Vina Aspire > Solutions | Công nghệ - Giải pháp > Các câu hỏi thường gặp (FAQ) khi sử dụng Yubikey của Yubico

Các câu hỏi thường gặp (FAQ) khi sử dụng Yubikey của Yubico

Trong bài viết này, chúng tôi sẽ giải thích chi tiết các khía cạnh “là gì”, “tại sao” và “như thế nào” liên quan đến việc mua, triển khai và sử dụng YubiKey.
Chúng tôi hy vọng rằng sau khi đọc xong, bạn sẽ hiểu rõ hơn về cách sử dụng YubiKey một cách hiệu quả.

YubiKey là gì?

YubiKey là một dạng xác thực hai yếu tố (2FA) — cung cấp thêm một lớp bảo mật cho tài khoản trực tuyến của bạn bằng cách chống lại tấn công lừa đảo (phishing), sử dụng nhiều giao thức bảo mật để bảo vệ cả hệ thống cũ lẫn hiện đại.

Xác thực hai yếu tố là phương thức xác minh danh tính người dùng bằng hai loại yếu tố khác nhau:

Những gì bạn biết: mật khẩu hoặc mã PIN
Những gì bạn có: khóa bảo mật hoặc điện thoại
Những gì bạn là: nhận diện khuôn mặt hoặc vân tay

Với YubiKey, bạn chỉ cần đăng ký thiết bị với tài khoản của mình. Khi đăng nhập, bạn nhập tên người dùng + mật khẩu, sau đó kết nối YubiKey (qua cổng USB hoặc quét NFC). Cả hai yếu tố này đều bắt buộc để đăng nhập, đảm bảo lớp bảo vệ vật lý chống lại việc chiếm đoạt tài khoản từ xa.

Một YubiKey duy nhất có thể xác thực an toàn cho email, dịch vụ trực tuyến, ứng dụng, máy tính và thậm chí không gian vật lý. YubiKey không cần cài đặt phần mềm hay pin, nên có thể sử dụng ngay khi mở hộp. Chỉ cần đăng nhập dịch vụ bạn muốn bảo vệ và đăng ký khóa bảo mật tương ứng theo giao thức mà dịch vụ hỗ trợ.

Nên mua loại YubiKey nào?

Bạn nên chọn YubiKey dựa trên dịch vụ hoặc thiết bị bạn muốn sử dụng.
Để được hướng dẫn chi tiết, hãy tham khảo “Cách chọn YubiKey phù hợp” của hãng.

Cách thiết lập YubiKey với dịch vụ

Hãy xem trang hướng dẫn thiết lập của Yubico, hoặc làm theo quy trình phổ biến sau:

Chuẩn bị YubiKey chính và khóa dự phòng (nếu có)
Đăng nhập dịch vụ bạn muốn thêm YubiKey (website hoặc ứng dụng) – đảm bảo dịch vụ đó hỗ trợ YubiKey
Vào cài đặt tài khoản → bảo mật (Security)
Tìm các tùy chọn như xác thực hai yếu tố (2FA), xác minh hai bước, xác thực đa yếu tố (MFA) hoặc thêm khóa bảo mật (Security key)
Làm theo hướng dẫn của dịch vụ
Đăng ký YubiKey chính và khóa dự phòng

💡 Lưu ý: Nên thực hiện bước cài đặt ban đầu trên máy tính, và thiết lập đồng thời cả khóa chính và khóa dự phòng.

Mua YubiKey ở đâu?

Bạn có thể mua YubiKey tại nhiều nơi, bao gồm:

Cửa hàng chính thức của Yubico
Các đại lý được ủy quyền như Vina Aspire tại Việt Nam.

Có cần khóa dự phòng không?

Rất cần, nên có ít nhất hai khóa — một chính và một dự phòng, giống như chìa khóa nhà hoặc xe hơi.

Khóa dự phòng giúp đảm bảo bạn không bị mất quyền truy cập tài khoản khi mất khóa chính, tránh quy trình phục hồi và xác minh danh tính phức tạp.

Đăng ký khóa dự phòng nên được thực hiện đồng thời với khóa chính, tùy theo dịch vụ hỗ trợ FIDO2/Passkey, OTP, hoặc ứng dụng xác thực thời gian (TOTP).

Nếu tôi làm mất YubiKey thì sao?

Luôn nên có khóa dự phòng.
Nếu không có, hãy thêm một phương thức 2FA khác (như ứng dụng xác thực).
Nếu mất cả khóa và không có cách khôi phục, bạn phải liên hệ trực tiếp dịch vụ để lấy lại tài khoản.

⚠️ Lưu ý: Yubico không thể hỗ trợ khôi phục tài khoản vì họ không có quyền truy cập vào dữ liệu của bên thứ ba.

Sự khác biệt giữa các dòng YubiKey: YubiKey 5 Series / Security Key Series / YubiKey 5 FIPS Series / YubiKey Bio – FIDO Edition

YubiKey 5 Series

YubiKey 5 Series là một giải pháp xác thực dựa trên phần cứng, cung cấp khả năng phòng vệ vượt trội trước các cuộc tấn công chiếm đoạt tài khoản từ xa, đáp ứng các yêu cầu tuân thủ bảo mật, đồng thời là dòng sản phẩm hỗ trợ nhiều giao thức bảo mật nhất của Yubico.

Nếu bạn chưa chắc nên chọn loại nào, YubiKey 5 Series thường là lựa chọn phù hợp nhất.

YubiKey 5 Series hỗ trợ các tính năng và giao thức bảo mật sau:

FIDO2 / passkey
FIDO U2F
Smart Card (PIV)
OpenPGP
TOTP (mật khẩu một lần dựa trên thời gian, ví dụ: ứng dụng xác thực)
Yubico OTP
HOTP (mật khẩu một lần dựa trên hàm băm)
Static password (mật khẩu tĩnh)

📘 Lưu ý: Việc một dịch vụ hoặc ứng dụng có hỗ trợ YubiKey cho xác thực hay không — hoặc họ chọn hỗ trợ giao thức bảo mật nào — hoàn toàn phụ thuộc vào bên cung cấp dịch vụ đó. Yubico cung cấp hỗ trợ và tài nguyên miễn phí dành cho các công ty muốn tích hợp YubiKey vào giải pháp của họ.

Security Key Series

Dòng Security Key Series chỉ hỗ trợ các giao thức FIDO, bao gồm:

FIDO2 / passkey
FIDO U2F

Bạn có thể kiểm tra trong danh mục “Works with YubiKey” để xem dịch vụ bạn đang sử dụng có hỗ trợ hai giao thức này hay không.
Nếu không tương thích, bạn nên sử dụng YubiKey 5 Series thay thế.

Một số hạn chế của Security Key Series:

Hỗ trợ giới hạn cho đăng nhập máy tính*
Hỗ trợ giới hạn cho ứng dụng Yubico Authenticator**

* Security Key Series có thể dùng cho đăng nhập không mật khẩu (passwordless) và Microsoft Entra ID.
** Vì chỉ hỗ trợ FIDO, Security Key Series không thể lưu hoặc xử lý mã OTP dựa trên thời gian (TOTP) trong Yubico Authenticator.
Tuy nhiên, Yubico Authenticator vẫn có thể dùng để quản lý passkey, đặt lại khóa, hoặc đổi mã PIN cho Security Key.

YubiKey 5 FIPS Series

FIPS (Federal Information Processing Standard) là tiêu chuẩn an ninh máy tính của chính phủ Hoa Kỳ, xác định yêu cầu đối với các module mật mã.
Nói cách khác, FIPS xác nhận rằng thiết bị mật mã đáp ứng tiêu chuẩn bảo mật của chính phủ Mỹ.

Tiêu chuẩn FIPS 140 chỉ áp dụng cho các cơ quan chính phủ Mỹ hoặc các tổ chức kinh doanh với họ có yêu cầu tuân thủ này.

YubiKey 5 FIPS Series hỗ trợ:

FIDO2 / passkey
FIDO U2F
Smart card (PIV)
OpenPGP
TOTP
Yubico OTP
HOTP
Static password

⚠️ Lưu ý:
Phần cứng được chứng nhận FIPS không nhất thiết an toàn hơn phần cứng thông thường.
Nhược điểm của thiết bị FIPS là quá trình chứng nhận rất lâu, khiến firmware chậm được cập nhật các tính năng mới so với dòng YubiKey 5 thường.

Do đó, FIPS không được khuyến nghị cho người dùng cá nhân hoặc doanh nghiệp không có yêu cầu tuân thủ FIPS.
Với người dùng thông thường, YubiKey 5 Series vẫn là lựa chọn tối ưu.

🧾 Ghi chú:
Hiện YubiKey 5 FIPS Series được xuất xưởng với firmware phiên bản 5.4.3.
Phiên bản 5.7.4 đã được gửi đi để phê duyệt FIPS 140-3 (từ tháng 11/2024).
Bạn có thể đăng ký nhận thông báo cập nhật sản phẩm tại trang YubiProduct updates.

YubiKey Bio – FIDO Edition

YubiKey Bio – FIDO Edition không có tính năng NFC, và chỉ hỗ trợ hai giao thức:

FIDO2 / passkey
FIDO U2F

Không phải tất cả dịch vụ đều hỗ trợ hai giao thức này, nên YubiKey Bio – FIDO Edition hoạt động tốt nhất trên máy tính để bàn hoặc môi trường đám mây hiện đại.
Bạn có thể tra trong “Works with YubiKey catalog” để kiểm tra tính tương thích.

Nếu dịch vụ bạn muốn bảo mật không hỗ trợ FIDO2/U2F, hãy chọn YubiKey 5 Series.

Các hạn chế của YubiKey Bio – FIDO Edition:

Hỗ trợ giới hạn đăng nhập máy tính*
Hỗ trợ giới hạn với Yubico Authenticator**

* Có thể dùng cho đăng nhập không mật khẩu (passwordless) và Entra ID.
** Là dòng chỉ hỗ trợ FIDO, YubiKey Bio – FIDO Edition không thể xử lý mã OTP (mã xác thực một lần).
Tuy nhiên, Yubico Authenticator vẫn có thể quản lý passkey, quản lý mẫu vân tay, đặt lại hoặc thay đổi PIN của thiết bị.

Làm sao biết YubiKey có tương thích dịch vụ của tôi không?

Hãy kiểm tra trong “Works with YubiKey Catalog” – danh mục tổng hợp các website, ứng dụng, và nhà cung cấp danh tính hỗ trợ YubiKey.
Nếu không tìm thấy dịch vụ của bạn, có thể liên hệ trực tiếp nhà cung cấp để hỏi thêm.

Có thể sao chép YubiKey không?

Không thể. Vì lý do bảo mật, firmware của YubiKey không cho phép đọc hoặc sao chép dữ liệu bí mật.
Nếu muốn có bản sao lưu, bạn phải đăng ký thủ công khóa dự phòng với từng dịch vụ giống như khóa chính.

Có thể dùng YubiKey để bảo vệ đăng nhập máy tính không?

Có. Các dòng YubiKey 5 Series, Security Key Series, hoặc YubiKey Bio – FIDO Edition có thể dùng để đăng nhập máy tính an toàn.
Yubico cung cấp nhiều công cụ hỗ trợ đăng nhập máy tính – bạn có thể chọn loại phù hợp và làm theo hướng dẫn chi tiết.

🔸 Lưu ý: Các công cụ đăng nhập máy tính thường yêu cầu YubiKey 5 Series hoặc YubiKey 5 FIPS Series.

Mã PIN của YubiKey là gì?

Mỗi YubiKey có thể có tối đa 3 mã PIN, tùy theo tính năng:

FIDO2/Passkey
PIV (Smart Card) – mặc định PIN: 123456
OpenPGP – mặc định PIN: 123456

Nếu bạn thấy thông báo yêu cầu tạo hoặc nhập PIN, rất có thể đó là PIN FIDO2.
Dòng Security Key Series chỉ sử dụng PIN FIDO2, không hỗ trợ PIV hoặc OpenPGP.

Passkey là gì?

Passkey là dạng xác thực không dùng mật khẩu, tuân theo chuẩn FIDO2, cho phép đăng nhập nhanh, dễ và an toàn hơn. Passkey có thể được lưu trên thiết bị di động, máy tính, khóa bảo mật phần cứng, và đồng bộ qua nền tảng đám mây của nhà cung cấp.

YubiKey có hoạt động với iPhone không?

iPhone 7–14: dùng YubiKey có cổng Lightning hoặc NFC.
iPhone 15 trở lên: dùng YubiKey có USB-C hoặc NFC.
Các dòng iPhone cũ hơn 7 chỉ dùng được YubiKey 5Ci qua cổng Lightning.

YubiKey có hoạt động với iPad không?

Không iPad nào hỗ trợ YubiKey qua NFC, vì vậy phải kết nối trực tiếp qua cổng USB phù hợp (USB-C hoặc Lightning).
Với iPad USB-C: dùng YubiKey có đuôi “C” (YubiKey 5C, 5C NFC, Security Key C NFC…).
Với iPad Lightning: chỉ dùng được YubiKey 5Ci hoặc 5Ci FIPS.
Yêu cầu iPadOS ≥ 16.1 và Yubico Authenticator ≥ 1.7.0.

Làm sao biết YubiKey chính hãng?

Bạn có thể kiểm tra tính xác thực của YubiKey tại đây (trang Yubico Verify).

Có thể nâng cấp firmware YubiKey không?

Không thể. YubiKey được thiết kế chống ghi lại firmware để ngăn chặn tấn công và đảm bảo an toàn tuyệt đối. Tuy nhiên, các phiên bản phần mềm mới của Yubico vẫn tương thích ngược với firmware cũ.

Giới hạn lưu trữ tài khoản của YubiKey

Dòng YubiKey 5 Series hỗ trợ 6 giao thức xác thực khác nhau, mỗi giao thức có giới hạn riêng:

FIDO2/Passkey: tối đa 100 tài khoản
FIDO U2F: không giới hạn
PIV (Smart Card): 4 khe theo chuẩn PIV (mở rộng lên ~12 trong môi trường Windows)
OATH-TOTP: tối đa 64 mã xác thực
OTP: tối đa 2 cấu hình (Yubico OTP, Challenge-response, Static password, OATH-HOTP)
OpenPGP: 3 khóa con (ký, mã hóa, xác thực)

Giao thức bảo mật là gì?

Là tập hợp các tiêu chuẩn kỹ thuật quy định cách thức thực hiện các thao tác bảo mật như xác thực. YubiKey hiện hỗ trợ 6 chức năng độc lập, trong khi dòng Security Key Series chỉ hỗ trợ 2.

Yubico Authenticator & YubiKey Manager là gì?

Yubico Authenticator:
Ứng dụng lưu trữ mã xác thực trên YubiKey thay vì thiết bị, giúp ngăn lộ thông tin.
Hỗ trợ Windows, macOS, iOS, Android, Linux.
Cần YubiKey 5 Series để tạo mã OTP.
YubiKey Manager (CLI):
Công cụ dòng lệnh nâng cao cho quản trị viên, dùng để cấu hình hoặc lập trình hàng loạt YubiKey.
Hỗ trợ Windows, macOS, Linux.

Nếu YubiKey không hoạt động thì sao?

Bạn có thể:

Làm theo hướng dẫn khắc phục lỗi ban đầu (Initial troubleshooting)
Kiểm tra cảm ứng (nếu tay khô, YubiKey có thể không nhận chạm — dùng thêm lotion hoặc nhấn mạnh hơn)
Nếu vẫn lỗi, mở phiếu hỗ trợ (support ticket) tại Yubico.

Nếu YubiKey không hoạt động qua NFC?

Hãy tham khảo:

Tôi có thể tìm hiểu thêm về YubiKey ở đâu?

Yubico Support Knowledge Base: hướng dẫn cài đặt, khắc phục lỗi
Website Yubico: nội dung đa dạng, tài liệu kỹ thuật, case study, white paper
Trang tài liệu của Yubico – Cung cấp quyền truy cập đến các hướng dẫn kỹ thuật phần cứng, hướng dẫn sử dụng phần mềm, và tài liệu thông số kỹ thuật (datasheet) của Yubico.
Trang Developer: dành cho nhà phát triển, hướng dẫn tích hợp YubiKey

Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ công nghệ cao, AI, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam & Đông Nam Á. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng. Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 9024 17606 | Fax: +84 28 3535 0668