấn đề này rất khó để giải quyết bởi vì phương pháp này thường được chọn để tránh lộ việc tài khoản có tồn tại hay không, cho mục đích bảo mật (liệt kê tài khoản). Corbado tận dụng Passkey Intelligence để giải quyết vấn đề này với nút Passkey One-Tap của chúng tôi.

6.2.1 Nút Passkey One-Tap hoạt động như thế nào?#

1. Đăng nhập bằng Nút Passkey Riêng biệt: Nếu người dùng đăng nhập bằng passkey, Corbado sẽ kích hoạt Nút Passkey One-Tap cho lần đăng nhập tiếp theo. Nút Passkey One-Tap cũng được kích hoạt nếu người dùng tạo passkey sau khi đăng nhập bằng các phương thức đăng nhập truyền thống. Nút Passkey One-Tap giống như "ghi nhớ địa chỉ e-mail của tôi" cho passkey.
2. Đăng nhập bằng Mật khẩu: Chúng tôi đã thảo luận rằng một nhược điểm lớn của phương pháp Nút Passkey riêng biệt là người dùng không chủ động sử dụng nó. Trong trường hợp điều đó xảy ra, Passkey Intelligence sẽ phát hiện ra rằng việc đăng nhập có thể đã được thực hiện bằng passkey và (tái) kích hoạt Nút Passkey One-Tap. Điều đó giúp lan truyền Nút Passkey One-Tap trên cả các thiết bị mới.
3. Các lần Đăng nhập Sau: Nút Passkey One-Tap sẽ tự động xuất hiện - không cần nhập email riêng hoặc nút passkey thủ công. Người dùng chỉ cần chạm một lần, quét sinh trắc học và đăng nhập thành công.

6.2.2 Nút Passkey One-Tap cải thiện Tỷ lệ Chấp nhận cho Cách tiếp cận Nút Passkey Riêng biệt như thế nào?#

Sự thất vọng của người dùng được giảm thiểu nhờ việc có ít buổi lễ đăng nhập bị hủy hơn và số lượng lượt hủy bỏ giảm 95% so với các phương pháp identifier-first truyền thống.

Cách tiếp cận này là kẻ thay đổi cuộc chơi đối với sự chấp nhận của phương pháp Nút Passkey riêng biệt. Trong các triển khai nút passkey riêng biệt điển hình, mức sử dụng passkey có thể bị chững lại ở 5%.

Với Nút Passkey One-Tap được điều khiển bởi Passkey Intelligence, luồng tương tự có thể vượt qua mức tỷ trọng 50% số lượt đăng nhập bằng passkey trong vòng vài tháng cùng với sự bắt buộc di chuyển sang passkey. Dữ liệu nội bộ cho thấy 97% người dùng khi nhìn thấy Nút Passkey One-Tap sẽ gắn bó với nó, hiếm khi quay trở lại dùng mật khẩu hoặc mã MFA. Điều này trực tiếp làm tăng tỷ lệ chuyển đổi khi passkey đạt được tỷ lệ đăng nhập thành công 93% so với 63% đối với mật khẩu.

6.3 USP của Corbado: Một Phương pháp Tiếp cận Thống nhất, Mức độ Chấp nhận Cao#

Các giải pháp khác có thể xử lý việc tạo passkey rất tốt nhưng lại thất bại khi nói đến việc sử dụng hàng ngày, khiến các tổ chức mắc kẹt với tỷ lệ chấp nhận quá thấp để có thể biện minh cho việc loại bỏ dần mật khẩu và không nhận được các lợi ích như thực tế. Corbado giải quyết cả hai vấn đề - đăng ký passkey liền mạch kết hợp với việc sử dụng hàng ngày hấp dẫn cùng với tỷ lệ đăng nhập bằng passkey cao nhất trong ngành - trong khi vẫn tôn trọng quyền tự chủ của người dùng và các nhu cầu dự phòng.

Các điểm chính:

• Nút Passkey Riêng biệt không có Corbado: Cung cấp sự an mật nhưng tỷ lệ đăng nhập cực kỳ giới hạn và sự cải tiến trải nghiệm người dùng là tối thiểu.
• Đăng nhập Passkey Tự động không có Corbado: Cải thiện việc sử dụng nhưng gây nhầm lẫn bằng cách khởi động lời nhắc passkey trên các thiết bị không có quyền truy cập vào passkey của người dùng, dẫn đến sự nhầm lẫn, dùng mã QR và ngõ cụt.
• Nút Passkey One-Tap + Passkey Intelligence của Corbado: Mang lại tỷ lệ đăng nhập cao nhất trong ngành, giảm đáng kể ma sát của người dùng, làm tăng sự gắn bó của người dùng với passkey cho cả hình thức đăng nhập tự động và nút passkey.

Tận dụng Passkey Intelligence kết hợp với Nút Passkey One-Tap, Corbado chuyển đổi việc triển khai passkey từ các hộp kiểm đơn thuần thành các giải pháp hiệu quả cao, mang lại giá trị có thể đo lường và tăng cường bảo mật trên quy mô lớn.

7. Đo lường Thành công Của Việc Triển khai Passkey: Chúng Tôi Đảm bảo Tỷ lệ Đăng nhập Passkey Cao#

Chúng tôi có niềm tin mạnh mẽ rằng chỉ có sự chấp nhận mới làm cho một dự án passkey thành công, do đó chúng tôi khuyến nghị nên đánh giá các giải pháp từ nhà cung cấp và nội bộ dựa trên sự bảo đảm của họ liên quan đến hai số liệu chính: Tỷ lệ Kích hoạt của Người dùng và Tỷ lệ Đăng nhập Passkey. Những chỉ số (KPI) này cung cấp thông tin trực tiếp về mức độ chấp nhận thực tế và sự tương tác liên tục của người dùng với passkey, đảm bảo giải pháp bạn đã chọn mang lại lợi ích an ninh và sự thuận tiện như đã hứa. Chúng tôi đã đưa vào các KPI quan trọng nhất ở đây như là một bản tổng quan, việc đi sâu vào chi tiết không thuộc phạm vi của bài viết này, có thể tìm thấy thêm thông tin chi tiết trong Hướng dẫn Mua vs. Tự xây dựng của chúng tôi.

Nếu bạn cần hỗ trợ đo lường giải pháp hiện tại của mình hoặc chưa chắc chắn về việc nên nhắm mục tiêu vào các KPI nào, hãy liên hệ với chúng tôi để được tư vấn miễn phí.

8. Kết luận#

Passkey mang lại những hứa hẹn to lớn trong việc tạo ra trải nghiệm xác thực an toàn, liền mạch, nhưng việc chỉ cung cấp chúng không đảm bảo được sự chấp nhận rộng rãi. Đạt được tỷ lệ đăng nhập passkey cao đòi hỏi một cách tiếp cận chiến lược về luồng người dùng thông minh, cú hích đúng lúc và công nghệ giúp loại bỏ ma sát trong các lần đăng nhập hàng ngày. Với phương pháp tiếp cận đúng đắn, các doanh nghiệp có thể dễ dàng vượt qua mức sử dụng đăng nhập bằng passkey là 50% và thường có thể leo lên tới 80% hoặc hơn.

• Các thực hành tốt nhất để tối ưu hóa tỷ lệ đăng nhập bằng passkey là gì?
  Tỷ lệ đăng nhập passkey cao xoay quanh việc giảm thiểu sự ma sát của người dùng và tối đa hóa khả năng hiển thị. Các kỹ thuật như tự động kích hoạt passkey (identifier-first), lời nhắc passkey theo ngữ cảnh và cung cấp các lượt đăng nhập One-Tap đều hỗ trợ thúc đẩy việc sử dụng passkey hàng ngày.
• Làm thế nào để các doanh nghiệp khuyến khích hiệu quả việc sử dụng passkey nhất quán ở quy mô lớn?
  Việc sử dụng nhất quán phát triển dựa trên các phương án dự phòng được quản lý cẩn thận, giáo dục người dùng và công nghệ chiến lược. Bằng cách phân tích các thiết bị, lịch sử người dùng và tín hiệu rủi ro (như Passkey Intelligence của Corbado thực hiện), bạn có thể hướng dẫn nhẹ nhàng người dùng sang passkey bất cứ khi nào nó có khả năng thành công - thúc đẩy việc chấp nhận liên tục.

Lợi thế của Corbado: Phương pháp Tiếp cận Thống nhất Để Chấp nhận

Hầu hết các giải pháp passkey chỉ đơn thuần đảm bảo cho quá trình đăng ký WebAuthn chính xác. Corbado khép kín quy trình đó bằng cách kết hợp:

1. Passkey Intelligence
   Những lời nhắc thông minh phát hiện thời điểm thiết bị của người dùng có passkey khả dụng và có thể truy cập được, tự động khởi tạo các luồng passkey chỉ khi khả năng thành công là cao loại bỏ các khởi đầu sai và sự nhầm lẫn.
2. One-Tap cho Identifier-First và Luồng Nút Passkey
   Người dùng không còn phải "chọn passkey" nữa. Sau khi đăng nhập theo cách truyền thống, Corbado sẽ tự động chuyển đổi các lần đăng nhập trong tương lai sang xác thực bằng sinh trắc học một chạm. Dữ liệu thế giới thực cho thấy hơn 97% người dùng vẫn tiếp tục dùng One-Tap sau khi nhìn thấy nó một lần.

Kết quả? 50–80% số lượt đăng nhập bằng passkey diễn ra trong vòng vài tháng, giảm đáng kể mức sử dụng OTP, cắt giảm các vectơ lừa đảo (phishing), và mang lại lợi thế về trải nghiệm người dùng mà passkey hứa hẹn.

Bạn Đã Sẵn sàng Chuyển đổi Trải nghiệm Đăng nhập của mình chưa?

Nền tảng Doanh nghiệp của Corbado và chuyên môn thực tiễn giúp bạn:

• Triển khai passkey mà không phá vỡ các quy trình làm việc hiện tại.
• Tối ưu hóa việc sử dụng passkey hàng ngày thông qua các lời nhắc thông minh và One-Tap.
• Xác nhận ROI thông qua những bước nhảy vọt có thể đo lường được về tỷ lệ đăng nhập passkey và việc có ít SMS OTP hơn. Hãy tham khảo bộ quy tắc phân tích xác thực của chúng tôi để có khung đo lường hoàn chỉnh.
• Di chuyển cơ sở người dùng của bạn rời xa khỏi mật khẩu trong khi vẫn bảo tồn các phương pháp dự phòng cần thiết.

Nếu bạn đang tìm cách thoát khỏi tỷ lệ đăng nhập passkey ở mức một chữ số và muốn giảm vĩnh viễn chi phí SMS OTP, chúng tôi ở đây để giúp đỡ. Hãy liên hệ ngay hôm nay để nhận tư vấn, và hãy cùng nhau đưa tổ chức của bạn tiến gần hơn tới một tương lai thực sự không mật khẩu - được hỗ trợ bởi các chiến lược áp dụng passkey đã được kiểm chứng của Corbado.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →