Câu hỏi thường gặp

Giải pháp chung

Ai hỗ trợ khoá truy cập?

Vì khoá truy cập dựa trên tiêu chuẩn của FIDO, nên khoá truy cập hoạt động trên Android và Chrome, cùng với nhiều hệ sinh thái và trình duyệt phổ biến khác như Microsoft Windows, Microsoft Edge, macOS, iOS và Safari.

Hãy xem phần Môi trường được hỗ trợ để kiểm tra trạng thái hỗ trợ trên Chrome và Android.

Khoá truy cập có hoạt động trên các thiết bị không thiết lập phương thức khoá màn hình không?

Điều này tuỳ thuộc vào cách triển khai trình quản lý mật khẩu, liệu trình cung cấp thông tin xác thực có cho phép tạo và xác thực khoá truy cập mà không gặp khó khăn về yếu tố kiến thức người dùng hay không. Ứng dụng nhà cung cấp có thể nhắc người dùng thiết lập mã PIN hoặc phương thức khoá màn hình bằng sinh trắc học trước khi tạo khoá truy cập.

Làm cách nào để đăng ký khoá truy cập trên một nền tảng (chẳng hạn như Android) để đăng nhập trên các nền tảng khác (chẳng hạn như web hoặc iOS)?

Ví dụ: khoá truy cập đã đăng ký trên Android có thể được dùng để đăng nhập trên các nền tảng khác bằng cách kết nối điện thoại Android với một thiết bị khác. Để thiết lập kết nối giữa hai thiết bị, người dùng cần mở trang web mà họ đang cố đăng nhập trên một thiết bị chưa đăng ký khoá truy cập, quét mã QR, sau đó xác nhận đăng nhập trên thiết bị mà họ đã tạo khoá truy cập (trong trường hợp này là thiết bị Android). Khoá truy cập không bao giờ rời khỏi thiết bị Android. Vì vậy, các ứng dụng thường sẽ đề xuất tạo khoá truy cập mới trên thiết bị khác để hỗ trợ việc đăng nhập trong lần tiếp theo. Quy trình này cũng sẽ hoạt động theo cách tương tự đối với các nền tảng khác.

Tôi có thể di chuyển khoá truy cập đã đồng bộ hoá từ nhà cung cấp nền tảng này sang nhà cung cấp nền tảng khác không?

Khoá truy cập được lưu vào trình cung cấp thông tin xác thực do nền tảng xác định. Một số nền tảng (như Android) cho phép người dùng chọn nhà cung cấp theo ý họ (trình quản lý mật khẩu của hệ thống hoặc bên thứ ba) kể từ Android 14. Nhờ đó, họ có thể đồng bộ hoá khoá truy cập trên nhiều nền tảng. Hiện tại, chúng tôi không hỗ trợ việc di chuyển khoá truy cập trực tiếp từ nhà cung cấp nền tảng này sang nhà cung cấp nền tảng khác.

Người dùng có thể đồng bộ hoá khoá truy cập của họ trên các thiết bị Android không phải của Google không?

Theo mặc định, khoá truy cập chỉ được đồng bộ hoá trong hệ sinh thái của thiết bị (tức là Android với Android thông qua Trình quản lý mật khẩu của Google), nhưng không được đồng bộ hoá trong toàn bộ hệ sinh thái.

Android sẽ mở ra nền tảng này (kể từ Android 14) để cho phép người dùng chọn trình cung cấp thông tin xác thực họ muốn sử dụng (chẳng hạn như một trình quản lý mật khẩu bên thứ ba). Nhờ đó, bạn có thể sử dụng các trường hợp như đồng bộ hoá khoá truy cập giữa các hệ sinh thái (tuỳ thuộc vào cách mở của các nền tảng khác).

Nhà phát triển nên làm gì với các thiết bị và nền tảng không hỗ trợ khoá truy cập?

Trong thời gian này, nhà phát triển nên giữ lại các tuỳ chọn đăng nhập hiện có trong ứng dụng của mình để các tuỳ chọn này vẫn dùng được cho những thiết bị và nền tảng không hỗ trợ khoá truy cập.

Khoá truy cập có thể hết hạn không?

Không. Điều này phụ thuộc vào trình cung cấp lưu trữ khoá truy cập và RP (Bên dựa trên), nhưng không có phương pháp phổ biến nào để hết hạn khoá truy cập.

Bên bị hạn chế có thể chỉ định tài khoản để người dùng đăng nhập không?

Các bên độc lập (ứng dụng bên thứ ba) có thể điền sẵn "allowCredentials" danh sách mã thông tin xác thực gửi từ phần phụ trợ ứng dụng cho biết những khoá truy cập nào nên được dùng để xác thực người dùng.

Khoá truy cập trên Android và Chrome

Các ứng dụng Android có thể dùng khoá truy cập được tạo trong Chrome để xác thực không?

  • Đối với khoá truy cập được tạo trong Chrome trên Android:

    Có, khoá truy cập tạo trong Chrome sẽ được lưu vào Trình quản lý mật khẩu của Google và có trên Android và ngược lại khi người dùng đăng nhập vào cùng một Tài khoản Google.

  • Đối với khoá truy cập được tạo trong Chrome trên các nền tảng khác:

    Nếu bạn tạo khoá truy cập trong Chrome trên các nền tảng khác (Mac, iOS, Windows) thì không. Hãy xem các môi trường được hỗ trợ để biết thêm thông tin. Trong khi chờ đợi, người dùng có thể sử dụng điện thoại mà họ đã tạo khoá truy cập để đăng nhập.

Điều gì sẽ xảy ra với thông tin đăng nhập được tạo trước khi người dùng sử dụng khoá truy cập? Chúng ta có thể tiếp tục sử dụng chúng không?

Có, trên cả Chrome và Android, thông tin xác thực liên kết với thiết bị được tạo trước khi chúng tôi bật tính năng đồng bộ hoá sẽ có sẵn và vẫn có thể được dùng để xác thực.

Điều gì xảy ra nếu người dùng mất thiết bị?

Khoá truy cập tạo trên Android được sao lưu và đồng bộ hoá với các thiết bị Android đã đăng nhập vào cùng một Tài khoản Google, giống như cách mật khẩu được sao lưu vào trình quản lý mật khẩu.

Theo đó, khoá truy cập của người dùng sẽ được giữ nguyên khi họ thay thế thiết bị. Để đăng nhập vào các ứng dụng trên điện thoại mới, người dùng chỉ cần xác minh chính họ bằng phương thức khoá màn hình của thiết bị hiện có.

Thiết bị cần thiết lập phương thức khoá màn hình bằng hệ thống nhận dạng sinh trắc học, mã PIN hoặc hình mở khoá để đăng nhập bằng khoá truy cập hay một trong hai cách này là đủ?

Chỉ cần một phương thức khoá màn hình là đủ.

Khoá truy cập có liên kết với một phương thức khoá màn hình cụ thể nào như vân tay, mã PIN hoặc hình mở khoá không?

Điều này phụ thuộc vào nền tảng thiết bị và cách họ thực hiện quy trình xác minh người dùng. Trong trường hợp là Trình quản lý mật khẩu của Google, khoá truy cập không liên kết với bất kỳ phương thức xác thực cụ thể nào và có thể dùng với bất kỳ hệ số khoá màn hình nào có sẵn (sinh trắc học, mã PIN hoặc hình mở khoá).

Tuy nhiên, bên bị hạn chế vẫn có thể tạo thông tin xác thực được liên kết với thiết bị nhưng chưa được đồng bộ hoá hay không?

Hiện tại, các thông tin đăng nhập không phát hiện được được tạo trong Chrome trên Android hoặc trong ứng dụng Android sử dụng API Dịch vụ Play sẽ giữ nguyên hành vi hiện có và do đó tiếp tục bị ràng buộc với thiết bị.

Khi sử dụng khoá truy cập, tiện ích khoá công khai của thiết bị đang được phát triển là khoá thứ hai, liên kết với thiết bị sẽ không được đồng bộ hoá và có thể dùng để phân tích rủi ro. Tuy nhiên, trình cung cấp thông tin xác thực chưa hỗ trợ việc này.

Việc đồng bộ hoá khoá truy cập với một thiết bị mới hoạt động như thế nào? Người dùng có cần có quyền truy cập vào thiết bị mà họ đã dùng để tạo khoá truy cập không?

Trên Android:

  • Nếu khoá truy cập đã được lưu vào Trình quản lý mật khẩu của Google, thì người dùng chỉ cần đăng nhập trên thiết bị mới bằng chính Tài khoản Google đó và tự xác minh bằng phương thức khoá màn hình của thiết bị trước đó (mã PIN, hình mở khoá hoặc mật mã). Người dùng không cần phải đăng nhập vào các thiết bị khác trên thiết bị trước.

  • Nếu khoá truy cập được lưu vào một trình cung cấp thông tin xác thực khác, thì điều này sẽ phụ thuộc vào quy trình đăng nhập trên các thiết bị mới của trình cung cấp thông tin xác thực đó. Hầu hết các trình cung cấp thông tin xác thực đều đồng bộ hoá thông tin xác thực với đám mây và cung cấp cho người dùng nhiều cách để truy cập vào những thông tin đó trên thiết bị mới sau khi tự xác thực.

Quyền riêng tư và bảo mật

Thông tin sinh trắc học của người dùng có an toàn không?

Có, dữ liệu sinh trắc học của người dùng chỉ ở trên thiết bị và không bao giờ được lưu trữ trên máy chủ trung tâm (nơi dữ liệu có khả năng bị đánh cắp do một sự cố rò rỉ dữ liệu).

Người dùng có thể đăng nhập vào thiết bị của bạn bè bằng khoá truy cập trên điện thoại của họ không?

Có. Người dùng có thể thiết lập "liên kết một lần" giữa điện thoại của mình và thiết bị của người khác để đăng nhập.

Nếu Tài khoản Google của người dùng bị xâm phạm, khoá truy cập được lưu trữ trong Trình quản lý mật khẩu của Google có được bảo vệ không?

Có, khoá truy cập bí mật được mã hoá hai đầu. Tài khoản Google bị xâm phạm sẽ không làm lộ khoá truy cập vì người dùng cũng cần mở khoá màn hình thiết bị Android để giải mã khoá truy cập.

Khoá truy cập khác với liên kết danh tính như thế nào?

Liên kết danh tính rất phù hợp để đăng ký dịch vụ, vì dịch vụ này trả về thông tin hồ sơ cơ bản của người dùng như tên và địa chỉ email đã xác minh, giúp khởi động tài khoản mới. Khoá truy cập rất phù hợp để đơn giản hoá quy trình reauthentication người dùng.