Cách NHS England cải thiện thời gian đăng nhập và tiết kiệm hơn 1 triệu bảng Anh nhờ khoá truy cập

Yu Tsuno
Yu Tsuno
Darren Hutton
Darren Hutton
Pelin Dem
Pelin Dem

Ngày xuất bản: 10 tháng 7 năm 2026

Dịch vụ Y tế Quốc gia (NHS) là hệ thống y tế có nguồn tài trợ công tại Vương quốc Anh. Là nhà cung cấp danh tính kỹ thuật số an toàn cho NHS England và NHS Wales, NHS login cung cấp một cách thức duy nhất và đáng tin cậy để hàng chục triệu công dân truy cập vào các dịch vụ chăm sóc sức khoẻ và xã hội. Với cơ sở người dùng ở quy mô này và với dữ liệu nhạy cảm như vậy, việc xác thực dễ dàng và bảo mật là điều tối quan trọng.

Khi hợp tác với đối tác dịch vụ kỹ thuật số Hippo, nhóm NHS đã triển khai khoá truy cập. Hippo đã thúc đẩy hoạt động nghiên cứu trải nghiệm người dùng và tích hợp kỹ thuật khoá truy cập, giúp người dùng truy cập nhanh hơn, dễ dàng hơn và an toàn hơn, đồng thời giảm đáng kể chi phí hỗ trợ và vận hành.

Kết quả chính

  • Giảm thời gian đăng nhập: Người dùng xác thực nhanh hơn 8 lần khi sử dụng khoá truy cập. Thời gian đăng nhập trung bình giảm từ 43 giây (mật khẩu + SMS OTP) xuống chỉ còn 5 giây khi sử dụng Giao diện người dùng có điều kiện.
  • Tỷ lệ chấp nhận và quy mô cao: Người dùng đã tạo 6,7 triệu khoá truy cập kể từ khi tính năng này ra mắt cách đây 2 năm, giúp 6 triệu lượt đăng nhập bằng khoá truy cập mỗi tháng.
  • Giảm chi phí giao dịch: Tiết kiệm đến 1,2 triệu bảng Anh cho chi phí OTP kể từ khi ra mắt.
Chỉ số chính Tác động
8 lần Thời gian đăng nhập nhanh hơn khi sử dụng khoá truy cập (5 giây so với 43 giây)
6,7 triệu Số khoá truy cập do người dùng tạo kể từ khi ra mắt
6 triệu Số lượt đăng nhập bằng khoá truy cập mỗi tháng
1,2 triệu bảng Anh Tiết kiệm chi phí SMS OTP kể từ khi ra mắt

Khó khăn, chi phí và mệt mỏi vì mật khẩu

NHS login đóng vai trò là cổng kỹ thuật số tập trung để người dùng truy cập vào nhiều dịch vụ y tế. Để đảm bảo không bỏ sót người dùng nào, nền tảng này vẫn hỗ trợ các phương thức xác thực đa yếu tố (MFA) dựa trên mật khẩu và SMS. Tuy nhiên, các phương thức này có những thách thức mang tính hệ thống:

  • Quên mật khẩu: Người dùng thường xuyên bị khoá khỏi các dịch vụ y tế vì quên mật khẩu.
  • Rủi ro về bảo mật: Mật khẩu và mã SMS vẫn dễ bị tấn công giả mạo.
  • Chi phí tăng: Việc gửi hàng triệu tin nhắn văn bản SMS để xác thực 2 yếu tố đòi hỏi chi phí lớn.
  • Rào cản về tính toàn diện: Việc dựa vào SMS đòi hỏi người dùng phải có điện thoại di động có tín hiệu ổn định, điều này có thể là rào cản đối với một số người dùng.

Cách NHS và Hippo triển khai khoá truy cập

Nhóm này đã áp dụng phương pháp lấy người dùng làm trung tâm và lặp lại, tập trung vào việc tích hợp khoá truy cập như một phương thức xác thực mới, không bắt buộc thay vì thay thế bắt buộc. Điều này cho phép áp dụng dần dần và nhận phản hồi của người dùng trong thế giới thực.

Nhóm này tập trung vào 2 quy trình chính dành cho nhà phát triển trong nền tảng hiện có: đăng ký và xác thực bằng khoá truy cập.

Nâng cấp người dùng thông qua quy trình đăng ký khoá truy cập liền mạch

Thay vì buộc tất cả người dùng phải đăng ký khoá truy cập ngay lập tức, nhóm này nhắm đến những người dùng đang hoạt động và đã xác thực. Sau khi người dùng đăng nhập thành công bằng phương thức tiêu chuẩn (mật khẩu + SMS), họ sẽ thấy lời nhắc rõ ràng mời họ tạo khoá truy cập để đăng nhập nhanh hơn và an toàn hơn trong tương lai.

Thử thách lớn nhất của chúng tôi là tìm ra sự cân bằng phù hợp giữa việc hướng dẫn và hỗ trợ người dùng. Càng cố gắng giải thích về khoá truy cập, người dùng càng cảm thấy do dự. Chúng tôi đã chuyển sang trải nghiệm dựa trên thiết bị bằng cách sử dụng các thuật ngữ quen thuộc như "Vân tay" và "Face ID". Người dùng hiểu khái niệm này nhanh hơn nhiều khi sử dụng.

Pelin Demir, Nhà thiết kế trải nghiệm người dùng tại Hippo

Quy trình đăng ký dựa vào WebAuthn API gốc của trình duyệt tiêu chuẩn. Sau đây là ví dụ khái niệm về trình tự đăng ký:

// Simplified example of the registration call
async function createPasskey() {
  try {
    // 1. Fetch challenge and options from the NHS Login server
    const createOptions = await fetch('/api/passkey/register-options', {
      method: 'POST'
    }).then(r => r.json());

    // 2. Trigger the browser/OS to create the passkey
    const credential = await navigator.credentials.create({
      publicKey: createOptions
    });

    // 3. Send the public key credential back to the server for verification and storage
    await fetch('/api/passkey/register-verify', {
      method: 'POST',
      body: JSON.stringify(credential)
    });

    // 4. Show success message to the user
    showSuccess('Passkey saved');

  } catch (err) {
    console.error('Error creating passkey:', err);
    showError('Could not create passkey. Please try again.');
  }
}
Quy trình đăng ký khoá truy cập từng bước trên NHS login.
Quy trình đăng ký khoá truy cập NHS login.

Đơn giản hoá quy trình đăng nhập bằng Giao diện người dùng có điều kiện

Cải tiến đáng kể nhất về trải nghiệm người dùng đến từ Giao diện người dùng có điều kiện (tự động điền WebAuthn). Bằng cách thêm autocomplete="username webauthn" vào trường đăng nhập, trình duyệt sẽ chủ động nhắc người dùng xác thực bằng dữ liệu sinh trắc học.

<form action="/login" method="post">
  <label for="username">Email or NHS number</label>
  <input type="text"
         id="username"
         name="username"
         autocomplete="username webauthn"
         required>
  <button type="submit">Continue</button>
</form>

Việc triển khai Giao diện người dùng có điều kiện đã giúp tăng gần 1,7 lần mức sử dụng khoá truy cập, cho thấy rằng việc loại bỏ khó khăn khi nhập dữ liệu sẽ trực tiếp đẩy nhanh quá trình chấp nhận.

Xử lý các khoá cũ bằng Signal API

Một thách thức đã biết về hoạt động với khoá truy cập là thông tin xác thực cũ, các trường hợp người dùng xoá thông tin xác thực khỏi phần cài đặt tài khoản của họ, nhưng khoá truy cập vẫn được lưu trữ trong trình quản lý mật khẩu của thiết bị. Việc cố gắng sử dụng khoá cũ sẽ dẫn đến lỗi xác thực gây nhầm lẫn.

Để giải quyết vấn đề này, nhóm đã kết hợp WebAuthn Signal API. Khi một thông tin xác thực bị thu hồi hoặc cập nhật ở phần phụ trợ, máy chủ sẽ báo hiệu cho nhà cung cấp khoá truy cập để đồng bộ hoá, loại bỏ các khoá không hợp lệ khỏi các đề xuất tự động điền của người dùng một cách liền mạch.

Cung cấp quyền truy cập dễ dàng và tăng cường bảo mật

Ngày càng có nhiều người dùng chấp nhận khoá truy cập làm cơ chế xác thực.

  • Trải nghiệm người dùng dễ dàng: Việc loại bỏ khó khăn khi xác thực có nghĩa là người dùng có thể truy cập vào các dịch vụ của NHS và chủ động quản lý sức khoẻ của mình mà không gặp phải sự thất vọng hoặc bỏ dở do quên thông tin xác thực.
  • Bảo mật không bị xâm phạm: Khoá truy cập cung cấp khả năng chống tấn công giả mạo tích hợp, bảo mật dữ liệu sức khoẻ nhạy cảm cao, đồng thời mở đường cho tương lai không cần mật khẩu và SMS.
  • Hiệu quả hoạt động: Ngoài việc tiết kiệm trực tiếp về tài chính cho SMS OTP, việc giảm sự phụ thuộc vào mật khẩu sẽ cải thiện đáng kể hiệu quả cho NHS. Việc giảm các cuộc gọi hỗ trợ liên quan đến mật khẩu giúp nhân viên có thời gian xử lý các truy vấn phức tạp hơn.

Bài học chính

Trong khi tích hợp khoá truy cập trên các dịch vụ của NHS, nhóm này đã xác định được các bài học chính sau đây:

  • Trải nghiệm người dùng quan trọng hơn sự phức tạp về kỹ thuật: Việc triển khai kỹ thuật WebAuthn rất đơn giản. Thử thách chính nằm ở việc tối ưu hoá trải nghiệm người dùng để được nhiều nhóm nhân khẩu học chấp nhận.
  • Hỗ trợ quan trọng hơn hướng dẫn: Người dùng mong muốn nền tảng này quản lý bảo mật một cách âm thầm. Việc giải thích quá nhiều về cơ chế khoá truy cập đã tạo ra gánh nặng nhận thức; việc tin tưởng các lời nhắc quen thuộc trên thiết bị (dữ liệu sinh trắc học) đã chứng tỏ hiệu quả hơn nhiều.
  • Hành trình trên nhiều thiết bị: Người dùng có thể tạo khoá truy cập trên điện thoại nhưng sau đó cố gắng đăng nhập trên máy tính ở thư viện. Việc xử lý quy trình trên nhiều thiết bị (trong đó máy tính để bàn hiển thị mã QR do điện thoại quét) là một hành trình quan trọng cần thiết kế và kiểm thử. Họ cũng đã thêm một phần mới trong phần quản lý tài khoản của người dùng, cho thấy khoá truy cập và danh tính để giúp quản lý khoá truy cập (xem phần Xác định nhà cung cấp khoá truy cập bằng AAGUID).
  • Khôi phục tài khoản: Khoá truy cập không loại bỏ nhu cầu khôi phục tài khoản mạnh mẽ. Nhóm này phải đảm bảo rằng người dùng bị mất thiết bị vẫn có thể lấy lại quyền truy cập vào tài khoản của họ một cách an toàn, một quy trình có rủi ro cao đối với các dịch vụ liên quan đến sức khoẻ.
  • Cân bằng giữa đổi mới và tính toàn diện: Mặc dù khoá truy cập mang lại trải nghiệm vượt trội, nhưng chúng không thể thay thế hoàn toàn các hệ thống cũ chỉ sau một đêm mà không bỏ sót một số người dùng dễ bị tổn thương. Nhóm này đã cố ý duy trì mật khẩu + SMS OTP làm một phương thức song song, chấp nhận chi phí liên tục để đảm bảo không có người dùng nào bị loại trừ do yêu cầu về thiết bị hoặc vùng phủ sóng mạng kém.

Tiếp theo là gì?

Với hơn 6,7 triệu khoá truy cập đã được tạo, Hippo hiện đang nỗ lực cải thiện các lời nhắc mời người dùng tạo khoá truy cập. Thay vì buộc người dùng chuyển đổi, họ sử dụng hoạt động kiểm thử để tìm thời điểm tốt nhất để cung cấp khoá truy cập, giúp nhiều người dùng nâng cấp một cách suôn sẻ.

Tìm hiểu thêm