Ngày phát hành: 9 tháng 9 năm 2024
Vào tháng 6 năm 2024, Google đã hợp tác với Liên minh FIDO để tổ chức một cuộc thi lập trình về khoá truy cập ở Tokyo. Mục đích của chương trình là giúp người tham gia có trải nghiệm thực tế về việc phát triển khoá truy cập và tạo bản mô hình khoá truy cập cho các sản phẩm thực tế, với nhân viên của Google và Liên minh FIDO luôn sẵn sàng hướng dẫn.
Cuộc thi lập trình này có 9 đội tham gia tìm hiểu về khoá truy cập và ban giám khảo đã chọn ra 4 dự án sáng tạo và có tác động lớn nhất.
Đội chiến thắng chung cuộc: Nhóm pkLock SFC-RG của Đại học Keio (Đại học Keio)
Nhóm pkLock SFC-RG của Đại học Keio là nhóm duy nhất trong cuộc thi này chấp nhận thử thách kết hợp các thiết bị IoT với khoá truy cập, thậm chí họ còn mang theo một máy in 3D.
pkLock (phát âm là "pic-lock") của họ nhằm giải quyết vấn đề thường gặp về việc chuyển chìa khoá cồng kềnh cho Airbnb và các cơ sở lưu trú tư nhân khác bằng cách sử dụng xác thực khoá truy cập trên nhiều thiết bị.
Thiết bị mà họ tạo ra bao gồm một thiết bị hiển thị mã QR được lắp đặt ở bên ngoài cửa và một thiết bị mở khoá được lắp đặt ở bên trong. Ngoài thiết bị, người dùng còn có một ứng dụng web để đặt phòng và mở khoá. Khách có thể mở khoá cửa bằng cách đưa tay vào thiết bị hiển thị mã QR ở trước cửa, đọc mã QR hiển thị bằng điện thoại di động và xác thực khoá truy cập (xác thực trên nhiều thiết bị).
Họ cũng đặc biệt chú ý đến việc thiết kế một thiết bị tinh vi mà chủ nhà muốn cài đặt trong cơ sở lưu trú của họ. Phương pháp toàn diện của họ, cũng xem xét khả năng sử dụng rộng rãi các thiết bị này, đã thu hút mạnh mẽ các giám khảo.
Trong phần trình bày, họ đã tạo ra nhiều sự phấn khích cho khán giả bằng cách thực sự mở một cánh cửa thu nhỏ mà họ đã tạo ra trong cuộc thi lập trình. Trong ví dụ minh hoạ này, thiết bị hiển thị một mã QR chứa URL có mã thông báo một lần sẽ chuyển hướng người dùng đến một trang xác thực. Trong tương lai, họ dự định triển khai phương thức truyền tải kết hợp trên thiết bị để cho phép mở khoá trực tiếp. Họ đã giành chiến thắng trong cuộc thi lập trình này nhờ những nỗ lực tiên phong trong việc khám phá khả năng sử dụng khoá truy cập trên các thiết bị IoT.
Giải thưởng FIDO 1: SKKN (Đại học Waseda)
SKKN là một nhóm nghiên cứu thuộc Đại học Waseda, chuyên về các nghiên cứu về quyền riêng tư. Nhóm nghiên cứu đã trình bày một trường hợp sử dụng khoá truy cập rất tiên tiến, kết hợp khoá truy cập với các công nghệ mới nổi – thông tin xác thực có thể xác minh (VC) và bằng chứng không có kiến thức. Vì thông tin xác thực có thể xác minh và bằng chứng không có kiến thức là tâm điểm của danh tính tự chủ và danh tính phi tập trung (SSI/DID), nên bản trình bày của họ đã thu hút sự chú ý lớn từ cả ban giám khảo cuộc thi lập trình và các nhóm tham gia khác.
Thông tin xác thực có thể xác minh (VC) là chứng chỉ kỹ thuật số chứng minh thông tin người dùng như tên, tổ chức và địa chỉ. Nếu Chủ sở hữu (ví) lưu trữ và quản lý VC dễ bị tấn công, thì người khác có thể đánh cắp VC và mạo danh người dùng bằng cách trình bày VC. Ngoài việc chỉ cho phép người dùng có thông tin xác thực FIDO hiển thị VC, họ đã phát triển một phương thức chỉ cho phép các dịch vụ ví đáng tin cậy xử lý VC.
Việc triển khai này cho thấy một số ưu điểm:
- Bằng cách liên kết và phát hành VC và thông tin xác thực FIDO, chỉ chủ sở hữu FIDO mới có thể sử dụng VC.
- Chỉ những ví mà Đơn vị phát hành và Trình xác minh tin cậy mới có thể được sử dụng.
- Bằng cách sử dụng khoá truy cập, bạn có thể sao lưu và khôi phục ví tiền mã hoá và ví điện tử, đồng thời người dùng có thể khôi phục ngay cả khi làm mất thiết bị.
Giải thưởng FIDO 2: TOKYU ID (Tokyu)
Nhóm URBAN HACKS (còn gọi là nhóm TOKYU ID) thuộc Tokyu Corporation đã được trao giải thưởng FIDO nhờ việc áp dụng khoá truy cập sáng tạo cho TOKYU ID. Tập đoàn Tokyu là một tập đoàn lớn của Nhật Bản với nhiều hoạt động kinh doanh tập trung vào lĩnh vực giao thông và phát triển đô thị.
TOKYU ID được thiết kế để đơn giản hoá các hoạt động tương tác hằng ngày, chẳng hạn như đi tàu. Nhận thấy tầm quan trọng của trải nghiệm người dùng, nhóm đã triển khai tính năng đăng nhập bằng khoá truy cập vào tháng 2 năm 2024 để giải quyết các vấn đề tiềm ẩn như bỏ lỡ chuyến tàu do quá trình xác thực hai yếu tố bị chậm trễ trong các dịch vụ bán vé kỹ thuật số do ứng dụng web cung cấp.
Họ đã tham gia cuộc thi lập trình này để xác thực tầm nhìn của mình về TOKYU ID. Tình huống lý tưởng của họ là tất cả người dùng đều đăng ký và đăng nhập bằng khoá truy cập, cùng với khả năng khôi phục tài khoản liền mạch. Để hiện thực hoá điều này, họ tập trung vào hai cách triển khai chính tại cuộc thi lập trình: cho phép đăng ký khoá truy cập trong quá trình đăng ký làm thành viên ban đầu và giới thiệu tính năng đăng nhập bằng mạng xã hội để khôi phục tài khoản. Riêng sau khi khôi phục thông qua tính năng đăng nhập bằng mạng xã hội, người dùng chỉ được phép đăng ký khoá truy cập, nhấn mạnh cam kết của nhóm đối với thiết kế tập trung vào khoá truy cập. Họ cũng tích hợp FedCM để cải thiện trải nghiệm người dùng trong quy trình liên kết tài khoản.
Phương pháp tập trung vào khoá truy cập của nhóm TOKYU ID cho thấy họ hiểu rõ nhu cầu của người dùng và yêu cầu của sản phẩm. Tại cuộc thi lập trình, họ đã triển khai thành công giải pháp của mình và trình bày một bài thuyết trình thú vị, giúp họ giành được Giải thưởng FIDO. Đáng chú ý là họ đã tích hợp tính năng Đăng nhập bằng Google mà không cần sử dụng SDK GIS, chỉ cần JavaScript cơ bản bằng cách sử dụng FedCM!
Giải thưởng của Google: Nhóm Nulab (Nulab)
Nulab là một công ty phần mềm cung cấp các dịch vụ như Backlog, Cacoo và Nulab Pass. Họ có nhiều giải pháp xác thực hai yếu tố (khoá bảo mật, OTP qua SMS, OTP qua email, TOTP) và WebAuthn trên các dịch vụ của họ. Nulab là một trong những công ty sớm sử dụng WebAuthn và họ đã hỗ trợ đầy đủ khoá truy cập kể từ tháng 10 năm 2023.
Họ đã triển khai 8 tính năng mới:
- Thẻ khoá truy cập
- Nội dung giới thiệu về khoá truy cập
- Phần thưởng cho người dùng khoá truy cập
- Hỗ trợ để khôi phục tài khoản một cách suôn sẻ
- Nút Đăng nhập bằng khoá truy cập
- Bắt buộc phải sử dụng phương thức xác thực hai yếu tố đối với những người sử dụng khoá truy cập
- Xoá mật khẩu và quảng bá khoá truy cập khi thông tin xác thực bị rò rỉ
- Quảng bá khoá truy cập khi đặt lại mật khẩu
Họ đã minh hoạ tính năng hỗ trợ khôi phục tài khoản suôn sẻ tại cuộc thi lập trình: Ý tưởng là nhắc người dùng thực hiện thêm một thao tác khi họ thêm khoá truy cập. Nếu khoá truy cập đã thêm bị liên kết với thiết bị, hãy đề xuất người dùng thêm một khoá truy cập khác từ một trình quản lý mật khẩu khác. Nếu khoá truy cập đã thêm được đồng bộ hoá, người dùng nên xoá mật khẩu.
Họ cũng triển khai các phần thưởng cho những người dùng sử dụng khoá truy cập bằng cách làm nổi bật biểu tượng tài khoản người dùng. Khi người dùng sử dụng khoá truy cập liên kết với thiết bị, biểu tượng này sẽ bắt đầu xoay vòng. Khi người dùng sử dụng khoá truy cập đã đồng bộ hoá, biểu tượng này sẽ bắt đầu nhấp nháy. Vì đây là một công cụ dành cho doanh nghiệp, nên việc sử dụng khoá truy cập sẽ giúp người dùng nổi bật trong công ty.
Ban giám khảo ấn tượng với những ý tưởng sáng tạo của họ để cải thiện cách triển khai khoá truy cập, đặc biệt là cách người dùng có thể khôi phục tài khoản của họ.
Các dự án thú vị khác
Tất cả các đội tham gia cuộc thi đều có những ý tưởng thú vị. Dưới đây là một số dự án của họ:
- Nikkei ID (Nikkei): Triển khai khoá truy cập trên OpenID Connect, giảm bớt sự phiền hà cho người dùng.
- Dentsu Soken (Dentsu Soken): Kết hợp khoá truy cập với tính năng Đăng nhập bằng Google để người dùng có thể làm quen liền mạch.
- SST-Tech (Công nghệ Secure Sky): Khám phá tính năng mô phỏng khoá truy cập để đánh giá bảo mật.
- Ajitei Nekomaru (Đại học Keio): Giới thiệu tính năng xác thực khoá truy cập vào một LMS nguồn mở.
- MyLIXIL (LIXIL): Đã triển khai khoá truy cập làm phương thức xác thực cho MyLIXIL.
Để biết thêm thông tin chi tiết về từng dự án, hãy xem báo cáo đầy đủ về cuộc thi hackathon về khoá truy cập ở Tokyo.
Thông tin cần biết và tương lai
Trong suốt cuộc thi lập trình, các tham gia viên đã chia sẻ những câu hỏi và ý kiến phản hồi có giá trị, nhấn mạnh cả sự nhiệt tình đối với khoá truy cập và những khía cạnh cần cải thiện. Sau đây là một số điểm chính cần ghi nhớ từ cuộc thi lập trình:
- Ngày càng có nhiều người quan tâm đến việc kết hợp khoá truy cập với các công nghệ khác, chẳng hạn như thông tin xác thực có thể xác minh và bằng chứng không có kiến thức.
- Trải nghiệm người dùng vẫn là ưu tiên hàng đầu, các nhóm tập trung vào việc giúp người dùng sử dụng và áp dụng khoá truy cập dễ dàng hơn.
- Cuộc thi lập trình này đã nêu bật tiềm năng của khoá truy cập trong việc mở rộng phạm vi đăng nhập truyền thống sang các lĩnh vực như IoT và danh tính kỹ thuật số.
Sự kiện này đã thành công vang dội, khơi dậy nhiều ý tưởng và dự án cộng tác mới. Khi khoá truy cập được sử dụng rộng rãi hơn, các sự kiện như thế này là yếu tố then chốt để thúc đẩy sự đổi mới và giải quyết các thách thức.
Đây là thời điểm thú vị cho khoá truy cập và cuộc thi lập trình ở Tokyo là minh chứng cho thấy rằng các nhà phát triển đang háo hức vượt qua những giới hạn của những điều có thể.