Bên Tin Cậy trong WebAuthn là gì?

• Bên Tin Cậy, trong bối cảnh của WebAuthn hoặc passkeys, là thực thể tìm cách xác thực người dùng. Nó thường đề cập đến một máy chủ web hoặc dịch vụ dựa vào một trình xác thực để xác minh danh tính của người dùng. Quá trình xác thực này đảm bảo quyền truy cập an toàn cho người dùng đồng thời mang lại trải nghiệm người dùng liền mạch.
• Thuật ngữ "Bên Tin Cậy" xuất phát từ sự phụ thuộc của nó vào các trình xác thực bên ngoài (như khóa bảo mật phần cứng, máy tính xách tay hoặc điện thoại thông minh) để xác thực người dùng. Quá trình xác thực bao gồm việc sử dụng một mã định danh duy nhất được gọi là ID bên tin cậy (rpId) giúp phân biệt giữa các bên tin cậy khác nhau.

---

Bên Tin Cậy là một phần không thể thiếu trong hệ sinh thái WebAuthn / passkey. Dưới đây là cái nhìn sâu hơn:

• Mục tiêu của Bên Tin Cậy: Vai trò chính của nó là khởi tạo luồng xác thực bằng cách thách thức người dùng chứng minh danh tính của họ. Cơ chế thách thức-phản hồi này đảm bảo rằng các thực thể không được ủy quyền không thể truy cập.
• Tương tác với Trình xác thực: Bên Tin Cậy hoạt động song song với các trình xác thực. Khi người dùng trình diện thông tin xác thực của họ, trình xác thực sẽ xác minh và gửi lại một phản hồi đã được ký. Sau đó, Bên Tin Cậy sẽ xác thực phản hồi này để hoàn tất quá trình xác thực.
• Tầm quan trọng của ID Bên Tin Cậy (rpId): rpId rất quan trọng vì nó cung cấp một phạm vi cho thông tin xác thực. Bằng cách đảm bảo rpId khớp với tên miền hoặc nguồn gốc dự kiến, Bên Tin Cậy tăng cường bảo mật bằng cách ngăn chặn các cuộc tấn công tiềm tàng, chẳng hạn như tấn công xen giữa (man-in-the-middle).

Đọc thêm về rpId và các khía cạnh khác của Bên Tin Cậy trong bài viết blog tương ứng.

• Tăng cường bảo mật: Với việc dựa vào các trình xác thực bên ngoài và cơ chế ràng buộc phạm vi của rpId, mô hình Bên Tin Cậy của WebAuthn cung cấp một lớp bảo mật bổ sung.
• Cải thiện trải nghiệm người dùng: Người dùng không cần phải nhớ mật khẩu, giúp giảm thiểu các vụ vi phạm liên quan đến mật khẩu và mang lại quy trình đăng nhập mượt mà hơn.
• Tính linh hoạt: Mô hình này hỗ trợ nhiều loại trình xác thực, cho phép người dùng linh hoạt lựa chọn phương thức ưa thích của họ.

---

rpId là một mã định danh duy nhất cho Bên Tin Cậy, đảm bảo rằng thông tin xác thực được giới hạn trong phạm vi của thực thể chính xác. Nó đóng vai trò then chốt đối với bảo mật, đảm bảo quá trình xác thực được gắn với tên miền hoặc nguồn gốc dự kiến. Do đó, các cuộc tấn công lừa đảo được ngăn chặn.

Bên Tin Cậy khởi tạo quá trình xác thực bằng cách thách thức người dùng, trong khi Trình xác thực là thiết bị hoặc phương thức xác minh thông tin xác thực của người dùng và phản hồi lại thách thức đó.

Mô hình Bên Tin Cậy của WebAuthn tận dụng các trình xác thực bên ngoài và cơ chế rpId, khiến cho những kẻ tấn công khó mạo danh người dùng hoặc chặn đứng quá trình xác thực hơn.