Đăng nhập không cần mật khẩu bằng mật khẩu

Giới thiệu

Mã xác thực là một mật khẩu an toàn và dễ dàng thay thế. Với mã xác thực, người dùng có thể đăng nhập vào các ứng dụng và trang web bằng cảm biến sinh trắc học (chẳng hạn như vân tay hoặc nhận dạng khuôn mặt), mã PIN hoặc hình mở khoá, giúp họ không phải nhớ và quản lý mật khẩu.

Mã xác thực có thể thay thế mật khẩu và yếu tố thứ hai chỉ bằng một bước. Trải nghiệm người dùng cũng đơn giản như việc tự động điền biểu mẫu mật khẩu. Mã xác thực cung cấp khả năng bảo vệ mạnh mẽ trước các cuộc tấn công lừa đảo, không giống như SMS hoặc mật khẩu một lần dựa trên ứng dụng. Vì mã xác thực được tiêu chuẩn hoá nên một cách triển khai duy nhất sẽ mang lại trải nghiệm không cần mật khẩu trên nhiều trình duyệt và hệ điều hành.

Mã xác thực là gì?

Mã xác thực là một thông tin xác thực kỹ thuật số, liên kết với tài khoản người dùng và trang web hoặc ứng dụng. Mã xác thực cho phép người dùng xác thực mà không phải nhập tên người dùng, mật khẩu hoặc cung cấp bất kỳ yếu tố xác thực bổ sung nào. Công nghệ này nhằm thay thế các cơ chế xác thực cũ, chẳng hạn như mật khẩu.

Khi người dùng muốn đăng nhập vào một dịch vụ sử dụng mã xác thực, trình duyệt hoặc hệ điều hành của họ sẽ giúp họ chọn và sử dụng mã xác thực phù hợp. Trải nghiệm này tương tự như cách hoạt động của mật khẩu đã lưu hiện nay. Để đảm bảo chỉ chủ sở hữu hợp pháp mới có thể sử dụng mã xác thực, hệ thống sẽ yêu cầu họ mở khoá thiết bị. Quy trình này có thể được thực hiện bằng cảm biến sinh trắc học (chẳng hạn như vân tay hoặc nhận dạng khuôn mặt), mã PIN hoặc hình mở khóa.

Để tạo mã xác thực cho một trang web hoặc ứng dụng, trước tiên, người dùng phải đăng ký bằng trang web hoặc ứng dụng đó.

1. Truy cập vào ứng dụng và đăng nhập bằng phương thức đăng nhập hiện có.
2. Nhấp vào nút Tạo mã xác thực.
3. Kiểm tra thông tin lưu trữ bằng mã xác thực mới.
4. Sử dụng tính năng mở khoá màn hình thiết bị để tạo mã xác thực.

Khi quay lại trang web hoặc ứng dụng này để đăng nhập, họ có thể thực hiện các bước sau:

1. Chuyển đến ứng dụng.
2. Nhấp vào Đăng nhập.
3. Chọn mã xác thực của chúng.
4. Sử dụng tính năng mở khoá màn hình thiết bị để hoàn tất quá trình đăng nhập.

Thiết bị của người dùng tạo chữ ký dựa trên mã xác thực. Chữ ký này được dùng để xác minh thông tin đăng nhập giữa mã gốc và mã xác thực.

Người dùng có thể đăng nhập vào các dịch vụ trên bất kỳ thiết bị nào bằng mã xác thực, bất kể nơi lưu trữ mã xác thực. Ví dụ: mã xác thực được tạo trên điện thoại di động có thể được dùng để đăng nhập vào một trang web trên máy tính xách tay riêng.

Mã xác thực hoạt động như thế nào?

Mã xác thực được dùng để sử dụng cơ sở hạ tầng hệ điều hành cho phép người quản lý mã xác thực tạo, sao lưu và cung cấp mã xác thực cho ứng dụng chạy trên hệ điều hành đó. Trên Chrome trên Android, mã xác thực được lưu trữ trong Trình quản lý mật khẩu của Google, đồng bộ hoá mã xác thực giữa các thiết bị Android của người dùng đã đăng nhập vào cùng một Tài khoản Google.

Người dùng không bị hạn chế chỉ sử dụng mã xác thực trên thiết bị lưu trữ mã xác thực — mã xác thực được lưu trữ trên điện thoại có thể được sử dụng khi đăng nhập vào máy tính xách tay, ngay cả khi mã xác thực không được đồng bộ hóa với máy tính xách tay, miễn là điện thoại ở gần máy tính xách tay và người dùng phê duyệt việc đăng nhập trên điện thoại. Vì mã xác thực được xây dựng dựa trên tiêu chuẩn FIDO, nên tất cả trình duyệt đều có thể áp dụng mã xác thực.

Ví dụ: người dùng truy cập vào example.com trên Chromebook. Người dùng này trước đây đã đăng nhập vào example.com trên thiết bị iOS của họ và tạo một mã xác thực. Trên Chromebook, người dùng chọn đăng nhập bằng mã xác thực từ một thiết bị khác. Hai thiết bị này sẽ kết nối và người dùng sẽ được nhắc phê duyệt việc sử dụng mã xác thực của họ trên thiết bị iOS, ví dụ như với FaceID. Sau khi đăng nhập, người dùng sẽ đăng nhập trên Chromebook. Vui lòng lưu ý mã xác thực không được chuyển sang Chromebook, vì vậy, example.com thường sẽ tạo một mã xác thực mới tại đó. Nhờ đó, người dùng sẽ không cần sử dụng điện thoại vào lần tiếp theo muốn đăng nhập. Hãy đọc bài viết Đăng nhập bằng điện thoại để tìm hiểu thêm.

Những điều cần cân nhắc về quyền riêng tư

• Một số người dùng có thể ngạc nhiên nếu phương thức xác thực sinh trắc học đột nhiên xuất hiện trên một trang web hoặc ứng dụng và cho rằng việc này đang gửi thông tin nhạy cảm đến máy chủ. Với mã xác thực, thông tin sinh trắc học của người dùng sẽ không bao giờ được tiết lộ cho trang web hoặc ứng dụng. Tài liệu sinh trắc học không bao giờ rời khỏi thiết bị cá nhân của người dùng.
• Tự mã xác thực không cho phép theo dõi người dùng hoặc thiết bị giữa các trang web. Mã xác thực không bao giờ được sử dụng cho nhiều trang web. Giao thức mã xác thực được thiết kế cẩn thận để không thể sử dụng thông tin được chia sẻ với các trang web làm vectơ theo dõi.
• Trình quản lý mã xác thực bảo vệ các mã xác thực khỏi hành vi truy cập và sử dụng trái phép. Ví dụ: Trình quản lý mật khẩu của Google mã hoá mã bí mật mã xác thực hai đầu. Chỉ người dùng có thể truy cập và sử dụng các ứng dụng này, mặc dù chúng được sao lưu vào máy chủ của Google, nhưng Google không thể sử dụng chúng để mạo danh người dùng.

Lưu ý về bảo mật

• Mã xác thực sử dụng mật mã khoá công khai. Phương thức mã hoá khoá công khai giúp giảm bớt mối đe doạ từ các vụ rò rỉ dữ liệu tiềm ẩn. Khi người dùng tạo một mã xác thực với một trang web hoặc ứng dụng, thì thao tác này sẽ tạo một cặp khoá công khai – riêng tư trên thiết bị của người dùng. Trang web chỉ lưu trữ khoá công khai, nhưng chỉ kẻ tấn công này không dùng được. Kẻ tấn công không thể lấy khoá riêng tư của người dùng từ dữ liệu lưu trữ trên máy chủ, vốn cần thiết để hoàn tất quy trình xác thực.
• Do mã xác thực được liên kết với danh tính của một trang web hoặc ứng dụng, nên chúng được bảo vệ an toàn trước các cuộc tấn công lừa đảo. Trình duyệt và hệ điều hành đảm bảo chỉ có thể sử dụng mã xác thực với trang web hoặc ứng dụng đã tạo mã xác thực đó. Điều này giúp người dùng không phải chịu trách nhiệm khi đăng nhập vào trang web hoặc ứng dụng chính thống.

Nhận thông báo

Đăng ký bản tin dành cho nhà phát triển mã xác thực để nhận thông báo về nội dung cập nhật mã xác thực.

Các bước tiếp theo

• Tìm hiểu cách tạo mã xác thực cho hoạt động đăng nhập không cần mật khẩu trên web
• Tìm hiểu cách cho phép người dùng đăng nhập bằng mã xác thực thông qua tính năng tự động điền biểu mẫu trên web
• Tìm hiểu cách đăng nhập vào một ứng dụng Android bằng Trình quản lý thông tin xác thực