Cách để đạt tỷ lệ chấp nhận Passkey cao trong luồng tạo mới

Trong bài viết này, chúng tôi trình bày một hướng dẫn toàn diện đúc kết cách cải thiện tỷ lệ chấp nhận passkey và đặc biệt là việc tạo passkey thông qua việc tối ưu hóa các luồng tạo passkey bằng các lời nhắc (nudge) hợp thời điểm. Chúng tôi sẽ trả lời các câu hỏi sau:

• Các thực hành tốt nhất cho lời nhắc người dùng tạo passkey nhằm tối đa hóa việc tạo passkey là gì?
• Làm thế nào để các doanh nghiệp có thể khuyến khích người dùng đăng ký passkey trên quy mô lớn một cách hiệu quả?

Bạn sẽ tìm hiểu các chiến lược đã được chứng minh và các thực hành tốt nhất trong thực tế được tinh chỉnh cho bối cảnh doanh nghiệp, cho phép tổ chức của bạn chuyển đổi thành công người dùng từ mật khẩu sang passkey. Bài blog này giải quyết cụ thể việc tạo và đăng ký passkey; các chiến lược nhằm tối ưu hóa việc sử dụng passkey sau đó (tần suất và phương thức đăng nhập) sẽ được khám phá riêng trong một bài viết sắp tới.

Việc triển khai passkey chỉ là bước đầu tiên; giá trị thực sự được nhận ra khi các tổ chức cải thiện tỷ lệ chấp nhận passkey một cách hiệu quả. Nếu không có các biện pháp có chủ đích để tăng cường việc tạo và tỷ lệ sử dụng passkey, các doanh nghiệp thường thấy mình mắc kẹt với sự phụ thuộc dai dẳng vào mật khẩu. Việc chỉ đơn thuần cung cấp passkey như một tùy chọn mà không có các lời nhắc đăng ký passkey có chủ đích và các luồng đăng nhập passkey được tối ưu hóa sẽ khiến mọi người quay về với những gì quen thuộc: Mật khẩu. Kịch bản này có thể hạn chế nghiêm trọng lợi tức từ các dự án passkey.

Các tổ chức trải nghiệm sự nâng cao đáng kể về bảo mật và giảm thiểu chi phí, chẳng hạn như ít yêu cầu đặt lại mật khẩu hơn và mức sử dụng OTP thấp hơn, chỉ khi passkey đạt được tỷ lệ chấp nhận cao và trở thành phương thức đăng nhập chính cho phần lớn người dùng. Do đó, các thực hành tốt nhất cho lời nhắc người dùng passkey, các thực hành tốt nhất cho lời nhắc passkey sau đăng nhập, và việc thử nghiệm A/B các lời nhắc passkey đóng vai trò quan trọng trong việc đáp ứng những mục tiêu này. Các công ty nhắm đến việc chuyển đổi luồng người dùng từ mật khẩu sang passkey trên quy mô lớn và nỗ lực đạt tỷ lệ đăng nhập bằng passkey từ 50–80% sẽ tích cực tham gia vào việc tạo passkey.

Hướng dẫn Buy vs. Build. Hướng dẫn thực tế, mẫu triển khai và KPI cho chương trình passkeys.

Nhận hướng dẫn miễn phí

Các chiến lược tương tác người dùng passkey này phù hợp với các khuyến nghị của Liên minh FIDO trên Passkey Central, nơi Liên minh FIDO củng cố sự cần thiết của việc thúc đẩy người dùng chấp nhận passkey trong doanh nghiệp. Mặc dù các lợi ích cấp cao đã được hiểu rõ, thách thức thực sự thường nằm ở việc thúc đẩy các số liệu thành công của đăng nhập passkey, ví dụ: tăng cường hiệu quả mức độ phủ sóng passkey trên các thiết bị, triển khai các thực hành tốt nhất cho lời nhắc passkey sau đăng nhập, và điều phối giáo dục người dùng liên tục về việc đăng ký passkey.

Ví dụ, cách tiếp cận rõ ràng của Amazon nhằm cải thiện tỷ lệ chấp nhận passkey - thông qua các thử nghiệm mở rộng và cải tiến UX lặp đi lặp lại - mang lại tốc độ đăng nhập nhanh hơn sáu lần, giảm đáng kể việc quay lại dùng mật khẩu và tăng sự hài lòng của người dùng. Tương tự, việc phân khúc theo persona và thiết bị của Microsoft, cũng như hơn 2,5 tỷ lượt đăng nhập bằng passkey của Google, cho thấy cam kết của họ đối với việc sử dụng chủ động thay vì chỉ là sự khả dụng của passkey:

Tóm lại, việc thúc đẩy sự chấp nhận passkey của người dùng trong doanh nghiệp quan trọng hơn nhiều so với việc chỉ đơn giản là kích hoạt tính năng passkey. Người dùng hiếm khi tự mình tìm kiếm các phương thức đăng nhập mới. Bạn phải đảm bảo việc tối ưu hóa các luồng đăng nhập passkey, các lời nhắc hợp thời điểm để đăng ký passkey, và thử nghiệm A/B liên tục các lời nhắc passkey là một phần của kế hoạch. Thông qua các chiến lược tương tác người dùng passkey và phân tích passkey như vậy, các tổ chức có thể vượt qua những ngưỡng quan trọng, thay thế hoàn toàn mật khẩu bằng passkey và gặt hái toàn bộ lợi ích - về bảo mật, tài chính và trải nghiệm người dùng - của một tương lai không mật khẩu.

Đăng ký Passkeys Substack để nhận tin mới nhất.

Đăng ký

Khuyến khích người dùng thiết lập passkey, thường được gọi là tạo passkey hoặc đăng ký passkey hay "đăng ký một passkey", là cơ sở của bất kỳ nỗ lực nào nhằm cải thiện tỷ lệ chấp nhận passkey và tăng tỷ lệ sử dụng passkey. Trong thực tế, có nhiều lời nhắc và luồng khác nhau cho việc đăng ký passkey, nhưng không phải tất cả đều hiệu quả như nhau. Dưới đây là tổng quan về các phương pháp tiếp cận phổ biến, cùng với lý do tại sao các thực hành tốt nhất cho lời nhắc passkey sau đăng nhập được coi là có tác động mạnh mẽ nhất.

Đây không phải là sự thay thế cho các lời nhắc sau đăng nhập (nó chỉ áp dụng cho một tập hợp con các lượt đăng nhập và phụ thuộc vào sự hỗ trợ của hệ điều hành/trình duyệt/trình quản lý mật khẩu), nhưng nó là một tiện ích bổ sung mạnh mẽ, nỗ lực tối đa. Để biết chi tiết kỹ thuật triển khai, các ví dụ về mã và ảnh chụp màn hình, hãy xem bài viết về nâng cấp passkey tự động của chúng tôi. Để biết về sự hỗ trợ nền tảng, hiệu quả và các cân nhắc chiến lược, hãy xem bài viết về Conditional Create của chúng tôi.

Khi chọn vị trí triển khai các lời nhắc passkey, hãy xem xét những thông tin chuyên sâu này dựa trên trải nghiệm của các doanh nghiệp lớn:

Sự đồng thuận từ các đợt triển khai hiện tại rất rõ ràng: các lời nhắc sau đăng nhập mang lại số lượng tạo passkey cao nhất, chứng minh tính chính đáng cho sự phức tạp trong triển khai của chúng. Các tùy chọn đơn giản hơn khác, như cung cấp việc đăng ký passkey thông qua trang cài đặt tài khoản, cung cấp một điểm khởi đầu hữu ích cho sự khám phá ban đầu của người dùng. Ngược lại, các phương pháp phức tạp như lời nhắc sau đặt lại mật khẩu hoặc các callout liên tục trong ứng dụng thường chỉ mang lại lợi ích tăng thêm vừa phải và hiếm khi xứng đáng với nỗ lực bỏ ra.

Conditional Create bổ sung cho các lời nhắc sau đăng nhập bằng cách tự động nâng cấp một nhóm nhỏ các đăng nhập bằng mật khẩu (khi mật khẩu được tự động điền và nền tảng hỗ trợ nó). Để biết chi tiết, hãy xem bài viết về Conditional Create của chúng tôi.

Sự đồng thuận & Những Điểm chính yếu

• Lời nhắc sau Đăng nhập xếp hạng cao nhất về tác động, chứng minh tính hợp lý cho chi phí phát triển đáng kể. Nó chạm đúng vào khoảnh khắc "điểm đau" chung khi gõ mật khẩu khiến nó trở thành thực hành tốt nhất quan trọng hàng đầu để đạt tỷ lệ chấp nhận passkey cao cho việc tạo mới.

• Conditional Create (Nâng cấp Tự động) là một phần bổ trợ ma sát thấp, nỗ lực tối ưu, có thể loại bỏ lời nhắc rõ ràng cho những người dùng đăng nhập bằng tính năng tự động điền mật khẩu đã lưu trên các nền tảng được hỗ trợ.

• Trang Cài đặt Tài khoản trên thực tế là bắt buộc đối với bất kỳ dự án passkey nào và do đó sẽ tồn tại bất kể điều gì. Mặc dù nó đóng một vai trò tối thiểu trong việc thúc đẩy đáng kể tỷ lệ chấp nhận, nó rất được khuyến nghị như một bước triển khai ban đầu. Sử dụng Trang Cài đặt Tài khoản đầu tiên cho phép các tổ chức thử nghiệm, tinh chỉnh và xác nhận tính hiệu quả của việc triển khai passkey của họ trước khi triển khai các lời nhắc sau đăng nhập phức tạp hơn.

• Lời nhắc Tạo Tài khoản mang lại lợi ích vừa phải và được khuyến nghị làm các biện pháp thứ cấp để bổ sung cho chiến lược áp dụng rộng lớn hơn. Chúng cung cấp khả năng chấp nhận tăng dần đối với người dùng mới nhưng không ảnh hưởng đáng kể đến cơ sở người dùng hiện tại.

• Sau khi Đặt lại Mật khẩu và Callout & Banner trong Ứng dụng thường mang lại mức tăng thấp đến trung bình. Mặc dù các biện pháp này có thể bổ sung cho nỗ lực áp dụng trên diện rộng, sự phức tạp trong triển khai của chúng hiếm khi cho thấy sự xứng đáng để ưu tiên chúng như các chiến lược cốt lõi.

Khi xây dựng một lời nhắc lý tưởng sau đăng nhập, việc xem xét các đợt triển khai thành công từ các công ty công nghệ lớn và xác định các phát hiện chung từ các thử nghiệm của họ là rất hợp lý. Hầu hết thông tin này có thể được tìm thấy trong các bài nói chuyện được xuất bản bởi Liên minh FIDO.

• Đa dạng Thử nghiệm & Xử lý (Treatments): Amazon đã thử nghiệm nhiều luồng sau đăng nhập khác nhau (“T1,” “T2,” “T3”) để xem các lời nhắc người dùng nào hoạt động tốt nhất. Một số tự động mở hộp thoại tạo passkey, trong khi số khác hiển thị một màn hình “Thiết lập passkey của bạn” đơn giản với hai lựa chọn: “Đồng ý, tạo passkey” hoặc “Không, tiếp tục sử dụng mật khẩu.”

• Tốc độ Đăng nhập Nhanh hơn 6 lần: Thông qua thử nghiệm A/B lặp đi lặp lại và các điều chỉnh theo thời gian thực, họ đạt được lượt đăng nhập nhanh hơn tới sáu lần đối với những người áp dụng passkey, giảm đáng kể việc quay trở lại sử dụng mật khẩu.

• Sự khác biệt giữa Di động và Máy tính để bàn: Amazon nhận thấy rằng việc tự động kích hoạt đăng ký passkey trên thiết bị di động dẫn đến tỷ lệ chấp nhận cao hơn đáng kể so với các luồng trên máy tính để bàn, cho thấy người dùng trên điện thoại thông minh cởi mở hơn với các lời nhắc sinh trắc học.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

• Phân khúc Persona & Thiết bị: Việc triển khai nội bộ của Microsoft đã nhắm mục tiêu một cách có hệ thống vào các nhóm người dùng khác nhau (quản lý điều hành, nhà phát triển, nhân viên tuyến đầu) và các nền tảng cụ thể (Windows, macOS, iOS, Android). Họ đã hiển thị các lời nhắc passkey sau đăng nhập được điều chỉnh theo quy trình làm việc của từng phân khúc.

• Thực thi theo Giai đoạn: Sau khi đo lường sự thành công ở các đợt sóng đầu tiên, Microsoft đã đều đặn tăng cường việc bắt buộc sử dụng passkey ở các giai đoạn tiếp theo. Tổ chức cũng đo lường “tỷ lệ chấp nhận passkey” cho mỗi đợt, tinh chỉnh văn bản UI hoặc logic dự phòng nếu tỷ lệ chuyển đổi giảm sút.

• Khuyến khích Mức độ bao phủ: Một khi người dùng thiết lập một passkey trên một thiết bị, họ sẽ được nhắc nhở sau những lần đăng nhập trong tương lai trên các thiết bị mới với câu “Thêm passkey ở đây?” để passkey trở nên phổ biến trên khắp môi trường của người dùng.

• Thử nghiệm A/B trên quy mô lớn: Với hơn 2,5 tỷ lượt đăng nhập bằng passkey, Google đầu tư rất lớn vào việc thử nghiệm A/B các lời nhắc passkey. Họ thường so sánh thông điệp về sự tiện lợi (“Bỏ qua việc nhập mật khẩu của bạn vào lần tới”) với thông điệp về bảo mật (“Bảo vệ tài khoản của bạn bằng passkey”) để xem cái nào tạo được tiếng vang tốt hơn.

• Các luồng Tái xác thực: Google cũng tận dụng các lời nhắc tái xác thực (chẳng hạn như khi người dùng sửa đổi các cài đặt nhạy cảm) để nhắc nhở họ về passkey: “Muốn một bước nhanh hơn? Hãy tạo một passkey ngay bây giờ.”

• Lời nhắc Đa thiết bị (Cross-Device): Bởi vì Trình quản lý Mật khẩu của Google đồng bộ passkey trên các thiết bị, cách tiếp cận sau đăng nhập thường bao gồm một lưu ý ngắn về sự tiện lợi đa nền tảng, củng cố triết lý “tạo một lần, sử dụng mọi nơi.”

• Ngôn ngữ Bảo mật vs. Tiện lợi: Intuit, đơn vị chủ quản của QuickBooks và TurboTax, đã thử nghiệm các thông điệp như “Đăng nhập chống lừa đảo (phishing)” (ưu tiên bảo mật) vs. “Đăng nhập nhanh hơn, không cần mật khẩu” (nhấn mạnh sự dễ sử dụng). Họ phát hiện ra rằng một số phân khúc nhất định (đặc biệt là các chuyên gia tài chính) được thúc đẩy nhiều hơn bởi yếu tố bảo mật, trong khi những phân khúc khác lại chuộng sự tiện lợi.

• Thử nghiệm Người dùng Lặp lại: Với cơ sở khách hàng có tính đa dạng cao - từ các chủ doanh nghiệp nhỏ cho đến những người nộp thuế thông thường - Intuit liên tục tinh chỉnh từ ngữ, bố cục giao diện và thời điểm của lời nhắc. Họ nhận ra rằng việc nhắc nhở ngay sau khi đăng nhập mang lại tỷ lệ chấp nhận passkey cao hơn rất nhiều.

• Lời nhắc Duy trì: Đối với những người dùng ban đầu đã bỏ qua luồng passkey, Intuit đã xây dựng một lời nhắc “cơ hội thứ hai”, xuất hiện lại sau một khoảng thời gian ngắn - một chiến lược giúp tăng cường hơn nữa tỷ lệ tạo passkey cuối cùng.

Hãy cùng xem và tóm tắt những điểm chung của các đợt triển khai lớn đó:

Bên cạnh những chiến thuật thiên về sản phẩm này, các nền tảng hiện đại cũng hỗ trợ Conditional Create (nâng cấp passkey tự động) để nâng cấp một nhóm nhỏ các lượt đăng nhập bằng tính năng tự động điền mật khẩu lên passkey với tương tác tối thiểu từ người dùng. Xem bài viết Conditional Create.

Cùng nhau, các bài học trong thế giới thực này xác nhận rằng các thực hành tốt nhất cho việc sau đăng nhập với văn bản đơn giản, hợp thời điểm và sự phơi nhiễm nhất quán là những động lực mạnh mẽ nhất để cải thiện tỷ lệ chấp nhận passkey cho việc tạo mới. Trong phần tiếp theo, chúng ta sẽ khám phá cách cấu trúc phương pháp tiếp cận này nhằm đảm bảo người dùng không chỉ thiết lập passkey đầu tiên của họ mà còn thêm các passkey phụ trên nhiều thiết bị, đưa tỷ lệ chấp nhận đến gần ngưỡng 50–80% cần thiết để hoàn toàn thay thế mật khẩu bằng passkey.

Các chiến lược sau đăng nhập hiệu quả làm được nhiều việc hơn là chỉ nhắc nhở người dùng tạo passkey đầu tiên của họ. Chúng còn chủ động hướng dẫn người dùng hướng tới việc áp dụng passkey toàn diện trên tất cả thiết bị của họ, đảm bảo mật khẩu trở nên ngày càng dư thừa. Mục tiêu của các lời nhắc này là thiết lập passkey như một phương thức xác thực chính, giảm thiểu đáng kể sự phụ thuộc vào các đăng nhập bằng mật khẩu truyền thống. Dưới đây là những cân nhắc mở rộng cho từng giai đoạn chiến lược trong quy trình sau đăng nhập.

Thách thức cốt lõi trong việc thúc đẩy áp dụng passkey ban đầu nằm ở việc tìm kiếm thông điệp phù hợp. Các tổ chức nên xác định rõ ràng liệu họ sẽ khơi gợi cảm giác thoải mái, tiện lợi hay tập trung chủ yếu vào khía cạnh bảo mật nâng cao. Ví dụ, Google đã đạt được thành công với những thông điệp đơn giản, thiên về sự tiện lợi như “Đăng nhập nhanh hơn, không cần mật khẩu”, tạo tiếng vang mạnh mẽ với những người dùng phổ thông. Trái lại, Intuit kết luận rằng nhóm người dùng chuyên gia, đặc biệt trong lĩnh vực tài chính, đã phản ứng tích cực hơn với thông điệp ưu tiên bảo mật chẳng hạn như “Bảo vệ tài khoản của bạn khỏi lừa đảo (phishing)”. Thông điệp lý tưởng sẽ phụ thuộc rất lớn vào nhân khẩu học của nhóm người dùng mục tiêu cũng như nhu cầu hay ưu tiên riêng của họ, điều này cho thấy tầm quan trọng của các thử nghiệm A/B rộng rãi nhằm xác định ngôn từ hiệu quả nhất.

Việc thử nghiệm các biến thể của những thông điệp này cho phép bạn đo lường xem lựa chọn nào cộng hưởng mạnh mẽ nhất và mang lại tỷ lệ chấp nhận cao nhất. Quản lý tần suất lời nhắc cũng quan trọng không kém: những lời nhắc ban đầu là cực kỳ thiết yếu, nhưng những lần nhắc nhở sau đó cần phải được cân bằng cẩn thận. Các công ty như Amazon nhận thấy tỷ lệ chấp nhận sụt giảm nghiêm trọng khi xuất hiện quá nhiều lời nhắc liên tiếp lặp lại quá nhanh. Một thực hành tốt nhất được sử dụng rộng rãi là cho phép người dùng dễ dàng bỏ qua các lời nhắc nhưng sẽ giới thiệu lại việc cài đặt passkey sau một khoảng thời gian “làm nguội” (cooldown), ví dụ như 30 ngày.

Quyết định xem có nên tự động kích hoạt luồng đăng ký sau đăng nhập hay không cũng sẽ tác động đáng kể đến tỷ lệ chấp nhận. Các bộ kích hoạt tự động trên thiết bị di động đã được chứng minh là có hiệu quả cao, với việc Amazon ghi nhận mức tỷ lệ chấp nhận cao hơn 30–50% do tính chất trực quan của các tương tác sinh trắc học. Tuy nhiên, các lời nhắc đăng ký tự động phải được thực thi một cách thận trọng để tránh gây ức chế cho người dùng, đặc biệt trên các nền tảng máy tính để bàn, nơi mà tính năng kích hoạt thủ công thường tỏ ra hiệu quả hơn và ít gây khó chịu hơn.

Để đạt được tỷ lệ áp dụng passkey rộng rãi không chỉ liên quan đến việc khiến người dùng đăng ký passkey đầu tiên của họ, mà còn ở việc nhắc nhở một cách có hệ thống để họ mở rộng độ phủ sóng sang các thiết bị khác, điều này cũng làm giảm khả năng bị khóa tài khoản. Thông điệp chủ động giúp đảm bảo trải nghiệm xác thực liền mạch, bất kể người dùng đang sử dụng thiết bị nào, qua đó gia tăng bảo mật đáng kể song bảo đảm tính tiện lợi. Ví dụ, nếu người dùng ban đầu đăng ký một passkey trên Windows và sau đó đăng nhập bằng thiết bị Android thông qua các tùy chọn dự phòng, hệ thống sẽ nhắc nhở rõ ràng: “Cài đặt passkey ở đây để bỏ qua bước nhập mật khẩu của bạn trong lần tới.”

Phương pháp đa thiết bị này đảm bảo mức độ bao phủ liên tục và giảm đáng kể khả năng quay lại sử dụng các phương thức xác thực truyền thống. Hơn nữa, việc giải quyết các tình huống khi passkey trước đó đã bị lỗi hoặc bị bỏ rơi - ví dụ như khi người dùng xóa hoặc hủy bỏ quá trình đăng ký passkey - tạo ra một cơ hội quan trọng khác để kết nối lại với họ. Nhắc nhở họ sau một lần đăng nhập dự phòng thành công với các thông điệp như “Cài đặt passkey không thành công trong lần trước - hãy thử lại ngay bây giờ để đơn giản hóa các lần đăng nhập trong tương lai” nhằm khuyến khích họ thử đăng ký lại.

Trong các kịch bản đăng nhập kết hợp liên quan đến xác thực đa thiết bị (CDA), hãy nhắc người dùng ngay lập tức sau khi xác thực thành công để họ lưu trữ cục bộ các passkey gốc (native passkeys), cải thiện sự tiện lợi trong tương lai. Ví dụ: sau khi hoàn tất CDA bằng smartphone để ủy quyền cho một phiên làm việc trên Windows, hãy khuyến khích người dùng một cách rõ ràng: “Thêm một passkey trực tiếp vào thiết bị này để tránh việc phải sử dụng điện thoại của bạn vào lần tới.”

Tóm lại, cách tiếp cận mở rộng trên đa thiết bị này không chỉ nâng cao bảo mật mà còn tôn trọng thời gian, sự tiện lợi và tùy chọn ưu tiên của người dùng. Người dùng cảm thấy được trân trọng và trao quyền khi nhận được hướng dẫn rõ ràng, mang tính cá nhân hóa, củng cố thêm niềm tin cùng sự sẵn sàng chấp nhận passkey xuyên suốt toàn bộ hệ sinh thái số của họ nhằm tránh được các tùy chọn dự phòng đầy bất tiện và giảm các lượt đăng nhập bằng CDA.

Quá trình chuyển đổi người dùng sang việc bắt buộc áp dụng passkey đòi hỏi một hướng đi chiến lược và từ từ, điều này đặc biệt quan trọng trong các môi trường có tính quản lý chặt chẽ (regulated) hoặc đối với các tài khoản có giá trị cao. Việc dần dần thực thi áp dụng passkey thay vì bắt buộc áp dụng đột ngột sẽ giúp giảm thiểu phản kháng của người dùng và tối đa hóa tỷ lệ chấp nhận.

Một phương pháp hiệu quả là ban đầu hãy theo dõi tỷ lệ áp dụng tự nguyện, cho phép người dùng làm quen với việc sử dụng passkey. Sau khi người dùng đăng nhập thành công nhiều lần bằng passkey, bạn có thể vô hiệu hóa dần các phương pháp đăng nhập bằng mật khẩu, đồng thời cần thông báo rõ ràng về quá trình chuyển đổi này từ sớm. Ví dụ: thông báo một cách rõ ràng cho người dùng rằng: “Bắt đầu từ tháng tới, mật khẩu sẽ không còn được chấp nhận; vui lòng đảm bảo rằng passkey của bạn đang hoạt động.”

Giám sát chặt chẽ số liệu tương tác của người dùng cũng giúp tinh chỉnh việc chuyển đổi bắt buộc. Nếu người dùng liên tục từ chối các lời nhắc đăng ký, hãy đẩy mạnh cấp độ thông báo của bạn, có thể bằng cách loại bỏ tùy chọn “Bỏ qua” (Skip) sau một ngưỡng nhất định hoặc nâng cao thông điệp thành một hành động bắt buộc, giống như những gì đã diễn ra trong Quá trình Triển khai của Microsoft ở phía trên. Tuy nhiên, hãy luôn đảm bảo cung cấp các cơ chế dự phòng an toàn, ví dụ như các khóa bảo mật phần cứng, cho những người dùng đang gặp khó khăn thực sự về giới hạn kỹ thuật hay tính tương thích.

Việc truyền đạt rõ ràng các lợi ích, chẳng hạn như khả năng chống lại lừa đảo (phishing) hay đánh cắp tài khoản (account takeovers), sẽ củng cố sự thấu hiểu và chấp nhận của người dùng với việc sử dụng passkey bắt buộc (điều này khác hẳn với các thông điệp nhấn mạnh đến sự đơn giản trong giai đoạn mà người dùng vẫn còn quyền lựa chọn). Một thông điệp như “Passkey giúp chúng tôi bảo vệ an toàn cho tài khoản của bạn - mật khẩu sẽ sớm bị loại bỏ” sẽ nhấn mạnh tầm quan trọng cũng như giá trị của công cuộc chuyển đổi này, thúc đẩy sự tin tưởng của người dùng trong việc áp dụng passkey như một chuẩn mực xác thực mới.

Để thúc đẩy một cách hiệu quả tỷ lệ áp dụng passkey ở mức cao cho việc tạo passkey, một luồng sau đăng nhập có cấu trúc cẩn thận và được truyền đạt rõ ràng là rất cần thiết. Luồng tối ưu này sẽ giải quyết một cách có hệ thống ba tình huống phụ thuộc vào việc liệu một người dùng đã đăng ký passkey nào chưa, hướng dẫn họ qua từng bước đi từ quy trình tạo ban đầu, cho đến mở rộng độ phủ passkey sang các thiết bị bổ sung, và xử lý trong các kịch bản dự phòng.

Dưới đây là một phần mô tả chi tiết được thiết kế tương đồng với biểu đồ quy trình cung cấp:

flowchart TD
    A[Người dùng Đăng nhập] --> B{Người dùng đã có passkey chưa?}

    %% Shared nodes
    Z[Passkey đã Tạo]
    CD[Làm nguội 30 ngày]

    %% Primary flow: create first passkey
    B -->|Chưa| P0[Luồng chính]
    P0 --> P1{Mật khẩu đã được điền tự động?}
    P1 -->|Có| CC[Thử Conditional Create]
    CC --> P2{CC thành công?}
    P2 -->|Có| Z
    P2 -->|Không| P3{Máy tính hoặc Di động?}
    P1 -->|Không| P3

    P3 -->|Máy tính| D1
    P3 -->|Di động| M1

    subgraph Desktop [Luồng con Chính trên Máy tính]
        direction TB
        D1[Lời nhắc 1] --> D2{Chấp nhận?}
        D2 -->|Có| DZ[Xong]
        D2 -->|Không| D3[Lời nhắc 2] --> D4{Chấp nhận?}
        D4 -->|Có| DZ
        D4 -->|Không| D5[Lời nhắc 3] --> D6{Chấp nhận?}
        D6 -->|Có| DZ
        D6 -->|Không| DCD[Làm nguội]
    end

    subgraph Mobile [Luồng con Chính trên Di động]
        direction TB
        M1[Lời nhắc 1 tự động] --> M2{Chấp nhận?}
        M2 -->|Có| MZ[Xong]
        M2 -->|Không| M3[Lời nhắc 2] --> M4{Chấp nhận?}
        M4 -->|Có| MZ
        M4 -->|Không| M5[Lời nhắc 3] --> M6{Chấp nhận?}
        M6 -->|Có| MZ
        M6 -->|Không| MCD[Làm nguội]
    end

    DZ --> Z
    MZ --> Z
    DCD --> CD
    MCD --> CD

    %% Secondary flow: additional devices / recovery
    B -->|Có| S0[Luồng phụ]
    S0 --> S1[Thiết bị mới hoặc đăng nhập dự phòng]
    S1 --> S2{Mật khẩu đã được điền tự động?}
    S2 -->|Có| SCC[Thử Conditional Create]
    SCC --> S3{CC thành công?}
    S3 -->|Có| Z
    S3 -->|Không| S4[Thêm passkey ở đây?]
    S2 -->|Không| S4
    S4 --> S5{Chấp nhận?}
    S5 -->|Có| Z
    S5 -->|Bỏ qua 3x| CD

Tại mỗi lần đăng nhập, hệ thống sẽ thực hiện một đánh giá ban đầu:

• Người dùng đã có một passkey nào chưa?

  • Nếu là chưa (không có passkey nào), người dùng sẽ được chuyển tới Màn hình Chính.

  • Nếu là có (một hoặc nhiều passkey), người dùng sẽ tiếp tục chuyển tới một Màn hình Phụ đã được điều chỉnh.

Trên Màn hình Chính, cách tiếp cận việc đăng ký sẽ phụ thuộc vào nền tảng thiết bị của người dùng:

Trước khi hiển thị bất kỳ lời nhắc rõ ràng nào, hãy cân nhắc Conditional Create (nâng cấp passkey tự động) như một bước tối ưu mỗi khi người dùng chỉ vừa mới hoàn tất đăng nhập bằng tính năng điền mật khẩu tự động và nền tảng của họ có hỗ trợ điều đó. Nếu thành công, bạn có thể bỏ qua các luồng nhắc nhở dưới đây.

• Luồng Máy tính để bàn
  Trên máy tính để bàn, nếu Conditional Create không áp dụng, thì yêu cầu nhắc tạo passkey sẽ là thủ công:

  • Lời nhắc đầu tiên: Người dùng sẽ phải có lựa chọn rõ ràng: Chấp nhận (Accept) hoặc Bỏ qua (Skip) việc tạo passkey.

    • Nếu họ Chấp nhận, một passkey sẽ được tạo ngay lập tức.

    • Nếu họ Bỏ qua, họ sẽ gặp phải một Lời nhắc thứ Hai trong lần đăng nhập tiếp theo.

  • Lời nhắc thứ Hai mang lại một cơ hội khác, một lần nữa yêu cầu người dùng Chấp nhận hoặc Bỏ qua một cách dứt khoát.

    • Nếu người dùng Chấp nhận, một passkey được tạo thành công.

    • Nếu họ lại Bỏ qua, họ sẽ nhận một Lời nhắc thứ Ba trong một phiên tiếp theo.

  • Sau Lời nhắc thứ Ba, nếu người dùng vẫn tiếp tục Bỏ qua, hệ thống sẽ áp đặt một khoảng thời gian Làm nguội (Cooldown) 30 ngày rõ ràng và được xác định trước nhằm tránh tạo ra nhiều ma sát với người dùng.

• Luồng Thiết bị Di động áp dụng cách tiếp cận mang tính động hơn:

  • Ban đầu, lời nhắc tạo passkey được tự động kích hoạt do bản chất trực quan từ việc đăng ký sinh trắc học trên di động.

    • Nếu người dùng Chấp nhận, thủ tục đăng ký passkey sẽ lập tức hoàn thành.

    • Nếu người dùng Bỏ qua lời nhắc tự động đầu tiên, luồng này sẽ chuyển qua màn hình Lời nhắc thứ Hai theo cách thủ công trong lần đăng nhập tới của họ.

  • Tại Lời nhắc thứ Hai (thủ công), một lần nữa người dùng lại phải đưa ra lựa chọn rõ ràng: Chấp nhận hoặc Bỏ qua.

    • Nếu họ Chấp nhận, quá trình tạo passkey sẽ thành công.

    • Nếu bị bỏ qua một lần nữa, Lời nhắc thứ Ba sẽ được cung cấp trong phiên đăng nhập tiếp theo.

  • Sau lần bỏ qua thứ ba liên tiếp, người dùng thiết bị di động cũng sẽ phải tham gia vào một khoảng Làm nguội 30 ngày trước khi các lời nhắc khác có thể xuất hiện lại.

Chiến lược Màn hình Chính có cấu trúc này giúp cân bằng giữa sự tiện lợi cho người dùng và việc tạo ra các nhắc nhở kiên trì nhưng đầy sự tôn trọng, dẫn dắt dần người dùng tiến đến việc tiếp nhận passkey mà không hề cảm thấy bị dồn ép hay quá tải.

Dành cho những người dùng đã có tối thiểu một passkey, các lời nhắc thứ cấp sẽ tập trung mở rộng phạm vi của passkey trên nhiều loại thiết bị hay các hệ điều hành khác nhau nhằm xóa bỏ sự phụ thuộc vào phương thức dự phòng:

Nếu quá trình đăng nhập dự phòng là quá trình điền mật khẩu tự động và có hỗ trợ Conditional Create, thì trước hết bạn có thể cố gắng áp dụng việc nâng cấp Conditional Create một cách tối đa, và chỉ hiển thị lời nhắc thứ cấp trong trường hợp điều đó không diễn ra.

• Mỗi khi hoàn tất đăng nhập thành công qua phương pháp dự phòng (mật khẩu, OTP, hoặc đăng nhập CDA bằng mã QR), người dùng sẽ thấy một lời nhắc Màn hình Phụ rõ ràng theo thiết bị, trong đó khuyến khích họ nên tạo bổ sung thêm một passkey. Các thông điệp mẫu có thể kể đến như: “Thiết lập passkey ở đây để bỏ qua phần mật khẩu cho thiết bị này.”

  • Một lần nữa, người dùng có tùy chọn để Chấp nhận hay Bỏ qua.

  • Sau nhiều lần bỏ qua, hệ thống sẽ giới thiệu một kỳ Làm nguội 30 ngày tương tự nhằm không gây ra trạng thái ức chế hay mệt mỏi nơi người dùng.

• Thêm vào đó, thông báo tại màn hình phụ này cũng dành cho trường hợp khi trước đó một người dùng có quy trình đăng ký passkey không thành công hoặc khi họ chủ động muốn loại bỏ passkey của mình đi. Tại những trường hợp này, các tin nhắn đưa ra sẽ nhắm thẳng đến những thất bại của lần trước đó, bằng cách nhấn mạnh hơn về sự làm mới với tính năng tiện lợi và tăng cường được độ tin cậy trong bộ quy trình cài đặt được áp dụng như hiện tại.

Biểu đồ được mô tả đại diện cho một kế hoạch chi tiết, có nền tảng vững chắc để thực hiện chiến lược tạo passkey sau đăng nhập đạt mức hiệu quả. Trong khi các bước được vạch ra như sự khác biệt hóa giữa môi trường trên máy tính để bàn với môi trường của hệ thống mạng di động, việc xử lý kỹ tính đến số lần lời nhắc và có đưa thêm một cơ chế con đường giải quyết sạch sẽ ngay sau nhiều bước nhảy qua đó lại phản ánh rõ cách thực hiện tối ưu thực tiễn vốn đã nhìn thấy từ đợt triển khai trên phạm vi lớn do các hãng nổi tiếng như Amazon, Microsoft, và Google thực hiện, thì việc chỉ ra tầm quan trọng lớn lao cho luận điểm là nền tảng số liệu người dùng có những cách biệt khá sâu sắc cũng đang mang tính cấp bách. Những yếu tố đem lại kết quả xuất sắc cao trong môi trường trường hợp này lại có thể gặp phản ứng đa dạng khi thử ở kịch bản khác, gây ra bởi nhiều biến số nằm ở nhóm thống kê nhân khẩu của tập khách hàng, nhóm thuộc tính ưu tiên và sở thích dùng theo thiết bị hay các điều kiện và thiết chế trong hoàn cảnh tổ chức.

Do đó, quá trình phân tích số liệu diễn ra không ngừng nghỉ cùng khâu liên tục giám sát, đo đạc sát sao theo từng cách khách hàng tương tác qua lại, đang chính là chìa khóa nhằm nâng cấp vượt trội tỷ lệ chiến lược của tổ chức đối với bước triển khai cung cấp passkey.

Các chỉ báo khi theo dõi sâu sát Tỷ lệ Chấp nhận Passkey và các chỉ số KPI thiết yếu mang đến thông tin chuyên sâu rõ rệt vào nhóm tiến độ luồng xử lý hoặc nhóm đang vướng vấn đề cản trở của bạn. Xin được nêu một ví dụ rằng quá trình phân loại, đánh giá sâu tới những mắt xích khiến người dùng bị rụng khỏi quá trình kích hoạt đang có thể để lộ rõ liệu rằng đa số khách đang thấy các lời nhắc đó là mang tính xâm phạm quá đà hay gây nhầm lẫn hay có cảm giác sai điểm rơi thời gian hay chưa. Đây là một định hướng mà phía chúng tôi thường đưa làm thước đo chỉ tiêu bắt buộc cần xét đếm vào:

Chiến lược áp dụng passkey của bạn không bao giờ nên ở trạng thái tĩnh. Thay vào đó, nó nên phát triển linh hoạt dựa trên dữ liệu được đo lường, cho phép điều chỉnh thông điệp, tần suất và phương pháp nhắc (tự động so với thủ công). Bằng cách quan sát chặt chẽ cách các phân khúc người dùng khác nhau phản ứng theo thời gian, tổ chức của bạn có thể lặp đi lặp lại để tinh chỉnh các lời nhắc này, đảm bảo rằng các lời nhắc vẫn đủ sức hấp dẫn mà không làm người dùng cảm thấy quá tải. Cuối cùng, việc triển khai thành công các passkey phụ thuộc rất nhiều vào việc điều chỉnh các thực hành tốt nhất cho phù hợp với các hành vi và ưu tiên cụ thể của người dùng của bạn, được thông báo bằng các số liệu phân tích chính xác thay vì chỉ dựa vào các giả định.

Việc triển khai đúng các thực hành tốt nhất để tạo passkey với thử nghiệm A/B, triển khai dần dần, Conditional Create, và xử lý các trường hợp ngoại lệ trên hơn 100 kết hợp hệ điều hành/trình duyệt mất hàng tháng làm việc kỹ thuật. Corbado cung cấp khả năng quan sát và tính thông minh trong việc áp dụng được đặt trên nền tảng ngăn xếp danh tính hiện có của bạn, vì vậy bạn có thể đi vào hoạt động trong vài ngày thay vì vài tháng trong khi vẫn giữ lại quá trình xác thực hoàn toàn in-house (trong nội bộ). SDK và các thành phần của chúng tôi được xây dựng dựa trên các thực hành tốt nhất đã được chứng minh từ các đợt triển khai lớn như của Amazon, Google và Microsoft – được tinh chỉnh với dữ liệu trong thế giới thực từ các đợt triển khai quy mô lớn như VicRoads.

Hầu hết các tổ chức triển khai các luồng tạo passkey mà không có khả năng quan sát những gì đang thực sự xảy ra. Nhật ký của bạn hiển thị "đăng ký thành công" hoặc "đăng ký thất bại" nhưng chúng không cho bạn biết:

• Tại sao người dùng này lại bỏ qua lời nhắc passkey ba lần?
• Những tổ hợp HĐH/trình duyệt nào có tỷ lệ bỏ cuộc (drop-off) cao nhất?
• Conditional Create đang thực sự được kích hoạt, hay đang thất bại trong im lặng?
• Tỷ lệ chấp nhận passkey ở lần nhắc đầu tiên so với những lần nhắc lặp lại ra sao?

Nếu không có khả năng quan sát này, bạn không thể tối ưu hóa. Bạn đang đoán mò về thông điệp, thời gian và thiết kế luồng thay vì lặp lại dựa trên dữ liệu.

Corbado cung cấp khả năng quan sát chuyên biệt (auth-native) được xây dựng dành riêng cho các luồng tạo passkey. Để có cái nhìn tổng quan đầy đủ về số liệu xác thực vượt ra ngoài phạm vi của passkey, hãy xem sổ tay phân tích xác thực của chúng tôi:

Cùng một bảng điều khiển (dashboard), nhưng là những câu chuyện khác nhau tùy thuộc vào người đưa ra yêu cầu:

SDK của Corbado tự động triển khai tất cả các thực hành tốt nhất về việc tạo mới, bao gồm Conditional Create, các lời nhắc sau đăng nhập và việc đăng ký trên nhiều thiết bị:

Khi quá trình đăng ký thất bại, Corbado cung cấp cho bạn các công cụ để hiểu lý do:

• Dòng thời gian gỡ lỗi trên mỗi người dùng: Xem lại hành trình đăng ký qua các phiên bản và các thiết bị
• Phân loại lỗi thông minh: Phân biệt giữa các lỗi cung cấp thông tin và những lỗi nghiêm trọng
• Phát hiện sự phân mảnh của trình quản lý mật khẩu: Xác định sự xung đột giữa Dashlane, 1Password, và các trình quản lý mật khẩu đi kèm sẵn ở trình duyệt
• Phát hiện dấu hiệu bất thường (Anomaly detection): Có thông báo báo động (alert) lập tức lúc mức chỉ tiêu đăng ký bị thụt sụt theo cách nằm ngoài dự đoán

Cho dù bạn đang tự xây dựng các luồng tạo passkey hay tìm kiếm một giải pháp được quản lý, Corbado đều giúp bạn nhận thấy những gì đang diễn ra, chứng minh được các tác động vào doanh nghiệp, và đẩy mức phổ cập tối đa mà không buộc bạn đập bỏ (thay thế) hệ thống IDP của mình.

Passkey đã nổi lên như một phương pháp xác thực mang tính biến đổi (transformative), cho phép các lượt đăng nhập nhanh hơn, đơn giản hơn, và bảo mật tốt hơn rất nhiều so với những dạng đăng nhập thông thường bằng thông tin xác thực kế thừa. Dẫu vậy, nếu chỉ cung cấp tính năng passkey thôi không cũng chưa đủ để cam đoan rằng tập người dùng sẵn lòng đón nhận và làm quen với nó. Về phía mình, các công ty (tổ chức) cần lên thiết kế tính năng có yếu tố chiến lược đối với các lời nhắc passkey, tiến hành chạy thử và tinh chỉnh dạng nội dung (A/B testing), nhằm vào chỉnh trang đúng các chuỗi thao tác trên các thiết bị riêng biệt để thúc đẩy hiệu ứng nhận (thích nghi/áp dụng) các passkey cao lên ngưỡng mức 50% - vốn là lúc mật khẩu không còn là giải pháp độc quyền hoặc đóng vai quyết định đối với bảo mật định danh người. Bài đăng bài viết đã phủ nội dung những điều trọng tâm mang tính định lượng kiến thức rất bài bản, xuất phát ngay điểm đào sâu về luận điểm tại sao mức nhận được chấp nhận từ phía người sử dụng còn phải mang tính quan trọng còn nhiều khi so sánh chỉ là cấu hình chạy tính năng thôi thì chỉ ở tính sơ cấp, tới phân tích thật cặn kẽ khâu kỹ nghệ triển khai những giải pháp (nudge tactics) - ví dụ (nhắc nhở hậu quá trình Log-in so sánh màn giao diện Cấu hình Thiết đặt (settings), tính định mức mật độ giới hạn số lần thông báo, xử lý làm động các đăng ký trên ứng dụng Mobile v.v.) vốn làm điểm tựa chiến lược mà hầu hết ông lớn phần mềm mảng Tech lớn phải tìm để làm nền.

• Thực hành nào là tốt nhất với người sử dụng trong khâu lời nhắc tạo đăng ký từ phía Passkeys? Lời nhắc hiệu quả sẽ là khi kích phát (xuất hiện) lập tức khi mà bước người dùng đăng nhập tài khoản thông thường hiện lên thành công, như là sự lợi dụng khi trạng thái nhận diện đăng nhập từ họ hiện giờ vẫn cao, tâm thức tập trung của họ hoàn toàn. Đoạn lời lẽ trong bản thông điệp luôn yêu cầu nêu đậm phần cốt lõi của mặt lợi điểm về thuận tay trong lúc sử dụng (“Đăng nhập thần tốc, tạm biệt mật khẩu”) hay về mặt che chắn kỹ khâu làm rò (giữ chống) (“Loại ngay tình cảnh giả mạo thông tin, không để lừa mạng nữa”), điểm này rút được trong quy trình kiểm (test) chuẩn bị (A/B Test) tỉ mỉ và rất kỹ càng từ bước đi trước. Hệ thống nhắc nhở nhất quyết tôn trọng yếu tính thoải mái và tự chủ của khách hàng, tích hợp vào các bước thời gian “máy nghỉ” (Cooldown timer) nếu việc hiển thị có xuất hiện những phiên họ bỏ qua từ chối một cách có ý hướng nhằm tối giảm phần phản ứng không thoải mái (bực dọc).

• Cần làm thế nào tạo động cơ lôi cuốn để tập thể ứng dụng trong khu vực hệ thống nội khu các Công ty lớn dùng tới passkey một cách cao nhất? Tỷ suất sử dụng từ tổ chức kinh doanh lớn phần nhiều đến tự các hình thức và đường lối áp dụng mang tính xây từng đoạn lớp, tích lũy tiến từng thời kì (incremental), lồng cùng tiến độ và những bản điều tra thông tin thông minh (Continuous Analytics). Nhiều định chế, hội và nhóm công ty được yêu cầu quan trắc bám lấy số đo giá trị làm nền móng (ví dụ: Passkey Acceptance Rate (Tỷ suất đón nhận tạo passkey), hay các Creation Success Rate), rồi nắn chính những kế sách đường lối để có cái bắt rễ sâu sắc với mặt hệ thống luồng hành vi sử dụng của dữ liệu khách hàng. Gợi mở quá trình áp đặt passkey liên hoàn xuyên đa định dạng hay với đa loại phần cứng thiết bị, trong khi đi thêm qua chiến thuật áp chế dần chuyển biến ở tập cơ sở thông tin của những khối khách giá trị để sử dụng dạng có áp chế bắt ép sử dụng - Đây chính là con bài chủ để thu được mục tiêu đạt con số nhận sử dụng 50% đến 80% vốn là ngưỡng rất lý tưởng.

Nếu tổ chức của bạn đang lên kế hoạch cho một đợt triển khai quy mô lớn và nhắm đến các số liệu áp dụng hàng đầu trong ngành, chúng tôi tại Corbado rất sẵn lòng trợ giúp bạn. Nền tảng Doanh nghiệp của chúng tôi cung cấp các phân tích tinh vi, thử nghiệm A/B và các hành trình người dùng được tinh chỉnh để đảm bảo việc áp dụng passkey đạt hiệu quả tối ưu.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →