Pourquoi un fournisseur d'authentification Passkey vous fait économiser plus de 100 000 $

Dans cet article, nous allons examiner les 5 idées reçues les plus courantes que nous rencontrons sans cesse lorsqu'il s'agit d'implémenter les passkeys dans un processus d'authentification (existant). Nous utiliserons un exemple de calcul pour montrer pourquoi il est judicieux de se tourner vers un fournisseur spécialisé qui maîtrise parfaitement les passkeys.

Les passkeys, c'est une petite merveille. Pour la première fois dans l'histoire de l'authentification, non seulement la sécurité pour les utilisateurs, mais aussi la commodité est grandement améliorée. Aujourd'hui, la plupart des gens ont l'habitude de déverrouiller leur téléphone avec leur visage ou leur empreinte digitale. Apporter cet avenir convivial au web n'est que la prochaine étape logique. Associés à l'infrastructure à clé publique sous-jacente qui exploite la cryptographie asymétrique, les passkeys semblent être la solution parfaite. C'est vrai du point de vue de l'utilisateur final, mais pour les organisations, implémenter cette nouvelle norme d'authentification en interne représente un effort considérable qui comporte des risques et des coûts élevés. Cet article explique les idées reçues les plus courantes sur les passkeys et comment les éviter.

Tout d'abord, les passkeys sont basés sur des normes ouvertes définies par l'alliance FIDO (Fast Identity Online), dont font partie tous les grands acteurs de la tech, comme Microsoft, Apple, Google et d'autres comme PayPal, eBay ou Visa.

Cependant, ces normes ouvertes sont mal documentées, ce qui rend leur implémentation dans les systèmes existants et leur intégration dans les parcours utilisateur difficiles en pratique. Il faut concevoir les parcours utilisateur ainsi que les intégrations techniques en partant de zéro. Pour ajouter des passkeys à votre système existant, la documentation et l'implémentation de base ne suffisent tout simplement pas si vous avez déjà une authentification en place pour vos utilisateurs actuels.

De plus, les difficultés commencent vraiment si vous avez des utilisateurs sur différentes plateformes (iOS, Android, Windows) utilisant plusieurs appareils, car les passkeys sont (en partie) liés à l'appareil. L'implémentation ainsi que l'expérience utilisateur varient selon la plateforme, ce qui en fait une entreprise complexe de proposer les passkeys comme méthode de connexion préférée à tous vos utilisateurs. Surtout de nos jours, où de nombreux utilisateurs possèdent plus d'un appareil, il est essentiel de prendre en charge correctement tous les appareils et systèmes d'exploitation.

En théorie, c'est exact, mais il y a des coûts inhérents, notamment pour l'intégration et la maintenance. Initialement, il faut travailler sur un concept pour les flux de processus et l'UX, ce qui est généralement réalisé par 1 ou 2 product managers. Cela peut prendre jusqu'à 2 mois et, selon l'expérience des product managers, peut coûter jusqu'à 30 000 $ à lui seul. Une fois cela fait, des architectes système, des product managers et des développeurs qui intègrent cette solution sont nécessaires. Ensuite, il y a les efforts de maintenance, par exemple pour l'exploitation du serveur FIDO2. De plus, il faut veiller à une transition utilisateur fluide pour ne pas submerger vos utilisateurs, ce qui est très compliqué à concevoir et à implémenter en interne, et donc coûteux.

De plus, il faut gérer l'infrastructure : les serveurs et les bases de données ne sont pas gratuits aujourd'hui. Surtout si vous avez besoin qu'ils fonctionnent de manière sécurisée et fiable avec une grande disponibilité à un point aussi critique de votre application. Tout cela coûte beaucoup d'argent que vous préféreriez dépenser pour vos fonctionnalités principales.

En outre, d'autres acteurs externes pour fournir les systèmes environnants (de secours) comme les services d'e-mail ou de SMS doivent être sélectionnés, gérés et surveillés. Bien sûr, vous pouvez aussi le faire vous-même, mais vos utilisateurs s'attendent à une livraison ultra-rapide des e-mails transactionnels et à une haute disponibilité. Croyez-nous, vous ne voulez pas optimiser vous-même la livraison des e-mails. Ces services ne sont pas gratuits et s'ajoutent aux coûts.

Lorsque nous parlons à nos clients, c'est probablement l'idée fausse la plus répandue et le véritable défi de l'authentification. Proposer des passkeys pour une nouvelle application (greenfield) peut se faire assez simplement. La partie délicate est de faire passer les utilisateurs existants aux passkeys. La plupart du temps, la base d'utilisateurs est assez hétérogène, car il y a des adopteurs précoces qui rêveraient d'abandonner leurs mots de passe le plus tôt possible et d'adopter les passkeys sans attendre. D'un autre côté, il y a des personnes qui préfèrent s'en tenir à leurs mots de passe. Le véritable défi consiste maintenant à proposer différents parcours individuels tout en guidant en douceur et intelligemment tous les utilisateurs vers les passkeys.

Après l'intégration initiale, beaucoup de gens pensent que les passkeys fonctionnent tout seuls et que l'adoption se fera d'elle-même. C'est une autre idée fausse courante, car les passkeys sont une fonctionnalité critique pour la sécurité, qui comporte de nombreux risques. Cela signifie qu'ils doivent être surveillés et que l'équipe qui les surveille doit être composée d'experts en sécurité avec beaucoup d'expérience.

De plus, l'adoption des passkeys doit être surveillée en continu pour détecter les problèmes potentiels dans la phase de transition qui nécessitent des modifications dans l'implémentation.

Avant même de penser à l'implémentation technique des passkeys et de commencer à coder, un important travail de conception doit d'abord être réalisé. Surtout lorsqu'il s'agit d'intégrer une nouvelle technologie comme les passkeys, où la qualité et la quantité des meilleures pratiques et de la documentation existantes sont faibles, de nombreux processus conceptuels doivent être pris en compte. Parmi les plus importants, on trouve :

1. Ébaucher l'ensemble du processus d'inscription et de connexion : Lors de la conception du flux, du début de l'inscription ou de la connexion jusqu'à l'authentification réussie, d'innombrables étapes de processus se déroulent en arrière-plan. Celles-ci doivent être modélisées et structurées dans des arbres logiques complexes. La conception des cas standards est déjà une tâche compliquée, qui n'est absolument pas comparable à l'effort encore plus grand requis pour couvrir tous les cas de figure possibles (edge cases). En fin de compte, il doit y avoir un processus d'authentification qui fonctionne dans tous les scénarios potentiels et qui authentifie l'utilisateur.
2. Assurer une utilisation multiplateforme : Il est crucial de s'assurer que les utilisateurs peuvent utiliser les passkeys à la fois sur plusieurs appareils et sur plusieurs plateformes, tout en les guidant en douceur à travers les processus d'authentification même lorsque les passkeys ne sont pas encore disponibles.
3. Garantir la rétrocompatibilité : Pour promouvoir l'utilisation des passkeys, il est nécessaire de développer un mécanisme qui non seulement détecte automatiquement la compatibilité des appareils avec lesquels l'utilisateur souhaite s'authentifier, mais qui remarque également si les utilisateurs souhaitent se connecter avec des passkeys en premier lieu. Si les utilisateurs préfèrent plutôt continuer avec les options de connexion actuelles comme les mots de passe, les connexions sociales ou le SSO, une authentification hybride doit être maintenue en parallèle.
4. Fournir des services de récupération : Cela peut sembler évident, mais concevoir un flux pour la réinitialisation de mot de passe en libre-service et les options de secours possibles en cas d'erreur est l'une des tâches les plus difficiles, car vous devez garantir que les utilisateurs peuvent s'authentifier s'ils ont oublié leur mot de passe ou n'en ont jamais défini un.
5. Concevoir une excellente UX : L'UX va bien au-delà de la simple création d'une interface conviviale. Pour les logiciels en général, la gestion des appareils et des préférences utilisateur, la communication avec l'utilisateur et un design personnalisable pour votre identité visuelle jouent un rôle majeur. Comme les passkeys sont liés à l'appareil, les entreprises doivent se concentrer principalement sur la gestion des appareils pour s'assurer que l'utilisation des passkeys fonctionne parfaitement pour tous les appareils de leurs utilisateurs. En ce qui concerne la communication avec l'utilisateur, il est nécessaire d'éduquer vos utilisateurs avec des messages prédéfinis et testés.

Toutes ces étapes demandent de nombreuses heures aux product managers et aux développeurs et sont souvent négligées dans le développement de logiciels.

Le débat 'développer ou acheter' (build vs. buy) pour un logiciel n'a rien de nouveau. Pour prendre cette décision, de nombreux facteurs doivent être pris en compte. Le facteur clé pour toute entreprise est le bloc de coûts qui découle du développement ou de l'achat du logiciel. Lorsque des solutions logicielles, par exemple pour l'authentification par passkeys, sont achetées, l'argument souvent avancé est que les coûts initiaux sont très élevés. Cependant, les entreprises oublient généralement que le développement maison est au moins aussi coûteux, car ses coûts dépendent, par exemple, de la complexité du logiciel lui-même, de la gestion de produit, du design UX/UI, de l'équipe de développement et souvent de nombreux coûts cachés (en particulier la maintenance et les mises à jour).

Pour éclairer le coût du développement d'un logiciel d'authentification, voici un calcul de base pour une entreprise avec une équipe d'authentification interne qui offre ses services aux utilisateurs sur ordinateur, mobile et application native. En plus de l'authentification par e-mail/numéro de téléphone et mot de passe, ils ont aussi des connexions sociales :

• 2 développeurs backend : 126 000 $
• 1 développeur frontend : 60 000 $
• 1 développeur iOS : 60 000 $
• 1 développeur Android : 68 000 $
• 2 product managers : 170 000 $
• 1 project manager : 85 000 $

Veuillez noter qu'il s'agit de salaires annuels totaux et qu'ils sont basés sur les salaires moyens des normes de l'industrie selon Glassdoor, hors charges sociales.

• Durée : 1,5 mois
• Parties prenantes de l'équipe de développement logiciel : 2 product managers, 1 project manager
• Coûts totaux (salaires) : 31 875 $

• Durée : 3,0 mois
• Parties prenantes de l'équipe de développement logiciel : 2 product managers, 1 project manager, 2 développeurs backend, 1 développeur frontend, 1 développeur iOS, 1 développeur Android
• Coûts totaux (salaires) : 143 750 $

Coûts totaux de développement logiciel : 175 625 $

Bien sûr, il s'agit d'une simplification qui ne tient pas compte de nombreux coûts, tels que les coûts de transition ou de formation. Si vous avez besoin d'infrastructure supplémentaire comme des serveurs et des bases de données ou des services cloud, vous devrez faire face à des coûts additionnels. Surtout pour un logiciel d'authentification qui doit protéger au maximum les données personnelles, les coûts sont probablement nettement plus élevés, il est donc judicieux de faire appel à des fournisseurs de passkeys dédiés comme Corbado.

Pour résumer : les passkeys sont une norme ouverte que n'importe qui peut intégrer gratuitement. Mais c'est une vision à très court terme. En examinant de plus près les implications de l'utilisation des passkeys, il devient évident que faire appel à un fournisseur de passkeys comme Corbado est la solution la plus intelligente et la plus économique. D'autant plus que l'authentification est rarement une fonctionnalité essentielle mais plutôt une commodité qui doit être présente dans un produit moderne, tirer parti du savoir-faire et des capacités d'un expert externe est tout simplement malin.

Toujours pas convaincu ? Essayez gratuitement la solution de Corbado et sans aucun risque dès aujourd'hui.