पासकी ऑथेंटिकेशन प्रोवाइडर से $100k से ज़्यादा की बचत क्यों होती है

इस लेख में, हम उन 5 सबसे आम गलत धारणाओं पर बात करेंगे जिनका सामना हम पासकीज़ को (मौजूदा) ऑथेंटिकेशन प्रक्रिया में लागू करते समय करते रहते हैं, और एक नमूना गणना का उपयोग करके यह दिखाएंगे कि एक विशेष प्रोवाइडर की तलाश करना क्यों समझदारी है जो वास्तव में पासकीज़ के बारे में अच्छी तरह से जानता हो।

पासकीज़ बेहतरीन हैं। ऑथेंटिकेशन के इतिहास में पहली बार, न केवल यूज़र्स के लिए सुरक्षा बल्कि सुविधा में भी बड़ा सुधार हुआ है। आज, ज़्यादातर लोग अपने फ़ोन को अपने चेहरे या फ़िंगरप्रिंट से अनलॉक करने के आदी हैं। इस यूज़र-फ्रेंडली भविष्य को वेब पर लाना अगला तार्किक कदम है। अंतर्निहित पब्लिक-की-इंफ्रास्ट्रक्चर के साथ जो एसिमेट्रिक क्रिप्टोग्राफी का लाभ उठाता है, पासकीज़ एक आदर्श समाधान की तरह लगती हैं। यह एंड-यूज़र के दृष्टिकोण से सच है, लेकिन संगठनों के लिए, इस नए ऑथेंटिकेशन स्टैंडर्ड को इन-हाउस लागू करना एक बहुत बड़ा प्रयास है जिसमें उच्च जोखिम और लागत शामिल है। यह लेख पासकीज़ के बारे में सबसे आम गलत धारणाओं और उन्हें कम करने के तरीकों की व्याख्या करता है।

सबसे पहले, पासकीज़ FIDO (फ़ास्ट आइडेंटिटी ऑनलाइन) अलायंस द्वारा परिभाषित ओपन स्टैंडर्ड्स पर आधारित हैं, जिसमें माइक्रोसॉफ्ट, एप्पल, गूगल और PayPal, eBay या Visa जैसे अन्य सभी प्रमुख टेक खिलाड़ी शामिल हैं।

हालांकि, ये ओपन स्टैंडर्ड्स ठीक से डॉक्युमेंटेड नहीं हैं, जिससे मौजूदा सिस्टम में इन्हें लागू करना और यूज़र फ़्लो में इंटीग्रेट करना व्यवहार में चुनौतीपूर्ण हो जाता है। इसके लिए यूज़र फ़्लो को परिभाषित करने के साथ-साथ तकनीकी इंटीग्रेशन को भी शुरू से तैयार करने की आवश्यकता होती है। यदि आपके मौजूदा यूज़र्स के लिए पहले से ही ऑथेंटिकेशन मौजूद है, तो अपने मौजूदा सिस्टम में पासकीज़ जोड़ने के लिए, बुनियादी डॉक्युमेंटेशन और इम्प्लीमेंटेशन पर्याप्त नहीं है।

इसके अलावा, असली संघर्ष तब शुरू होता है जब आपके पास विभिन्न प्लेटफ़ॉर्म (iOS, Android, विंडोज) के यूज़र्स होते हैं जो कई डिवाइस का उपयोग करते हैं क्योंकि पासकीज़ (आंशिक रूप से) डिवाइस-बाउंड होती हैं। इम्प्लीमेंटेशन के साथ-साथ यूज़र एक्सपीरियंस भी प्लेटफ़ॉर्म के आधार पर भिन्न होता है, जिससे सभी यूज़र्स को पसंदीदा लॉगिन विधि के रूप में पासकीज़ की पेशकश करना एक जटिल प्रयास बन जाता है। खासकर आजकल, जहाँ कई यूज़र्स के पास एक से अधिक डिवाइस होते हैं, सभी डिवाइस और ऑपरेटिंग सिस्टम को ठीक से सपोर्ट करना आवश्यक है।

सैद्धांतिक रूप से, यह सही है लेकिन इसमें कुछ छिपी हुई लागतें होती हैं, खासकर इंटीग्रेशन और मेंटेनेंस के लिए। शुरुआत में, आपको प्रोसेस फ़्लो और UX के लिए एक कॉन्सेप्ट पर काम करने की ज़रूरत होती है जिसे आमतौर पर 1-2 प्रोडक्ट मैनेजर करते हैं। इसमें 2 महीने तक लग सकते हैं और प्रोडक्ट मैनेजरों के अनुभव के आधार पर, अकेले इसमें $30,000 तक का खर्च आ सकता है। एक बार यह हो जाने के बाद, सिस्टम आर्किटेक्ट, प्रोडक्ट मैनेजर और डेवलपर्स की आवश्यकता होती है जो इस समाधान को इंटीग्रेट करते हैं। फिर, आपके पास मेंटेनेंस के प्रयास होते हैं, जैसे कि FIDO2 सर्वर चलाना। इसके अलावा, आपको एक सहज यूज़र ट्रांज़िशन का भी ध्यान रखना होगा ताकि आपके यूज़र्स पर बोझ न पड़े, जिसे आंतरिक रूप से डिज़ाइन और लागू करना बहुत जटिल और इस प्रकार महंगा है।

इसके अतिरिक्त, आपको इंफ्रास्ट्रक्चर चलाना होगा: सर्वर और डेटाबेस आज मुफ़्त नहीं हैं। खासकर, यदि आपको उन्हें सुरक्षित और विश्वसनीय रूप से चलाना है और आपकी एप्लिकेशन में इतने महत्वपूर्ण बिंदु पर उनकी शानदार उपलब्धता होनी चाहिए। इन सब में बहुत पैसा खर्च होता है जिसे आप अपने कोर फ़ीचर्स पर खर्च करना बेहतर समझेंगे।

इसके अलावा, आसपास के (फ़ॉलबैक) सिस्टम जैसे ईमेल या SMS सेवाओं को प्रदान करने के लिए अन्य बाहरी खिलाड़ियों का चयन, प्रबंधन और निगरानी करने की आवश्यकता होती है। बेशक, आप यह खुद भी कर सकते हैं, लेकिन आपके यूज़र्स ट्रांज़िशनल ईमेल की बहुत तेज़ डिलीवरी और उच्च उपलब्धता की उम्मीद करते हैं। हमारा विश्वास करें, आप खुद से ईमेल डिलीवरी को ऑप्टिमाइज़ नहीं करना चाहेंगे। ये सेवाएँ मुफ़्त नहीं हैं और लागत में जुड़ती हैं।

ग्राहकों से बात करते समय, यह शायद सबसे आम ग़लतफ़हमी और ऑथेंटिकेशन का असली संघर्ष है। एक नई ग्रीनफ़ील्ड एप्लिकेशन के लिए पासकीज़ की पेशकश बहुत सीधे तरीके से की जा सकती है। असली मुश्किल मौजूदा यूज़र्स को पासकीज़ पर लाना है। ज़्यादातर समय, यूज़र बेस काफी विविध होता है क्योंकि कुछ अर्ली एडॉप्टर्स होते हैं जो अपने पासवर्ड को आज की बजाय कल ही छोड़ देना चाहेंगे और जल्द से जल्द पासकीज़ अपनाना चाहेंगे। दूसरी ओर, आपके पास ऐसे लोग हैं जो अपने पासवर्ड से चिपके रहना पसंद करते हैं। अब अलग-अलग व्यक्तिगत फ़्लो के साथ आना और सभी यूज़र्स को सहजता और स्मार्ट तरीके से पासकीज़ की ओर ले जाना ही असली चुनौती है।

शुरुआती इंटीग्रेशन के बाद, बहुत से लोग सोचते हैं कि पासकीज़ अपने आप काम करती हैं और उन्हें अपनाने की प्रक्रिया अपने आप हो जाएगी। यह एक और आम ग़लतफ़हमी है क्योंकि पासकीज़ एक सुरक्षा-महत्वपूर्ण फ़ीचर है जिसमें कई जोखिम होते हैं। इसका मतलब है कि उनकी निगरानी करने की आवश्यकता है और उनकी निगरानी करने वाली टीम को सुरक्षा में विशेषज्ञ होना चाहिए और उनके पास बहुत अनुभव होना चाहिए।

इसके अलावा, पासकीज़ को अपनाने की प्रक्रिया की लगातार निगरानी करने की ज़रूरत होती है ताकि ट्रांज़िशन चरण में संभावित समस्याओं का पता लगाया जा सके जिनके लिए इम्प्लीमेंटेशन में बदलाव की आवश्यकता होती है।

पासकीज़ के तकनीकी इम्प्लीमेंटेशन के बारे में सोचने और कोडिंग शुरू करने से पहले ही, बहुत सारा कॉन्सेप्चुअल काम करना पड़ता है। खासकर, जब पासकीज़ जैसी नई तकनीक को इंटीग्रेट करने की बात आती है, जहाँ मौजूदा सर्वोत्तम प्रथाओं और डॉक्युमेंटेशन की गुणवत्ता और मात्रा कम है, तो कई कॉन्सेप्चुअल प्रक्रियाओं पर विचार करने की आवश्यकता होती है। सबसे महत्वपूर्ण में से हैं:

1. पूरे साइन-अप और लॉगिन प्रोसेस का खाका तैयार करना: साइन-अप या लॉगिन की शुरुआत से लेकर सफल ऑथेंटिकेशन तक के फ़्लो को डिज़ाइन करते समय, बैकग्राउंड में अनगिनत प्रोसेस स्टेप्स चलते हैं। इन्हें जटिल लॉजिक ट्री में मॉडल और संरचित करने की आवश्यकता होती है। अकेले स्टैंडर्ड केस का डिज़ाइन ही एक जटिल कार्य है, जिसकी तुलना सभी संभावित एज केस को कवर करने के लिए आवश्यक और भी बड़े प्रयास से बिल्कुल नहीं की जा सकती। अंततः, एक ऑथेंटिकेशन प्रक्रिया होनी चाहिए जो हर संभावित परिदृश्य में काम करे और यूज़र को प्रमाणित करे।
2. क्रॉस-प्लेटफ़ॉर्म उपयोग का ध्यान रखना: यह सुनिश्चित करना महत्वपूर्ण है कि यूज़र्स पासकीज़ का उपयोग क्रॉस-डिवाइस और क्रॉस-प्लेटफ़ॉर्म दोनों पर कर सकें, साथ ही उन्हें ऑथेंटिकेशन प्रक्रियाओं के माध्यम से सहजता से गाइड किया जाए, भले ही पासकीज़ अभी तक उपलब्ध न हों।
3. बैकवर्ड कम्पैटिबिलिटी सुनिश्चित करना: पासकीज़ के उपयोग को बढ़ावा देने के लिए, एक ऐसा मैकेनिज्म विकसित करना आवश्यक है जो न केवल उन सभी डिवाइस की पासकीज़-रेडीनेस का स्वचालित रूप से पता लगाए जिनसे यूज़र प्रमाणित करना चाहता है, बल्कि यह भी नोटिस करे कि क्या यूज़र्स पहली बार में पासकीज़ के साथ लॉगिन करना चाहते हैं। यदि यूज़र्स, इसके बजाय, पासवर्ड, सोशल लॉगिन या SSO जैसे मौजूदा लॉगिन विकल्पों के साथ जारी रखना पसंद करते हैं, तो हाइब्रिड ऑथेंटिकेशन को समानांतर में चलाने की आवश्यकता होती है।
4. रिकवरी सेवाएं प्रदान करना: यह स्पष्ट लग सकता है, लेकिन सेल्फ़-सर्विस पासवर्ड रीसेट और त्रुटियों के मामले में संभावित फ़ॉलबैक विकल्पों के लिए एक फ़्लो तैयार करना सबसे चुनौतीपूर्ण कार्यों में से एक है क्योंकि आपको यह गारंटी देनी होगी कि यदि यूज़र्स अपना पासवर्ड भूल गए हैं या कभी सेट नहीं किया है तो वे प्रमाणित कर सकें।
5. एक बेहतरीन UX डिज़ाइन करना: UX सिर्फ़ एक यूज़र-फ्रेंडली इंटरफ़ेस बनाने से कहीं ज़्यादा है। सामान्य तौर पर सॉफ़्टवेयर के लिए, डिवाइस और यूज़र वरीयता प्रबंधन, यूज़र कम्युनिकेशन, और आपके CI के लिए कस्टमाइज़ेबल डिज़ाइन एक प्रमुख भूमिका निभाते हैं। चूँकि पासकीज़ डिवाइस-बाउंड होती हैं, कंपनियों को यह सुनिश्चित करने के लिए मुख्य रूप से डिवाइस प्रबंधन पर ध्यान केंद्रित करने की आवश्यकता होती है कि पासकीज़ का उपयोग उनके सभी यूज़र्स के डिवाइस के लिए त्रुटिपूर्ण रूप से काम करे। जब यूज़र कम्युनिकेशन की बात आती है तो अपने यूज़र्स को पूर्वनिर्धारित और परीक्षण किए गए यूज़र संदेशों के साथ शिक्षित करना आवश्यक है।

इन सभी चरणों में प्रोडक्ट मैनेजरों और डेवलपर्स के कई घंटे लगते हैं और अक्सर सॉफ़्टवेयर डेवलपमेंट में इसे नज़रअंदाज़ कर दिया जाता है।

सॉफ़्टवेयर बनाने बनाम खरीदने की बहस कोई नई नहीं है। इस पर निर्णय लेते समय, आपको कई कारकों को ध्यान में रखना होगा। किसी भी कंपनी के लिए मुख्य कारक लागत ब्लॉक है जो सॉफ़्टवेयर को विकसित करने या खरीदने से आता है। जब पासकी ऑथेंटिकेशन जैसे सॉफ़्टवेयर समाधान खरीदे जाते हैं, तो अक्सर यह तर्क दिया जाता है कि अग्रिम लागत बहुत अधिक है। हालांकि, कंपनियाँ आमतौर पर यह भूल जाती हैं कि घर पर बनाया गया डेवलपमेंट कम से कम उतना ही महंगा होता है, क्योंकि इसकी लागत, उदाहरण के लिए, सॉफ़्टवेयर की जटिलता, प्रोडक्ट मैनेजमेंट, UX/UI डिज़ाइन, डेवलपमेंट टीम और अक्सर कई छिपी हुई लागतों (विशेषकर मेंटेनेंस और अपडेट) पर निर्भर करती है।

ऑथेंटिकेशन सॉफ़्टवेयर विकसित करने की लागत पर कुछ प्रकाश डालने के लिए, यहाँ एक कंपनी के लिए एक बुनियादी गणना है जिसकी इन-हाउस ऑथेंटिकेशन टीम है जो डेस्कटॉप, मोबाइल और नेटिव ऐप यूज़र्स के लिए अपनी सेवाएँ प्रदान करती है। ईमेल/फ़ोन नंबर और पासवर्ड ऑथेंटिकेशन के अलावा, उनके पास सोशल लॉगिन भी हैं:

• 2 बैकएंड डेवलपर्स: $126,000
• 1 फ्रंटएंड डेवलपर: $60,000
• 1 iOS डेवलपर: $60,000
• 1 Android डेवलपर: $68,000
• 2 प्रोडक्ट मैनेजर्स: $170,000
• 1 प्रोजेक्ट मैनेजर: $85,000

कृपया ध्यान दें कि ये कुल वार्षिक वेतन हैं और ग्लासडोर के अनुसार उद्योग मानकों के औसत वेतन पर आधारित हैं, जिसमें गैर-मजदूरी श्रम लागत शामिल नहीं है।

• अवधि: 1.5 महीने
• सॉफ़्टवेयर डेवलपमेंट टीम के स्टेकहोल्डर: 2 प्रोडक्ट मैनेजर्स, 1 प्रोजेक्ट मैनेजर
• कुल लागत (वेतन): $31,875

• अवधि: 3.0 महीने
• सॉफ़्टवेयर डेवलपमेंट टीम के स्टेकहोल्डर: 2 प्रोडक्ट मैनेजर्स, 1 प्रोजेक्ट मैनेजर, 2 बैकएंड डेवलपर्स, 1 फ्रंटएंड डेवलपर, 1 iOS डेवलपर, 1 Android डेवलपर
• कुल लागत (वेतन): $143,750

कुल सॉफ़्टवेयर डेवलपमेंट लागत: $175,625

बेशक, यह एक सरलीकरण है जो कई लागतों, जैसे कि ट्रांज़िशन या प्रशिक्षण लागतों को ध्यान में नहीं रखता है। यदि आपको सर्वर और डेटाबेस या क्लाउड सेवाओं जैसे अतिरिक्त इंफ्रास्ट्रक्चर की आवश्यकता है, तो आपको अतिरिक्त लागतों का सामना करना पड़ेगा। विशेष रूप से ऑथेंटिकेशन सॉफ़्टवेयर के लिए जिसे व्यक्तिगत डेटा को अधिकतम सुरक्षा प्रदान करने की आवश्यकता होती है, लागत शायद काफी अधिक होती है, इसलिए Corbado जैसे डेडिकेटेड पासकी प्रोवाइडर्स का उपयोग करना फायदेमंद है।

संक्षेप में: पासकीज़ एक ओपन स्टैंडर्ड है जिसे कोई भी मुफ़्त में इंटीग्रेट कर सकता है। लेकिन यह बहुत अदूरदर्शी सोच है। जब पासकी के उपयोग के निहितार्थों पर करीब से नज़र डालते हैं, तो यह स्पष्ट हो जाता है कि Corbado जैसे पासकी प्रोवाइडर का उपयोग करना कहीं अधिक बुद्धिमानी और लागत बचाने वाला तरीका है। विशेष रूप से, चूँकि ऑथेंटिकेशन शायद ही कभी एक कोर फ़ीचर होता है और यह एक ऐसी वस्तु है जिसे एक आधुनिक प्रोडक्ट में किया जाना चाहिए, किसी बाहरी विशेषज्ञ की जानकारी और क्षमताओं का लाभ उठाना ही समझदारी है।

अभी भी यकीन नहीं हुआ? Corbado के समाधान को आज ही मुफ़्त में और बिना किसी जोखिम के आज़माएँ।