FAQ YubiKey - Câu hỏi thường gặp khi sử dụng Khóa bảo mật Yubico YubiKey

bởi: hpttechstore.com 01 Tháng 03, 2025

YubiKey là khóa vật lý giúp bổ sung lớp xác thực mạnh cho các tài khoản trực tuyến, giảm rủi ro bị lừa đảo đăng nhập. Bài viết này tập trung về việc giải thích YubiKey là gì, nên chọn dòng nào, cách thiết lập, khả năng tương thích thiết bị, xử lý sự cố, cùng những kiến thức nền như passkey, PIN, các giao thức và giới hạn lưu trữ.

1) Khóa bảo mật YubiKey là gì?

YubiKey là khóa xác thực phần cứng dùng trong đăng nhập hai yếu tố và đăng nhập không mật khẩu. Khi đăng nhập, bạn kết hợp thứ bạn biết (mật khẩu/PIN) với thứ bạn có (khóa vật lý). Nhờ yêu cầu có mặt thiết bị mới có thể xác thực, nhiều thủ thuật lừa đảo từ xa bị vô hiệu. YubiKey không dùng pin, thao tác nhanh bằng cắm USB hoặc chạm NFC, và có thể sử dụng ngay sau khi mở hộp. Thiết bị hỗ trợ các chuẩn xác thực mạnh như FIDO2, U2F, OTP và tương thích với hàng trăm dịch vụ phổ biến như Google, Facebook, Microsoft, GitHub, Dropbox… Với thao tác chạm đơn giản, YubiKey giúp bạn xác thực nhanh – an toàn – không cần nhớ mật khẩu.

2) Nên chọn dòng YubiKey nào phù hợp

Hãy chọn theo dịch vụ và thiết bị bạn dự định dùng theo các thông tin mô tả sơ bộ như sau:

YubiKey 5 Series: linh hoạt nhất; hỗ trợ FIDO2, U2F, OTP, TOTP, Smart Card (PIV), OpenPGP. Phù hợp cá nhân lẫn doanh nghiệp.
Security Key Series: chỉ FIDO2 và U2F; tối ưu chi phí khi nhu cầu là FIDO/passkey.
YubiKey 5 FIPS Series: dành cho môi trường cần tuân thủ FIPS; firmware thường chậm bổ sung tính năng do quy trình chứng nhận.
YubiKey Bio – FIDO Edition: xác thực vân tay, FIDO-only, không có NFC; hợp với máy tính/môi trường cloud hiện đại.

Tham khảo thêm: So sánh các loại khóa bảo mật YubiKey?

Gợi ý nhanh một số yếu tố để lựa chọn YubiKey nhanh chóng, đáp ứng đúng nhu cầu của bạn

Cần đa giao thức hoặc muốn lưu TOTP trên khóa → 5 Series
Chỉ cần FIDO/passkey → Security Key
Có yêu cầu tuân thủ FIPS → 5 FIPS
Muốn chạm vân tay ngay trên khóa → Bio FIDO (lưu ý dòng Bio này không hỗ trợ NFC)

3) Thiết lập YubiKey với dịch vụ/ứng dụng có hỗ trợ

Quy trình chuẩn, dễ làm trong vài phút:

Chuẩn bị khóa chính và khóa dự phòng.
Đăng nhập tài khoản cần bảo vệ, mở mục Bảo mật.
Chọn Thêm khóa bảo mật hoặc Thêm passkey.
Cắm YubiKey hoặc chạm NFC theo hướng dẫn.
Đặt PIN FIDO2 nếu được yêu cầu.
Đăng ký khóa dự phòng ngay sau khi xong khóa chính.

Mẹo khi cài đặt: Lần đầu nên thiết lập trên máy tính để thao tác thuận tiện và ít sai sót. Đối với dòng có hỗ trợ NFC cần được thiết lập trên máy tính cho lần đầu tiên để kích hoạt chức năng NFC

4) Mua YubiKey chính hãng tại Việt Nam ở đâu?

Nên mua tại kênh chính hãng trong nước để được hỗ trợ thiết lập, bảo hành và tư vấn triển khai. HPT Tech Store là đối tác chính hãng được Yubico công nhận tại Việt Nam.

5) Vì sao nên có 2 khóa YubiKey: 1 khóa xài chính, 1 khóa dự phòng

Hãy coi YubiKey như chìa khóa nhà của chúng ta, vì thế luôn cần có ít nhất hai chiếc. Khóa dự phòng bảo đảm bạn không bị gián đoạn truy cập khi thất lạc/hư hỏng khóa chính và giảm thời gian khôi phục tài khoản. Với FIDO2/passkey, đăng ký khóa dự phòng giống hệt khóa chính.

Lưu ý khi chọn khóa YubiKey dự phòng

Khi lựa chọn khóa YubiKey dự phòng, bạn cần cân nhắc hai yếu tố quan trọng:

(1) Hình dáng (form factor) của khóa chính và khóa dự phòng không nhất thiết phải giống nhau. Ví dụ: khóa chính của bạn có thể là YubiKey 5C Nano (thiết kế siêu nhỏ, phù hợp gắn cố định trên laptop), còn khóa dự phòng có thể là YubiKey 5C NFC để dễ mang theo và dùng xác thực trên điện thoại qua NFC. Hoặc, bạn cũng có thể chọn YubiKey 5Ci làm khóa dự phòng nếu cần dùng cho iPhone hoặc iPad đời cũ chỉ có cổng Lightning.

(2) Khóa dự phòng nên thuộc cùng dòng sản phẩm với khóa chính. Chẳng hạn, nếu bạn chỉ dùng các dịch vụ hỗ trợ FIDO2 hoặc Passkey, thì dòng Security Key Series là đủ và không cần nâng cấp lên YubiKey 5 Series. Ngược lại, nếu bạn sử dụng các giao thức bảo mật bổ sung như OTP, Smart Card (PIV) hoặc Challenge-Response, thì nên chọn khóa dự phòng thuộc YubiKey 5 Series tương tự khóa chính. Dòng Security Key không thể thiết lập làm khóa dự phòng cho các giao thức khác như OTP – ví dụ với các ứng dụng xác thực bằng mã một lần (Authenticator App), dòng này không hỗ trợ tính năng đó.

💡 Mẹo nhỏ: Hãy đăng ký ít nhất hai khóa bảo mật YubiKey cho cùng tài khoản (một khóa sử dụng hằng ngày và một khóa lưu trữ dự phòng an toàn). Điều này giúp bạn luôn có thể truy cập tài khoản trong trường hợp mất hoặc hư hỏng khóa chính.

6) Sự khác biệt giữa các dòng Khóa bảo mật 5 Series, Security Key, 5 FIPS, Bio

5 Series: hỗ trợ nhiều giao thức nhất; phù hợp khi bạn cần cả FIDO, OTP/TOTP, PIV, OpenPGP.
Security Key: FIDO-only; không lưu TOTP trên khóa; hợp khi dịch vụ bạn dùng đã hỗ trợ FIDO đầy đủ.
5 FIPS: đáp ứng yêu cầu FIPS; phù hợp tổ chức có tiêu chuẩn tuân thủ cụ thể.
Bio FIDO: dùng vân tay; không NFC; hợp desktop và dịch vụ cloud hiện đại.

7) Khi bị Mất YubiKey thì chúng ta cần làm gì?

Trong trường hợp mất khóa bảo mật YubiKey, bạn cũng đừng nên lo lắng hoặc hoang mang, bản thân khóa YubiKey không lưu trữ mật khẩu cho nên việc mất khóa không làm lộ tài khoản. Bạn hãy:

Dùng khóa dự phòng đã đăng ký để thực hiện việc đăng nhập, xóa bỏ key đã bị mất ra khỏi tài khoản
Sử dụng phương thức khôi phục đã thiết lập (mã dự phòng, ứng dụng xác thực, email khôi phục).
Nếu không có phương án khôi phục, liên hệ nhà cung cấp dịch vụ để xác minh và mở lại quyền truy cập.

8) Cách kiểm tra dịch vụ hoặc ứng dụng có hỗ trợ YubiKey hay không?

Bằng cách đăng nhập vào tài khoản và vào cài đặt bảo mật của dịch vụ đó, tìm các mục như Security Key, Passkey, FIDO2, U2F, 2-Step Verification. Nếu có, bạn có thể thêm Khóa bảo mật YubiKey.

Hoặc có thể kiểm tra tại thư mục Works with YubiKey catalog

9) Khóa bảo mật YubiKey có thể nhân bản/sao chép hay không?

Không thể. Vì lý do an toàn, bí mật trên khóa không thể đọc ngược. Cách dự phòng đúng là đăng ký một khóa khác với từng dịch vụ như khi đăng ký khóa chính.

10) Dùng Khóa bảo mật YubiKey để tăng cường đăng nhập máy tính

Có thể dùng YubiKey 5 Series, Security Key, hoặc Bio để tăng cường đăng nhập máy tính tùy kịch bản.

Lưu ý, nhiều công cụ đăng nhập máy tính ưu tiên hoặc yêu cầu 5 Series/5 FIPS. Hãy chọn theo hệ điều hành, chính sách nội bộ và quy trình CNTT của bạn.

11) PIN của YubiKey là gì và đổi mã PIN ở đâu?

Một YubiKey có thể có tối đa ba PIN:

FIDO2/Passkey
PIV (Smart Card) – mặc định thường là 123456
OpenPGP – mặc định thường là 123456

Lưu ý: Dòng Security Key chỉ dùng PIN FIDO2. Khi hệ thống yêu cầu đặt/nhập PIN mà bạn chưa rõ là loại nào, đa phần là PIN FIDO2.

Bạn có thể đổi mã PIN tại ứng dụng YubiKey Manager

12) Passkey là gì

Passkey là thông tin xác thực không dùng mật khẩu theo chuẩn FIDO2. Người dùng đăng nhập nhanh hơn, giảm phụ thuộc vào mật khẩu và hạn chế việc bị lừa nhập mã OTP. Passkey có thể được lưu trên khóa phần cứng, máy tính hoặc điện thoại tùy hệ sinh thái bạn chọn.

Tìm hiểu thêm về passkey: Passkey - Xác thực không mật khẩu và những điều cần lưu ý

13) Có thể dùng Khóa bảo mật YubiKey với iPhone hay không?

Có thể sử dụng Khóa bảo mật Yubico YubiKey cho các thiết bị iPhone, tuy nhiên người dùng cần xác định rõ các dòng iPhone của mình đang sử dụng theo thông tin như sau:

iPhone 7–14: dùng Lightning hoặc NFC.
iPhone 15 trở lên: dùng USB-C hoặc NFC.

Lưu ý: YubiKey không mở khóa iPhone; thiết bị này bảo vệ tài khoản (dịch vụ hỗ trợ FIDO) hoặc bảo vệ tài khoản Apple ID, còn iPhone dùng passcode/Face ID/Touch ID cho việc mở khóa

14) Có thể dùng Khóa bảo mật YubiKey với iPad hay không?

iPad không giao tiếp NFC với YubiKey.
Cần cắm trực tiếp: iPad USB-C dùng các mẫu đuôi C; iPad Lightning dùng 5Ci hoặc 5Ci FIPS.
Khi dùng ứng dụng tạo mã, nên đảm bảo iPadOS và ứng dụng ở phiên bản mới.

15) Cách kiểm tra Khóa bảo mật Yubico YubiKey có chính hãng hay không?

Kiểm tra theo hướng dẫn của nhà sản xuất (mã/tem/xác thực điện tử). Mua tại kênh chính hãng để đảm bảo nguồn gốc và nhận hỗ trợ kỹ thuật.

Hoặc có thể kiểm tra tại link chính hãng của Yubico và làm theo hướng dẫn: https://www.yubico.com/genuine/

Hình ảnh minh họa khi xác thực YubiKey chính hãng

16) Firmware YubiKey có nâng cấp được không?

Không. Firmware của YubiKey được thiết kế không thể ghi lại nhằm giảm rủi ro tấn công. Nhà sản xuất chú trọng tương thích ngược để thiết bị sử dụng bền lâu qua nhiều phiên bản phần mềm.

Tìm hiểu thêm: Sự khác nhau giữa Firmware 5.7 và Firmware 5.4.3 của các dòng YubiKey phổ biến

17) Giới hạn lưu trữ tài khoản trên YubiKey

Thông tin bên dưới được lấy nguồn từ Yubico và tham chiếu phổ biến cho YubiKey 5 Series (firmware 5.7+):

FIDO2/Passkey: 100 passkey
FIDO U2F: không giới hạn số dịch vụ đăng ký
OATH-TOTP: tối đa 64 mã
OTP: tối đa 2 cấu hình (Yubico OTP, Static password, Challenge-Response, HOTP)
PIV (Smart Card): 4 khe theo chuẩn, có thể mở rộng tùy môi trường
OpenPGP: 3 khóa con (ký, mã hóa, xác thực)

18) Giao thức bảo mật phổ biến được hỗ trợ trên Khóa bảo mật YubiKey

FIDO U2F: thêm yếu tố vật lý cho quy trình đăng nhập có mật khẩu.
FIDO2: phát triển từ U2F, hỗ trợ đăng nhập không mật khẩu và passkey.
OATH-TOTP: mã một lần theo thời gian; tiện dụng nhưng không chống phishing như FIDO.
Yubico OTP: mã một lần trên nền bí mật trong khóa; hữu ích khi dịch vụ chưa hỗ trợ FIDO.

19) Khi nào dùng Yubico Authenticator và YubiKey Manager

Yubico Authenticator: lưu và tạo mã TOTP trực tiếp trên YubiKey 5 Series; đồng thời hỗ trợ thao tác như đặt/đổi PIN FIDO2, quản lý passkey, đặt lại ứng dụng.
YubiKey Manager: công cụ cấu hình nâng cao (giao diện dòng lệnh có sẵn) – phù hợp quản trị viên, dùng khi cần lập trình hàng loạt.

20) Khóa bảo mật YubiKey không hoạt động cách xử lý nhanh chóng

Thử cổng USB khác, cắm trực tiếp không qua hub.
Chạm cảm biến dứt khoát, để ngón tay phủ đủ bề mặt; tay quá khô có thể làm giảm độ nhạy.
Thử trên thiết bị khác để loại trừ xung đột phần mềm; cập nhật hệ điều hành
Kiểm tra trình duyệt web có đúng hoặc hỗ trợ hay không tại: ĐÂY

21) Khi khóa bảo mật YubiKey bị lỗi quét NFC cần xử lý như thế nào?

Đặt khóa vào đúng vùng ăng-ten trên điện thoại; giữ ổn định 1–2 giây.
Với firmware 5.7 trở về sau, nếu gặp chế độ NFC hạn chế, hãy cắm nguồn USB khoảng 3 giây để vô hiệu trạng thái hạn chế, sau đó thử lại NFC.
Tắt các ứng dụng đọc NFC đang chạy nền rồi kiểm tra lại.

Hoặc có thể tham khảo vị trí quét NFC của một số dòng điện thoại phổ biến tại đây:

Nguồn tham khảo: Internet

22) Bạn có thể tham khảo thêm tất tần tật tài liệu về Khóa bảo mật YubiKey

Yubico cung cấp nhiều nguồn tài liệu giúp bạn hiểu rõ hơn về Khóa bảo mật YubiKey và các ứng dụng hỗ trợ:

Yubico Support Knowledgebase – Tổng hợp hướng dẫn cài đặt, khắc phục sự cố và nhiều tài liệu hỗ trợ khác.
Yubico Official Website – Cung cấp thông tin toàn diện về các trường hợp sử dụng, kiến thức an ninh mạng, cửa hàng trực tuyến, tài liệu kỹ thuật, white paper, case study, blog, hướng dẫn best practice và phần mềm tải về.
Yubico Documentation – Truy cập các hướng dẫn kỹ thuật, manual phần cứng, datasheet và tài liệu người dùng phần mềm.
Yubico Developer Portal – Dành cho nhà phát triển: cung cấp tài nguyên lập trình, hướng dẫn triển khai, mô tả chi tiết các giao thức bảo mật và SDK liên quan.

23) Mua YubiKey chính hãng tại Việt Nam với HPT Tech Store – Hỗ trợ thiết lập và vận hành

HPT Tech Store là đối tác chính hãng được Yubico công nhận tại Việt Nam, cung cấp đầy đủ dòng khóa vật lý YubiKey cho cá nhân và doanh nghiệp, kèm tư vấn lựa chọn, hướng dẫn cài đặt và hỗ trợ kỹ thuật trong quá trình sử dụng. Mỗi sản phẩm đều tương thích với các nền tảng phổ biến, giúp tổ chức dễ dàng triển khai xác thực mạnh và nâng cao mức độ an toàn tổng thể.Thông tin liên hệ:

Website: hpttechstore.com
Hotline: Ms Thư - 0913 13 7342
Email: info@hpt.vn