Làm thế nào để Đạt Tỷ lệ Áp dụng Passkey Cao trong Luồng Đăng nhập

Chúng ta đã thảo luận về việc tối ưu hóa luồng tạo passkey, bước đầu tiên quan trọng để áp dụng passkey thành công. Tuy nhiên, sau khi tạo, việc đảm bảo người dùng luôn chọn passkey làm phương thức đăng nhập ưa thích là điều cần thiết. Trong bài viết này, chúng ta sẽ chuyển trọng tâm sang việc cải thiện tỷ lệ đăng nhập bằng passkey - chìa khóa để đạt được việc áp dụng passkey có ý nghĩa trong thực tế. Cụ thể, chúng ta sẽ trả lời các câu hỏi sau:

• Các phương pháp tốt nhất để tối ưu hóa tỷ lệ đăng nhập bằng passkey là gì?
• Làm thế nào các doanh nghiệp có thể khuyến khích hiệu quả việc sử dụng passkey một cách nhất quán ở quy mô lớn?

Bạn sẽ học được các chiến lược đã được chứng minh và các phương pháp thực tế phù hợp với môi trường doanh nghiệp, cho phép tổ chức của bạn chuyển đổi người dùng từ mật khẩu sang passkey thành công. Trong khi bài viết trước của chúng tôi đề cập đến việc tạo passkey và đăng ký ban đầu, bài viết này đặc biệt nhắm vào các chiến lược được thiết kế để tối ưu hóa việc sử dụng passkey liên tục, đảm bảo rằng passkey trở thành phương thức xác thực chính cho người dùng của bạn theo thời gian.

Đạt được tỷ lệ đăng ký passkey cao chỉ là một mảnh ghép; tỷ lệ đăng nhập bằng passkey - tỷ lệ tổng số lần đăng nhập diễn ra qua passkey thay vì các phương thức dự phòng mới là phản ánh chính xác nhất về việc sử dụng passkey thực sự. Một hệ thống tạo ra các đăng ký passkey nhưng không thấy những passkey đó được sử dụng trong xác thực hàng ngày sẽ không mang lại những lợi ích về bảo mật và tiện lợi đã hứa. Dưới đây là những cân nhắc chính để hiểu tại sao việc sử dụng cũng quan trọng như việc tạo:

Trong khi số lượng đăng ký passkey mới là quan trọng, các tổ chức nên đo lường thành công của việc áp dụng bằng số lần đăng nhập thực sự diễn ra qua passkey. Tỷ lệ sử dụng passkey / tỷ lệ đăng nhập bằng passkey cao tương quan trực tiếp với việc ít phải đặt lại mật khẩu, chi phí OTP thấp hơn và sự hài lòng của người dùng được cải thiện.

Ngay cả khi một nền tảng báo cáo hàng trăm nghìn hoặc hàng triệu thông tin xác thực passkey, những con số thô này không nhất thiết chuyển thành hoạt động passkey mạnh mẽ hàng ngày. Thước đo cốt lõi là tỷ lệ đăng nhập bằng passkey, tức là tỷ lệ phần trăm tổng số lần đăng nhập bằng passkey.

Mỗi luồng đăng nhập bằng passkey, dù là tự động khởi chạy lời nhắc passkey (ưu tiên định danh) hay cung cấp một nút passkey riêng biệt, đều có thể ảnh hưởng đáng kể đến sự chấp nhận của người dùng. Một số luồng đòi hỏi nhiều nỗ lực hơn để tăng tỷ lệ đăng nhập bằng passkey.

Trong khi hành trình ban đầu của người dùng (lời nhắc, thông điệp, thiết kế quy trình) rất quan trọng cho việc đăng ký passkey, việc duy trì đà phát triển đòi hỏi các luồng sau đăng ký được tối ưu hóa cẩn thận. Không chỉ cần có passkey “trong hồ sơ” - những lời nhắc liên tục, nhắc nhở về phạm vi thiết bị và trải nghiệm đăng nhập không ma sát là cần thiết để giữ mức độ sử dụng cao, nhưng yếu tố quan trọng nhất là thúc đẩy việc đăng nhập bằng passkey một cách thuận tiện.

Nhiều nhà cung cấp giải pháp trích dẫn những con số ấn tượng về việc tạo hoặc “số liệu áp dụng không xác định”, nhưng câu hỏi chính là hệ thống của họ chuyển đổi các lượt đăng ký passkey mới thành các lượt đăng nhập passkey hàng ngày hiệu quả đến mức nào. Trong một số trường hợp, khối lượng sử dụng tuyệt đối có thể cao do có lượng người dùng lớn, nhưng tỷ lệ phần trăm tổng số lần đăng nhập bằng passkey vẫn thấp. Trong bài viết này, chúng tôi sẽ nêu bật các chiến lược quan trọng để đảm bảo các luồng đăng nhập bằng passkey của bạn chuyển thành việc sử dụng passkey thực sự, liên tục như một sự chuẩn bị để hoàn toàn không cần mật khẩu.

Nói tóm lại, việc tăng tỷ lệ đăng nhập bằng passkey là yếu tố quyết định thành công của bất kỳ dự án passkey nào. Bằng cách áp dụng các luồng đăng nhập được lên kế hoạch tốt, nhắc nhở người dùng nhất quán và quản lý phương thức dự phòng cẩn thận, các doanh nghiệp có thể nâng cao việc sử dụng passkey lên 50% và cao hơn, mở đường để thực sự thay thế mật khẩu và trải nghiệm những lợi ích của một hệ sinh thái không mật khẩu.

Trước khi đi sâu vào các phương pháp tốt nhất để tối ưu hóa việc áp dụng đăng nhập bằng passkey, điều quan trọng là phải phác thảo ngắn gọn các phương pháp kỹ thuật khác nhau có sẵn để tích hợp xác thực dựa trên passkey vào luồng đăng nhập của bạn. Mỗi phương pháp có những điểm mạnh và cân nhắc riêng biệt ảnh hưởng đến tỷ lệ áp dụng tổng thể, trải nghiệm người dùng và hiệu quả bảo mật. Hiểu rõ các tùy chọn này sẽ tạo tiền đề để áp dụng hiệu quả các phương pháp tốt nhất phù hợp với trường hợp sử dụng cụ thể của bạn.

Conditional UI (Giao diện người dùng có điều kiện) cho phép một passkey hiện có được tự động đề xuất trong lời nhắc đăng nhập, giảm đáng kể sự phiền toái, đặc biệt là trên các nền tảng di động. Cách tiếp cận này tận dụng các khả năng gốc của nền tảng, nâng cao trải nghiệm người dùng bằng cách giảm thiểu các bước cần thiết để bắt đầu xác thực dựa trên passkey. Tuy nhiên, nó có những hạn chế, đặc biệt khi nhiều tài khoản được liên kết với cùng một nền tảng. Người dùng có thể gặp phải sự nhầm lẫn về việc passkey được cung cấp thuộc về tài khoản nào, có khả năng gây ra sự do dự hoặc hủy bỏ đăng nhập. Ngoài ra, mặc dù Conditional UI tích hợp mượt mà với các trình quản lý mật khẩu, nó không được áp dụng phổ biến. Người dùng có thể hủy bỏ lời nhắc Conditional UI để xác minh thông tin đăng nhập theo cách thủ công, cho thấy sự cần thiết phải có thêm sự rõ ràng hoặc đảm bảo trong luồng đăng nhập. Conditional UI không phải là một cơ chế xác thực độc lập, nó được coi là một tiện ích bổ sung và phải được kết hợp với Đăng nhập tự động bằng Passkey hoặc Phương pháp Nút Passkey.

Trong các luồng ưu tiên định danh, người dùng nhập định danh của họ (chẳng hạn như email hoặc tên người dùng) và nếu có passkey hợp lệ, quá trình đăng nhập sẽ tự động bắt đầu. Chúng tôi cũng sẽ gọi phương pháp này là kích hoạt tự động. Phương pháp này giảm đáng kể sự phiền toái, giúp việc đăng nhập gần như không tốn công sức cho người dùng có passkey đã đăng ký và có thể truy cập trên thiết bị hiện tại của họ. Tuy nhiên, sự phức tạp trong việc triển khai nảy sinh khi xác định tính khả dụng của passkey trên các thiết bị và trình duyệt khác nhau, vì tiêu chuẩn WebAuthn không hỗ trợ trực tiếp việc phát hiện passkey trên web. Do đó, các nhà cung cấp thường đơn giản hóa cơ chế phát hiện hoặc nhắc người dùng mỗi lần, gây ra sự thất vọng cho người dùng khi phải đối mặt với các tùy chọn không thể truy cập như mã QR không cần thiết, đặc biệt có vấn đề đối với các trường hợp sử dụng mà người dùng có nhiều thiết bị và sự kết hợp giữa thiết bị di động, máy tính xách tay cá nhân & công việc và thiết bị gia đình. Một bài viết dành riêng cho Luồng ưu tiên định danh có thể được tìm thấy tại đây.

Phương pháp nút passkey bao gồm việc cung cấp một nút riêng biệt, chuyên dụng bên dưới các phương thức đăng nhập truyền thống, nhắc người dùng một cách rõ ràng để bắt đầu xác thực passkey theo cách thủ công. Phương pháp này giải quyết hiệu quả các lo ngại về dò quét tài khoản vì quy trình xác thực chỉ tiếp tục nếu có passkey hợp lệ trên thiết bị của người dùng, do đó ngăn chặn rò rỉ thông tin về sự tồn tại của tài khoản hoặc thông tin xác thực. Mặc dù đơn giản và an toàn, nhược điểm chính là việc người tiêu dùng sử dụng hạn chế. Nếu không tự động bắt đầu đăng nhập bằng passkey, người dùng thường mặc định sử dụng các phương thức dựa trên mật khẩu quen thuộc. Các doanh nghiệp áp dụng phương pháp này nên kết hợp nó với các thông điệp chiến lược, chẳng hạn như lời nhắc hoặc biểu ngữ, để hướng sự chú ý của người dùng đến việc sử dụng passkey và truyền đạt rõ ràng những lợi ích về sự tiện lợi và bảo mật mà passkey mang lại. Corbado tận dụng Passkey Intelligence và nút passkey Một Chạm (One-Tap) để đảm bảo tỷ lệ áp dụng đăng nhập bằng passkey cao, ngay cả trong trường hợp này - nhưng chúng ta sẽ nói thêm về điều đó sau trong bài viết.

Phương pháp này tích hợp passkey như một yếu tố bổ sung sau khi người dùng đã xác thực ban đầu qua mật khẩu. Sau khi nhập mật khẩu thành công, người dùng chọn giữa passkey và các yếu tố thứ hai truyền thống như SMS hoặc ứng dụng authenticator. Ưu điểm chính của phương pháp này là sự gián đoạn tối thiểu đối với quy trình đăng nhập hiện có, giúp các doanh nghiệp dễ dàng giới thiệu passkey dần dần mà không yêu cầu thay đổi hành vi người dùng đáng kể. Tuy nhiên, nó mang lại ít cải thiện về UX và giữ chân khách hàng với xác thực dựa trên mật khẩu, do đó hạn chế quá trình chuyển đổi sang một môi trường thực sự không mật khẩu. Do đó, phương pháp này phù hợp nhất cho các kịch bản thận trọng hoặc tuân thủ quy định, nơi việc giới thiệu passkey dần dần được ưu tiên.

Phương pháp ưu tiên di động chỉ tận dụng các passkey được đồng bộ hóa có sẵn trên thiết bị di động. Khi đăng nhập từ máy tính để bàn, người dùng thường xác thực bằng cách quét mã QR hiển thị trên màn hình để bắt đầu tạo passkey hoặc đăng nhập qua di động. Chiến lược này đặc biệt hấp dẫn đối với các tổ chức gốc di động hoặc ngân hàng số nhằm giảm sự phức tạp bằng cách phù hợp chặt chẽ với trải nghiệm người dùng tập trung vào di động hiện có của họ. Tuy nhiên, nó đặt trách nhiệm đáng kể lên người dùng, yêu cầu họ phải sử dụng thiết bị di động của mình một cách nhất quán để xác thực, điều này có thể gây ra sự phiền toái. Sự phụ thuộc vào mã QR cũng không trực quan đối với nhiều người dùng, có khả năng cản trở việc áp dụng rộng rãi hơn trừ khi được bổ sung bằng hướng dẫn và giáo dục người dùng rõ ràng, hỗ trợ. Phương pháp này cho đến nay chỉ được sử dụng trong các triển khai nhỏ, không phải trong các triển khai quy mô lớn.

Bây giờ chúng ta đã khám phá các phương pháp kỹ thuật để tích hợp passkey vào luồng đăng nhập, hãy phân tích cách các tổ chức lớn như Amazon, Microsoft, Google và myGov đã triển khai thành công passkey ở quy mô lớn. Bằng cách kiểm tra các ví dụ quy mô lớn này, chúng ta sẽ xác định các phương pháp tốt nhất và những hiểu biết thực tế có thể hướng dẫn doanh nghiệp của bạn đạt được tỷ lệ áp dụng passkey cao và tỷ lệ đăng nhập bằng passkey cao một cách nhất quán.

• Đăng nhập tự động bằng Passkey: Sau khi người dùng nhập email, Amazon tự động khởi tạo một luồng passkey nếu có khả năng một passkey hợp lệ có sẵn trên thiết bị. Như có thể thấy trong các ảnh chụp màn hình ở trên, ban đầu không có nút nào để bắt đầu đăng nhập bằng passkey; nó xuất hiện sau đó.
• Xử lý khi người dùng hủy bỏ: Khi người dùng hủy hoặc lời nhắc passkey thất bại, luồng đăng nhập sẽ quay trở lại hiển thị một nút passkey rõ ràng hoặc một phương thức dự phòng bằng mật khẩu. Người dùng có thể thử lại passkey bất cứ lúc nào bằng cách nhấp vào “Sử dụng passkey” hoặc tiếp tục với các luồng mật khẩu hiện có nếu thực sự cần thiết.
• Conditional UI: Tất cả các màn hình đều hỗ trợ tự động điền và Conditional UI, nhưng như chúng ta đã quan sát, một số người dùng bỏ qua tự động điền và nhập định danh của họ theo cách thủ công.

• Mặc định sử dụng Passkey: Sau khi người dùng nhập email, Microsoft kiểm tra xem có passkey nào được lưu trữ cho nền tảng đó không. Nếu có khả năng, hệ thống sẽ tự động nhắc sử dụng passkey - tự động kích hoạt quy trình WebAuthn (đăng nhập tự động).
• Luồng bị hủy & Sao lưu bằng mật khẩu: Nếu người dùng hủy lời nhắc passkey hoặc không có passkey hợp lệ trên thiết bị đó, hệ thống sẽ không tự động chuyển sang phương thức dự phòng mà hiển thị trang lỗi passkey nơi có thể sử dụng các tùy chọn bổ sung.
• Conditional UI: Trên live.com, Microsoft hiện không triển khai Conditional UI, có thể do sự phức tạp liên quan đến Quyền truy cập có điều kiện (Conditional Access) trong hệ thống Entra cơ bản.

• Đăng nhập tự động bằng Passkey: Sau khi người dùng nhập email, Google cũng tự động khởi tạo một luồng passkey nếu có khả năng một passkey hợp lệ có sẵn trên thiết bị. Đăng nhập tự động không được kích hoạt trong tất cả các trường hợp liên quan, đăng nhập bằng mã QR được tránh.
• Xử lý khi người dùng hủy bỏ: Khi người dùng hủy hoặc lời nhắc passkey thất bại, luồng đăng nhập sẽ quay trở lại một trang lỗi thông tin để khuyến khích người dùng thử lại đăng nhập. Người dùng chỉ có thể thử lại passkey sau lần hủy thứ hai, lúc đó Google sẽ cải thiện thông báo lỗi và bao gồm một cuộc khảo sát ngắn. Chúng tôi đã dành cả một bài viết cho các cơ chế dự phòng tốt nhất.

• Conditional UI: Tất cả các màn hình hiện đều hỗ trợ Conditional UI, mặc dù ban đầu Google đã ra mắt mà không có nó.

• Nút Passkey riêng biệt: Màn hình đăng nhập có một nút “Đăng nhập bằng passkey” riêng biệt. Mặc dù dễ triển khai, phương pháp này phụ thuộc vào việc người dùng chú ý và chọn tùy chọn passkey. Gần đây, họ đã di chuyển tùy chọn đăng nhập bằng passkey lên cao hơn để tăng nhận thức của người dùng.
• Tắt mật khẩu: Sau khi tạo passkey, người dùng có thể tắt hoàn toàn mật khẩu, một lợi thế bảo mật lớn. Tuy nhiên, luồng đăng nhập mặc định là SMS OTP nếu passkey không được kích hoạt một cách rõ ràng và có thể gây nhầm lẫn.
• Không có Conditional UI: myGov hiện không tận dụng tự động điền passkey (conditional UI) trên web hoặc ứng dụng gốc của mình, bỏ lỡ trải nghiệm đăng nhập “một cú nhấp chuột” không ma sát cho các thiết bị sẵn sàng sử dụng passkey, điều này đặc biệt quan trọng khi sử dụng phương pháp Nút Passkey. Chúng tôi cũng có một phân tích đầy đủ về Việc triển khai Passkey của myGov.

Dưới đây là một so sánh ngắn gọn về cách Amazon, Microsoft, Google và myGov cấu trúc luồng đăng nhập bằng passkey của họ, tập trung vào việc họ có tự động kích hoạt passkey (đăng nhập tự động) hay dựa vào một nút passkey riêng biệt, trí thông minh được sử dụng để kiểm tra tính khả dụng của thông tin xác thực, liệu có áp dụng yếu tố bổ sung hay không, hỗ trợ Conditional UI, và mức độ áp dụng passkey tổng thể mà mỗi phương pháp đạt được.

Những điểm chính cần rút ra

1. Đăng nhập Passkey tự động làm tăng tỷ lệ áp dụng Amazon, Microsoft và Google xác nhận rằng một khi người dùng đã nhập định danh, việc tự động nhắc sử dụng passkey sẽ mang lại tỷ lệ đăng nhập bằng passkey cao hơn - đặc biệt là trên di động. Ngược lại, myGov vẫn sử dụng một nút passkey riêng biệt, làm giảm việc sử dụng passkey hàng ngày. Điều này có lẽ do một cách tiếp cận thận trọng hơn đối với Dò quét tài khoản.
2. Xử lý phương thức dự phòng Tất cả các giải pháp đều quay trở lại các tùy chọn dự phòng nếu lời nhắc passkey thất bại hoặc bị hủy, nhưng chi tiết khác nhau (ví dụ: Amazon cung cấp một nút passkey rõ ràng; Microsoft hiển thị một trang lỗi). Logic dự phòng này phải luôn trực quan để duy trì lòng tin của người dùng.
3. Conditional UI Google & Amazon sử dụng Conditional UI để giảm sự phiền toái bằng cách tự động đề xuất passkey. Microsoft không triển khai nó do sự phức tạp nội bộ của Entra. myGov không tích hợp bất kỳ giao diện người dùng tự động điền passkey nào.
4. Tác động đến yêu cầu MFA Tất cả các ví dụ ngoại trừ Amazon đều dựa vào passkey như một yếu tố MFA độc lập. Công ty lớn duy nhất khác đi theo hướng coi Passkey là yếu tố đơn lẻ là Paypal nhưng đã thay đổi hướng đi tại Mỹ do tỷ lệ gian lận thấp hơn nhiều với passkey. Mặc dù trong trường hợp của họ, họ không coi nó là sự thay thế cho yếu tố đầu tiên (mật khẩu) mà là sự thay thế cho yếu tố thứ hai (SMS OTP).
5. Kết quả áp dụng Amazon, Microsoft và Google đều cho thấy tỷ lệ đăng nhập bằng passkey cao. Việc sử dụng của myGov bị tụt lại phía sau, bị cản trở bởi một nút passkey riêng biệt mà không có đăng nhập passkey tự động.

Bằng cách kết hợp phát hiện tự động, trí thông minh dự phòng, và Conditional UI tùy chọn, Amazon, Microsoft và Google đã chứng minh cách thúc đẩy passkey một cách nhất quán trở thành phương thức đăng nhập chính. Trong khi đó, myGov cung cấp một ví dụ cảnh báo về việc một phương pháp đơn giản hơn, ưu tiên bảo mật dựa trên nút có thể trông như thế nào.

Khi tích hợp passkey vào luồng đăng nhập của bạn, có hai tùy chọn chính nổi bật cho việc xác thực hàng ngày: đăng nhập tự động (một phương pháp ưu tiên định danh) và một nút passkey riêng biệt, chuyên dụng. Mỗi phương pháp đều có những ưu điểm, nhược điểm và trải nghiệm người dùng riêng biệt. Sau khi triển khai thành công các luồng đăng ký passkey, bước tiếp theo là đảm bảo người dùng đăng nhập bằng passkey thay vì mặc định sử dụng thông tin xác thực dự phòng. Dưới đây, chúng ta sẽ khám phá cả hai phương pháp chi tiết hơn trước khi giới thiệu giải pháp Một Chạm (One-Tap) của Corbado.

Người dùng nhập định danh của họ (ví dụ: email hoặc tên người dùng), và nếu hệ thống phát hiện rằng một passkey hợp lệ có khả năng có sẵn trên thiết bị hoặc nền tảng này, nó sẽ tự động khởi tạo luồng passkey. Thay vì yêu cầu lựa chọn thủ công (ví dụ: “Nhấp vào đây để sử dụng passkey”), người dùng được hướng dẫn một cách mượt mà để đăng nhập bằng sinh trắc học (hoặc mã PIN) nếu passkey có sẵn và có thể truy cập.

Ưu điểm

1. Đăng nhập liền mạch: Đăng nhập tự động giảm đáng kể sự phiền toái khi sử dụng passkey - người dùng chỉ cần nhập email của họ, và một lời nhắc passkey sẽ xuất hiện.
2. Tỷ lệ đăng nhập bằng Passkey cao: Vì việc sử dụng passkey là mặc định khi có sẵn, tỷ lệ đăng nhập hàng ngày qua passkey có xu hướng cao (50% - 80% hoặc hơn).
3. Giảm chi phí SMS OTP: Bằng cách khuyến khích sử dụng passkey để xác thực hàng ngày, sự phụ thuộc vào các OTP qua SMS hoặc email tốn kém sẽ giảm đi, tiết kiệm chi phí vận hành.

Thách thức

• Sự phức tạp của việc phát hiện: Việc xác định xem một passkey có thực sự tồn tại cho một người dùng nhất định trên một thiết bị cụ thể hay không là phức tạp vì WebAuthn không cung cấp trực tiếp các kiểm tra tính khả dụng của passkey. Nhiều giải pháp quay trở lại việc luôn cố gắng thực hiện một luồng tự động, điều này có thể gây nhầm lẫn nếu người dùng thực sự không có passkey trên thiết bị này, dẫn đến các ngõ cụt trong lời nhắc của hệ điều hành:

• Rủi ro dò quét tài khoản: Bằng cách yêu cầu định danh của người dùng trước, bạn phải giảm thiểu rủi ro tiết lộ liệu email đó có được đăng ký hay không. Việc triển khai phát hiện bot, giới hạn tốc độ và các thông báo “xử lý lỗi” nhất quán sẽ giúp giải quyết vấn đề này.

Nhìn chung, một luồng ưu tiên định danh tự động cố gắng đăng nhập bằng passkey là động lực lớn nhất duy nhất cho tỷ lệ đăng nhập bằng passkey cao. Nếu sự phiền toái của người dùng là mối quan tâm hàng đầu của bạn và nền tảng của bạn có thể hỗ trợ logic nâng cao để xử lý tình huống “không tìm thấy passkey” một cách duyên dáng, phương pháp này thường là tốt nhất.

Một nút “Đăng nhập bằng Passkey” (hoặc liên kết) riêng biệt xuất hiện bên cạnh các thông tin xác thực cũ. Thay vì tự động khởi chạy một luồng passkey, hệ thống sẽ đợi cho đến khi người dùng nhấp vào nút passkey. Chỉ sau đó, quy trình passkey mới bắt đầu, xác minh xem có passkey nào tồn tại trên thiết bị của người dùng hay không.

Ưu điểm

1. Đơn giản để triển khai: Bạn có thể thêm một nút passkey dưới hoặc gần các trường tên người dùng/mật khẩu với sự gián đoạn tối thiểu đối với các luồng hiện có.
2. Không cần bước nhập định danh: Người dùng thích passkey có thể tiến hành trực tiếp với xác thực passkey, bỏ qua việc nhập email/tên người dùng.
3. Tránh sự phức tạp không cần thiết: Bạn không cần logic phát hiện thiết bị hoặc passkey nâng cao, vì người dùng đang chọn đăng nhập bằng passkey một cách rõ ràng.

Thách thức

1. Tỷ lệ sử dụng Passkey thấp nhất: Trong thực tế, nhiều người dùng bỏ qua nút passkey do thói quen hoặc không quen thuộc, mặc định sử dụng các luồng mật khẩu hoặc OTP đã biết—do đó việc sử dụng passkey vẫn ở mức thấp.
2. Tiết kiệm chi phí SMS OTP ít hơn: Vì passkey vẫn là tùy chọn hoặc “ẩn”, khoản tiết kiệm chi phí của bạn từ việc giảm sử dụng OTP sẽ là tối thiểu.
3. Lợi ích bảo mật giảm: Hệ thống tiếp tục dựa vào các phương thức dự phòng ngay cả khi có thể có passkey, không thúc đẩy các hành vi mới hướng tới việc sử dụng không mật khẩu.

Nói tóm lại, các nút passkey rất đơn giản để triển khai nhưng thường mang lại tỷ lệ đăng nhập bằng passkey thấp. Tuy nhiên, chúng có thể đóng vai trò như một biện pháp chuyển tiếp hoặc một phương pháp dự phòng cho các tổ chức lo ngại về dò quét tài khoản hoặc thiếu cơ sở hạ tầng để tự động phát hiện passkey.

Khi tích hợp passkey, nhiều doanh nghiệp bị mắc kẹt giữa hai thái cực không hoàn hảo:

• Đăng nhập passkey tự động mỗi khi nhập email / tên người dùng, điều này có thể dẫn đến các lời nhắc sai, sự nhầm lẫn của người dùng và mã QR.
• Chỉ cung cấp một nút passkey riêng biệt mà người dùng luôn bỏ qua theo thói quen, dẫn đến việc sử dụng passkey hàng ngày ở mức tối thiểu.

Corbado thu hẹp khoảng cách này bằng Trí tuệ Passkey (Passkey Intelligence) và Nút Passkey Một Chạm (One-Tap Passkey Buttons), hai cải tiến độc quyền cho các triển khai quy mô lớn giúp nâng cao việc sử dụng passkey từ tỷ lệ phần trăm một chữ số lên hơn 50% và thường là +80% trong tổng số lần đăng nhập, đồng thời đẩy tỷ lệ đăng nhập thành công lên gần 100%.

Thách thức lớn nhất với phương pháp tự động là quyết định khi nào nên bắt đầu một lần đăng nhập tự động, vì điều này phụ thuộc vào nhiều yếu tố. Corbado giải quyết vấn đề này bằng Công cụ Trí tuệ Passkey (Passkey Intelligence) của mình.

Trí tuệ Passkey (Passkey Intelligence) là một lớp động dự đoán liệu passkey của người dùng có khả năng có sẵn trên thiết bị hoặc môi trường hiện tại hay không. Sử dụng các tín hiệu như:

• Dữ liệu thiết bị & trình duyệt: Phiên bản hệ điều hành, khả năng của trình duyệt, hỗ trợ passkey đã biết.
• Lịch sử người dùng: Các lần đăng nhập passkey thành công trong quá khứ, các mẫu sử dụng dự phòng, các mẫu bỏ qua cho môi trường và thiết bị này.
• Các chỉ số rủi ro: Tần suất cố gắng, tín hiệu IP, hoặc các thay đổi user agent.

Công cụ của Corbado quyết định xem nên:

1. Tự động kích hoạt đăng nhập bằng passkey (tương tự như phương pháp ưu tiên định danh).
2. Quay trở lại các luồng dự phòng một cách mượt mà nếu chúng tôi phát hiện luồng passkey không có khả năng thành công (ví dụ: thiết bị hiện tại không có passkey và thiết bị không có khả năng sử dụng xác thực chéo thiết bị).

Điều này loại bỏ sự phỏng đoán. Thay vì áp dụng chung “luôn thử passkey”, hệ thống của bạn nhẹ nhàng khuyến khích người dùng sử dụng passkey chỉ khi có khả năng thành công cao, giảm sự thất vọng và tăng cường sự chấp nhận.

Trong các triển khai thực tế, Trí tuệ Passkey (Passkey Intelligence) đã cho thấy khả năng giảm tỷ lệ lỗi khi đăng nhập bằng passkey hơn 95% so với một phương pháp đơn giản là luôn bắt đầu tự động.

Thách thức lớn nhất với phương pháp nút passkey riêng biệt là tỷ lệ sử dụng cực kỳ thấp. Người dùng chỉ đơn giản tiếp tục sử dụng biểu mẫu đăng nhập thông thường quen thuộc. Vấn đề này khó giải quyết vì phương pháp này thường được chọn để tránh tiết lộ sự tồn tại của một tài khoản, vì mục đích bảo mật (dò quét tài khoản). Corbado tận dụng Trí tuệ Passkey để giải quyết vấn đề này với Nút Passkey Một Chạm (One-Tap) của chúng tôi.

1. Đăng nhập bằng Nút Passkey riêng biệt: Nếu người dùng đăng nhập bằng passkey, Corbado sẽ kích hoạt Nút Passkey Một Chạm (One-Tap) cho lần đăng nhập tiếp theo. Nút Passkey Một Chạm cũng được kích hoạt nếu người dùng tạo passkey sau khi đăng nhập bằng các phương thức đăng nhập thông thường. Nút Passkey Một Chạm giống như “ghi nhớ địa chỉ e-mail của tôi” cho passkey.
2. Đăng nhập bằng Mật khẩu: Chúng ta đã thảo luận rằng một nhược điểm lớn của phương pháp Nút Passkey riêng biệt là người dùng không chủ động sử dụng nó. Trong trường hợp đó xảy ra, Trí tuệ Passkey phát hiện rằng một lần đăng nhập có thể đã được thực hiện bằng passkey và (tái) kích hoạt Nút Passkey Một Chạm. Điều đó giúp lan truyền Nút Passkey Một Chạm cả trên các thiết bị mới.
3. Các lần đăng nhập tiếp theo: Nút Passkey Một Chạm tự động xuất hiện - không cần nhập email riêng hoặc nút passkey thủ công. Người dùng chỉ cần chạm một lần, quét sinh trắc học và đã đăng nhập.

Sự thất vọng của người dùng được giảm thiểu với ít quy trình đăng nhập bị hủy hơn và ít hơn 95% lần hủy bỏ so với các phương pháp ưu tiên định danh truyền thống.

Phương pháp này là một yếu tố thay đổi cuộc chơi cho việc áp dụng với phương pháp Nút Passkey riêng biệt. Trong các triển khai nút passkey riêng biệt thông thường, việc sử dụng passkey có thể bị đình trệ ở mức 5%.

Với Nút Passkey Một Chạm được điều khiển bởi Trí tuệ Passkey, cùng một luồng đó có thể vượt qua 50% tỷ lệ đăng nhập bằng passkey trong vòng vài tháng với việc bắt buộc di chuyển sang passkey. Dữ liệu nội bộ cho thấy 97% người dùng nhìn thấy Nút Passkey Một Chạm sẽ gắn bó với nó, hiếm khi quay lại mật khẩu hoặc mã MFA.

Các giải pháp khác có thể xử lý tốt việc tạo passkey nhưng lại thất bại khi nói đến việc sử dụng hàng ngày, khiến các tổ chức bị mắc kẹt với tỷ lệ áp dụng quá thấp để biện minh cho việc loại bỏ mật khẩu và không nhận ra được lợi ích. Corbado giải quyết cả hai đầu - đăng ký passkey liền mạch cộng với việc sử dụng hàng ngày hấp dẫn với tỷ lệ đăng nhập bằng passkey cao nhất trong ngành - tất cả trong khi tôn trọng quyền tự chủ của người dùng và nhu cầu dự phòng.

Những điểm chính cần rút ra:

• Nút Passkey riêng biệt không có Corbado: Cung cấp bảo mật nhưng tỷ lệ áp dụng đăng nhập rất hạn chế và cải thiện trải nghiệm người dùng ở mức tối thiểu.
• Đăng nhập Passkey tự động không có Corbado: Cải thiện việc sử dụng nhưng gây nhầm lẫn bằng cách bắt đầu lời nhắc passkey trên các thiết bị không có quyền truy cập vào passkey của người dùng, dẫn đến sự nhầm lẫn, mã QR và ngõ cụt.
• Nút Passkey Một Chạm + Trí tuệ Passkey của Corbado: Mang lại tỷ lệ đăng nhập cao nhất trong ngành, giảm đáng kể sự phiền toái cho người dùng, tăng mức độ gắn bó với passkey cho cả đăng nhập tự động và nút passkey.

Tận dụng Trí tuệ Passkey kết hợp với Nút Passkey Một Chạm, Corbado biến các triển khai passkey từ những ô đánh dấu đơn thuần thành các giải pháp hiệu quả cao mang lại giá trị có thể đo lường và bảo mật nâng cao ở quy mô lớn.

Chúng tôi tin tưởng mạnh mẽ rằng chỉ có việc áp dụng mới làm cho một dự án passkey thành công, do đó chúng tôi đặc biệt khuyên bạn nên đánh giá các giải pháp của nhà cung cấp và tự phát triển dựa trên sự đảm bảo của họ về hai chỉ số chính: Tỷ lệ kích hoạt người dùng và Tỷ lệ đăng nhập bằng Passkey. Các KPI này cung cấp cái nhìn sâu sắc trực tiếp về việc áp dụng trong thế giới thực và sự tương tác liên tục của người dùng với passkey, đảm bảo giải pháp bạn chọn mang lại những lợi ích về bảo mật và tiện lợi đã hứa. Chúng tôi cũng đã bao gồm các KPI quan trọng nhất ở đây dưới dạng tổng quan, việc đi vào chi tiết không phải là một phần của bài viết này, thêm chi tiết có thể được tìm thấy trong Hướng dẫn Mua so với Tự xây dựng của chúng tôi.

Nếu bạn cần trợ giúp để đánh giá giải pháp hiện tại của mình hoặc không chắc chắn về các KPI cần nhắm đến, hãy liên hệ với chúng tôi để được tư vấn miễn phí.

Passkey hứa hẹn rất nhiều trong việc tạo ra trải nghiệm xác thực liền mạch, an toàn, nhưng chỉ cung cấp chúng không đảm bảo việc áp dụng rộng rãi. Đạt được tỷ lệ đăng nhập bằng passkey cao đòi hỏi một cách tiếp cận chiến lược với các luồng người dùng thông minh, những lời nhắc đúng lúc và công nghệ loại bỏ sự phiền toái trong các lần đăng nhập hàng ngày. Với cách tiếp cận đúng đắn, các doanh nghiệp có thể dễ dàng vượt qua mức sử dụng đăng nhập bằng passkey 50% và thường leo lên tới 80% hoặc hơn.

• Các phương pháp tốt nhất để tối ưu hóa tỷ lệ đăng nhập bằng passkey là gì? Tỷ lệ đăng nhập bằng passkey cao phụ thuộc vào việc giảm sự phiền toái của người dùng và tối đa hóa khả năng hiển thị. Các kỹ thuật như tự động kích hoạt passkey (ưu tiên định danh), lời nhắc passkey theo ngữ cảnh và cung cấp đăng nhập Một Chạm (One-Tap) đều giúp thúc đẩy việc sử dụng passkey hàng ngày.
• Làm thế nào các doanh nghiệp có thể khuyến khích hiệu quả việc sử dụng passkey một cách nhất quán ở quy mô lớn? Việc sử dụng nhất quán phát triển mạnh mẽ nhờ vào các phương thức dự phòng được quản lý cẩn thận, giáo dục người dùng và công nghệ chiến lược. Bằng cách phân tích thiết bị, lịch sử người dùng và các tín hiệu rủi ro (như Trí tuệ Passkey của Corbado), bạn có thể nhẹ nhàng hướng dẫn người dùng đến với passkey bất cứ khi nào có khả năng thành công - thúc đẩy việc áp dụng liên tục.

Lợi thế của Corbado: Một phương pháp thống nhất để áp dụng

Hầu hết các giải pháp passkey chỉ đảm bảo đăng ký WebAuthn chính xác. Corbado khép lại vòng lặp bằng cách kết hợp:

1. Trí tuệ Passkey Các lời nhắc thông minh phát hiện khi nào thiết bị của người dùng có sẵn và có thể truy cập passkey, tự động khởi tạo các luồng passkey chỉ khi có khả năng thành công, loại bỏ các khởi đầu sai và sự nhầm lẫn.
2. Một Chạm cho Luồng ưu tiên định danh và Nút Passkey Người dùng không còn phải “chọn passkey”. Sau một lần đăng nhập thông thường, Corbado chuyển đổi liền mạch các lần đăng nhập trong tương lai sang xác thực sinh trắc học một chạm. Dữ liệu thực tế cho thấy hơn 97% người dùng tiếp tục với Một Chạm sau khi nhìn thấy nó một lần.

Kết quả? 50–80% số lần đăng nhập bằng passkey trong vòng vài tháng, giảm đáng kể việc sử dụng OTP, cắt giảm các véc-tơ lừa đảo (phishing), và mang lại lợi thế về trải nghiệm người dùng mà passkey hứa hẹn.

Sẵn sàng để biến đổi trải nghiệm đăng nhập của bạn?

Nền tảng Doanh nghiệp và chuyên môn thực hành của Corbado trang bị cho bạn để:

• Triển khai passkey mà không làm gián đoạn các quy trình làm việc hiện có.
• Tối ưu hóa việc sử dụng passkey hàng ngày thông qua các lời nhắc thông minh và Một Chạm.
• Xác thực ROI thông qua các bước nhảy vọt có thể đo lường được trong tỷ lệ đăng nhập bằng passkey và ít SMS OTP hơn.
• Di chuyển cơ sở người dùng của bạn khỏi mật khẩu trong khi vẫn duy trì các phương thức dự phòng cần thiết.

Nếu bạn đang tìm cách thoát khỏi tỷ lệ đăng nhập bằng passkey một chữ số và giảm vĩnh viễn chi phí SMS OTP tốn kém, chúng tôi ở đây để giúp đỡ. Hãy liên hệ ngay hôm nay để được tư vấn, và hãy cùng đưa tổ chức của bạn đến gần hơn với một tương lai thực sự không mật khẩu - được cung cấp bởi các chiến lược áp dụng passkey đã được chứng minh của Corbado.