Passkey 2026 thay password bằng vân tay Face ID — hướng dẫn cho người Việt

Năm 2026 là bước ngoặt cho cách chúng ta đăng nhập trực tuyến. Google bắt đầu vô hiệu hoá login bằng password cho tài khoản mới tạo từ tháng 1/2026 — chỉ passkey. Facebook, Shopee đã bật passkey mặc định cho user Việt từ tháng 2. Vietcombank tuyên bố Smart OTP cũ sẽ ngừng cuối 2026, chuyển toàn bộ sang passkey. Hơn 90% các vụ lừa đảo tài chính tại Việt Nam năm 2025 đi qua một trong hai lỗ hổng: password yếu hoặc OTP SMS bị chuyển hướng (SIM swap). Passkey vá đồng thời cả hai. Bài này giải thích passkey khác password và 2FA ra sao, hướng dẫn từng bước bật trên Google, Apple, Facebook, ngân hàng Việt — và xử lý khi mất điện thoại.

Passkey là gì và khác password, OTP ra sao

Đơn giản nhất: passkey thay thế chuỗi ký tự password bằng cặp khoá mã hoá public-private key. Cơ chế:

• Tạo: khi bạn bật passkey lần đầu trên một website, thiết bị tạo cặp khoá. Public key gửi cho website, private key lưu trong “secure enclave” của điện thoại/máy tính (chip bảo mật riêng biệt, không truy cập được kể cả khi root/jailbreak).
• Đăng nhập: website gửi “challenge” → thiết bị dùng private key ký challenge → gửi kết quả về → website xác minh bằng public key. Vân tay hoặc Face ID chỉ “unlock” private key trên thiết bị, không gửi đi đâu.
• Không có gì gửi qua mạng có thể bị hack: không có password để leak, không có OTP để intercept, không có session cookie để steal.

Ba ưu điểm cốt lõi so với password + OTP SMS:

• Chống phishing 100%: passkey gắn với URL gốc. Phishing site giả Vietcombank không request được passkey vì URL khác.
• Chống SIM swap: SIM swap fraud tăng 200% tại VN 2024-2025 — kẻ gian chiếm SIM, nhận OTP, rút tiền. Passkey không qua SMS nên SIM swap vô dụng.
• Chống credential stuffing: không có database password để leak từ website khác → không thể “thử mật khẩu” trên nhiều site.

3 lợi ích lớn cho người Việt năm 2026

1. An toàn vượt trội cho tài khoản ngân hàng và ví điện tử: Theo NHNN, 1.2 triệu vụ lừa đảo tài chính online được báo cáo năm 2025 — tăng 70% so với 2023. 60% qua phishing + password yếu, 25% qua SIM swap + OTP. Passkey vô hiệu hoá cả hai.

2. Tiện lợi tuyệt đối — đăng nhập trong 1 giây: Quên password? Không tồn tại nữa. Đặt vân tay hoặc nhìn camera (Face ID) là vào. Không cần app authenticator, không cần SMS, không cần security questions.

3. Đồng bộ giữa các thiết bị: iCloud Keychain (Apple), Google Password Manager (Chrome/Android), 1Password, Bitwarden — tất cả đồng bộ passkey giữa điện thoại, máy tính, máy tính bảng. Mua iPhone mới, đăng nhập iCloud — toàn bộ passkey tự khôi phục.

Bật passkey trên Google và Apple ID

Google Account (5 phút):

1. Truy cập g.co/passkey hoặc Google Account → Security → Passkeys.
2. Click “Create a passkey”.
3. Trên điện thoại (đã đăng nhập Google), xác thực bằng vân tay hoặc Face ID.
4. Xong. Lần đăng nhập sau, Google sẽ ưu tiên passkey.

Lưu ý: passkey tự đồng bộ qua Google Password Manager nếu đã bật. Mua điện thoại Android mới, đăng nhập Google → passkey có sẵn.

Apple ID (3 phút):

1. iPhone iOS 17+: Settings → [Tên của bạn] → Sign-In & Security → Passkey → tự động bật khi update lên iOS 17.
2. Mac macOS Sonoma+: System Settings → Apple ID → Sign-In & Security → Passkey.
3. Passkey lưu trong iCloud Keychain (Cài đặt → iCloud → Keychain). KHÔNG TẮT iCloud Keychain — đó là backup duy nhất.

Passkey trên dịch vụ phổ biến tại Việt Nam

Facebook (đã có từ 2/2026):

1. App Facebook → Menu → Settings & Privacy → Settings → Password and Security.
2. “Use passkey instead of password” → Add Passkey.
3. Xác thực vân tay/Face ID → xong.

Shopee (đã có từ 2/2026):

1. App Shopee → Tôi → Cài đặt → Bảo mật và Quyền riêng tư.
2. Passkey → Thêm passkey mới.

Vietcombank Digibank (rollout Q2 2026):

1. App Vietcombank → Cài đặt → Bảo mật.
2. “Smart OTP / Passkey” → Nâng cấp Passkey.
3. Xác thực OTP SMS lần cuối → bật vân tay/Face ID → xong.

TPBank (đã có từ Q1 2026): Cài đặt → Bảo mật → Passkey.

Techcombank (dự kiến Q3 2026): chưa hỗ trợ đến tháng 6/2026.

TikTok, Instagram, X (Twitter): đã hỗ trợ — vào Settings → Security → Passkey.

Zalo: dự kiến giữa 2026.

MoMo, ViettelPay: chưa có thông báo chính thức đến tháng 5/2026.

Khi mất điện thoại — 3 cách khôi phục passkey

Câu hỏi phổ biến nhất: “Mất điện thoại có mất passkey?”. Câu trả lời: KHÔNG — nếu đã bật đồng bộ. Ba cách khôi phục:

Cách 1 — iCloud Keychain / Google Password Manager (chính):

• Mua điện thoại mới → đăng nhập Apple ID / Google account → passkey tự xuất hiện.
• Yêu cầu: đã bật iCloud Keychain (Apple) hoặc Google Password Manager sync trước đó.
• Không có quyền truy cập iCloud / Google → cần khôi phục Apple ID / Google trước (qua số phone backup, email phụ).

Cách 2 — Security Key vật lý (backup):

• Mua YubiKey 5C NFC (~1.5-2 triệu) hoặc Google Titan Key (~700k).
• Add làm “recovery passkey” cho các tài khoản quan trọng (Google, Apple, ngân hàng).
• Mất điện thoại → cắm YubiKey vào máy tính, đăng nhập, sau đó tạo passkey mới trên điện thoại mới.

Cách 3 — Magic link email (cứu cánh cuối):

• Nhiều dịch vụ cho phép gửi magic link đến email recovery.
• Click link → xác thực email → reset passkey.
• Yêu cầu: email recovery có quyền truy cập, không bị mất luôn.

Khuyến nghị: không bỏ password 2FA cũ ngay khi bật passkey — giữ song song 3-6 tháng phòng lỗi. Sau khi quen, xoá password và chuyển hoàn toàn sang passkey.

5 sai lầm thường gặp khi setup passkey

• (1) Tạo passkey trên thiết bị mượn: đồng nghiệp, máy chung văn phòng. Passkey lưu trong thiết bị đó → bạn không có quyền truy cập từ thiết bị riêng. Luôn tạo trên thiết bị bạn sở hữu.
• (2) Không bật iCloud Keychain / Google sync: passkey chỉ lưu local trên 1 thiết bị → mất điện thoại là mất luôn. Vào Cài đặt bật sync ngay.
• (3) Xoá passkey cũ trước khi test cái mới: tạo passkey trên điện thoại mới chưa verify xong đã xoá cái cũ → có nguy cơ lockout. Test login thành công cái mới trước rồi mới xoá cái cũ.
• (4) Không cập nhật email khôi phục: email recovery là plan B khi tất cả thất bại. Kiểm tra email recovery còn hoạt động không, đặc biệt với Apple ID / Google.
• (5) Tạo passkey trong Incognito / Private browsing: trình duyệt private không lưu passkey persistent → đóng trình duyệt là mất. Luôn tạo trong cửa sổ thường.

FAQ và tương lai password

Passkey trên máy tính Windows không có vân tay làm sao? Windows 11 hỗ trợ Windows Hello PIN (số 6 ký tự) thay vân tay. Hoặc dùng Bluetooth liên kết với điện thoại — quét QR trên Windows → xác thực bằng điện thoại.

Có thể dùng passkey + 2FA không? Có — passkey là yếu tố mạnh (something you have + something you are), nhưng 1Password và một số NH vẫn yêu cầu 2FA thứ hai (TOTP từ Google Authenticator). Acceptable, không xung đột.

Có thể chia sẻ passkey trong gia đình? iCloud Family Sharing và Google Family Group hỗ trợ share passkey cho các tài khoản chung (Netflix, Spotify). Không share passkey ngân hàng — vi phạm điều khoản dịch vụ.

Passkey vs YubiKey khác nhau gì? Passkey lưu trong thiết bị (điện thoại, máy tính). YubiKey là thiết bị vật lý riêng. Passkey tiện hơn, YubiKey an toàn hơn (không bao giờ bị malware đọc). Khuyến nghị: passkey cho daily, YubiKey làm backup.

Password có “chết hẳn” không? Không trong 5-10 năm tới. Hệ thống legacy (ngân hàng nhỏ, dịch vụ chính phủ) chưa cập nhật. Nhưng cho 90% tài khoản cá nhân quan trọng (Google, Apple, ngân hàng lớn, social media), passkey đã là default.

Tổng kết — bật passkey trong tuần này

Passkey là cuộc cách mạng đăng nhập an toàn nhất 20 năm gần đây — không phải hype marketing, mà là chuẩn được W3C, FIDO Alliance, Apple, Google, Microsoft đồng thuận. Deadline thực tế: trong tuần này bật passkey cho 3 tài khoản quan trọng nhất — Google, Apple/iCloud, ngân hàng chính. 15 phút thiết lập = năm vùng an toàn cho 10+ năm tiếp theo. Xem thêm chuỗi bài bảo mật cá nhân trên Nội Dung: 8 chiêu lừa đảo qua điện thoại 2026, 6 cách bảo mật email 2026, Quản lý mật khẩu Bitwarden vs 1Password, Phòng deepfake và fake news 2026, VNeID 2026 đăng ký và dùng.