Get your free and exclusive 80-page Banking Passkey Report
Blog-Post-Header-Image

Xác thực PCI DSS 4.0: Passkeys

Tìm hiểu cách xác thực bằng passkey đáp ứng yêu cầu MFA của PCI DSS 4.0, tăng cường bảo mật và đơn giản hóa việc tuân thủ cho các đơn vị xử lý dữ liệu chủ thẻ.

Vincent Delitz

Vincent

Created: July 15, 2025

Updated: July 16, 2025


See the original blog version in English here.

WhitepaperEnterprise Icon

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

1. Giới thiệu#

Bối cảnh kỹ thuật số không ngừng phát triển, và cùng với đó, sự tinh vi và tần suất của các mối đe dọa mạng cũng tiếp tục gia tăng. Dữ liệu thẻ thanh toán vẫn là mục tiêu hàng đầu của các đối tượng xấu, khiến các tiêu chuẩn bảo mật mạnh mẽ trở nên thiết yếu đối với bất kỳ tổ chức nào xử lý chúng. Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) từ lâu đã là tiêu chuẩn để bảo vệ dữ liệu chủ thẻ. Phiên bản mới nhất, PCI DSS 4.0, đại diện cho một bước tiến đáng kể, trực tiếp giải quyết các mối đe dọa hiện đại thông qua việc tăng cường đáng kể các yêu cầu xác thực, cùng với các cải tiến khác.

Khi các tổ chức giải quyết những yêu cầu mới này, các công nghệ mới nổi mang lại những giải pháp đầy hứa hẹn. Passkeys, được xây dựng dựa trên các tiêu chuẩn của Liên minh FIDO (Fast Identity Online) và giao thức WebAuthn, đang đi đầu trong làn sóng xác thực mới này. Chúng cung cấp một phương pháp không mật khẩu, chống lừa đảo (phishing-resistant) và cải thiện cách thức bảo mật quyền truy cập vào dữ liệu nhạy cảm. Bài viết này phân tích những thay đổi quan trọng do PCI DSS 4.0 mang lại, đặc biệt là về xác thực an toàn, khám phá khả năng của xác thực bằng passkey và cung cấp một lộ trình để tận dụng công nghệ này nhằm đạt được và duy trì sự tuân thủ.

Việc khám phá này dẫn đến hai câu hỏi quan trọng cho các tổ chức đang định hướng trong lĩnh vực mới này:

  1. Xác thực: Khi PCI DSS 4.0 nâng cao tiêu chuẩn xác thực, làm thế nào các tổ chức có thể đáp ứng hiệu quả các yêu cầu mới nghiêm ngặt này mà không gây quá tải cho người dùng hoặc đội ngũ bảo mật?
  2. Passkeys & Tuân thủ PCI: Liệu các công nghệ mới nổi như passkeys có thể đáp ứng các kiểm soát xác thực của PCI DSS 4.0, tăng cường bảo mật và cải thiện hiệu quả hoạt động không?

Bài viết này nhằm mục đích cung cấp câu trả lời, hướng dẫn các chuyên gia kỹ thuật hướng tới một tương lai an toàn và tuân thủ hơn.

2. Tìm hiểu về PCI DSS và những thay đổi trong Phiên bản 4.0#

Để đánh giá đúng vai trò của passkeys trong bối cảnh tuân thủ hiện tại, điều quan trọng là phải hiểu rõ khuôn khổ PCI DSS và sự phát triển đáng kể được đánh dấu bởi phiên bản 4.0.

2.1 Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) là gì?#

Tiêu chuẩn Bảo mật Dữ liệu PCI là một tiêu chuẩn bảo mật thông tin toàn cầu được thiết kế để bảo vệ dữ liệu thanh toán. Nó áp dụng cho tất cả các đơn vị lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ, bao gồm đơn vị chấp nhận thẻ (merchants), đơn vị xử lý (processors), ngân hàng thanh toán (acquirers), ngân hàng phát hành (issuers) và các nhà cung cấp dịch vụ. Tiêu chuẩn này được phát triển bởi các thương hiệu thẻ thanh toán lớn (American Express, Discover Financial Services, JCB International, MasterCard, và Visa), những đơn vị đã thành lập Hội đồng Tiêu chuẩn Bảo mật PCI (PCI SSC) vào ngày 7 tháng 9 năm 2006, để quản lý sự phát triển liên tục của nó. PCI DSS bao gồm một bộ yêu cầu kỹ thuật và vận hành toàn diện, tạo thành một nền tảng để bảo vệ dữ liệu thanh toán trong suốt vòng đời của nó.

2.2 Hội đồng Tiêu chuẩn Bảo mật PCI (PCI SSC) và Sứ mệnh của nó#

Hội đồng PCI SSC hoạt động như một diễn đàn toàn cầu, quy tụ các bên liên quan trong ngành thanh toán để phát triển và thúc đẩy việc áp dụng các tiêu chuẩn bảo mật dữ liệu và các nguồn lực cho các giao dịch thanh toán an toàn trên toàn thế giới. Ngoài PCI DSS, Hội đồng còn quản lý một loạt các tiêu chuẩn giải quyết các khía cạnh khác nhau của bảo mật thanh toán. Sứ mệnh của nó là tăng cường bảo mật dữ liệu tài khoản thanh toán toàn cầu bằng cách phát triển các tiêu chuẩn và dịch vụ hỗ trợ nhằm thúc đẩy giáo dục, nhận thức và việc triển khai hiệu quả bởi các bên liên quan.

2.3 Sự phát triển lên PCI DSS 4.0: Động lực và Mục tiêu chính#

Tiêu chuẩn PCI DSS 4.0, được phát hành chính thức vào tháng 3 năm 2022, với một bản sửa đổi nhỏ sau đó (v4.0.1) để giải quyết phản hồi từ các bên liên quan, đánh dấu bản cập nhật quan trọng nhất cho tiêu chuẩn trong nhiều năm. Động lực chính cho sự phát triển này là nhu cầu giải quyết bối cảnh mối đe dọa mạng ngày càng tinh vi và môi trường công nghệ đang thay đổi trong ngành thanh toán.

Các mục tiêu cốt lõi của PCI DSS 4.0 là:

  • Đáp ứng nhu cầu bảo mật đang phát triển của ngành thanh toán: Đảm bảo tiêu chuẩn vẫn hiệu quả trước các mối đe dọa hiện tại và mới nổi, chẳng hạn như lừa đảo dựa trên AI.
  • Thúc đẩy bảo mật như một quy trình liên tục: Chuyển trọng tâm từ việc tuân thủ tại một thời điểm sang một kỷ luật bảo mật liên tục.
  • Tăng cường các phương pháp và thủ tục xác thực: Cải thiện tính nghiêm ngặt và nhất quán của các cuộc đánh giá tuân thủ.
  • Thêm tính linh hoạt và hỗ trợ các phương pháp bổ sung: Cho phép các tổ chức có nhiều quyền tự quyết hơn trong cách họ đạt được các mục tiêu và kết quả bảo mật.

2.4 Những thay đổi cốt lõi trong phiên bản 4.0: Tập trung vào Kết quả Bảo mật, Bảo mật Liên tục, Triển khai Tùy chỉnh và Lộ trình Chuyển đổi#

PCI DSS 4.0 giới thiệu một số thay đổi cơ bản ảnh hưởng đến cách các tổ chức tiếp cận việc tuân thủ:

Tập trung vào Kết quả Bảo mật so với các Kiểm soát Mang tính Quy định

Một thay đổi quan trọng là sự chuyển dịch từ các kiểm soát chủ yếu mang tính quy định sang việc nhấn mạnh vào kết quả bảo mật. Bản thân tiêu chuẩn đã giải thích rõ hơn về sự linh hoạt này:

Mục 8: Các phương pháp tiếp cận để triển khai và xác thực PCI DSS

Để hỗ trợ sự linh hoạt trong cách đạt được các mục tiêu bảo mật, có hai phương pháp tiếp cận để triển khai và xác thực PCI DSS.

Phương pháp Tiếp cận Tùy chỉnh tập trung vào Mục tiêu của mỗi yêu cầu PCI DSS, cho phép các đơn vị triển khai các kiểm soát để đáp ứng Mục tiêu đã nêu của yêu cầu theo cách không tuân thủ nghiêm ngặt yêu cầu đã được xác định.

Sự thay đổi này có nghĩa là trong khi PCI DSS 3.2.1 đưa ra hướng dẫn chi tiết về việc phải làm gì, phiên bản 4.0 cho phép các tổ chức linh hoạt hơn trong việc làm thế nào để đáp ứng các yêu cầu. Các doanh nghiệp có thể triển khai các kiểm soát phù hợp nhất với môi trường của mình, miễn là họ có thể chứng minh rằng các kiểm soát này đạt được các mục tiêu bảo mật đã nêu. Điều này đặc biệt phù hợp với việc áp dụng các công nghệ đổi mới như passkeys, vốn có thể không phù hợp hoàn toàn với các mô tả kiểm soát cũ, cứng nhắc hơn. Tuy nhiên, sự linh hoạt này đi kèm với kỳ vọng rằng các tổ chức sẽ tiến hành đánh giá rủi ro kỹ lưỡng và biện minh rõ ràng cho các phương pháp kiểm soát đã chọn.

Bảo mật Liên tục (Hoạt động Thường xuyên)

Một nguyên tắc quan trọng khác trong PCI DSS 4.0 là thúc đẩy bảo mật như một quy trình liên tục, hoạt động thường xuyên (business-as-usual - BAU). Tiêu chuẩn nêu chi tiết điều này trong Mục 5:

Mục 5: Các phương pháp tốt nhất để triển khai PCI DSS vào các quy trình hoạt động thường xuyên

Một đơn vị triển khai các quy trình hoạt động thường xuyên … đang thực hiện các biện pháp để đảm bảo rằng các kiểm soát bảo mật ... tiếp tục được triển khai chính xác và hoạt động đúng cách như một phần của hoạt động kinh doanh bình thường.

Một số yêu cầu PCI DSS được thiết kế để hoạt động như các quy trình BAU bằng cách giám sát các kiểm soát bảo mật để đảm bảo hiệu quả của chúng một cách liên tục.

Việc nhấn mạnh vào các quy trình "hoạt động thường xuyên" (BAU) này có nghĩa là các tổ chức phải lồng ghép bảo mật vào các hoạt động hàng ngày của họ. Đó là việc nuôi dưỡng một văn hóa nơi bảo mật không phải là một suy nghĩ sau cùng hay một cuộc chạy đua hàng năm, mà là một phần không thể thiếu của hoạt động, đảm bảo giám sát liên tục, đánh giá thường xuyên và các tư thế bảo mật thích ứng để đảm bảo bảo vệ bền vững dữ liệu chủ thẻ. Đối với việc triển khai passkey, điều này có nghĩa là phải cảnh giác liên tục trong việc giám sát hiệu quả của chúng, các mô hình chấp nhận của người dùng và bất kỳ mối đe dọa mới nổi nào, biến bảo mật thành một nỗ lực bền vững thay vì một bài tập tuân thủ tại một thời điểm.

Triển khai Tùy chỉnh & Phân tích Rủi ro có Mục tiêu

Một tính năng mới quan trọng trong PCI DSS 4.0 là tùy chọn được chính thức hóa cho triển khai tùy chỉnh, vốn có mối liên hệ mật thiết với việc đánh giá rủi ro nghiêm ngặt. Tiêu chuẩn bắt buộc mối liên hệ này trong Yêu cầu 12.3.2:

Yêu cầu 12.3.2: Hỗ trợ Bảo mật Thông tin bằng các Chính sách và Chương trình của Tổ chức

Một phân tích rủi ro có mục tiêu được thực hiện cho mỗi yêu cầu PCI DSS mà đơn vị đáp ứng bằng phương pháp tiếp cận tùy chỉnh, bao gồm ... bằng chứng được ghi lại ... sự chấp thuận của ban lãnh đạo cấp cao, và việc thực hiện phân tích rủi ro có mục tiêu ít nhất 12 tháng một lần.

Lựa chọn được chính thức hóa này cho phép các tổ chức đáp ứng các mục tiêu bảo mật bằng cách sử dụng các công nghệ mới và các kiểm soát đổi mới phù hợp với môi trường độc đáo của họ, thay vì tuân thủ nghiêm ngặt các phương pháp quy định. Tuy nhiên, như trích dẫn nhấn mạnh, sự linh hoạt này dựa trên việc thực hiện phân tích rủi ro có mục tiêu cho mỗi kiểm soát tùy chỉnh. Phân tích này phải được ghi lại, được ban lãnh đạo cấp cao phê duyệt và được xem xét hàng năm. Một đánh giá viên bên thứ ba (Qualified Security Assessor hoặc QSA) sau đó sẽ xác thực các kiểm soát tùy chỉnh này bằng cách xem xét phương pháp tiếp cận được ghi lại của tổ chức, bao gồm cả phân tích rủi ro, và phát triển các thủ tục kiểm tra cụ thể. Lộ trình này là một yếu tố hỗ trợ chính cho các giải pháp như passkeys, cho phép các tổ chức tận dụng hiệu quả các tính năng bảo mật tiên tiến của chúng, miễn là họ có thể chứng minh thông qua đánh giá rủi ro rằng phương pháp của họ đáp ứng các mục tiêu bảo mật. Khả năng tùy chỉnh việc triển khai, được hỗ trợ bởi phân tích rủi ro mạnh mẽ, phản ánh sự hiểu biết rằng sự phát triển nhanh chóng của cả các mối đe dọa và công nghệ phòng thủ làm cho các kiểm soát cứng nhắc, mang tính quy định trở nên kém thích ứng theo thời gian.

Lộ trình Chuyển đổi

PCI DSS 3.2.1 vẫn hoạt động song song với v4.0 cho đến ngày 31 tháng 3 năm 2024, sau đó nó đã được cho ngừng áp dụng. Các yêu cầu mới được giới thiệu trong PCI DSS 4.0 được coi là các phương pháp tốt nhất cho đến ngày 31 tháng 3 năm 2025. Sau ngày này, các yêu cầu mới này trở thành bắt buộc đối với tất cả các cuộc đánh giá. Cách tiếp cận theo giai đoạn này đã cung cấp cho các tổ chức một khoảng thời gian để hiểu, lập kế hoạch và triển khai các thay đổi.

Những thay đổi này cùng nhau báo hiệu một cách tiếp cận trưởng thành hơn, dễ thích ứng hơn và tập trung vào rủi ro đối với bảo mật thẻ thanh toán, tạo tiền đề cho việc áp dụng các cơ chế xác thực mạnh mẽ và hiện đại hơn.

3. Rủi ro rất lớn: Hậu quả của việc không tuân thủ PCI DSS#

Việc không tuân thủ các yêu cầu của PCI DSS không chỉ đơn thuần là một sự sơ suất; nó mang lại những hậu quả nghiêm trọng và đa diện có thể ảnh hưởng nặng nề đến sự ổn định tài chính, vị thế pháp lý và danh tiếng của một tổ chức.

3.1 Các khoản phạt tài chính#

Hậu quả trực tiếp nhất của việc không tuân thủ là việc bị áp đặt các khoản phạt tài chính. Các khoản phạt này thường do các ngân hàng thanh toán và đơn vị xử lý thanh toán áp đặt, chứ không phải trực tiếp từ PCI SSC. Các khoản phạt có thể rất lớn, dao động từ $5.000 đến $100.000 mỗi tháng, tùy thuộc vào khối lượng giao dịch được xử lý (yếu tố quyết định cấp độ đơn vị chấp nhận thẻ, ví dụ: Cấp 1 cho hơn 6 triệu giao dịch hàng năm so với Cấp 4 cho dưới 20.000 giao dịch thương mại điện tử) và thời gian cũng như mức độ nghiêm trọng của việc không tuân thủ. Ví dụ, một đơn vị chấp nhận thẻ Cấp 1 không tuân thủ trong vài tháng có nhiều khả năng phải đối mặt với các khoản phạt ở mức cao hơn trong phạm vi này, trong khi các doanh nghiệp Cấp 4 nhỏ hơn có thể bị phạt gần $5.000 hàng tháng.

Điều quan trọng là phải hiểu rằng các khoản phạt này có thể là một gánh nặng hàng tháng lặp đi lặp lại. Áp lực tài chính dai dẳng này, có thể bị cộng hưởng bởi phí giao dịch tăng mà các đơn vị xử lý thanh toán có thể tính cho các doanh nghiệp không tuân thủ, có nghĩa là chi phí tích lũy của việc không tuân thủ vượt xa khoản đầu tư cần thiết để đạt được và duy trì sự tuân thủ. Điều này định hình lại việc tuân thủ không phải là một trung tâm chi phí đơn thuần, mà là một khoản đầu tư giảm thiểu rủi ro quan trọng. Đầu tư vào các biện pháp bảo mật mạnh mẽ, bao gồm xác thực mạnh như passkeys, trở thành một quyết định thận trọng về mặt tài chính để tránh những chi phí lớn hơn, thường không thể đoán trước và có khả năng gây tê liệt này.

3.2 Hậu quả pháp lý và quy định#

Ngoài các khoản phạt trực tiếp, việc không tuân thủ có thể dẫn đến những thách thức pháp lý nghiêm trọng, đặc biệt nếu nó dẫn đến một vụ rò rỉ dữ liệu. Khách hàng có dữ liệu bị xâm phạm có thể khởi kiện, và các thương hiệu thẻ cũng có thể có hành động pháp lý. Tình trạng không tuân thủ có thể khiến các nguyên đơn dễ dàng chứng minh sự sơ suất của tổ chức hơn, có khả năng dẫn đến các khoản dàn xếp và phán quyết tốn kém.

3.3 Thiệt hại về danh tiếng và mất lòng tin của khách hàng#

Có lẽ một trong những hậu quả tai hại nhất, mặc dù khó định lượng hơn, là tổn hại đến danh tiếng của một tổ chức. Một thất bại tuân thủ duy nhất, đặc biệt là thất bại dẫn đến rò rỉ dữ liệu, có thể làm xói mòn nghiêm trọng lòng tin của khách hàng. Một khi đã mất, lòng tin này rất khó lấy lại, thường dẫn đến việc khách hàng rời bỏ, mất kinh doanh vào tay đối thủ cạnh tranh và thiệt hại lâu dài cho hình ảnh thương hiệu. Các vi phạm lặp đi lặp lại hoặc nghiêm trọng thậm chí có thể dẫn đến việc thu hồi đặc quyền xử lý thanh toán của tổ chức bởi các thương hiệu thẻ hoặc ngân hàng thanh toán, thực chất là cắt đứt khả năng chấp nhận thanh toán bằng thẻ của họ. Điều này nhấn mạnh tầm quan trọng của việc xem xét tuân thủ không chỉ là một yêu cầu kỹ thuật mà còn là một thành phần cơ bản của niềm tin thương hiệu và sự liên tục trong kinh doanh.

3.4 Chi phí bồi thường do rò rỉ dữ liệu#

Nếu việc không tuân thủ góp phần gây ra rò rỉ dữ liệu, tổ chức có thể sẽ phải chịu trách nhiệm về các chi phí bồi thường đáng kể bên cạnh các khoản phạt và phí pháp lý. Các chi phí này có thể bao gồm việc cung cấp cho khách hàng bị ảnh hưởng các dịch vụ như giám sát tín dụng miễn phí, bảo hiểm chống trộm danh tính và hoàn trả cho các khoản phí gian lận hoặc phí dịch vụ. Hơn nữa, chi phí phát hành lại các thẻ thanh toán bị xâm phạm, ước tính từ 3 đến 5 đô la mỗi thẻ, có thể nhanh chóng leo thang thành hàng triệu đô la đối với các vụ rò rỉ ảnh hưởng đến một số lượng lớn chủ thẻ. Ngược lại, nếu một tổ chức bị rò rỉ trong khi hoàn toàn tuân thủ PCI DSS, các khoản phạt liên quan có thể được giảm hoặc thậm chí được miễn, vì việc tuân thủ thể hiện sự thẩm định đúng mức và cam kết về bảo mật, thay vì sự sơ suất.

Loạt các kết quả tiêu cực tiềm ẩn này nhấn mạnh rằng việc tuân thủ PCI DSS là một khía cạnh không thể thiếu trong hoạt động kinh doanh hiện đại đối với bất kỳ đơn vị nào tham gia vào hệ sinh thái thẻ thanh toán.

4. Các Kiểm soát Xác thực được Tăng cường của PCI DSS 4.0: Nhìn sâu hơn vào Yêu cầu 8#

Yêu cầu 8 của PCI DSS luôn là một nền tảng của tiêu chuẩn. Với phiên bản 4.0, các quy định của nó đã được tăng cường đáng kể, phản ánh vai trò quan trọng của việc xác thực mạnh mẽ trong việc ngăn chặn truy cập trái phép vào dữ liệu chủ thẻ nhạy cảm và các hệ thống xử lý nó.

4.1 Tổng quan về Yêu cầu 8: Nhận dạng và Xác thực Truy cập vào các Thành phần Hệ thống#

Mục tiêu chính của Yêu cầu 8 là đảm bảo rằng mọi cá nhân truy cập vào các thành phần hệ thống trong Môi trường Dữ liệu Chủ thẻ (CDE) hoặc kết nối với nó đều có thể được nhận dạng duy nhất và xác thực mạnh mẽ. Điều này quan trọng để duy trì tính toàn vẹn và bảo mật của dữ liệu chủ thẻ bằng cách ngăn chặn truy cập trái phép và đảm bảo rằng tất cả các hành động có thể được truy vết lại cho một người dùng cụ thể, đã biết, từ đó thiết lập trách nhiệm cá nhân.

4.2 Các Yêu cầu Bắt buộc về Xác thực Đa yếu tố (MFA) được Tăng cường#

Một sự phát triển lớn trong PCI DSS 4.0 là việc mở rộng và củng cố các yêu cầu về Xác thực Đa yếu tố (MFA):

  • MFA phổ quát cho việc truy cập CDE: Không giống như PCI DSS 3.2.1, vốn chủ yếu yêu cầu MFA cho quyền truy cập quản trị và tất cả các truy cập từ xa vào CDE, phiên bản 4.0 yêu cầu MFA cho tất cả các truy cập vào CDE. Điều này bao gồm quyền truy cập của quản trị viên, người dùng thông thường và các nhà cung cấp bên thứ ba, bất kể truy cập bắt nguồn từ bên trong hay bên ngoài mạng. Việc mở rộng đáng kể này nhấn mạnh sự công nhận của PCI SSC về MFA như một kiểm soát bảo mật cơ bản.
    Tiêu chuẩn quy định các yêu cầu này:

    Trích đoạn Yêu cầu 8

    "8.4.1 MFA được triển khai cho tất cả các truy cập không phải qua giao diện dòng lệnh (non-console) vào CDE cho nhân viên có quyền truy cập quản trị." 

    "8.4.3 MFA được triển khai cho tất cả các truy cập từ xa bắt nguồn từ bên ngoài mạng của đơn vị có thể truy cập hoặc ảnh hưởng đến CDE." 

  • Yêu cầu về các yếu tố: Việc triển khai MFA phải sử dụng ít nhất hai trong ba loại yếu tố xác thực được công nhận:

    • Thứ bạn biết (ví dụ: mật khẩu, mã PIN)
    • Thứ bạn có (ví dụ: thiết bị token, thẻ thông minh, hoặc một thiết bị giữ passkey)
    • Thứ bạn là (ví dụ: dữ liệu sinh trắc học như vân tay hoặc nhận dạng khuôn mặt). Quan trọng là, các yếu tố này phải độc lập, nghĩa là việc xâm phạm một yếu tố không làm xâm phạm các yếu tố khác.
  • Tính toàn vẹn của hệ thống MFA: Các hệ thống MFA phải được thiết kế để chống lại các cuộc tấn công phát lại (replay attacks - nơi kẻ tấn công chặn và sử dụng lại dữ liệu xác thực) và chỉ cấp quyền truy cập sau khi tất cả các yếu tố xác thực được yêu cầu đã được xác thực thành công.

  • Không được bỏ qua trái phép: MFA không được phép bị bỏ qua bởi bất kỳ người dùng nào, kể cả quản trị viên, trừ khi có một ngoại lệ cụ thể, được ghi lại và được ban quản lý cấp phép cho từng trường hợp trong một khoảng thời gian giới hạn.

  • Xác thực chống lừa đảo như một ngoại lệ: PCI DSS 4.0 cũng giới thiệu hướng dẫn bổ sung về các yếu tố xác thực chống lừa đảo, trong một số trường hợp, có thể đáp ứng mục đích của MFA.

    Trích đoạn Yêu cầu 8

    "Yêu cầu này không áp dụng cho … các tài khoản người dùng chỉ được xác thực bằng các yếu tố xác thực chống lừa đảo." — Ghi chú về khả năng áp dụng cho 8.4.2 

    "Xác thực chống lừa đảo … Ví dụ về xác thực chống lừa đảo bao gồm FIDO2." — Phụ lục G, Định nghĩa thuật ngữ về Xác thực Chống lừa đảo 

    Hàm ý của việc xác thực chống lừa đảo, như được nhấn mạnh bởi các trích đoạn này, sẽ được khám phá thêm trong phần tiếp theo (4.3).

4.3 Nhấn mạnh vào Xác thực Chống lừa đảo#

PCI DSS 4.0 đặc biệt nhấn mạnh việc sử dụng các phương pháp xác thực chống lừa đảo. Đây là một phản ứng trực tiếp đối với sự phổ biến và thành công của các cuộc tấn công lừa đảo trong việc xâm phạm các thông tin xác thực truyền thống.

  • Xác thực chống lừa đảo như một giải pháp thay thế/bổ sung cho MFA:

    • Một phát triển quan trọng trong Yêu cầu 8.4.2 là các phương pháp xác thực chống lừa đảo có thể được sử dụng thay cho MFA truyền thống cho tất cả các truy cập không phải quản trị vào CDE bắt nguồn từ bên trong mạng của đơn vị. Đây là một điều khoản quan trọng đối với các công nghệ như passkeys, vốn có khả năng chống lừa đảo vốn có. Nó báo hiệu rằng PCI SSC xem các phương pháp tiên tiến này cung cấp một mức độ đảm bảo tương đương hoặc thậm chí vượt trội so với một số kết hợp MFA truyền thống cho trường hợp sử dụng cụ thể này.
  • **Tuy nhiên, đối với quyền truy cập quản trị vào CDE (Yêu cầu 8.4.1) và đối với tất cả các truy cập từ xa bắt nguồn từ bên ngoài mạng của đơn vị vào CDE (Yêu cầu 8.4.3), mặc dù xác thực chống lừa đảo được khuyến nghị mạnh mẽ, nó phải được kết hợp với ít nhất một yếu tố xác thực khác để đáp ứng yêu cầu MFA. Sự phân biệt này đòi hỏi một cách tiếp cận tinh tế đối với việc triển khai passkey, có thể là một chiến lược phân tầng trong đó chỉ cần passkeys là đủ cho người dùng nội bộ thông thường, nhưng passkeys kết hợp với một yếu tố khác được sử dụng cho các kịch bản truy cập có rủi ro cao hơn.

  • Sự công nhận FIDO và Thông tin chi tiết từ chuyên gia: Tiêu chuẩn đề cập cụ thể đến xác thực dựa trên FIDO (nền tảng của passkeys) như một phương pháp ưu tiên để đạt được MFA, phần lớn là do các đặc tính chống lừa đảo mạnh mẽ của nó. Thông tin chi tiết hơn về chủ đề này đã được chia sẻ trong tập podcast "Coffee with the Council" của PCI SSC, "Passwords Versus Passkeys: A Discussion with the FIDO Alliance" (https://blog.pcisecuritystandards.org/coffee-with-the-council-podcast-passwords-versus-passkeys-a-discussion-with-the-fido-alliance).

    Trong podcast, Andrew Jamieson, Phó Chủ tịch Kiến trúc sư Tiêu chuẩn Xuất sắc tại PCI SSC, đã nhấn mạnh giá trị của các công nghệ này:

    "Tôi muốn nhắc lại rằng tôi nghĩ xác thực chống lừa đảo là một công nghệ tuyệt vời. Nó là thứ có thể giải quyết rất nhiều vấn đề mà chúng ta gặp phải với mật khẩu. Và tôi thực sự đề nghị khi mọi người xem xét các công nghệ họ sẽ triển khai để xác thực, họ hãy xem xét xác thực chống lừa đảo và những gì nó có thể mang lại, nhưng cũng cần hiểu rằng nó hơi khác so với những gì mọi người đã quen và tìm hiểu cách họ có thể tích hợp nó một cách chính xác và an toàn vào kiến trúc xác thực tổng thể của mình."

    Megan Shamas, Giám đốc Tiếp thị tại FIDO Alliance (xem Lãnh đạo FIDO), đã nhấn mạnh sự thay đổi cơ bản mà các công nghệ này đại diện và nhu cầu các chính sách phải thích ứng:

    "Về cơ bản, nó khác với những gì chúng ta đã quen với mật khẩu cộng với yếu tố, yếu tố, yếu tố, và chúng ta đã phát triển công nghệ và bây giờ mọi người cũng cần phát triển các yêu cầu và chính sách của họ cùng với đó. Và điều đó sẽ thực sự giúp các tổ chức đi đúng hướng để loại bỏ xác thực có thể bị lừa đảo."

    Quan điểm chung này nhấn mạnh sự chuyển dịch của ngành công nghiệp hướng tới các phương pháp xác thực hiện đại, an toàn hơn.

4.4 Yêu cầu mới về Mật khẩu và Cụm mật khẩu (nếu được sử dụng)#

Trong khi PCI DSS 4.0 thúc đẩy mạnh mẽ việc sử dụng MFA và các phương pháp chống lừa đảo, nó cũng thắt chặt các yêu cầu đối với mật khẩu và cụm mật khẩu nếu chúng vẫn còn được sử dụng:

  • Tăng độ dài và độ phức tạp: Độ dài mật khẩu tối thiểu đã được tăng từ bảy ký tự trong v3.2.1 lên 12 ký tự trong v4.0 (hoặc ít nhất 8 ký tự nếu hệ thống không hỗ trợ 12). Mật khẩu cũng phải bao gồm cả ký tự số và chữ cái.
  • Tần suất thay đổi mật khẩu: Mật khẩu phải được thay đổi ít nhất 90 ngày một lần nếu chúng là yếu tố duy nhất được sử dụng để xác thực (tức là không có MFA được áp dụng cho tài khoản đó cho lần truy cập đó). Yêu cầu này có thể được miễn nếu MFA được triển khai cho việc truy cập, hoặc nếu tổ chức sử dụng xác thực liên tục, dựa trên rủi ro để đánh giá động quyền truy cập trong thời gian thực.

Việc tăng cường đáng kể các quy tắc về mật khẩu, cùng với các yêu cầu MFA mở rộng và sự ủng hộ rõ ràng đối với các phương pháp chống lừa đảo, báo hiệu một định hướng chiến lược từ PCI SSC: giảm thiểu một cách có hệ thống sự phụ thuộc vào mật khẩu như một cơ chế xác thực chính hoặc duy nhất. Mật khẩu từ lâu đã được công nhận là một mắt xích yếu trong bảo mật, và PCI DSS 4.0 tích cực tìm cách giảm thiểu các rủi ro cố hữu của chúng bằng cách làm cho việc sử dụng độc lập của chúng trở nên nghiêm ngặt và kém hấp dẫn hơn, đồng thời thúc đẩy các giải pháp thay thế mạnh mẽ, hiện đại hơn.

Để minh họa rõ ràng những thay đổi này, bảng sau đây so sánh các khía cạnh xác thực chính giữa PCI DSS 3.2.1 và 4.0:

Bảng 1: Sự khác biệt chính trong Xác thực: PCI DSS 3.2.1 so với 4.0

Tính năngPCI DSS 3.2.1PCI DSS 4.0
MFA cho Truy cập CDEBắt buộc đối với truy cập quản trị không qua giao diện dòng lệnh và tất cả các truy cập từ xa vào CDE.Bắt buộc đối với tất cả các truy cập vào CDE (quản trị, không quản trị, nội bộ, từ xa).
Độ dài Mật khẩu (Tối thiểu)7 ký tự (số và chữ cái).12 ký tự (số và chữ cái); 8 nếu hệ thống không hỗ trợ 12.
Tần suất Thay đổi Mật khẩu90 ngày một lần.90 ngày một lần nếu mật khẩu là yếu tố duy nhất; có thể dài hơn nếu sử dụng MFA hoặc xác thực dựa trên rủi ro.
Nhấn mạnh Chống lừa đảoHạn chế, chủ yếu được giải quyết thông qua nhận thức bảo mật chung.Nhấn mạnh mạnh mẽ; xác thực chống lừa đảo có thể thay thế MFA cho một số truy cập CDE nội bộ nhất định (Yêu cầu 8.4.2). FIDO được đề cập rõ ràng.
Sử dụng Passkeys/FIDOKhông được đề cập rõ ràng như một phương pháp chính.Xác thực dựa trên FIDO được trích dẫn là một phương pháp MFA ưu tiên. Các phương pháp chống lừa đảo (như passkeys) được giao vai trò cụ thể trong việc đáp ứng các yêu cầu MFA.

Sự tập trung cao độ vào xác thực trong PCI DSS 4.0 đặt ra một định hướng rõ ràng cho các tổ chức để đánh giá lại các chiến lược hiện tại của họ và khám phá các giải pháp bền vững hơn như passkeys.

Tại sao Passkeys quan trọng đối với Doanh nghiệp?

Passkeys cho Doanh nghiệp

Các doanh nghiệp trên toàn thế giới phải đối mặt với những rủi ro nghiêm trọng do mật khẩu yếu và lừa đảo. Passkeys là phương pháp MFA duy nhất đáp ứng nhu cầu bảo mật và trải nghiệm người dùng của doanh nghiệp. Sách trắng của chúng tôi chỉ ra cách triển khai passkeys hiệu quả và tác động kinh doanh của nó.

Passkeys cho Doanh nghiệp

Download free whitepaper

5. Passkeys: Tương lai của Xác thực Chống lừa đảo#

Dựa trên các tiêu chuẩn của Liên minh FIDO, passkeys cung cấp một giải pháp thay thế an toàn hơn và thân thiện với người dùng hơn về cơ bản so với mật khẩu truyền thống và thậm chí một số hình thức MFA cũ.

5.1 Passkeys là gì? (tiêu chuẩn FIDO, WebAuthn)#

Passkey là một chứng chỉ kỹ thuật số cho phép người dùng đăng nhập vào các trang web và ứng dụng mà không cần nhập mật khẩu. Chúng được xây dựng dựa trên các tiêu chuẩn FIDO2, một bộ thông số kỹ thuật mở được phát triển bởi Liên minh FIDO. WebAuthn là một tiêu chuẩn của World Wide Web Consortium (W3C) cho phép các trình duyệt và ứng dụng web thực hiện xác thực mạnh, chống lừa đảo bằng cách sử dụng các cặp khóa mật mã. Về cơ bản, passkeys là một cách triển khai các tiêu chuẩn FIDO2 này, tận dụng WebAuthn cho các tương tác trong môi trường web. Chúng thay thế mật khẩu truyền thống bằng các khóa mật mã duy nhất được lưu trữ an toàn trên thiết bị của người dùng, chẳng hạn như điện thoại thông minh, máy tính hoặc khóa bảo mật phần cứng.

5.2 Cách Passkeys hoạt động: Mật mã, Liên kết thiết bị, Sinh trắc học/PIN#

Bảo mật của passkeys bắt nguồn từ mật mã khóa công khai. Khi người dùng đăng ký một passkey với một dịch vụ (bên tin cậy - "relying party" hoặc RP), một cặp khóa mật mã duy nhất được tạo ra:

  • Một khóa riêng tư, được lưu trữ an toàn trên thiết bị của người dùng. Khóa này có thể nằm trong một mô-đun bảo mật phần cứng (ví dụ: TPM hoặc Secure Enclave). Khóa riêng tư không bao giờ rời khỏi bộ lưu trữ an toàn này (ngoại trừ trường hợp passkeys được đồng bộ hóa, sẽ được trình bày chi tiết sau).
  • Một khóa công khai, được gửi đến và lưu trữ bởi bên tin cậy (trang web hoặc dịch vụ ứng dụng) và được liên kết với tài khoản của người dùng.

Trong quá trình xác thực, quy trình diễn ra như sau:

  1. Bên tin cậy gửi một "thử thách" duy nhất (một mẩu dữ liệu ngẫu nhiên) đến thiết bị của người dùng.
  2. Để mở khóa và sử dụng khóa riêng tư, người dùng thực hiện một xác minh cục bộ trên thiết bị của họ. Điều này thường bao gồm việc sử dụng một dấu hiệu sinh trắc học (như vân tay hoặc quét khuôn mặt), nhập mã PIN của thiết bị, hoặc vẽ một hình mẫu). Quan trọng là, dữ liệu sinh trắc học hoặc mã PIN này không bao giờ rời khỏi thiết bị của người dùng và không được truyền đến bên tin cậy.
  3. Sau khi được mở khóa, khóa riêng tư trên thiết bị sẽ ký vào thử thách nhận được từ bên tin cậy.
  4. Thử thách đã ký này (lời "khẳng định") được gửi trở lại bên tin cậy.
  5. Bên tin cậy sử dụng khóa công khai được lưu trữ tương ứng với người dùng đó để xác minh chữ ký trên lời khẳng định. Nếu chữ ký hợp lệ, việc xác thực thành công.

Có hai loại passkeys chính:

  • Passkeys được đồng bộ hóa: Những passkeys này có thể được đồng bộ hóa trên các thiết bị đáng tin cậy của người dùng bằng cách sử dụng các trình quản lý thông tin xác thực dựa trên đám mây như iCloud Keychain của Apple hoặc Google Password Manager. Điều này mang lại sự tiện lợi, cho phép một passkey được tạo trên một thiết bị có thể được sử dụng trên một thiết bị khác thuộc sở hữu của cùng một người dùng trong cùng một hệ sinh thái.
  • Passkeys liên kết với thiết bị: Những passkeys này được gắn với một bộ xác thực vật lý cụ thể, chẳng hạn như khóa bảo mật phần cứng USB (ví dụ: YubiKey) hoặc một ứng dụng trên một điện thoại cụ thể. Passkey không rời khỏi thiết bị cụ thể này.

Nền tảng mật mã và quy trình xác minh người dùng cục bộ này cung cấp các lợi ích bảo mật vốn có, trực tiếp giải quyết nhiều vectơ tấn công phổ biến.

5.3 Lợi ích Bảo mật Vốn có: Chống lừa đảo, Không có Bí mật được Chia sẻ, Bảo vệ chống lại Tấn công Nhồi thông tin xác thực (Credential Stuffing) và Chiếm đoạt Tài khoản (ATO)#

Thiết kế của passkeys mang lại một số lợi thế bảo mật so với các phương pháp xác thực truyền thống:

  • Chống lừa đảo: Đây là một lợi ích nền tảng. Passkeys được liên kết mật mã với nguồn gốc trang web cụ thể (Relying Party ID hoặc RP ID) mà chúng được tạo ra. Nếu người dùng bị lừa truy cập vào một trang web lừa đảo giả mạo một trang web hợp pháp, trình duyệt hoặc hệ điều hành sẽ nhận ra rằng tên miền hiện tại không khớp với RP ID được liên kết với passkey. Do đó, passkey đơn giản là sẽ không hoạt động và việc xác thực sẽ thất bại. Điều này chuyển gánh nặng nhận diện các nỗ lực lừa đảo từ người dùng thường dễ mắc sai lầm sang các giao thức bảo mật mạnh mẽ của chính công nghệ.
  • Không có Bí mật được Chia sẻ: Với passkeys, không có "bí mật được chia sẻ" như mật khẩu mà cả người dùng và máy chủ đều biết và có thể bị đánh cắp. Khóa riêng tư, là thành phần quan trọng để xác thực, không bao giờ rời khỏi thiết bị an toàn của người dùng. Khóa công khai, được lưu trữ bởi máy chủ, được liên kết toán học với khóa riêng tư nhưng không thể được sử dụng để suy ra khóa riêng tư hoặc để mạo danh người dùng. Điều này có nghĩa là ngay cả khi máy chủ của một bên tin cậy bị xâm phạm và các khóa công khai bị đánh cắp, chúng cũng vô dụng đối với những kẻ tấn công nếu không có các khóa riêng tư tương ứng.
  • Bảo vệ chống lại Tấn công Nhồi thông tin xác thựcTấn công Phát lại: Các cuộc tấn công nhồi thông tin xác thực, nơi những kẻ tấn công sử dụng danh sách tên người dùng và mật khẩu bị đánh cắp để cố gắng truy cập vào các tài khoản khác nhau, trở nên vô hiệu vì không có mật khẩu để đánh cắp và tái sử dụng. Hơn nữa, mỗi lần xác thực bằng passkey đều liên quan đến một cơ chế thử thách-phản hồi duy nhất. Chữ ký được tạo bởi khóa riêng tư là đặc trưng cho thử thách nhận được cho phiên đăng nhập cụ thể đó, khiến kẻ tấn công không thể chặn một lời khẳng định xác thực và phát lại nó sau đó để giành quyền truy cập trái phép.
  • Giảm đáng kể rủi ro Chiếm đoạt Tài khoản (ATO): Bằng cách vô hiệu hóa hiệu quả việc lừa đảo, loại bỏ các bí mật được chia sẻ và ngăn chặn các cuộc tấn công nhồi thông tin xác thực và phát lại, passkeys giảm đáng kể các vectơ tấn công chính được sử dụng để chiếm đoạt tài khoản. Vì những kẻ tấn công không thể dễ dàng lấy hoặc lạm dụng thông tin xác thực của người dùng, khả năng thành công của ATO giảm mạnh.

Sự thay đổi cơ bản này từ xác thực dựa trên kiến thức (những gì người dùng biết, như mật khẩu) sang sự kết hợp giữa xác thực dựa trên sở hữu (những gì người dùng có – thiết bị của họ với khóa an toàn) và dựa trên đặc tính hoặc kiến thức cục bộ (những gì người dùng là thông qua sinh trắc học, hoặc những gì họ biết cục bộ thông qua mã PIN của thiết bị) về cơ bản đã phá vỡ các chuỗi tấn công dựa vào việc xâm phạm các bí mật được chia sẻ có thể sử dụng từ xa. Không giống như nhiều biện pháp bảo mật làm tăng thêm sự phiền phức, passkeys thường cải thiện trải nghiệm người dùng bằng cách cung cấp các lần đăng nhập nhanh hơn, đơn giản hơn mà không cần phải nhớ các mật khẩu phức tạp, một lợi ích kép có thể thúc đẩy việc áp dụng và nâng cao tư thế bảo mật tổng thể.

Igor Gjorgjioski Testimonial

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

Corbado proved to be a trusted partner. Their hands-on, 24/7 support and on-site assistance enabled a seamless integration into VicRoads' complex systems, offering passkeys to 5 million users.

Các doanh nghiệp tin tưởng Corbado để bảo vệ người dùng của họ và làm cho việc đăng nhập liền mạch hơn với passkeys. Nhận tư vấn passkey miễn phí của bạn ngay bây giờ.

Nhận tư vấn miễn phí

6. Thu hẹp khoảng cách: Cách Passkeys đáp ứng các Kiểm soát Xác thực của PCI DSS 4.0#

Các tính năng bảo mật mạnh mẽ vốn có trong passkeys phù hợp một cách đáng kể với các kiểm soát xác thực được tăng cường theo yêu cầu của PCI DSS 4.0, đặc biệt là những yêu cầu được nêu trong Yêu cầu 8. Passkeys không chỉ đáp ứng các yêu cầu này mà thường còn vượt qua mức độ bảo mật được cung cấp bởi các phương pháp truyền thống.

6.1 Giải quyết trực tiếp các tiêu chí về MFA và Chống lừa đảo của Yêu cầu 8#

Passkeys vốn đã đáp ứng các nguyên lý cốt lõi của Xác thực Đa yếu tố như được định nghĩa bởi PCI DSS 4.0:

  • Bản chất Đa yếu tố: Một sự kiện xác thực bằng passkey thường kết hợp "thứ bạn có" (thiết bị vật lý chứa khóa riêng tư, chẳng hạn như điện thoại thông minh hoặc khóa bảo mật phần cứng) với "thứ bạn là" (sinh trắc học như vân tay hoặc quét khuôn mặt được sử dụng để mở khóa passkey trên thiết bị) hoặc "thứ bạn biết" (mã PIN hoặc hình mẫu của thiết bị). Các yếu tố này độc lập; ví dụ, việc xâm phạm mã PIN của thiết bị không tự động làm xâm phạm khóa mật mã nếu bản thân thiết bị vẫn an toàn.
  • Chống lừa đảo: Như đã thảo luận rộng rãi, passkeys có khả năng chống lừa đảo theo thiết kế do bản chất mật mã và liên kết nguồn gốc của chúng. Khóa riêng tư không bao giờ bị lộ cho bên tin cậy hoặc được truyền qua mạng, và passkey sẽ chỉ hoạt động trên tên miền hợp pháp mà nó đã được đăng ký. Điều này trực tiếp phù hợp với sự nhấn mạnh mạnh mẽ của PCI DSS 4.0 vào việc giảm thiểu các mối đe dọa lừa đảo.
  • Chống tấn công phát lại: Mỗi lần xác thực bằng passkey đều liên quan đến một thử thách mật mã duy nhất từ máy chủ, sau đó được ký bởi khóa riêng tư. Chữ ký kết quả chỉ hợp lệ cho thử thách và phiên cụ thể đó, làm cho nó có khả năng chống lại các cuộc tấn công phát lại. Điều này đáp ứng Yêu cầu 8.5, yêu cầu các hệ thống MFA phải ngăn chặn các cuộc tấn công như vậy.

6.2 Vượt trội hơn Bảo mật dựa trên Mật khẩu truyền thống#

So với mật khẩu truyền thống, passkeys cung cấp một mô hình bảo mật vượt trội hơn hẳn. Mật khẩu dễ bị tấn công bởi vô số hình thức: lừa đảo, kỹ thuật xã hội, nhồi thông tin xác thực do tái sử dụng mật khẩu, tấn công brute-force và trộm cắp từ các cơ sở dữ liệu bị xâm phạm. Passkeys loại bỏ những lỗ hổng này bằng cách loại bỏ hoàn toàn bí mật được chia sẻ (mật khẩu) khỏi phương trình. Việc xác thực dựa trên bằng chứng mật mã về việc sở hữu một khóa riêng tư, bản thân khóa này được bảo vệ bởi bảo mật thiết bị cục bộ, thay vì dựa trên một bí mật có thể dễ dàng bị đánh cắp hoặc đoán ra.

6.3 Quan điểm của PCI SSC về Passkeys#

Hội đồng Tiêu chuẩn Bảo mật PCI đã thừa nhận tiềm năng của công nghệ passkey. Thông tin chi tiết từ podcast "Coffee with the Council" của PCI SSC với sự tham gia của Liên minh FIDO cung cấp sự rõ ràng về lập trường của họ:

  • Đối với quyền truy cập không phải quản trị vào Môi trường Dữ liệu Chủ thẻ (CDE) từ bên trong mạng của đơn vị (Yêu cầu 8.4.2), PCI SSC chỉ ra rằng các phương pháp xác thực chống lừa đảo như passkeys có thể được sử dụng thay cho MFA truyền thống. Đây là một sự thừa nhận quan trọng về sức mạnh của passkeys.
  • Đối với quyền truy cập quản trị vào CDE (Yêu cầu 8.4.1) và đối với bất kỳ truy cập từ xa nào vào mạng (Yêu cầu 8.4.3), trong khi passkeys (như một phương pháp xác thực chống lừa đảo) được khuyến nghị, chúng phải được sử dụng kết hợp với một yếu tố xác thực khác để đáp ứng yêu cầu MFA. Điều này cho thấy một cách tiếp cận dựa trên rủi ro, nơi các kịch bản truy cập có đặc quyền cao hơn hoặc rủi ro cao hơn đòi hỏi một lớp bảo vệ bổ sung.
  • PCI SSC đang tích cực phát triển các hướng dẫn, chẳng hạn như các câu hỏi thường gặp (FAQ), để giúp các tổ chức hiểu cách triển khai passkeys một cách tuân thủ và nhận ra rằng passkeys đại diện cho một sự thay đổi cơ bản so với tư duy dựa trên mật khẩu truyền thống.
  • Hơn nữa, tài liệu PCI DSS 4.0 đề cập rõ ràng đến xác thực dựa trên FIDO như một phương pháp ưu tiên, mặc dù không bắt buộc, để triển khai MFA, nhấn mạnh sự phù hợp của nó với các mục tiêu của tiêu chuẩn.

Lập trường này cho phép các tổ chức triển khai passkeys một cách chiến lược. Đối với cơ sở người dùng không phải quản trị viên rộng lớn truy cập CDE nội bộ, một đăng nhập bằng passkey liền mạch có thể đáp ứng các yêu cầu tuân thủ. Đối với quản trị viên và người dùng từ xa, passkeys cung cấp một nền tảng mạnh mẽ, chống lừa đảo cho một giải pháp MFA.

6.4 Các loại Passkey, Tính độc lập của các yếu tố và Attestation: Điều hướng các kỳ vọng của QSA đối với Yêu cầu 8#

Trong khi passkeys mang lại một bản nâng cấp bảo mật đáng kể, các Đánh giá viên Bảo mật Đủ điều kiện của PCI DSS (QSA) sẽ xem xét kỹ lưỡng việc triển khai chúng, đặc biệt là đối với các kịch bản truy cập rủi ro cao như quyền truy cập quản trị vào CDE (Yêu cầu 8.4.1), để đảm bảo các nguyên tắc xác thực đa yếu tố thực sự được đáp ứng. Các cân nhắc chính bao gồm loại passkey, tính độc lập của các yếu tố xác thực và việc sử dụng attestation.

6.4.1 Passkeys được đồng bộ hóa so với Passkeys liên kết với thiết bị:#

Như chúng ta đã thảo luận, passkeys có hai dạng chính:

  • Passkeys được đồng bộ hóa: Chúng được đồng bộ hóa trên các thiết bị đáng tin cậy của người dùng thông qua các dịch vụ đám mây như Apple iCloud Keychain hoặc Google Password Manager. Chúng mang lại sự tiện lợi vì một passkey được tạo trên một thiết bị có thể được sử dụng trên một thiết bị khác.
  • Passkeys liên kết với thiết bị: Chúng được gắn với một bộ xác thực vật lý cụ thể, chẳng hạn như khóa bảo mật phần cứng USB (ví dụ: YubiKey) hoặc phần cứng bảo mật của một điện thoại cụ thể. Khóa riêng tư không rời khỏi thiết bị cụ thể này.

6.4.2 Tính độc lập của các yếu tố và sự xem xét của QSA#

PCI DSS yêu cầu các yếu tố MFA phải độc lập, nghĩa là việc xâm phạm một yếu tố không làm xâm phạm các yếu tố khác. Một passkey thường kết hợp "thứ bạn có" (thiết bị có khóa riêng tư) và "thứ bạn biết/là" (mã PIN hoặc sinh trắc học của thiết bị cục bộ để mở khóa).

Với passkeys được đồng bộ hóa, mặc dù rất an toàn trước nhiều cuộc tấn công, một số QSA có thể đặt câu hỏi về tính độc lập tuyệt đối của yếu tố "sở hữu" đối với quyền truy cập quản trị (Yêu cầu 8.4.1). Mối lo ngại là nếu tài khoản đám mây của người dùng (ví dụ: Apple ID, tài khoản Google) đồng bộ hóa passkeys bị xâm phạm, khóa riêng tư có thể bị sao chép sang một thiết bị do kẻ tấn công kiểm soát. Điều này có thể khiến một số đánh giá viên xem một passkey được đồng bộ hóa, trong các bối cảnh rủi ro cao, có thể không đáp ứng được cách giải thích nghiêm ngặt về hai yếu tố hoàn toàn độc lập nếu bản thân cơ chế đồng bộ hóa không được bảo mật mạnh mẽ bằng MFA mạnh của riêng nó. Ví dụ, hướng dẫn của NIST công nhận passkeys được đồng bộ hóa tuân thủ AAL2, trong khi passkeys liên kết với thiết bị có thể đáp ứng AAL3, thường liên quan đến các khóa không thể xuất.

  • Hiểu về các cờ của Bộ xác thực WebAuthn: Trong một nghi thức WebAuthn (nền tảng của passkeys), các bộ xác thực báo cáo một số cờ nhất định. Hai cờ quan trọng là:
    • uv=1 (User Verified - Người dùng đã xác minh): Cờ này cho biết người dùng đã xác minh thành công sự hiện diện của họ với bộ xác thực cục bộ, thường bằng cách sử dụng mã PIN hoặc sinh trắc học của thiết bị. Việc xác minh này hoạt động như một trong các yếu tố xác thực – "thứ bạn biết" (PIN) hoặc "thứ bạn là" (sinh trắc học).
    • up=1 (User Present - Người dùng hiện diện): Cờ này xác nhận rằng người dùng đã có mặt và tương tác với bộ xác thực trong nghi thức (ví dụ: bằng cách chạm vào khóa bảo mật). Mặc dù rất quan trọng để chứng minh ý định của người dùng và ngăn chặn một số cuộc tấn công từ xa nhất định, sự hiện diện của người dùng bản thân nó thường không được coi là một yếu tố xác thực độc lập, riêng biệt để đáp ứng yêu cầu đa yếu tố của MFA. Đó là một tính năng bảo mật quan trọng nhưng thường không được tính là một yếu tố thứ hai.
  • Vai trò của Passkeys liên kết với thiết bị và Khóa bảo mật phần cứng:\ Đối với quyền truy cập quản trị (Yêu cầu 8.4.1) và các kịch bản đảm bảo cao khác, passkeys liên kết với thiết bị được lưu trữ trên khóa bảo mật phần cứng đưa ra một lập luận mạnh mẽ hơn về tính độc lập của các yếu tố. Vì khóa riêng tư được thiết kế để không bao giờ rời khỏi token phần cứng, yếu tố "thứ bạn có" được bảo vệ mạnh mẽ hơn trước việc sao chép thông qua các cuộc tấn công dựa trên phần mềm hoặc xâm phạm tài khoản đám mây. Điều này làm cho chúng trở thành một lựa chọn ưu tiên cho nhiều tổ chức muốn đáp ứng các kỳ vọng nghiêm ngặt của QSA đối với MFA quản trị.

6.4.3 Attestation để xác minh Bộ xác thực#

Attestation là một tính năng trong WebAuthn, nơi bộ xác thực cung cấp thông tin có thể xác minh về chính nó (ví dụ: nhà sản xuất, kiểu máy, trạng thái chứng nhận, liệu nó có được hỗ trợ bởi phần cứng hay không) cho bên tin cậy (máy chủ FIDO của bạn) trong quá trình đăng ký passkey.

  • Tại sao nó quan trọng đối với PCI DSS: Attestation có thể cung cấp bằng chứng quan trọng cho các QSA rằng các bộ xác thực đang được sử dụng đáp ứng các chính sách bảo mật của tổ chức và thực sự là những gì chúng tuyên bố (ví dụ: một khóa bảo mật phần cứng được chứng nhận). Điều này có thể đặc biệt quan trọng khi chứng minh sức mạnh và tính độc lập của các yếu tố xác thực.
  • Khuyến nghị: Đối với quyền truy cập bảo mật cao như truy cập CDE của quản trị viên, việc sử dụng passkeys trên khóa bảo mật phần cứng hỗ trợ attestation mạnh mẽ được khuyến nghị cao. Điều này cho phép tổ chức thực thi các chính sách về các loại bộ xác thực được chấp nhận và cung cấp bằng chứng tuân thủ mạnh mẽ hơn.

Trong thực tế, để tránh xung đột trong quá trình kiểm toán đối với Yêu cầu 8.4.1, nhiều doanh nghiệp chọn cấp phát passkeys liên kết với thiết bị trên khóa bảo mật phần cứng cung cấp sự đảm bảo mạnh mẽ về việc bảo vệ khóa và có khả năng là attestation.

6.5 Ánh xạ Passkeys với các tiểu mục của Yêu cầu 8#

Để minh họa rõ ràng cách passkeys thu hẹp khoảng cách và đáp ứng các kiểm soát được nêu chi tiết trong Yêu cầu 8, bảng sau đây ánh xạ các tính năng và đặc điểm cụ thể của passkey với các tiểu mục liên quan, cho biết sự phù hợp của chúng cho các kịch bản khác nhau.

Tiểu mục Yêu cầu 8Tính năng PasskeyCách Passkey Đáp ứng/Vượt trộiĐồng bộ hóa OK?Liên kết thiết bị OK?
8.2 (ID người dùng)ID người dùng duy nhất qua PasskeyMỗi passkey là duy nhất cho đăng ký của người dùng với một dịch vụ. Khóa riêng tư không được chia sẻ. Cho phép trách nhiệm cá nhân.
8.3.x (Mật khẩu)Thay thế Mật khẩuNếu passkeys thay thế hoàn toàn mật khẩu cho một đường dẫn truy cập, các kiểm soát cụ thể về mật khẩu (độ dài, độ phức tạp, xoay vòng, lịch sử) sẽ không áp dụng cho đường dẫn đó, đơn giản hóa việc tuân thủ cho các kiểm soát đó.
8.4.1 (MFA Quản trị)Yếu tố chống lừa đảo (Thiết bị + Cục bộ)Passkey đóng vai trò là một yếu tố mạnh, chống lừa đảo. (QSA xem xét kỹ tính độc lập của yếu tố đối với passkeys được đồng bộ hóa).⚠️
8.4.2 (MFA không qua giao diện dòng lệnh)Xác thực chống lừa đảo (Thiết bị + Cục bộ)Xác thực chống lừa đảo (như passkeys) có thể được sử dụng thay cho MFA truyền thống cho kịch bản này.
8.4.3 (MFA từ xa)Yếu tố chống lừa đảo (Thiết bị + Cục bộ)Passkey đóng vai trò là một yếu tố mạnh, chống lừa đảo vào mạng. (QSA xem xét kỹ tính độc lập của yếu tố đối với passkeys được đồng bộ hóa).⚠️
8.5.1 (Chống tấn công phát lại)Thử thách/Phản hồi duy nhấtMỗi lần đăng nhập tạo ra một chữ ký duy nhất gắn với một thử thách từ máy chủ, ngăn chặn việc tái sử dụng dữ liệu xác thực bị chặn.
8.5.x (Tính độc lập của các yếu tố)Các yếu tố cục bộ riêng biệt (Thiết bị+Cục bộ)Khóa mật mã trên thiết bị và sinh trắc học/PIN cục bộ là độc lập. Thao tác mật mã chỉ tiến hành sau khi xác minh người dùng cục bộ thành công. (Tính độc lập của yếu tố đối với các khóa được đồng bộ hóa có thể bị QSA đặt câu hỏi trong các kịch bản rủi ro cao).⚠️
Chống lừa đảo (Chung)Bảo mật cốt lõi (Liên kết nguồn gốc, Không có bí mật, Mật mã PK)Được thiết kế cơ bản để chống lại các cuộc tấn công lừa đảo bằng cách đảm bảo passkey chỉ hoạt động trên trang web hợp pháp và không có bí mật nào được truyền đi có thể bị đánh cắp.

Bảng ánh xạ này chứng minh rằng passkeys không chỉ là một sự phù hợp về mặt lý thuyết mà còn là một giải pháp thực tế và mạnh mẽ để đáp ứng các yêu cầu xác thực tiên tiến của PCI DSS 4.0.

7. Kết luận: Chấp nhận Passkeys để Xác thực Mạnh mẽ#

Bối cảnh bảo mật thanh toán rất phức tạp và không ngừng phát triển. PCI DSS 4.0 phản ánh thực tế này, thiết lập một tiêu chuẩn cao hơn cho các kiểm soát bảo mật, đặc biệt là trong lĩnh vực xác thực. Khi các tổ chức cố gắng đáp ứng những yêu cầu mới, nghiêm ngặt hơn này, passkeys—được xây dựng trên các tiêu chuẩn FIDO/WebAuthn—nổi lên không chỉ như một giải pháp tuân thủ, mà còn là một công nghệ mang tính chuyển đổi sẵn sàng định nghĩa lại việc truy cập an toàn.

Trong suốt phân tích này, hai câu hỏi trung tâm đã dẫn dắt cuộc khám phá của chúng ta:

  1. Khi PCI DSS 4.0 nâng cao tiêu chuẩn xác thực, làm thế nào các tổ chức có thể đáp ứng hiệu quả các yêu cầu mới nghiêm ngặt này mà không gây quá tải cho người dùng hoặc đội ngũ bảo mật? Bằng chứng cho thấy rõ ràng rằng các tổ chức có thể đáp ứng hiệu quả các yêu cầu xác thực của PCI DSS 4.0 bằng cách áp dụng chiến lược các giải pháp Xác thực Đa yếu tố (MFA) chống lừa đảo như passkeys. Các công nghệ này vốn đã cân bằng giữa bảo mật mạnh mẽ, được xác minh bằng mật mã với trải nghiệm người dùng được cải thiện đáng kể, thường là nhanh hơn. Hơn nữa, việc PCI DSS 4.0 cho phép "triển khai tùy chỉnh" trao quyền cho các tổ chức điều chỉnh các giải pháp tiên tiến như vậy cho phù hợp với môi trường và hồ sơ rủi ro cụ thể của họ, vượt ra ngoài cách tiếp cận một kích cỡ cho tất cả. Hướng dẫn của chính PCI SSC còn tạo điều kiện thuận lợi hơn cho việc này, cho phép tuân thủ hợp lý cho một bộ phận lớn người dùng trong khi dành các phương pháp tiếp cận nhiều lớp hơn cho các quyền truy cập quản trị và từ xa có rủi ro cao hơn.
  2. Liệu các công nghệ mới nổi như passkeys không chỉ có thể đáp ứng các kiểm soát xác thực mạnh mẽ của PCI DSS 4.0 mà còn mang lại những lợi ích hữu hình ngoài việc tuân thủ đơn thuần, chẳng hạn như tăng cường bảo mật và cải thiện hiệu quả hoạt động không? Câu trả lời là một lời khẳng định rõ ràng. Passkeys đã được chứng minh là có khả năng đáp ứng các kiểm soát xác thực cốt lõi trong Yêu cầu 8 của PCI DSS 4.0, bao gồm các tiêu chí về MFA, chống lừa đảo và chống tấn công phát lại. Tuy nhiên, giá trị của chúng vượt ra ngoài việc tuân thủ đơn thuần. Thiết kế vốn có của passkeys—loại bỏ các bí mật được chia sẻ và liên kết xác thực với các nguồn gốc cụ thể—giảm đáng kể nguy cơ tấn công lừa đảo thành công và chiếm đoạt tài khoản, dẫn đến giảm thiểu tổn thất liên quan đến gian lận một cách hữu hình. Về mặt hoạt động, việc chuyển đổi khỏi mật khẩu dẫn đến ít yêu cầu hỗ trợ liên quan đến mật khẩu hơn, tiết kiệm chi phí và giải phóng tài nguyên CNTT. Người dùng được hưởng lợi từ trải nghiệm đăng nhập đơn giản hơn, nhanh hơn và ít gây khó chịu hơn, điều này có thể cải thiện năng suất và sự hài lòng của khách hàng. Hơn nữa, khi mật khẩu được thay thế hoàn toàn bằng passkeys cho các đường dẫn truy cập cụ thể, gánh nặng kiểm toán đối với các kiểm soát cụ thể về mật khẩu sẽ được loại bỏ, có khả năng hợp lý hóa các nỗ lực tuân thủ trong các lĩnh vực đó.

Hành trình đến một hệ sinh thái thanh toán thực sự an toàn là một quá trình liên tục. PCI DSS 4.0 đặt ra những cột mốc mới, và xác thực bằng passkey cung cấp một phương tiện mạnh mẽ để đạt được chúng. Các tổ chức xử lý, lưu trữ hoặc truyền dữ liệu chủ thẻ được khuyến khích mạnh mẽ để đánh giá và bắt đầu lập kế hoạch cho việc áp dụng passkeys. Điều này không chỉ đơn thuần là tuân thủ phiên bản mới nhất của một tiêu chuẩn; đó là việc chấp nhận một cách tiếp cận xác thực an toàn hơn, hiệu quả hơn và lấy người dùng làm trung tâm, phù hợp với tương lai của danh tính kỹ thuật số. Bằng cách triển khai passkeys một cách chiến lược, các doanh nghiệp có thể tăng cường khả năng phòng thủ trước các mối đe dọa đang phát triển, bảo vệ dữ liệu thanh toán quý giá và xây dựng niềm tin lớn hơn với khách hàng của họ trong một thế giới ngày càng kỹ thuật số.

Schedule a call to get your free enterprise passkey assessment.

Talk to a Passkey Expert

Share this article


LinkedInTwitterFacebook

Enjoyed this read?

🤝 Join our Passkeys Community

Share passkeys implementation tips and get support to free the world from passwords.

🚀 Subscribe to Substack

Get the latest news, strategies, and insights about passkeys sent straight to your inbox.

Related Articles

Table of Contents