Passkey có thể trở thành một cách tiếp cận mới cho ví tự lưu ký trên nền web, khi vừa loại bỏ mật khẩu, vừa rút ngắn quy trình onboarding và tăng cường bảo mật, theo đánh giá từ Paradigm.

Trong bài đăng gần đây trên X, Georgios Konstantopoulos, General Partner tại quỹ đầu tư mạo hiểm Paradigm, cho biết passkey phù hợp để triển khai cho ví tiền số tự lưu ký mà không cần phụ thuộc vào bên trung gian. Ông cũng cho rằng công nghệ này tương thích với YubiKey, từ đó có thể đáp ứng mức bảo mật cấp doanh nghiệp. Paradigm là đơn vị cùng Stripe thúc đẩy phát triển blockchain Tempo.

Passkey trong vài năm gần đây nổi lên như một công nghệ tiêu biểu cho xu hướng xác thực không cần mật khẩu. Đây là công nghệ do FIDO phát triển, sử dụng kỹ thuật mật mã để cho phép đăng nhập trên smartphone hoặc PC mà không cần nhập mật khẩu. Người dùng có thể xác thực bằng khuôn mặt, vân tay hoặc thao tác bấm xác nhận.

Về mặt kỹ thuật, thay vì nhập mật khẩu, các dịch vụ web và di động hỗ trợ chuẩn WebAuthn sẽ tự động xác thực thông qua token được lưu trên thiết bị của người dùng.

Theo Georgios Konstantopoulos, nhiều người dùng đã trực tiếp trải nghiệm mô hình này thông qua việc ra mắt mainnet Tempo và Machine Payments Protocol (MPP). Ông nói quy trình onboarding có thể trở nên nhanh hơn và mượt hơn, không cần extension trên Chrome, không cần ứng dụng di động hay seed phrase - những yếu tố lâu nay vẫn bị xem là bất tiện trong ngành crypto.

Ông cho biết hiện vẫn còn nhiều hiểu lầm xoay quanh passkey, và tóm lược thành 4 điểm chính.

Đầu tiên là quan niệm cho rằng passkey chưa được hỗ trợ rộng rãi trên trình duyệt và smartphone. Theo ông, 95% các smartphone và 97% trình duyệt hiện đã hỗ trợ passkey. Người dùng có thể sử dụng trên iOS 16 trở lên, tương ứng từ iPhone 8 trở lên, hoặc Android 9 trở lên nếu có Google Play Services. Với các trình duyệt lớn vốn tự động cập nhật, môi trường desktop trên thực tế cũng gần như đã được hỗ trợ toàn diện.

Hiểu lầm thứ hai là ví dùng passkey không thể tái sử dụng giữa các ứng dụng. Georgios Konstantopoulos cho biết Tempo đã chứng minh khả năng dùng passkey theo mô hình liên ứng dụng, liên thiết bị và đa chuỗi thông qua Porto vào năm ngoái.

Hiểu lầm thứ ba là ví dùng passkey không thể xuất. Theo ông, passkey về cơ bản có thể được đồng bộ qua iCloud Keychain, Google Password Manager và 1Password. Tempo cũng đưa ra khái niệm “account keychain”, trong đó ngoài root key còn bổ sung thêm khóa truy cập thứ cấp để kết nối các thiết bị khác như Ledger hoặc YubiKey bằng xác thực hai lớp. Ngay cả khi website ngừng hoạt động, thông tin định danh của passkey vẫn được lưu trên thiết bị hoặc trong trình quản lý mật khẩu; tài khoản vẫn tồn tại trên blockchain, còn khóa chỉ đóng vai trò xác thực.

Hiểu lầm thứ tư là mỗi giao dịch đều làm hiện lại cửa sổ đăng nhập như “đăng nhập vào example.com”. Ông giải thích passkey có thể xử lý vấn đề này: sau khi người dùng phê duyệt khóa truy cập một lần bằng passkey, các giao dịch về sau sẽ do khóa truy cập đó ký, không còn cảnh cửa sổ xác thực hoặc modal đăng nhập lặp đi lặp lại.

Dù vậy, công nghệ này vẫn có những hạn chế nhất định. Passkey không hoạt động trong webview, cụ thể là WKWebView bên trong ứng dụng di động. Ngoài ra, nếu người dùng không đăng nhập iCloud hoặc 1Password, không bổ sung thêm khóa truy cập và đồng thời làm mất thiết bị, việc khôi phục sẽ rất khó. Rủi ro này tương tự việc vận hành ví tự lưu ký không dùng seed phrase rồi bị thất lạc thiết bị.

Georgios Konstantopoulos cũng cho rằng phần lớn trục trặc kỹ thuật liên quan đến passkey không xuất phát từ bản thân công nghệ, mà đến từ cách triển khai. Theo ông, lỗi thường nằm ở khâu thiết lập ban đầu sai, và việc cấu hình đúng mặc định là yếu tố then chốt.