CDA (Xác thực chéo thiết bị) trong WebAuthn là gì?
Tìm hiểu CDA (Xác thực chéo thiết bị - Cross-Device Authentication), một phương pháp xác thực trên nhiều thiết bị bằng passkey.
Trang này được dịch tự động. Đọc phiên bản gốc bằng tiếng Anh tại đây.
CDA (Xác thực chéo thiết bị) là gì?#
CDA (Cross-Device Authentication - Xác thực chéo thiết bị) cho phép người dùng sử dụng passkey từ một thiết bị để xác thực trên một thiết bị khác, tạo điều kiện truy cập liền mạch trên nhiều nền tảng khác nhau. Cách tiếp cận đổi mới này được hỗ trợ bởi Giao thức Client-to-Authenticator Protocol (CTAP) của FIDO, sử dụng cơ chế truyền tải "lai" (hybrid). CTAP không thể thiếu trong quá trình CDA, được triển khai bởi các trình xác thực (authenticators) và nền tảng máy khách (client platforms) thay vì các bên dựa vào (relying parties), đảm bảo trải nghiệm xác thực an toàn và hiệu quả.
Bạn cũng có thể đọc một báo cáo chi tiết về Xác thực chéo thiết bị trong bài đăng blog này.
Những điểm chính#
- CDA tăng cường sự tiện lợi cho người dùng bằng cách cho phép sử dụng passkey trên các thiết bị và nền tảng khác nhau.
- CDA khác với việc đồng bộ hóa passkey trên các thiết bị thông qua tài khoản đám mây.
- Nó tận dụng CTAP của FIDO với cơ chế truyền tải "lai" để xác thực an toàn.
- CDA sử dụng việc quét mã QR để ghép nối các thiết bị và Bluetooth để kiểm tra khoảng cách.
CDA (Xác thực chéo thiết bị) rất quan trọng trong việc cung cấp cho người dùng trải nghiệm mượt mà khi truy cập các dịch vụ trên nhiều thiết bị. Nó xoay quanh hai thành phần chính: CDA Client và CDA Authenticator.
- CDA Client là thiết bị nơi dịch vụ được truy cập (ví dụ: máy tính xách tay, máy tính để bàn, hoặc điện thoại thông minh).
- CDA Authenticator là thiết bị cung cấp passkey và tạo ra xác nhận (assertion) FIDO (thường là điện thoại thông minh hoặc máy tính bảng). Tính chất kép này đảm bảo rằng các luồng xác thực luôn an toàn và thân thiện với người dùng.
Tìm hiểu sâu về các cơ chế CDA#
Xác thực chéo thiết bị (CDA) tích hợp mã QR và Bluetooth để cung cấp cơ chế xác thực đa năng và an toàn. Mã QR hỗ trợ các quá trình xác thực do người dùng khởi tạo một cách dễ dàng bằng cách cho phép quét nhanh để thiết lập các yêu cầu xác thực. Bluetooth thêm một lớp bảo mật bằng cách đảm bảo khoảng cách vật lý giữa các thiết bị tham gia. Phương pháp tiếp cận kép này kết hợp sự dễ sử dụng với các biện pháp bảo mật mạnh mẽ, phục vụ cho nhiều môi trường và tình huống của người dùng.
Xác thực bằng mã QR#
- Khởi tạo: Một mã QR duy nhất được tạo trên thiết bị cần xác thực, được mã hóa với một định danh phiên (session identifier).
- Quy trình: Người dùng quét mã QR bằng thiết bị lưu trữ passkey của họ, kích hoạt quá trình xác thực an toàn qua kết nối internet được mã hóa.
- Tính năng bảo mật: Mã QR được thiết kế để sử dụng một lần và mã hóa tất cả dữ liệu để bảo vệ chống lại truy cập trái phép.
Đăng ký Passkeys Substack để nhận tin mới nhất.
Xác thực bằng Bluetooth (caBLE)#
- Vai trò: Xác nhận khoảng cách vật lý giữa các thiết bị xác thực, thêm một lớp bảo mật bổ sung.
- Kiểm tra khoảng cách: Đảm bảo rằng quá trình xác thực chỉ được thực hiện khi các thiết bị ở gần nhau, giảm thiểu rủi ro của các cuộc tấn công từ xa.
- Quyền riêng tư và Bảo mật: Không liên quan đến việc trao đổi dữ liệu xác thực nhạy cảm, thay vào đó tập trung vào việc xác nhận khoảng cách như một yếu tố trong xác thực đa yếu tố.
Kết nối đường hầm qua Internet#
- Kích hoạt: Được kích hoạt sau khi quét mã QR hoặc thiết lập kết nối Bluetooth.
- Mục đích: Tạo điều kiện truyền tải an toàn dữ liệu xác thực, bao gồm các thử thách và phản hồi mật mã học.
- Bảo mật: Đảm bảo mọi giao tiếp qua đường hầm đều được mã hóa, tăng cường bảo mật trên nhiều thiết bị.
Passkey được đồng bộ so với Xác thực chéo thiết bị#
Passkey thường được đồng bộ hóa trên các thiết bị thông qua tài khoản đám mây (ví dụ: iCloud Keychain của Apple), đảm bảo chúng luôn sẵn sàng để xác thực bất kể thiết bị được sử dụng. Việc đồng bộ hóa này được bảo mật bằng mã hóa tiên tiến và được bảo vệ bởi dữ liệu sinh trắc học hoặc mã PIN, với các cơ chế được áp dụng để ngăn chặn truy cập trái phép, chẳng hạn như giới hạn tốc độ (rate limiting) cho các lần thử đăng nhập.
Mặc dù passkey được đồng bộ mang lại sự tiện lợi, chúng có thể không phải lúc nào cũng có thể truy cập được trên các thiết bị mới hoặc không phải là thiết bị chính. Xác thực chéo thiết bị giải quyết thách thức này bằng cách cung cấp một cầu nối an toàn cho passkey giữa các thiết bị mà không cần đồng bộ hóa tài khoản đám mây. Phương pháp này tận dụng mã QR để bắt đầu xác thực và Bluetooth để xác minh khoảng cách của các thiết bị, đảm bảo trải nghiệm an toàn và thân thiện với người dùng. Một trường hợp sử dụng cho xác thực chéo thiết bị là ví dụ: đăng nhập vào một tài khoản trên thiết bị của bạn bè, nơi không thể sử dụng passkey được đồng bộ.
Sự khả dụng trên các hệ điều hành#
Bạn có thể sử dụng bảng này để xem sự hỗ trợ hiện tại của Xác thực chéo thiết bị cho các hệ điều hành khác nhau. Authenticator có nghĩa là thiết bị có thể đóng vai trò là thiết bị giữ passkey (thường là điện thoại thông minh). Client có nghĩa là thiết bị tạo mã QR và là nơi người dùng cố gắng đăng nhập (thường là máy tính để bàn).
Thử nghiệm các luồng passkey trong Passkeys Debugger.
Hành vi trên các thiết bị khác nhau#
Việc xem xét các hành vi khác nhau của thiết bị trong bối cảnh CDA là rất quan trọng. Trải nghiệm xác thực có thể thay đổi dựa trên khả năng phần cứng của thiết bị, chẳng hạn như sự hiện diện của camera để quét mã QR hoặc Bluetooth để kiểm tra khoảng cách. Ngoài ra, các hệ điều hành có thể triển khai CDA theo những cách khác nhau, ảnh hưởng đến cách người dùng bắt đầu và hoàn thành quá trình xác thực. Các nhà phát triển triển khai CDA phải tính đến những khác biệt này, đảm bảo trải nghiệm người dùng mượt mà và an toàn trên tất cả các thiết bị. Xem một báo cáo chi tiết về các hành vi khác nhau của thiết bị trong bài đăng blog này.
Các câu hỏi thường gặp (FAQ) về Xác thực chéo thiết bị (CDA)#
Việc chia sẻ passkey giữa các thiết bị có an toàn không?#
Việc chia sẻ passkey sử dụng các biện pháp bảo mật mạnh mẽ để bảo vệ dữ liệu. Phương pháp tiếp cận này rất cần thiết để thay thế mật khẩu bằng một giải pháp thay thế an toàn và thân thiện với người dùng hơn, phù hợp với sứ mệnh của FIDO trong việc cải thiện quy trình đăng nhập trên các phương diện tốc độ, sự tiện lợi và bảo mật.
Sự khả dụng của CDA trên các nền tảng hệ điều hành khác nhau là gì?#
Xác thực chéo thiết bị (CDA) đang nhanh chóng trở nên khả dụng trên nhiều hệ điều hành và trình duyệt, khi sự hỗ trợ cho passkey được giới thiệu. Một cái nhìn tổng quan về tính khả dụng có thể được tìm thấy trên trang web này.
Làm thế nào để passkey có sẵn trên các thiết bị của người dùng?#
Passkey được đồng bộ trên các thiết bị thông qua các cơ chế mã hóa đầu cuối (end-to-end encrypted) gắn với tài khoản nền tảng của người dùng (ví dụ: Apple ID, tài khoản Google). Điều này đảm bảo rằng các passkey được tạo trên một thiết bị sẽ sẵn sàng có mặt trên tất cả các thiết bị khác đăng nhập vào cùng một tài khoản, tạo điều kiện truy cập dễ dàng và an toàn trong hệ sinh thái kỹ thuật số của người dùng.
CDA và Passkey được đồng bộ - Sự khác biệt là gì?#
Truyền tải lai (Hybrid transport) cho phép xác thực an toàn trên nhiều thiết bị mà không cần passkey phải được đồng bộ hóa qua tài khoản đám mây, mang lại sự linh hoạt và duy trì tính toàn vẹn của passkey chỉ với người dùng.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case studyTại sao CDA lại sử dụng cả mã QR và Bluetooth?#
CDA sử dụng mã QR và Bluetooth để tăng cường tính bảo mật và sự tiện lợi. Mã QR làm đơn giản hóa việc khởi tạo xác thực, trong khi Bluetooth đảm bảo khoảng cách vật lý của các thiết bị, thêm một lớp bảo mật bổ sung.
CDA có thể hoạt động mà không cần kết nối internet không?#
Mặc dù CDA yêu cầu kết nối internet cho quá trình thiết lập và xác thực ban đầu, nhưng việc kiểm tra khoảng cách Bluetooth để xác thực không phụ thuộc vào kết nối internet, tăng cường tính đa năng của nó.
Yêu cầu phần cứng để sử dụng CDA là gì?#
Các thiết bị phải hỗ trợ WebAuthn, có camera để quét mã QR, hỗ trợ Bluetooth 4.0 trở lên cho caBLE và duy trì kết nối internet ổn định để hỗ trợ hiệu quả cho quá trình CDA.
Về Corbado
Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →
Xem Corbado phù hợp thế nào với quá trình triển khai passkeys và stack xác thực hiện tại của bạn.
Khám phá Console
Chia sẻ bài viết này
Mục lục
Thuật ngữ liên quan
Bài viết liên quan
