Giúp người dùng quản lý khoá truy cập một cách hiệu quả

Eiji Kitamura

Ngày xuất bản: 15 tháng 5 năm 2025

Khoá truy cập đang nhanh chóng trở thành một giải pháp thay thế an toàn, dễ dàng và nhanh chóng hơn so với mật khẩu, mang lại khả năng bảo mật nâng cao và sự thuận tiện cho người dùng. Để khai thác hết tiềm năng của khoá truy cập, bạn phải cân nhắc kỹ lưỡng về trải nghiệm người dùng xung quanh việc quản lý khoá truy cập. Tài liệu này trình bày các nguyên tắc và tính năng không bắt buộc để thiết kế một hệ thống quản lý khoá truy cập trực quan, an toàn và mạnh mẽ.

Quản lý nhiều khoá truy cập

Cho phép người dùng thêm nhiều khoá truy cập và sử dụng nhiều nhà cung cấp. Tuy nhiên, đừng cho phép họ thêm nhiều khoá truy cập cho cùng một tài khoản với cùng một nhà cung cấp. Nếu mất quyền truy cập vào một nhà cung cấp (ví dụ: khi nền tảng không hỗ trợ hoặc người dùng mất quyền truy cập), họ vẫn có thể đăng nhập bằng một khoá truy cập khác của một nhà cung cấp khác. Việc thiết lập này giúp giảm nguy cơ bị khoá tài khoản. Hãy đảm bảo cơ sở dữ liệu của bạn hỗ trợ lưu trữ nhiều khoá truy cập cho mỗi người dùng.

Hiển thị danh sách khoá truy cập đã đăng ký

Trang web hoặc ứng dụng của bạn phải hiển thị các khoá truy cập đã đăng ký trong một danh sách có thông tin chi tiết về khoá để giúp người dùng quản lý hiệu quả. Ảnh chụp màn hình này minh hoạ giao diện của một trang quản lý khoá truy cập chuyên dụng như vậy. Trang này cho biết cách người dùng có thể tạo khoá truy cập trên nhiều nền tảng và cung cấp một vị trí tập trung để quản lý các khoá truy cập đó.

Sau đây là một số thông tin chi tiết và tính năng phổ biến mà các trang web và ứng dụng có thể hiển thị về một khoá truy cập:

• Tên khoá truy cập: Hiển thị tên khoá truy cập được đặt tại thời điểm đăng ký. Tên này nên khớp với nhà cung cấp khoá truy cập mà khoá truy cập được tạo dựa trên AAGUID. Nếu không tìm thấy nhà cung cấp khoá truy cập phù hợp, thì bạn có thể đặt tên theo thông tin thiết bị dựa trên chuỗi tác nhân người dùng.
• Biểu trưng của nhà cung cấp khoá truy cập: Hiển thị biểu trưng của nhà cung cấp khoá truy cập. Điều này giúp người dùng xác định khoá truy cập mà họ muốn quản lý.
• Dấu thời gian cho biết thời điểm tạo khoá truy cập và thời điểm sử dụng gần đây nhất: Việc ghi lại và hiển thị dấu thời gian tạo khoá truy cập và dấu thời gian sử dụng gần đây nhất cũng có thể giúp người dùng xác định khoá truy cập mà họ muốn quản lý.
• Chỉ báo không đồng bộ hoá: Theo mặc định, khoá truy cập được đồng bộ hoá, nhưng khả năng đồng bộ hoá của nhà cung cấp khoá truy cập vẫn đang phát triển. Người dùng thường nhầm lẫn khi khoá truy cập không đồng bộ hoá mặc dù họ mong đợi điều đó. Việc cho biết khoá truy cập không có khả năng đồng bộ hoá có thể giúp người dùng làm rõ sự nhầm lẫn này.
• Nút Xoá: Cho phép người dùng xoá khoá truy cập. Xem phần Cho phép xoá khoá truy cập để biết thêm thông tin chi tiết.
• Nút Chỉnh sửa: Nhiều người dùng đánh giá cao việc có thể đổi tên khoá truy cập. Ví dụ: khi có nhiều khoá truy cập của cùng một nhà cung cấp khoá truy cập nhưng có các tài khoản nhà cung cấp khác nhau. Hãy tưởng tượng bạn lưu nhiều khoá truy cập vào các Tài khoản Google khác nhau. Bằng cách cho phép người dùng đổi tên khoá truy cập, họ có thể đổi thành tên mà họ thích.
• Trình duyệt, hệ điều hành hoặc địa chỉ IP đăng nhập gần đây nhất: Việc cung cấp thông tin chi tiết về lần đăng nhập gần đây nhất (không bắt buộc) giúp người dùng xác định các lần đăng nhập đáng ngờ. Trình duyệt, hệ điều hành hoặc địa chỉ IP (hoặc vị trí) dùng để đăng nhập có thể là thông tin hữu ích.

Cho phép xoá khoá truy cập

Cho phép người dùng xoá khoá truy cập. Điều này giúp họ sắp xếp danh sách, ví dụ: khi người dùng chuyển sang một thiết bị mới nhưng khoá truy cập được liên kết với thiết bị cũ. Tính năng này cũng hữu ích khi kẻ tấn công chiếm đoạt tài khoản người dùng và tạo khoá truy cập để sử dụng trong tương lai.

Báo hiệu danh sách khoá truy cập đã cập nhật

Việc xoá khoá truy cập sẽ xoá mục nhập thông tin đăng nhập và khoá công khai của khoá truy cập đó khỏi cơ sở dữ liệu máy chủ. Bằng cách này, khoá truy cập sẽ biến mất khỏi danh sách khoá truy cập đã đăng ký và người dùng sẽ thấy rằng khoá truy cập đã bị xoá. Tuy nhiên, trên thực tế, khoá truy cập chỉ bị xoá khỏi máy chủ và khoá truy cập được lưu trữ vào nhà cung cấp khoá truy cập vẫn còn, điều này có thể gây nhầm lẫn. Lần tiếp theo người dùng cố gắng đăng nhập, khoá truy cập đã xoá vẫn sẽ xuất hiện dưới dạng một lựa chọn đăng nhập. Tuy nhiên, việc xác thực bằng khoá truy cập đó sẽ không thành công vì khoá công khai phù hợp đã bị xoá khỏi máy chủ.

Để tránh nhầm lẫn, bạn cần đảm bảo khoá truy cập trên nhà cung cấp khoá truy cập và khoá công khai trên máy chủ nhất quán. Bạn có thể thực hiện việc này bằng cách báo hiệu danh sách khoá truy cập đã cập nhật cho nhà cung cấp khoá truy cập. Nếu trình duyệt và nhà cung cấp khoá truy cập hỗ trợ API Tín hiệu, thì họ có thể cập nhật danh sách khoá truy cập và xoá các khoá truy cập không cần thiết. Nếu họ không hỗ trợ API, hãy khuyến khích người dùng xoá khoá truy cập theo cách thủ công.

Xoá khoá truy cập cuối cùng

Nếu người dùng cố gắng xoá khoá truy cập còn lại cuối cùng cho một tài khoản nhất định, hãy đảm bảo họ hiểu rằng họ sẽ phải đăng nhập bằng một lựa chọn khác có nhiều trở ngại hơn và có thể ít được bảo vệ hơn. Nếu đây là phương thức đăng nhập duy nhất của họ vào trang web của bạn, thì họ sẽ không thể đăng nhập lại. Thông báo cho người dùng cách họ có thể đăng nhập vào lần tiếp theo, chẳng hạn như sử dụng phương thức sao lưu (nếu có) hoặc nhắc họ đăng ký một khoá truy cập khác trước khi tiếp tục. Đây là cơ hội tốt để thu thập ý kiến phản hồi về lý do họ chọn không sử dụng khoá truy cập.

Cho phép tạo khoá truy cập mới

Mặc dù có cơ hội tạo khoá truy cập trong suốt hành trình của người dùng (chẳng hạn như ngay sau khi đăng nhập), nhưng điều quan trọng là phải có một trung tâm tập trung để người dùng luôn có thể tạo khoá truy cập mới, xoá khoá truy cập và quản lý khoá truy cập. Màn hình quản lý khoá truy cập là nơi tốt nhất để thực hiện việc đó.

Để tạo quy trình người dùng khoá truy cập, hãy làm theo Hướng dẫn dành cho nhà phát triển về cách Tạo khoá truy cập để đăng nhập không cần mật khẩu. Để tăng cường bảo mật, hãy cân nhắc cho phép người dùng tạo khoá truy cập trên mã thông báo bảo mật phần cứng. Bạn có thể kỳ vọng những người dùng sẵn sàng quản lý khoá truy cập sẽ có nhiều kiến thức hoặc kinh nghiệm hơn, vì vậy, việc cho phép họ tạo khoá truy cập trên khoá bảo mật sẽ giúp tăng tính linh hoạt.

Để cho phép lưu khoá truy cập vào mã thông báo bảo mật phần cứng, hãy để authenticatorSelection.authenticatorAttachment ở trạng thái không đặt thay vì đặt thành "platform" trong yêu cầu tạo khoá truy cập. Bằng cách này, trình duyệt sẽ chấp nhận cả trình xác thực nền tảng (thiết bị) và trình xác thực chuyển vùng (khoá bảo mật) mà không làm thay đổi đáng kể trải nghiệm người dùng so với việc chỉ cho phép trình xác thực nền tảng. Lựa chọn tạo khoá truy cập trên khoá bảo mật sẽ xuất hiện dưới dạng lựa chọn thứ hai.

Danh sách kiểm tra

• Cho phép người dùng quản lý khoá truy cập trong trang quản lý khoá truy cập.
• Hỗ trợ đăng ký nhiều khoá truy cập.
• Cho phép người dùng thêm các loại khoá truy cập mới và linh hoạt trên trang quản lý.
• Hiển thị tên khoá truy cập.
• Cho biết liệu khoá truy cập có thể đồng bộ hoá hay không.
• Cho phép người dùng xoá khoá công khai khỏi máy chủ.
• Báo hiệu danh sách khoá truy cập khi một khoá công khai được liên kết bị xoá khỏi máy chủ.

Các hướng dẫn khác về trải nghiệm người dùng

• Hướng dẫn chung về trải nghiệm người dùng khoá truy cập
  • Hành trình của người dùng khoá truy cập
  • Thông báo cho người dùng về khoá truy cập
  • Thiết kế giao diện người dùng khoá truy cập
• Hướng dẫn về Android
  • Xác thực người dùng bằng khoá truy cập