MẸO HAY

Công nghệ Passkey và hướng dẫn sử dụng với Google, Facebook, Outlook

Posted on by admin

Công nghệ Passkey và hướng dẫn sử dụng với Google, Facebook, Outlook

Tóm tắt

Passkey là công nghệ đăng nhập không cần mật khẩu, dựa trên một cặp mã khóa công khai và xác thực cục bộ bằng vân tay, khuôn mặt hoặc mã PIN trên thiết bị, giúp gần như loại bỏ nguy cơ lừa đảo lấy cắp mật khẩu (phishing) và rò rỉ mật khẩu. Các dịch vụ lớn như Google, Microsoft (Outlook.com) và Meta (Facebook) đã triển khai hỗ trợ passkey, cho phép người dùng đăng nhập nhanh, an toàn chỉ bằng việc xác thực trên chính thiết bị của mình.

1. Passkey là gì?

Passkey là một dạng chìa khóa đăng nhập kỹ thuật số, thay thế cho mật khẩu truyền thống, được lưu an toàn trên thiết bị (điện thoại, máy tính, khóa bảo mật) và dùng để chứng minh danh tính với website hoặc ứng dụng khi đăng nhập. Thay vì gõ mật khẩu, người dùng chỉ cần xác thực bằng vân tay, nhận diện khuôn mặt hoặc mã PIN khóa màn hình của thiết bị để hoàn tất đăng nhập.

Passkey được xây dựng trên chuẩn FIDO2/WebAuthn. Mỗi tài khoản tại mỗi dịch vụ sẽ có một cặp khóa mật mã riêng: khóa công khai và khóa bí mật. Trong đó, khóa bí mật luôn nằm trên thiết bị của người dùng, còn máy chủ dịch vụ chỉ giữ khóa công khai. Khi đăng nhập, thiết bị ký một “thử thách” bằng khóa bí mật và gửi chữ ký cho máy chủ kiểm tra với khóa công khai, do vậy không bao giờ phải gửi mật khẩu hay bí mật lên mạng.

2. Chuẩn nền tảng: FIDO2, WebAuthn, CTAP

FIDO2 là tập hợp các chuẩn do Liên minh FIDO phát triển, kết hợp giữa giao thức WebAuthn (trình duyệt <-> server) và CTAP (thiết bị xác thực <-> trình duyệt/hệ điều hành) để triển khai đăng nhập không mật khẩu. WebAuthn cho phép website yêu cầu trình duyệt tạo/chứng thực passkey, còn CTAP định nghĩa cách trình duyệt nói chuyện với bộ xác thực (authenticator) như khóa bảo mật USB, NFC hay module bảo mật trong điện thoại/laptop.

Quy trình cơ bản gồm hai bước: Khi đăng ký, dịch vụ yêu cầu tạo credential mới, thiết bị sinh cặp khóa và gửi khóa công khai cùng thông tin chứng thực lên server. Khi đăng nhập, server gửi một chuỗi thử thách, thiết bị yêu cầu người dùng xác minh (vân tay/khuôn mặt/PIN), sau đó ký thử thách bằng khóa bí mật và trả lời chữ ký để server kiểm tra, nếu hợp lệ thì cho đăng nhập.

3. Ưu điểm bảo mật và trải nghiệm

Passkey khắc phục gần như toàn bộ điểm yếu của mật khẩu: không có chuỗi mật khẩu để đoán, reuse, hay bị lừa nhập vào trang giả (phishing), vì thiết bị chỉ trả lời các website đúng tên miền đã đăng ký trước đó. Việc xác thực được gắn chặt với thiết bị và sinh trắc học hoặc mã khóa màn hình, nên kẻ tấn công dù có biết email cũng rất khó chiếm quyền nếu không cầm được thiết bị và vượt qua lớp bảo vệ cục bộ.

Về trải nghiệm, người dùng chỉ cần một thao tác quen thuộc: chạm vân tay, nhìn camera (Face ID), nhập mã PIN của máy thay vì phải nhớ và gõ mật khẩu dài, mã OTP, hay dùng ứng dụng xác thực. Nhiều hệ sinh thái như Google, Apple, Microsoft còn đồng bộ passkey qua đám mây (Google Password Manager, iCloud Keychain, Microsoft Cloud) giúp sử dụng trên nhiều thiết bị trong cùng tài khoản một cách liền mạch.

4. Hạn chế và điểm cần lưu ý

Do passkey gắn với thiết bị và/hoặc hệ sinh thái (Android/Google, iOS/iCloud, Windows/Microsoft), việc chuyển đổi nền tảng hoặc mất toàn bộ thiết bị mà không có phương án dự phòng (email/OTP/khóa bảo mật khác) có thể gây khó khăn trong việc khôi phục tài khoản. Người dùng cần thiết lập thêm phương thức khôi phục (email dự phòng, số điện thoại, mã khôi phục, ứng dụng xác thực) và lưu ý thu hồi passkey trên thiết bị cũ khi bán hoặc cho người khác.

Ngoài ra, không phải mọi dịch vụ và trình duyệt cũ đều hỗ trợ passkey, nên đôi khi vẫn phải quay lại dùng mật khẩu hoặc xác thực hai bước truyền thống. Tuy nhiên, các dịch vụ lớn như Google, Microsoft, Apple, Meta, Amazon, PayPal… đã hỗ trợ, và xu hướng chung là dần coi passkey là phương thức đăng nhập chính.

5. Các nền tảng và trình duyệt hỗ trợ

Passkey hiện đã được hỗ trợ trên các hệ điều hành và trình duyệt hiện đại: Android, iOS, iPadOS, Windows 10 trở lên, macOS; trình duyệt Chrome, Safari, Edge, Firefox đều tích hợp WebAuthn/Passkey. Các nhà cung cấp lớn như Google, Microsoft, Apple, Meta (Facebook, Instagram), Amazon, Adobe, PayPal… đã triển khai đăng nhập bằng passkey cho tài khoản người dùng.

Về lưu trữ, passkey có thể dùng dưới dạng:

  • Passkey nền tảng (platform passkey): lưu trong chính thiết bị (Android với Google Password Manager, iOS/macOS với iCloud Keychain, Windows với Windows Hello…), thường được đồng bộ trong cùng tài khoản hệ sinh thái.
  • Passkey trên khóa bảo mật vật lý (roaming authenticator): FIDO2 security key dạng USB/NFC/Bluetooth, có thể dùng trên nhiều máy mà không phụ thuộc vào tài khoản đám mây.

6. Chuẩn bị trước khi sử dụng passkey

Để dùng passkey với Google, Facebook, Outlook.com, người dùng cần:

  • Thiết bị hỗ trợ: điện thoại Android/iOS có cảm biến vân tay hoặc Face ID, máy tính Windows/macOS có Windows Hello, Touch ID hoặc ít nhất là mã khóa màn hình.
  • Trình duyệt cập nhật: Chrome, Edge, Safari, Firefox bản mới, bật hỗ trợ WebAuthn/Passkey (thường bật mặc định trên bản hiện đại).
  • Tài khoản email/điện thoại khôi phục vẫn còn dùng được, phòng mất thiết bị hoặc cần gỡ passkey từ xa.

Khi đăng ký passkey lần đầu cho một dịch vụ, thường người dùng vẫn phải đăng nhập bằng mật khẩu và/hoặc xác minh hai bước, sau đó mới thêm passkey trong phần bảo mật tài khoản.

7. Thiết lập và dùng passkey với Google (google.com)

7.1. Tạo passkey cho Tài khoản Google

Google cho phép tạo “Khóa truy cập” (passkey) từ trang quản lý tài khoản hoặc từ trang chuyên biệt về passkey. Cách phổ biến là:

  1. Mở trình duyệt, truy cập https://myaccount.google.com và đăng nhập tài khoản muốn tạo passkey.
  2. Vào mục Bảo mật và đăng nhập (thanh bên trái), tìm phần “Cách bạn đăng nhập vào Google”.
  3. Chọn mục liên quan đến “Khóa truy cập và khóa bảo mật”, sau đó chọn “Tạo khóa truy cập”.
  1. Google có thể yêu cầu nhập lại mật khẩu để xác minh bảo mật, hãy nhập và tiếp tục.
  2. Hộp thoại hệ thống hiện ra, cho biết bạn sắp tạo passkey trên thiết bị hiện tại; nhấn Tiếp tục rồi xác thực bằng vân tay, khuôn mặt hoặc mã PIN/khóa màn hình (Android: màn hình khóa, Windows: Windows Hello, iOS/macOS: Face ID/Touch ID).
  1. Sau khi xác thực thành công, Google thông báo đã tạo passkey; từ nay thiết bị này có thể đăng nhập tài khoản Google bằng passkey.

7.2. Đăng nhập Google bằng passkey

Sau khi tạo passkey:

  • Khi đăng nhập Google trên thiết bị có passkey, sau khi nhập địa chỉ email, trang đăng nhập sẽ ưu tiên đề xuất đăng nhập bằng khóa truy cập; người dùng chỉ cần chọn passkey và xác thực bằng vân tay/Face ID/mã PIN là hoàn tất, không phải gõ mật khẩu.
  • Khi đăng nhập trên thiết bị mới, Google có thể nhắc dùng passkey trên điện thoại đã đăng ký thông qua Bluetooth hoặc quét mã QR, người dùng xác thực trên điện thoại là tài khoản được thêm vào thiết bị mới.

Trong phần cài đặt bảo mật, người dùng có thể bật tùy chọn “Bỏ qua mật khẩu khi có thể” để Google ưu tiên passkey thay cho mật khẩu.

8. Thiết lập và dùng passkey với Facebook (Meta)

Blog đã có bài viết hướng dẫn chi tiết các thiết lập và dùng passkey với Facebook vui lòng xem tại đây.

9. Thiết lập và dùng passkey với Microsoft (Outlook.com)

9.1. Passkey của tài khoản Microsoft

Microsoft triển khai passkey như một hình thức đăng nhập không mật khẩu cho tài khoản Microsoft, dùng được cho Outlook.com, OneDrive, Office Online và nhiều dịch vụ khác. Passkey Microsoft được mô tả là chìa khóa kỹ thuật số lưu an toàn trên điện thoại hoặc máy tính, cho phép người dùng đăng nhập chỉ với vân tay, khuôn mặt hoặc mã PIN của thiết bị.

9.2. Thiết lập passkey cho tài khoản Microsoft

  1. Đăng nhập vào trang quản lý tài khoản Microsoft (account.microsoft.com) bằng trình duyệt trên thiết bị muốn tạo passkey.
  2. Vào phần Bảo mật (Security) và tìm mục liên quan đến “Các phương thức đăng nhập” hoặc “Passkey”.
  3. Chọn “Thêm passkey” hoặc “Thiết lập passkey”, sau đó hệ thống sẽ chuyển sang quy trình tạo passkey sử dụng Windows Hello trên Windows, màn hình khóa/Face ID/Touch ID trên thiết bị di động hoặc khóa bảo mật FIDO2 nếu người dùng chọn.
  4. Xác thực bằng vân tay, khuôn mặt hoặc mã PIN khi được yêu cầu để hoàn tất tạo passkey.

Sau khi hoàn tất, passkey được liên kết với tài khoản Microsoft và thiết bị đang dùng; người dùng có thể đăng nhập Outlook.com và các dịch vụ khác bằng cách xác thực trên thiết bị đó.

9.3. Đăng nhập Outlook.com bằng passkey

  • Tại trang đăng nhập Outlook.com hoặc các dịch vụ Microsoft khác, sau khi nhập tên tài khoản/email, người dùng có thể chọn đăng nhập bằng passkey; trình duyệt sẽ kích hoạt Windows Hello hoặc cơ chế xác thực của thiết bị để người dùng xác minh.
  • Đối với thiết bị di động, quá trình tương tự: sau khi lựa chọn đăng nhập bằng passkey, hệ thống sẽ hiện màn hình yêu cầu vân tay/Face ID/mã PIN để hoàn tất đăng nhập mà không cần nhớ mật khẩu.

10. Thực hành an toàn và xử lý sự cố

10.1. Khi mất hoặc thay thiết bị

Nếu mất điện thoại hoặc máy tính chứa passkey:

  • Nên đăng nhập vào tài khoản (Google, Microsoft, Facebook) từ thiết bị khác hoặc trình duyệt bằng các phương thức dự phòng (mật khẩu, email/số điện thoại khôi phục, ứng dụng xác thực) và thu hồi passkey khỏi danh sách thiết bị tin cậy.
  • Đối với Google, có thể truy cập phần Khóa truy cập trong Bảo mật tài khoản để xóa passkey trên thiết bị bị mất, đồng thời đổi mật khẩu và kiểm tra hoạt động đăng nhập gần đây.
  • Trong giai đoạn chuyển máy, nên đảm bảo thêm passkey (hoặc ít nhất là phương thức xác thực mạnh: ứng dụng Authenticator, mã khôi phục) trên thiết bị mới trước khi xóa hết dữ liệu trên thiết bị cũ.

10.2. Kết hợp passkey với các biện pháp khác

  • Đặt mã khóa màn hình mạnh, bật sinh trắc học và không chia sẻ thiết bị cho người lạ.
  • Kiểm tra định kỳ mục “Thiết bị đăng nhập” và “Phương thức đăng nhập” trên Google, Microsoft, Facebook để phát hiện và thu hồi thiết bị lạ.
  • Luôn giữ cập nhật hệ điều hành và trình duyệt, vì các bản vá bảo mật mới thường cải thiện hỗ trợ passkey và vá lỗi hổng liên quan.

admin

Leave a Reply

Your email address will not be published. Required fields are marked *