Warum ein Passkey-Authentifizierungsanbieter Ihnen über 100.000 € spart

In diesem Artikel räumen wir mit den 5 häufigsten Irrtümern auf, denen wir immer wieder begegnen, wenn es um die Implementierung von Passkeys in den (bestehenden) Authentifizierungsprozess geht. Anhand einer Beispielrechnung zeigen wir, warum es sinnvoll ist, sich nach einem spezialisierten Anbieter umzusehen, der sich mit Passkeys wirklich auskennt.

Passkeys sind eine wunderbare Sache. Zum ersten Mal in der Geschichte der Authentifizierung wird nicht nur die Sicherheit für die User, sondern auch der Komfort erheblich verbessert. Heute sind die meisten Menschen daran gewöhnt, ihr Handy mit dem Gesicht oder dem Fingerabdruck zu entsperren. Diese benutzerfreundliche Zukunft ins Web zu bringen, ist nur der nächste logische Schritt. Zusammen mit der zugrunde liegenden Public-Key-Infrastruktur, die asymmetrische Kryptografie nutzt, scheinen Passkeys die perfekte Lösung zu sein. Das stimmt aus der Sicht des Endanwenders, aber für Unternehmen ist die Implementierung dieses neuen Authentifizierungsstandards im eigenen Haus ein riesiger Aufwand, der mit hohen Risiken und Kosten verbunden ist. Dieser Artikel erklärt die häufigsten Irrtümer über Passkeys und wie man sie vermeidet.

Zunächst einmal basieren Passkeys auf offenen Standards, die von der FIDO-Allianz (Fast Identity Online) definiert wurden, der alle großen Tech-Player wie Microsoft, Apple, Google und andere wie PayPal, eBay oder Visa angehören.

Diese offenen Standards sind jedoch nur unzureichend dokumentiert, was die Implementierung in bestehende Systeme und die Integration in User-Flows in der Praxis zu einer Herausforderung macht. Es erfordert, User-Flows sowie technische Integrationen von Grund auf neu zu definieren. Um Passkeys zu Ihrem bestehenden System hinzuzufügen, reichen die grundlegende Dokumentation und Implementierung einfach nicht aus, wenn Sie bereits eine Authentifizierung für Ihre bestehenden User haben.

Die eigentliche Schwierigkeit beginnt, wenn man User von verschiedenen Plattformen (iOS, Android, Windows) hat, die mehrere Geräte verwenden, da Passkeys (teilweise) gerätegebunden sind. Die Implementierung sowie die User Experience variieren je nach Plattform, was es zu einem komplexen Unterfangen macht, allen Usern Passkeys als bevorzugte Anmeldemethode anzubieten. Gerade heutzutage, wo viele User mehr als ein Gerät besitzen, ist es unerlässlich, alle Geräte und Betriebssysteme richtig zu unterstützen.

Theoretisch ist das richtig, aber es gibt versteckte Kosten, insbesondere für die Integration und Wartung. Zunächst müssen Sie ein Konzept für Prozessabläufe und UX erarbeiten, was in der Regel von 1-2 Produktmanagern übernommen wird. Dies kann bis zu 2 Monate dauern und je nach Erfahrung der Produktmanager allein bis zu 30.000 € kosten. Sobald dies erledigt ist, werden Systemarchitekten, Produktmanager und Entwickler benötigt, die diese Lösung integrieren. Dann haben Sie Wartungsaufwände, z.B. für den Betrieb des FIDO2-Servers. Darüber hinaus müssen Sie für einen reibungslosen User-Übergang sorgen, um Ihre User nicht zu überfordern, was intern sehr kompliziert zu gestalten und umzusetzen und damit kostspielig ist.

Zusätzlich müssen Sie die Infrastruktur betreiben: Server und Datenbanken sind heute nicht kostenlos. Besonders, wenn Sie diese an einem so kritischen Punkt in Ihrer Anwendung sicher und zuverlässig mit hoher Verfügbarkeit betreiben müssen. Das alles kostet eine Menge Geld, das Sie besser in Ihre Kernfunktionen investieren sollten.

Des Weiteren müssen andere externe Akteure für die Bereitstellung der umgebenden (Fallback-)Systeme wie E-Mail- oder SMS-Dienste ausgewählt, verwaltet und überwacht werden. Natürlich können Sie das auch selbst tun, aber Ihre User erwarten eine blitzschnelle Zustellung von transaktionalen E-Mails und eine hohe Verfügbarkeit. Vertrauen Sie uns, Sie wollen die E-Mail-Zustellung nicht selbst optimieren. Diese Dienste sind nicht kostenlos und erhöhen die Kosten.

Wenn wir mit Kunden sprechen, ist dies wahrscheinlich das häufigste Missverständnis und die wahre Herausforderung bei der Authentifizierung. Passkeys für eine neue Anwendung auf der grünen Wiese anzubieten, kann ziemlich unkompliziert sein. Der knifflige Teil ist die Umstellung bestehender User auf Passkeys. Meistens ist die User-Basis recht heterogen, da es Early Adopters gibt, die ihre Passwörter lieber gestern als heute loswerden und so schnell wie möglich auf Passkeys umsteigen würden. Auf der anderen Seite gibt es Leute, die gerne bei ihren Passwörtern bleiben. Jetzt unterschiedliche individuelle Flows zu entwickeln und dabei alle User reibungslos und intelligent zu Passkeys zu führen, ist die eigentliche Herausforderung.

Nach der ersten Integration denken viele Leute, dass Passkeys einfach von selbst funktionieren und dass die Akzeptanz von selbst kommt. Das ist ein weiteres häufiges Missverständnis, denn Passkeys sind ein sicherheitskritisches Feature, das viele Risiken birgt. Das bedeutet, sie müssen überwacht werden, und das Team, das sie überwacht, muss aus Sicherheitsexperten mit viel Erfahrung bestehen.

Darüber hinaus muss die Akzeptanz von Passkeys kontinuierlich überwacht werden, um potenzielle Probleme in der Übergangsphase zu erkennen, die Änderungen in der Implementierung erfordern.

Bevor man überhaupt über die technische Implementierung von Passkeys nachdenkt und mit dem Programmieren beginnt, muss zuerst eine Menge konzeptioneller Arbeit geleistet werden. Besonders bei der Integration einer neuen Technologie wie Passkeys, bei der die Qualität und Quantität der vorhandenen Best Practices und Dokumentationen gering ist, müssen viele konzeptionelle Prozesse berücksichtigt werden. Zu den wichtigsten gehören:

1. Den gesamten Registrierungs- und Anmeldeprozess skizzieren: Bei der Gestaltung des Flows vom Beginn der Registrierung oder Anmeldung bis zur erfolgreichen Authentifizierung laufen unzählige Prozessschritte im Hintergrund ab. Diese müssen in komplexen Logikbäumen modelliert und strukturiert werden. Allein die Gestaltung der Standardfälle ist eine komplizierte Aufgabe, die absolut nicht mit dem noch viel größeren Aufwand vergleichbar ist, alle möglichen Edge Cases abzudecken. Letztendlich muss es einen Authentifizierungsprozess geben, der in jedem potenziellen Szenario funktioniert und den User authentifiziert.
2. Die plattformübergreifende Nutzung sicherstellen: Es ist entscheidend sicherzustellen, dass User Passkeys sowohl geräte- als auch plattformübergreifend nutzen können, während sie reibungslos durch die Authentifizierungsprozesse geführt werden, auch wenn Passkeys noch nicht verfügbar sind.
3. Abwärtskompatibilität gewährleisten: Um die Nutzung von Passkeys zu fördern, ist es notwendig, einen Mechanismus zu entwickeln, der nicht nur automatisch die Passkey-Fähigkeit aller Geräte erkennt, mit denen sich der User authentifizieren möchte, sondern auch feststellt, ob die User sich überhaupt mit Passkeys anmelden wollen. Wenn User stattdessen lieber bei aktuellen Anmeldeoptionen wie Passwörtern, Social Logins oder SSO bleiben, muss eine hybride Authentifizierung parallel betrieben werden.
4. Wiederherstellungsdienste bereitstellen: Es mag offensichtlich klingen, aber einen Flow für das selbstständige Zurücksetzen von Passwörtern und mögliche Fallback-Optionen im Fehlerfall zu entwickeln, ist eine der anspruchsvollsten Aufgaben, da Sie garantieren müssen, dass sich User authentifizieren können, falls sie ihr Passwort vergessen oder nie eines festgelegt haben.
5. Eine großartige UX gestalten: UX ist viel mehr als nur die Schaffung einer benutzerfreundlichen Oberfläche. Für Software im Allgemeinen spielen Geräte- und User-Präferenzmanagement, User-Kommunikation und ein anpassbares Design für Ihre CI eine große Rolle. Da Passkeys gerätegebunden sind, müssen sich Unternehmen vor allem auf das Gerätemanagement konzentrieren, um sicherzustellen, dass die Nutzung von Passkeys für alle Geräte ihrer User einwandfrei funktioniert. Bei der User-Kommunikation ist es notwendig, Ihre User mit vordefinierten und getesteten User-Nachrichten aufzuklären.

All diese Schritte erfordern von Produktmanagern und Entwicklern viele Stunden und werden in der Softwareentwicklung oft unter den Teppich gekehrt.

Die Debatte über 'Build vs. Buy' bei Software ist alles andere als neu. Bei dieser Entscheidung müssen viele Faktoren berücksichtigt werden. Der Schlüsselfaktor für jedes Unternehmen ist der Kostenblock, der durch die Entwicklung oder den Kauf der Software entsteht. Wenn Softwarelösungen, z.B. für die Passkey-Authentifizierung, gekauft werden, wird oft argumentiert, dass die anfänglichen Kosten sehr hoch sind. Unternehmen vergessen jedoch meist, dass die Eigenentwicklung mindestens genauso teuer ist, da ihre Kosten beispielsweise von der Komplexität der Software selbst, dem Produktmanagement, dem UX/UI-Design, dem Entwicklungsteam und oft vielen versteckten Kosten (insbesondere Wartung und Updates) abhängen.

Um etwas Licht in die Kosten der Entwicklung von Authentifizierungssoftware zu bringen, hier eine grundlegende Kalkulation für ein Unternehmen mit einem internen Authentifizierungsteam, das seine Dienste für Desktop-, Mobil- und native App-User anbietet. Neben der Authentifizierung mit E-Mail/Telefonnummer und Passwort haben sie auch Social Logins:

• 2 Backend-Entwickler: 126.000 €
• 1 Frontend-Entwickler: 60.000 €
• 1 iOS-Entwickler: 60.000 €
• 1 Android-Entwickler: 68.000 €
• 2 Produktmanager: 170.000 €
• 1 Projektmanager: 85.000 €

Bitte beachten Sie, dass es sich hierbei um Bruttojahresgehälter handelt, die auf Durchschnittsgehältern nach Branchenstandards laut Glassdoor basieren, ohne Lohnnebenkosten.

• Dauer: 1,5 Monate
• Stakeholder des Softwareentwicklungsteams: 2 Produktmanager, 1 Projektmanager
• Gesamtkosten (Gehalt): 31.875 €

• Dauer: 3,0 Monate
• Stakeholder des Softwareentwicklungsteams: 2 Produktmanager, 1 Projektmanager, 2 Backend-Entwickler, 1 Frontend-Entwickler, 1 iOS-Entwickler, 1 Android-Entwickler
• Gesamtkosten (Gehalt): 143.750 €

Gesamtkosten der Softwareentwicklung: 175.625 €

Natürlich ist dies eine Vereinfachung, die viele Kosten, wie z.B. Übergangs- oder Schulungskosten, nicht berücksichtigt. Falls Sie zusätzliche Infrastruktur wie Server und Datenbanken oder Cloud-Dienste benötigen, kommen weitere Kosten auf Sie zu. Insbesondere bei Authentifizierungssoftware, die personenbezogene Daten maximal schützen muss, sind die Kosten wahrscheinlich deutlich höher, sodass es sich lohnt, auf dedizierte Passkey-Anbieter wie Corbado zurückzugreifen.

Zusammenfassend lässt sich sagen: Passkeys sind ein offener Standard, den jeder kostenlos integrieren kann. Aber das ist sehr kurzsichtig. Wenn man sich die Auswirkungen der Passkey-Nutzung genauer ansieht, wird deutlich, dass die Nutzung eines Passkey-Anbieters wie Corbado der weitaus intelligentere und kostensparendere Weg ist. Insbesondere da die Authentifizierung selten ein Kernfeature ist, sondern eher eine Notwendigkeit, die in einem modernen Produkt erledigt werden muss, ist es einfach clever, das Know-how und die Fähigkeiten eines externen Experten zu nutzen.

Noch nicht überzeugt? Testen Sie die Lösung von Corbado noch heute kostenlos und ohne Risiko.