Passkey được quảng bá là "giải pháp xóa sổ mật khẩu", nhưng khi một nhà báo công nghệ thực sự chuyển tài khoản Google chính của mình sang passkey và kiểm tra thêm tính năng Verified Email mới của Google, kết quả lại không như kỳ vọng. Số bước xác thực gần như không giảm, trong khi độ phức tạp về mặt nhận thức lại tăng lên đáng kể.
Chuyển sang passkey nhưng số bước xác thực vẫn gần như không đổi
Nhà báo Karandeep Singh của Android Authority đã thực hiện thử nghiệm chuyển tài khoản Google chính từ phương thức email + mật khẩu truyền thống sang passkey. Để tránh bị khóa chặt vào hệ sinh thái của một nhà cung cấp duy nhất, anh sử dụng trình quản lý mật khẩu bên thứ ba Enpass thay vì công cụ gốc của Google.
Kết quả: quá trình thiết lập ban đầu tuy mới mẻ, nhưng trên thực tế anh vẫn phải thực hiện gần như cùng số bước xác thực so với trước. Lý do khá đơn giản — người dùng đã quen dùng trình quản lý mật khẩu vốn không cần nhớ mật khẩu thủ công; điều duy nhất họ cần nhớ là mật khẩu chủ (master password) của trình quản lý đó. Vì vậy, lợi ích của passkey trong trường hợp này nhỏ hơn nhiều so với kỳ vọng.
"Passkey tuyên bố thay thế việc nhớ mật khẩu, nhưng tôi vốn đã không nhớ mật khẩu của mình nhờ trình quản lý mật khẩu."
Điều này đặt ra câu hỏi thực tế cho người dùng Việt Nam: nếu bạn đã dùng các ứng dụng như 1Password, Bitwarden hay tính năng lưu mật khẩu tích hợp sẵn trên Chrome/Safari, thì lợi ích trực tiếp của passkey với bạn có thể không lớn như quảng cáo.
Tài khoản Microsoft: Tạo passkey xong vẫn bị yêu cầu nhập OTP
Phần gây khó chịu nhất trong thử nghiệm là trải nghiệm với tài khoản Microsoft. Mỗi lần đăng nhập, hệ thống liên tục thúc giục tạo passkey, thậm chí trình quản lý mật khẩu tự động mở ra và dẫn vào luồng đăng ký passkey.
Sau khi đồng ý tạo passkey, điều bất ngờ xảy ra: màn hình xác minh OTP (mã một lần) truyền thống vẫn hiện ra như thường. Singh đặt câu hỏi thẳng thắn: "Rốt cuộc thứ gì đã được đơn giản hóa?" Nhận xét của anh khá sắc bén — passkey không thay thế các bước xác thực bổ sung, vì vậy chính lớp xác thực thứ hai trở đi mới cần được cải tiến để thực sự thông minh hơn.
Đây là vấn đề mang tính hệ thống: passkey giải quyết bước đăng nhập đầu tiên, nhưng nhiều dịch vụ vẫn duy trì OTP hoặc xác minh 2 lớp song song — khiến người dùng không thực sự cảm nhận được sự khác biệt.
Google Verified Email: Hứa hẹn nhưng đầy ràng buộc
Google giới thiệu Verified Email — một tính năng sử dụng Credential Manager API trên Android để bỏ qua vòng lặp xác minh email (nhận OTP → sao chép → dán vào ứng dụng). Về lý thuyết, đây chính xác là thứ người dùng cần. Tuy nhiên, khi đọc kỹ các điều kiện kỹ thuật, một loạt ràng buộc lộ ra:
- Yêu cầu tài khoản Gmail — không phải giải pháp phổ quát cho mọi địa chỉ email
- Không tích hợp với "Sign in with Google" — vẫn có thể bị yêu cầu xác thực 2 lớp theo cách thông thường
- Gắn với thiết bị — không hỗ trợ đa thiết bị (cross-device)
- Không áp dụng cho tài khoản cũ đã bật xác thực 2 lớp — không có cơ chế chuyển đổi cho tài khoản hiện có
- Hoạt động trên Android 9 (API level 28) trở lên, yêu cầu Google Play Services phiên bản 25.49.x trở lên
Đáng chú ý, với địa chỉ @gmail.com, Google đóng vai trò là nguồn xác thực chính thức. Nhưng với các địa chỉ email không phải @gmail.com (dù được liên kết với tài khoản Google), vẫn cần kết hợp thêm OTP do khả năng thay đổi quyền sở hữu địa chỉ email theo thời gian.
Tóm lại, Verified Email là trải nghiệm có điều kiện dành cho người dùng @gmail.com, chứ chưa phải giải pháp toàn diện cho tất cả.
Khảo sát người dùng: 42% thấy passkey gây rối hơn cả OTP
Bài viết gốc công bố kết quả khảo sát với 297 người tham gia, trả lời câu hỏi "Điều gì gây stress nhất trong xác thực hiện tại?":
| Lựa chọn | Tỷ lệ |
|---|---|
| Sự lộn xộn xung quanh passkey / thiết bị | 42% |
| Vòng lặp xác minh OTP | 26% |
| Phải nhớ mật khẩu | 18% |
| Trình quản lý mật khẩu hoạt động sai | 14% |
Kết quả này khá mỉa mai: passkey — thứ được tạo ra để giảm ma sát — lại đang tạo ra loại ma sát mới nhiều nhất. Chỉ 18% người dùng xem "phải nhớ mật khẩu" là vấn đề lớn nhất, trong khi 42% cảm thấy bối rối hơn vì chính passkey.
5 tỷ passkey toàn cầu nhưng UX vẫn chưa theo kịp hạ tầng
Nhìn ở góc độ vĩ mô, FIDO Alliance công bố nhân World Passkey Day 2026 (7/5/2026) rằng thế giới hiện có khoảng 50 tỷ passkey đang được sử dụng. Các con số từ khảo sát State of Passkeys 2026 cũng rất ấn tượng:
- 90% người dùng nhận biết passkey
- 75% đã kích hoạt ít nhất một tài khoản với passkey
- 49% sử dụng passkey thường xuyên khi có thể
- 68% tổ chức đã hoặc đang triển khai passkey cho nhân viên
- Khu vực APAC: 72% tổ chức đã triển khai, 37% đạt môi trường hoàn toàn không mật khẩu
Hơn 200 tổ chức đã ký Passkey Pledge của FIDO Alliance. Tuy nhiên, khoảng cách giữa tốc độ phổ biến hạ tầng và trải nghiệm người dùng thực tế vẫn còn rõ rệt.
Kết luận của Singh khá thẳng thắn: công nghệ đã sẵn sàng, nhưng UX chưa theo kịp. Passkey và Verified Email đang giải quyết hai vấn đề riêng biệt thay vì tạo thành một hệ thống thống nhất. Mục tiêu thực sự cần hướng đến là mang lại trải nghiệm nhất quán cho cả những người dùng vẫn đang dùng chung một mật khẩu cho nhiều tài khoản — không chỉ phục vụ nhóm người dùng thành thạo công nghệ. Và Google, với hệ sinh thái Android toàn cầu, được xem là tổ chức có vị thế tốt nhất để hiện thực hóa điều đó.
Đối với người dùng tại Việt Nam, lời khuyên thực tế nhất hiện tại là: nếu chưa dùng trình quản lý mật khẩu, hãy bắt đầu từ đó trước — kết hợp với xác thực 2 lớp để loại bỏ thói quen dùng chung mật khẩu. Sau đó, thử nghiệm passkey từng bước với các dịch vụ ít quan trọng trước khi áp dụng cho tài khoản ngân hàng, email chính hay tài khoản mạng xã hội.
Nguồn
- Android Authority — I tried ditching passwords, but the alternatives feel even more complicated
- FIDO Alliance — Five Billion Passkeys: FIDO Alliance Reports Mainstream Global Usage on World Passkey Day 2026
- Business Wire — Passkeys Hit Mainstream in Singapore: FIDO Alliance Reports Widespread Adoption Following World Passkey Day 2026
