Định hình lại quy trình xác thực người dùng và xác minh danh tính

Ashima Arora

Chirag Desai

Eiji Kitamura

Tại Google I/O năm nay, chúng tôi đã chia sẻ cách Chrome định hình lại quy trình xác thực người dùng và xác minh danh tính trên web bằng sức mạnh của API trình duyệt. Cho dù bạn đang sử dụng mật khẩu, khoá truy cập hay tính năng liên kết, Chrome sẽ mang đến trải nghiệm đăng nhập và đăng ký hợp nhất, đơn giản, an toàn và thân thiện với người dùng hơn.

Khám phá các công cụ và phương pháp hay nhất mới nhất để nâng cao trải nghiệm đăng ký và đăng nhập trên trang web của bạn.

Xem trang của phiên này hoặc tiếp tục đọc để tìm hiểu thêm về các điểm nổi bật chính.

Trình duyệt là đồng minh giúp bạn đăng nhập

Phương thức xác thực trên web đang phát triển. Khi kỳ vọng của người dùng ngày càng tăng, các quy định mới và hệ sinh thái ngày càng phát triển của các công cụ nhận dạng kỹ thuật số, nhà phát triển cần cung cấp quy trình đăng nhập và đăng ký an toàn, liền mạch và bảo vệ quyền riêng tư. Chrome luôn sẵn sàng trợ giúp bạn.

Có ba lĩnh vực tập trung chính:

• Xác thực người dùng: Giúp bạn hỗ trợ các quy trình đăng nhập mạnh mẽ bằng cách quản lý mật khẩu hiệu quả hơn, dễ dàng sử dụng khoá truy cập hơn và hỗ trợ tích hợp cho tính năng Liên kết danh tính thông qua tính năng quản lý thông tin xác thực liên kết (FedCM).
• Xác minh danh tính: Cho phép bạn yêu cầu thông tin chi tiết đã xác minh của người dùng, chẳng hạn như độ tuổi hoặc quyền sở hữu giấy tờ tuỳ thân, bằng cách sử dụng thông tin xác thực kỹ thuật số từ ví di động.
• Quản lý phiên: Giúp bạn bảo vệ người dùng sau khi đăng nhập bằng cách liên kết các phiên với thiết bị của họ bằng Thông tin xác thực phiên được liên kết với thiết bị.

Hãy khám phá các công cụ và API giúp bạn thực hiện được tất cả những điều này.

Trình quản lý thông tin xác thực cho web: Một giao diện người dùng đăng nhập cho tất cả thông tin xác thực của bạn

Việc đăng nhập phải thuận tiện. Tuy nhiên, với mật khẩu, khoá truy cập và các tuỳ chọn liên kết, người dùng thường phải đối mặt với nhiều lựa chọn khó hiểu.

Chrome đang mở rộng API Trình quản lý thông tin xác thực, cho phép bạn yêu cầu thông tin xác thực từ trình duyệt, bất kể loại thông tin xác thực, bằng cách sử dụng một giao diện nhất quán. Nếu có thông tin xác thực từ trình quản lý mật khẩu, Chrome sẽ hiển thị thông tin đó cho người dùng trong một hộp thoại duy nhất, giúp người dùng không phải thao tác phức tạp.

Nếu Chrome không tìm thấy thông tin xác thực, chúng tôi sẽ thông báo cho bạn và bạn có thể quay lại quy trình đăng nhập của riêng mình.

Trải nghiệm mới này giúp giảm sự phiền hà và mang đến trải nghiệm đăng nhập liền mạch hơn.

Tính năng này đang trong giai đoạn thử nghiệm dành cho nhà phát triển. Bạn có thể bắt đầu sử dụng tính năng này trên máy bằng cách bật cờ chrome://flags#enable-experimental-web-platform-features, bao gồm cả thông tin xác thực password và publicKey, đồng thời sử dụng mediation: "immediate" để bật tính năng dàn xếp ngay lập tức.

Đoạn mã sau đây cho bạn thấy giao diện của ứng dụng:

const cred = await navigator.credentials.get({
  password: true,
  publicKey: {
    challenge,
    rpId: 'example.com'
  },
  mediation: 'immediate',
});

Tìm hiểu thêm trong tài liệu của chúng tôi về việc Kiểm thử tính năng dàn xếp tức thì trên Chrome.

Mật khẩu: thông minh và an toàn hơn

Mật khẩu vẫn là phương thức xác thực phổ biến nhất trên thế giới. Trình duyệt và trình quản lý mật khẩu cung cấp các công cụ giúp cải thiện trải nghiệm đăng nhập bằng mật khẩu, nhưng các trang web không phải lúc nào cũng áp dụng các công cụ đó.

Chrome hỗ trợ các phương pháp an toàn hơn thông qua các tính năng của Trình quản lý mật khẩu của Google, chẳng hạn như tạo mật khẩu trên biểu mẫu đăng ký hoặc kiểm tra rò rỉ mật khẩu để cảnh báo người dùng về thông tin đăng nhập bị xâm phạm.

Dưới đây là một số công cụ giúp cải thiện trải nghiệm sử dụng mật khẩu trên trang web của bạn.

Thay đổi mật khẩu tự động: Khắc phục mật khẩu bị lộ chỉ bằng một lần nhấp

Ra mắt vào cuối năm nay cho một số trang web, tính năng Tự động thay đổi mật khẩu giúp người dùng dễ dàng phản hồi khi thông tin đăng nhập của họ gặp rủi ro.

Khi phát hiện thấy mật khẩu bị xâm phạm trong quá trình đăng nhập, Trình quản lý mật khẩu của Google sẽ nhắc người dùng tự động khắc phục vấn đề.

Trên các trang web được hỗ trợ, Chrome có thể tạo một mật khẩu thay thế mạnh và tự động cập nhật mật khẩu cho người dùng.

Điều này giúp giảm sự phiền toái và giúp người dùng bảo mật tài khoản của họ mà không cần tìm kiếm trong phần cài đặt tài khoản hoặc bỏ dở quy trình.

Bạn có thể làm một số việc để tối ưu hoá trang web nhằm hoạt động hiệu quả với trình duyệt và trình quản lý mật khẩu.

• Tối ưu hoá tính năng tự động hoàn thành: Sử dụng autocomplete="current-password" và autocomplete="new-password" để kích hoạt tính năng tự động điền và lưu trữ. Xem hướng dẫn đăng nhập và đăng ký.
• URL thay đổi mật khẩu: Chuyển hướng từ <your-website-domain>/.well-known/change-password đến biểu mẫu thay đổi mật khẩu trên trang web của bạn (URL thay đổi mật khẩu phổ biến). Khi phát hiện một mật khẩu dễ bị xâm nhập, trình quản lý mật khẩu có thể chuyển người dùng đến trang thay đổi mật khẩu.

Chia sẻ thông tin đăng nhập liền mạch: Một lần đăng nhập trên ứng dụng và web

Trình quản lý mật khẩu không chỉ lưu trữ mật khẩu. Các tính năng này giúp ngăn chặn hành vi lừa đảo bằng cách chỉ cung cấp thông tin xác thực khi miền khớp. Tuy nhiên, người dùng vẫn có thể gặp vấn đề khi dịch vụ của bạn trải dài trên nhiều miền và nền tảng.

Ví dụ:

• Người dùng đăng ký trong ứng dụng Android của bạn, sau đó truy cập vào trang web của bạn trên máy tính xách tay
• Hoặc bạn cung cấp nhiều miền hoặc ứng dụng chấp nhận cùng một thông tin đăng nhập

Nếu không có thông tin xác thực được chia sẻ, chúng tôi sẽ không cung cấp mật khẩu đã lưu, vì vậy, người dùng có thể gặp khó khăn khi đăng nhập.

Tính năng chia sẻ thông tin đăng nhập một cách liền mạch sẽ giúp khắc phục vấn đề này. Bằng cách liên kết các ứng dụng và trang web của bạn, Trình quản lý mật khẩu của Google có thể chia sẻ mật khẩu một cách liền mạch giữa các tài sản đó, mang đến trải nghiệm đăng nhập suôn sẻ và đơn giản hơn.

eBay đã tăng tỷ lệ đăng nhập thành công thêm 10%. Tìm hiểu thêm qua một nghiên cứu điển hình: Cách eBay cải thiện tỷ lệ đăng nhập thành công thêm 10% nhờ tính năng chia sẻ thông tin đăng nhập liền mạch.

Khoá truy cập: Một phương thức đăng nhập đơn giản và an toàn hơn

Khoá truy cập là một giải pháp thay thế mạnh mẽ hơn cho mật khẩu, giúp người dùng đăng nhập an toàn vào các trang web và ứng dụng bằng cơ chế mở khoá thiết bị của họ, chẳng hạn như thông tin sinh trắc học (ví dụ: vân tay hoặc khuôn mặt), mã PIN hoặc hình mở khoá. Các mã này có khả năng chống lừa đảo, thân thiện với người dùng và là tiêu chuẩn được áp dụng rộng rãi trên các trình duyệt và hệ điều hành.

Đồng bộ hoá khoá truy cập trên các nền tảng

Người dùng lưu trữ khoá truy cập trong trình quản lý mật khẩu, nhưng một số trình quản lý không đồng bộ hoá khoá truy cập. Điều này có thể gây phiền toái nếu người dùng cố gắng đăng nhập từ một thiết bị không có khoá truy cập. Trong trường hợp đó, Chrome sẽ hiển thị một mã QR để người dùng có thể hoàn tất quy trình đăng nhập từ một thiết bị khác có thông tin xác thực.

Để giảm sự phiền toái này, Chrome đã thêm tính năng hỗ trợ đồng bộ hoá khoá truy cập trong Trình quản lý mật khẩu của Google.

Giờ đây, chúng tôi đã hỗ trợ thêm iOS, nên khoá truy cập trên Trình quản lý mật khẩu của Google có thể đồng bộ hoá trên tất cả các nền tảng chính, bao gồm Android, Windows, macOS, ChromeOS và Linux. Tìm hiểu thêm trong bài viết Môi trường được hỗ trợ.

Dàn xếp tức thì: chỉ yêu cầu thông tin xác thực có sẵn

Một số người dùng chưa đồng bộ hoá khoá truy cập trên mọi thiết bị. Nếu không tìm thấy khoá truy cập trên thiết bị, Chrome có thể hiển thị mã QR để người dùng có thể sử dụng một thiết bị khác có thông tin xác thực. Cách này có hiệu quả nhưng có thể gây ra sự phiền hà.

Để giảm sự phiền toái đó, Chrome hỗ trợ một tuỳ chọn mới: mediation: 'immediate'. Điều này cho phép trang web của bạn chỉ yêu cầu thông tin xác thực đã có sẵn trên thiết bị hiện tại. Nếu không tìm thấy, người dùng sẽ không thấy gì. Không có lời nhắc, không có mã QR, không có sự gián đoạn. Chrome sẽ cho bạn biết để bạn có thể hiển thị giao diện người dùng đăng nhập thông thường.

Điều này giúp cải thiện trải nghiệm bằng cách tránh luồng mã QR cho người dùng không có thông tin xác thực.

Hãy sử dụng phương pháp này khi người dùng thực hiện bất kỳ hành động có ý nghĩa nào, chẳng hạn như nhấp vào nút Đăng nhập hoặc Thanh toán. Khi bạn sử dụng navigator.credentials.get() với mediation: 'immediate', nếu có khoá truy cập trên thiết bị hiện tại, Chrome sẽ nhắc người dùng ngay lập tức. Nếu không, người dùng sẽ tiếp tục mà không bị gián đoạn và bạn có thể hiển thị trường mật khẩu, mã một lần hoặc một phương thức khác.

Bạn cũng có thể tăng khả năng giúp người dùng đăng nhập bằng cách đặt password: true. Điều này cho phép Chrome trả về mật khẩu đã lưu cùng với khoá truy cập (nếu có).

Ví dụ sau đây cho thấy cách yêu cầu khoá truy cập có dàn xếp ngay lập tức:

navigator.credentials.get({
  publicKey: {
    challenge: new Uint8Array([/* your challenge here */]),
    rpId: 'example.com'
  },
  mediation: 'immediate',
  // password: true <== enable this to request passwords alongside passkeys
}).then(credential => {
  // Use the credential for sign in
}).catch(error => {
  if (error.name === 'NotAllowedError') {
    // No credential found on this device, fall back to another method
  } else {
    console.error('Error during sign-in', error);
  }
});

Tính năng này nằm trong các lộ trình dành cho nhà phát triển và bạn có thể tìm hiểu thêm về tính năng này trong bài viết Giải thích về tính năng dàn xếp tức thì của WebAuthn.

Tự động tạo khoá truy cập

Nhiều người dùng vẫn đăng nhập bằng mật khẩu. Để giúp họ sử dụng khoá truy cập, Chrome giới thiệu một API giúp bạn tự động tạo khoá truy cập cho người dùng sau khi họ đăng nhập thành công bằng mật khẩu.

Bạn chỉ cần yêu cầu tạo khoá truy cập. Nếu người dùng có một mật khẩu đã lưu và được sử dụng gần đây, thì trình quản lý mật khẩu sẽ tạo một khoá truy cập và cho bạn biết liệu quá trình này có thành công hay không. Người dùng có thể nhận được thông báo khi có khoá truy cập. Thao tác này không xoá mật khẩu của người dùng.

Nếu không tạo khoá truy cập, trình duyệt sẽ không làm gián đoạn người dùng hoặc hiển thị bất kỳ giao diện người dùng nào.

Điều này cho phép người dùng sử dụng khoá truy cập một cách dần dần mà không làm gián đoạn quy trình đăng nhập.

Tính năng này có trong Chrome 136 và bạn có thể tìm hiểu thêm về tính năng này trong bài viết Giúp người dùng sử dụng khoá truy cập một cách liền mạch hơn.

Xoá khoá truy cập bằng Signal API

Nếu người dùng xoá khoá truy cập khỏi trang web hoặc ứng dụng của bạn, thì trình quản lý mật khẩu của họ có thể vẫn cung cấp khoá truy cập đó trong quá trình đăng nhập, khiến họ gặp sự cố và nhầm lẫn. Signal API cho phép ứng dụng của bạn thông báo cho trình quản lý mật khẩu khi khoá truy cập đã bị xoá, giúp danh sách thông tin xác thực luôn sạch sẽ và chính xác.

Bạn cũng có thể giúp cập nhật khoá truy cập bằng cách gửi danh sách khoá truy cập đã biết đến trình quản lý mật khẩu. Điều này cho phép ứng dụng dọn dẹp mọi khoá truy cập không dùng đến cho người dùng.

Signal API được cung cấp kể từ Chrome 132. Tìm hiểu thêm trong bài viết Duy trì tính nhất quán giữa khoá truy cập và thông tin xác thực trên máy chủ của bạn bằng Signal API.

Nhập và xuất: Mang theo thông tin xác thực của bạn

Người dùng chuyển đổi giữa các trình quản lý mật khẩu thường gặp khó khăn khi chuyển thông tin xác thực. Chrome sẽ hỗ trợ thêm tính năng nhập và xuất khoá truy cập và mật khẩu, dựa trên các tiêu chuẩn FIDO. Người dùng không cần xử lý tệp.

Các tính năng nâng cao của tính năng Tự động điền

Để hiển thị thông tin xác thực đã lưu theo cách thân thiện với người dùng, Chrome có thể tự động hiển thị trình đơn thả xuống tự động điền khi biểu mẫu đăng nhập đã sẵn sàng. Bạn chỉ cần hỗ trợ cả mật khẩu và khoá truy cập trong biểu mẫu và áp dụng tính năng tự động lấy nét cho trường nhập.

Điều này rất hữu ích vì thông tin xác thực sẽ xuất hiện mà không yêu cầu người dùng nhấp vào một trường. Thay vào đó, người dùng chỉ cần nhấn vào thông tin xác thực mà họ muốn sử dụng, giúp giảm bớt sự phiền hà.

Tìm hiểu thêm trong bài viết Đăng nhập bằng khoá truy cập thông qua tính năng tự động điền biểu mẫu.

Tài nguyên học tập đã cập nhật

Chúng tôi đã cải tiến các tài nguyên học tập về khoá truy cập để đảm bảo bạn có thể mang đến trải nghiệm tốt nhất có thể về khoá truy cập cho người dùng.

• Tạo khoá truy cập để đăng nhập không cần mật khẩu
• Đăng nhập bằng khoá truy cập thông qua tính năng tự động điền biểu mẫu
• Giúp người dùng quản lý khoá truy cập một cách hiệu quả

FedCM: Cải thiện danh tính liên kết

Federated Credential Management API (FedCM) cho phép người dùng đăng nhập bằng các trình cung cấp danh tính đáng tin cậy thông qua một luồng do trình duyệt dàn xếp, trong đó đặt quyền riêng tư và trải nghiệm người dùng lên hàng đầu. FedCM giúp đơn giản hoá trải nghiệm đăng ký và đăng nhập trên web, nhờ đó, nhà phát triển có thể hỗ trợ xác thực liền mạch mà không tốn nhiều công sức.

Giao diện người dùng thông minh hơn

Giờ đây, FedCM giúp bạn kiểm soát nhiều hơn cách thức và thời điểm lời nhắc đăng nhập xuất hiện. Công cụ này hỗ trợ hai chế độ:

• Chế độ thụ động: Trình duyệt sẽ tự động hiển thị lời nhắc đăng nhập cho các nhà cung cấp danh tính đã biết khi người dùng quay lại trang web của bạn. Cách này phù hợp với những người dùng quen thuộc nhưng có thể gây khó chịu nếu hiển thị quá sớm.
• Chế độ đang hoạt động: Lời nhắc chỉ xuất hiện sau khi người dùng nhấp vào nút đăng nhập, tạo ra trải nghiệm thận trọng hơn.

Điều này rất quan trọng vì giúp giảm sự nhầm lẫn và tránh gây bất ngờ cho người dùng. Với chế độ đang hoạt động, người dùng có thể ở lại trang web của bạn và không bao giờ thấy lệnh chuyển hướng hoặc hộp thoại khác.

Tuy nhiên, Chrome cũng đang nỗ lực cải thiện chế độ thụ động để trở nên thông minh hơn. Các bản cập nhật trong tương lai sẽ thử nghiệm các kỹ thuật học máy kết hợp các tín hiệu của trang web và người dùng để xác định thời điểm và cách hiển thị giao diện người dùng nhằm mang lại trải nghiệm tối ưu cho người dùng.

API linh hoạt hơn

FedCM giúp bạn linh hoạt và kiểm soát nhiều hơn cách người dùng đăng nhập bằng danh tính liên kết.

Ví dụ: tính năng hỗ trợ nhiều nhà cung cấp danh tính cho phép bạn hiển thị cho người dùng danh sách nhà cung cấp thay vì chỉ một nhà cung cấp. Điều này có nghĩa là người dùng có thể chọn tài khoản phù hợp với họ và cải thiện tỷ lệ đăng nhập trong khi vẫn duy trì quyền riêng tư mạnh mẽ cho người dùng.

Trình duyệt vẫn dàn xếp mọi bước. Nhà cung cấp danh tính chỉ thấy những gì người dùng cho phép một cách rõ ràng và quyền riêng tư vẫn được bảo vệ trong suốt quy trình.

Thông tin xác thực điện tử: Xác minh giấy tờ tuỳ thân nhanh chóng và riêng tư trên mạng

Thông tin xác thực kỹ thuật số đang trở nên phổ biến hơn trên toàn thế giới. Các dịch vụ này cho phép người dùng xác minh các thuộc tính như độ tuổi, trạng thái sinh viên hoặc danh tính thông qua ví điện tử. Digital Credentials API (API Thông tin xác thực kỹ thuật số) cho phép người dùng chia sẻ các thông tin xác minh, chẳng hạn như độ tuổi hoặc trạng thái giấy phép, từ ví di động của họ trực tiếp với các trang web.

Chúng tôi đang làm việc với W3C và các nhà lãnh đạo trong ngành để đưa tiêu chuẩn này vào thực tế. Mục tiêu của chúng tôi là mang đến trải nghiệm thân thiện với người dùng, an toàn, riêng tư và nhất quán trên các nền tảng.

Một số tính năng thú vị:

• Hỗ trợ trên nhiều thiết bị. Người dùng có thể gửi thông tin xác thực một cách an toàn từ bất kỳ thiết bị nào.
• Tiết lộ có chọn lọc. Người dùng có thể xác nhận thông tin chi tiết như "trên 18 tuổi" mà không cần tiết lộ thông tin không cần thiết.
• Thông tin có thể xác minh. Bên phát hành sẽ ký dữ liệu bằng phương thức kỹ thuật số, cho phép xác minh một cách đơn giản.
• Phát hành. Chúng tôi đang nỗ lực mở rộng API Thông tin xác thực kỹ thuật số để cho phép người dùng cấp các thông tin xác thực này cho ứng dụng ví của họ.

Thông tin xác thực phiên được liên kết với thiết bị: Luôn đăng nhập, luôn được bảo vệ

Các phiên hoạt động của người dùng thường được xác định bằng cookie, mà phần mềm độc hại có thể lấy cắp từ thiết bị của người dùng.

Thông tin xác thực phiên được liên kết với thiết bị liên kết một phiên với một thiết bị cụ thể. Điều này giúp giảm nguy cơ xâm nhập phiên và cải thiện khả năng bảo vệ khi bạn đăng nhập vào tài khoản email hoặc mạng xã hội hoặc truy cập vào các dịch vụ của chính phủ.

DBSC giúp nhà phát triển tạo các phiên ổn định và an toàn hơn bằng cách liên kết thông tin xác thực với thiết bị được dùng trong quá trình đăng nhập.

Phản hồi

Chúng tôi rất mong nhận được ý kiến phản hồi của bạn về mọi nội dung chúng tôi chia sẻ. Hãy dùng thử các tính năng, khám phá các đường liên kết trong tài liệu này và cho chúng tôi biết ý kiến của bạn.

Gửi ý kiến phản hồi