Xuất bản: Ngày 21 tháng 5 năm 2026
Tại Google I/O 2026, chúng tôi đã đề cập đến một web mà việc đăng nhập không còn là việc vặt. Đây phải là một điểm truy cập an toàn, đơn giản và thực sự khiến người dùng cảm thấy an toàn. Bài đăng này tóm tắt cách bạn có thể khắc phục các luồng tài khoản, giảm bớt sự phiền toái và bảo vệ người dùng ngay từ đầu.
Truy cập nhanh
- Vì sao việc hiện đại hoá lại quan trọng
- Đơn giản hoá quy trình tạo tài khoản
- Xác minh thuộc tính dễ dàng
- Triển khai khoá truy cập để đăng nhập liền mạch
- Áp dụng khoá truy cập một cách chiến lược
- Quản lý khoá truy cập và khôi phục linh hoạt
Lý do việc hiện đại hoá có vai trò quan trọng
Các quy trình có nhiều bước (chẳng hạn như biểu mẫu đăng ký phức tạp, vòng lặp "quên mật khẩu" gây phiền toái hoặc một loạt nút đăng nhập) sẽ làm giảm hứng thú của người dùng. Chúng là "kẻ giết chết việc chuyển đổi ngữ cảnh" khiến người dùng rời bỏ. Mật khẩu truyền thống và mật khẩu một lần (OTP) cũng khiến mọi người dễ bị lừa đảo.
Mỗi giây phiền hà là một cơ hội để người dùng bỏ ngang. Việc hiện đại hoá quy trình xác thực sẽ bảo vệ hệ thống và người dùng của bạn. Bằng cách loại bỏ mọi điểm tiếp xúc trong hành trình nhận dạng, bạn sẽ tự nhiên tăng tỷ lệ chuyển đổi. Ví dụ: pixiv đã đạt được tỷ lệ đăng nhập thành công lên đến 99% (tăng 29% so với mật khẩu) sau khi triển khai khoá truy cập. Việc chuyển sang sử dụng thông tin đăng nhập mạnh mẽ giúp mọi thứ diễn ra nhanh hơn và an toàn hơn.
Đơn giản hoá quy trình tạo tài khoản
Lượt tương tác đầu tiên của người dùng với ứng dụng của bạn sẽ tạo ra tâm trạng. Đơn giản hoá quy trình tạo tài khoản là bước đầu tiên để cải thiện tỷ lệ sử dụng và độ an toàn.
Liên kết danh tính làm phương thức chính để tạo tài khoản chính
Bạn có thể cho phép người dùng bỏ qua các biểu mẫu tạo tài khoản tẻ nhạt bằng cách sử dụng liên kết danh tính. Tính năng này cho phép người dùng đăng ký bằng một nhà cung cấp đáng tin cậy như Google. Điều này mang đến trải nghiệm đăng ký mạnh mẽ và tinh giản, giúp người dùng truy cập vào ứng dụng của bạn mà không cần phải thực hiện "việc vặt" của quy trình đăng ký thông thường.
Liên kết có nghĩa là người dùng không phải nhập tên hoặc email theo cách thủ công. Vì nhà cung cấp đã xác minh những người dùng này, nên bạn có thể bỏ qua các bước dư thừa để xác minh họ một cách độc lập và thu hút nhiều người dùng hơn.
Ngoài ra, việc áp dụng một giải pháp danh tính liên kết cho phép bạn kế thừa mức an ninh của một IdP (Nhà cung cấp danh tính) chuyên dụng. Vì IdP chuyên về danh tính và bảo mật, nên việc dựa vào cơ sở hạ tầng của IdP sẽ loại bỏ nguy cơ xây dựng quy trình xác thực từ đầu.
Sử dụng Federated Credential Management (FedCM) API
Nếu đóng vai trò là IdP, bạn nên áp dụng FedCM API. FedCM xử lý hoạt động tương tác thông qua giao diện người dùng của trình duyệt, giúp bảo vệ quyền riêng tư bằng cách ngăn chặn hoạt động theo dõi trong khi vẫn cho phép người dùng đăng nhập bằng một lần nhấn và giảm bớt sự lộn xộn trong giao diện người dùng bằng cách chỉ hiển thị các tài khoản có liên quan.
Mẫu "Liên kết rồi nâng cấp"
Federate-then-upgrade (Liên kết rồi nâng cấp) kết hợp tốc độ của liên kết với tính bảo mật lâu dài của khoá truy cập. Nếu bạn nhắc sử dụng khoá truy cập ngay sau khi đăng ký liên kết, thì lần đăng nhập tiếp theo của người dùng sẽ chống được hành vi lừa đảo ngay từ ngày đầu tiên.
Tối ưu hoá biểu mẫu cho tính năng Tự động điền
Nếu cần biểu mẫu thủ công, hãy sử dụng các thuộc tính name và id mang tính mô tả cũng như các giá trị autocomplete chính xác để cho phép trình duyệt điền các trường cho người dùng. Điều này giúp giảm tải nhận thức và khả năng mắc lỗi chính tả trong quá trình đăng ký. Hãy xem Các phương pháp hay nhất về biểu mẫu đăng ký để biết thêm thông tin chi tiết về cách tối ưu hoá biểu mẫu.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
Xác minh thuộc tính suôn sẻ
Việc khiến người dùng rời khỏi ứng dụng để kiểm tra mã trong email sẽ làm giảm tỷ lệ chuyển đổi. Đây là điểm chuyển đổi ngữ cảnh khiến mọi người bị phân tâm và không bao giờ quay lại.
Đáp ứng Giao thức xác minh email (EVP)
Giao thức xác minh email (EVP) là một tính năng mới nổi, cho phép ứng dụng của bạn lấy trực tiếp một địa chỉ email đã xác minh thông qua trình duyệt.
Để chọn sử dụng tính năng này, hãy thêm một trường nhập dữ liệu ẩn có thuộc tính autocomplete="email-verification-token" và có challenge. Trình duyệt phân tích cú pháp miền email từ thông tin đầu vào và yêu cầu tổ chức phát hành email xác minh rằng người dùng có quyền kiểm soát email này. Sau khi xác minh thành công, trình duyệt sẽ trình bày một yêu cầu xác nhận email đã xác minh mà phần phụ trợ của bạn có thể xác minh ngay lập tức. Đối với người dùng, quy trình này diễn ra liền mạch; họ chỉ thấy một thông báo khi xác minh email.
EVP giúp loại bỏ những rào cản khiến người dùng bỏ qua (chẳng hạn như đường liên kết truy cập nhanh hoặc OTP qua email) khi đăng nhập, đăng ký và đặt lại mật khẩu.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
Xin lưu ý rằng việc hỗ trợ EVP là tuỳ thuộc vào từng nhà cung cấp dịch vụ email. Hãy liên hệ với nhà cung cấp cụ thể của bạn để xem họ có dự định hỗ trợ EVP hay không. Nếu sở hữu một miền tuỳ chỉnh, bạn cũng có thể kết nối miền đó với một nhà cung cấp dịch vụ email có hỗ trợ EVP.
Vì tính năng này vẫn đang trong giai đoạn thử nghiệm, nên chúng tôi rất mong nhận được ý kiến phản hồi của bạn về tính năng này trong kho lưu trữ GitHub.
Digital Credentials API
Đối với những thông tin nhạy cảm như tên pháp lý hoặc độ tuổi, Digital Credentials API (API Thông tin xác thực kỹ thuật số) cung cấp một cách để yêu cầu dữ liệu đã xác minh từ ví của người dùng thông qua hoạt động trung gian của trình duyệt bằng cách sử dụng tính năng chọn lọc thông tin công khai. Điều này có nghĩa là bạn có thể xác minh rằng người dùng trên một độ tuổi nhất định mà không thực sự nhận được ngày sinh đầy đủ hoặc tên pháp lý của họ, nhờ đó bảo vệ quyền riêng tư của họ.
Xem Digital Credentials API: Danh tính an toàn và riêng tư trên web.
Triển khai khoá truy cập để đăng nhập liền mạch
Khoá truy cập không chỉ là một phương thức thay thế mật khẩu. Đây là một bước chuyển đổi cơ bản hướng đến quy trình xác thực liền mạch và chống lừa đảo.
Chế độ giao diện người dùng tức thì
Từ Chrome 149, bạn có thể sử dụng Chế độ giao diện người dùng tức thì. Tính năng này cho phép trang web kiểm tra thông tin đăng nhập ngay khi người dùng truy cập vào trang web của bạn. Nếu có khoá truy cập hoặc mật khẩu trong trình quản lý mật khẩu, thì trình duyệt sẽ điều phối quy trình bằng danh sách các tài khoản có sẵn trong hộp thoại đăng nhập ngay lập tức.
Điều này giúp người dùng không cần phải chọn phương thức đăng nhập. Bằng cách chủ động cung cấp thông tin đăng nhập cho tài khoản đã chọn, bạn sẽ tạo ra trải nghiệm "Một lần nhấn" liền mạch, mang lại cảm giác như phép màu cho người dùng.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
Xem phần Chế độ giao diện người dùng tức thì cho hoạt động đăng nhập.
Tính năng tự động điền biểu mẫu bằng khoá truy cập: Sử dụng tính năng tự động điền biểu mẫu trong khi chuyển sang khoá truy cập
Đối với những người dùng đang chuyển từ mật khẩu sang khoá truy cập trên một trang web, tính năng tự động điền biểu mẫu bằng khoá truy cập cho phép khoá truy cập xuất hiện trong các đề xuất Tự động điền khi trường nhập dữ liệu được lấy tiêu điểm. Điều này có nghĩa là nếu người dùng đã có khoá truy cập, thì ngay khi họ tập trung vào trường tên người dùng trong biểu mẫu đăng nhập. Nếu không, họ vẫn có thể sử dụng mật khẩu đã lưu.
Để bật tính năng này, hãy chú thích trường tên người dùng bằng autocomplete="username webauthn" và đặt giá trị mediation thành 'conditional' khi bạn gọi navigator.credentials.get().
Đây là một cầu nối quan trọng trong quá trình chuyển đổi sang tương lai không dùng mật khẩu, vì nó giúp người dùng làm quen với khoá truy cập trong một giao diện quen thuộc.
Xem Danh sách kiểm tra quy trình xác thực bằng khoá truy cập.
Áp dụng khoá truy cập một cách chiến lược
Việc áp dụng thường là vấn đề về thời gian. Nhắc người dùng vào đúng thời điểm có thể tăng đáng kể khả năng họ đăng ký khoá truy cập.
Tự động tạo khoá truy cập
Không ai muốn tìm hiểu kỹ các chế độ bảo mật chỉ để thiết lập một phương thức đăng nhập mới. Đối với người dùng mật khẩu hiện tại, bạn nên nhắc người dùng nâng cấp lên khoá truy cập như thế nào và khi nào?
Đó là lúc bạn cần dùng tính năng tự động tạo khoá truy cập. Với ConditionalCreate, trình duyệt có thể tự động nâng cấp người dùng mật khẩu lên khoá truy cập ngay khi người dùng đăng nhập bằng trình quản lý mật khẩu của họ.
Bằng cách truyền mediation: 'conditional' đến API navigator.credentials.create(), được kích hoạt khi người dùng đăng nhập thành công gần đây bằng mật khẩu đã lưu vào trình quản lý mật khẩu, trình duyệt sẽ tạo một khoá truy cập mới một cách tự nhiên mà không bắt buộc người dùng phải trải qua các màn hình thiết lập bổ sung.
Việc đăng ký không gặp trở ngại có nghĩa là người dùng không cần phải đưa ra quyết định có ý thức để cải thiện tính bảo mật. Quá trình này diễn ra tự động, giúp bảo vệ họ mà không cần họ phải làm gì thêm. Ví dụ: adidas ghi nhận số lượt tạo khoá truy cập tăng 8% khi sử dụng chiến lược không có lời nhắc này.
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
Xem Danh sách kiểm tra đăng ký khoá truy cập
Quản lý khoá truy cập và khôi phục linh hoạt
Điều quan trọng là người dùng phải có sẵn thông tin đăng nhập trên các thiết bị, trang web và dịch vụ. Cũng như quản lý và đảm bảo họ có thể khôi phục tài khoản nếu thiết bị bị mất hoặc bị đánh cắp.
Tính nhất quán trên nhiều nền tảng
Nếu có nhiều tài sản (ví dụ: một ứng dụng Android và một trang web hoặc nhiều trang web) dùng chung một hệ thống đăng nhập, bạn có thể cải thiện trải nghiệm cho người dùng. Với tính năng chia sẻ thông tin đăng nhập liền mạch, Trình quản lý mật khẩu có thể đề xuất thông tin đăng nhập phù hợp cho người dùng trên tất cả các tài sản của bạn.
Chia sẻ thông tin xác thực liền mạch bao gồm 2 công nghệ: Digital Asset Links cho mật khẩu và Related Origin Requests cho khoá truy cập.
Việc sử dụng Digital Asset Links (Đường liên kết đến tài sản kỹ thuật số) đảm bảo mật khẩu được tạo trên web có trong ứng dụng Android của bạn và ngược lại. Tính năng này cũng cho phép trình quản lý mật khẩu đề xuất một thông tin đăng nhập đã lưu trên nhiều miền mà bạn sở hữu và dùng chung cùng một phần phụ trợ xác thực.
Sử dụng Yêu cầu liên quan đến nguồn gốc để cung cấp khoá truy cập trên nhiều miền và ứng dụng thông qua trình quản lý thông tin đăng nhập của người dùng.
Đây chỉ là một cách khác để bạn có thể mang đến trải nghiệm đăng nhập mượt mà hơn cho người dùng.
Cung cấp cho người dùng trang quản lý khoá truy cập
Để có trải nghiệm khoá truy cập tinh vi, bạn nên tạo một trang quản lý khoá truy cập chuyên dụng có hỗ trợ tên nhà cung cấp, thời gian sử dụng và các chế độ kiểm soát rõ ràng. Điều này giúp người dùng tự tin quản lý các chế độ cài đặt của mình. Tính minh bạch tạo dựng niềm tin.
Xem Danh sách kiểm tra việc quản lý khoá truy cập.
Khôi phục tài khoản một cách linh hoạt
Thiết bị có thể bị mất hoặc được nâng cấp. Khoá truy cập vốn có khả năng phục hồi vì sử dụng biện pháp bảo vệ ở cấp phần cứng và thường được đồng bộ hoá trên đám mây, cho phép người dùng khôi phục khoá truy cập trên một thiết bị mới. Tuy nhiên, việc có một phương thức dự phòng như địa chỉ email đã xác minh sẽ đảm bảo người dùng không bao giờ mất quyền truy cập vào cuộc sống số của họ.
Thay vì bắt người dùng chờ cuộc gọi đến bộ phận trợ giúp, bạn có thể chứng minh họ là chủ sở hữu bằng cách sử dụng những tín hiệu mà bạn đã tin tưởng, chẳng hạn như liên kết danh tính hoặc xác minh email.
Khi kết hợp các tín hiệu này vào một chiến lược khôi phục, bạn có thể khôi phục quyền truy cập ngay lập tức. Ngay khi họ khôi phục được quyền truy cập, hãy đăng ký ngay một khoá truy cập mới để bảo vệ họ khỏi hành vi lừa đảo một lần nữa.
Bảo vệ phiên bằng DBSC
Để bảo vệ người dùng khỏi hành vi xâm nhập tài khoản, việc giữ an toàn cho cookie phiên là một lớp bảo vệ quan trọng khác. Thông tin xác thực phiên được liên kết với thiết bị (DBSC) là một cách để bạn liên kết một phiên với phần cứng. Điều này giúp giảm thiểu tình trạng chiếm đoạt phiên vì ngay cả khi cookie bị đánh cắp, chỉ thiết bị đó mới có thể yêu cầu cấp lại cookie, nhờ đó tăng thêm một lớp bảo mật cho phiên của bạn.
DBSC là một tính năng thử nghiệm, hiện có trên Windows. Bạn có thể tìm hiểu thêm về bản cập nhật này trong thông báo về Thông tin xác thực phiên được liên kết với thiết bị trên Windows. Chúng tôi cũng đang nỗ lực mở rộng phạm vi hỗ trợ DBSC sang macOS.
Kỹ năng của tác nhân liên quan đến khoá truy cập
Chúng tôi đã đưa các kỹ năng về khoá truy cập (bao gồm nhiều khía cạnh được mô tả trong bài đăng này) vào dự án Hướng dẫn về web hiện đại. Chúng tôi sẽ sớm xuất bản một bài đăng trên blog dành riêng cho các kỹ năng khoá truy cập.
Bạn đã sẵn sàng xây dựng tương lai của hoạt động xác thực chưa?
Hãy khám phá các hướng dẫn chuyên sâu của chúng tôi và bắt đầu hiện đại hoá ngay hôm nay: