Panduan Passkey: Beli vs. Bangun Sendiri

Unduh Panduan lengkap Beli vs. Bangun Passkey secara gratis dan dapatkan akses ke semua wawasan.

• ✅ Diminta oleh tim di Adidas, Woolworths & Mitsubishi
• ✅ Daftar lengkap komponen & model biaya untuk memutuskan antara membeli vs. membangun
• ✅ Kerangka kerja keputusan praktis setebal 50 halaman

Gagasan untuk membangun implementasi passkey sendiri terdengar menarik: kontrol penuh, integrasi khusus, dan tidak ada ketergantungan pada vendor. Lagi pula, FIDO2 didasarkan pada standar terbuka dan menulis baris pertama kode WebAuthn tampaknya cukup mudah. Memangnya sesulit apa?

Namun, di sinilah kerumitan sering kali dimulai, terutama ketika Anda berencana membangun solusi untuk skenario penerapan skala besar untuk konsumen dengan jutaan pengguna di industri seperti:

• Perbankan & Jasa Keuangan (misalnya, online, perbankan, pembayaran, fintech)
• Pemerintahan & Layanan Publik (misalnya, portal warga, platform pajak & jaminan sosial)
• Asuransi & Layanan Kesehatan (misalnya, portal pasien, platform digital asuransi)
• E-commerce & Ritel (misalnya, marketplace, program loyalitas)
• Telekomunikasi & Utilitas (misalnya, operator seluler, penyedia energi)
• Perjalanan & Perhotelan (misalnya, akun maskapai, program loyalitas hotel)

Tantangan sebenarnya dimulai setelah login passkey pertama yang berhasil dan sering kali baru terungkap saat Anda sudah dalam proses mengimplementasikan solusi passkey Anda. Tiba-tiba muncul hal-hal seperti edge case yang aneh, kesalahan pengguna yang membingungkan, dan potensi pengguna terkunci karena passkey tidak tersedia. Apa yang tadinya tampak seperti integrasi sederhana berubah menjadi upaya pengembangan selama berbulan-bulan atau bahkan bertahun-tahun, biaya pemeliharaan yang tak terduga, dan potensi proyek passkey yang gagal.

Namun, membangun solusi sendiri juga bisa menjadi pilihan yang tepat untuk organisasi tertentu dan persyaratan spesifik. Kami telah berbicara dengan puluhan organisasi tentang rencana implementasi passkey mereka dan mendampingi beberapa di antaranya secara langsung. Panduan ini akan membantu Anda menentukan kapan pendekatan passkey Do-It-Yourself (DIY) mungkin masuk akal dan kapan memilih penyedia passkey yang sudah mapan adalah keputusan yang lebih cerdas.

Dengan Panduan Passkey: Beli vs. Bangun kami, kami ingin menjawab pertanyaan-pertanyaan berikut:

1. Komponen apa saja yang diperlukan untuk mengimplementasikan passkey dan beralih ke sistem tanpa kata sandi?
2. Haruskah saya mengimplementasikan passkey secara in-house atau menggunakan vendor passkey eksternal?
3. Apa keuntungan menggunakan vendor passkey ketika sudah ada pustaka sumber terbuka (open-source)?
4. Apa tantangan terbesar dalam membangun solusi passkey?
5. Apa risiko dari mengimplementasikan passkey secara in-house?

Kata sandi sudah ketinggalan zaman, tidak aman, dan membuat frustrasi. Passkey menghilangkan risiko phishing, meningkatkan pengalaman pengguna, dan menyederhanakan autentikasi - menjadikannya standar baru untuk login yang aman. Baik Anda membangun sendiri atau menggunakan solusi eksternal, mengintegrasikan passkey adalah peningkatan besar untuk keamanan dan kegunaan.

Google menemukan bahwa menonjolkan kemudahan penggunaan atau kecepatan adalah pendekatan yang beresonansi dan berhasil. Orang-orang umumnya mengeluh tentang proses masuk, jadi apa pun yang membuat prosesnya lebih mudah dan cepat adalah sebuah kemenangan.

Di atas manfaat keamanan ini, ada potensi besar untuk penghematan biaya operasional dengan passkey. Anda dapat mengurangi jumlah SMS OTP yang dikirim ke pengguna, yang biayanya bisa sangat besar untuk basis pengguna yang besar. Selain itu, beban pemulihan kata sandi dan MFA pada tim dukungan pelanggan Anda juga merupakan faktor biaya yang dapat dihilangkan.

Selain itu, passkey meningkatkan tingkat keberhasilan login dan waktu login bagi pengguna, yang pada akhirnya menghasilkan tingkat konversi yang lebih baik, yang merupakan pendorong utama pertumbuhan pendapatan di industri seperti e-commerce, ritel, atau perjalanan.

Tujuan akhir bagi banyak organisasi yang mempertimbangkan pengenalan passkey adalah untuk beralih sepenuhnya ke sistem tanpa kata sandi. Untuk mencapai tujuan ini, biasanya ada empat fase yang perlu diselesaikan. Kecepatan kemajuan fase-fase ini sangat bergantung pada kemampuan teknis organisasi, pola login, dan basis pengguna. Dalam beberapa kasus, faktor eksternal seperti tekanan publik untuk memperkenalkan autentikasi yang lebih aman atau kendala keuangan juga dapat memainkan peran.

Mari kita bahas keempat fase ini dan jelaskan, karena mengimplementasikan passkey hanyalah salah satu langkah dalam memastikan keberhasilan proyek passkey.

Langkah pertama dalam transisi ke sistem yang sepenuhnya tanpa kata sandi adalah mengintegrasikan passkey sebagai metode login. Pada tahap ini, kata sandi dan metode autentikasi lain tetap ada sebagai fallback untuk memastikan pengguna masih dapat mengakses akun mereka jika mereka belum mengadopsi passkey. Integrasi yang berhasil memerlukan kompatibilitas yang mulus dengan alur login dan kebijakan keamanan yang ada. Organisasi harus fokus untuk membuat pembuatan passkey menjadi mudah, memastikan bahwa pengguna teknis maupun non-teknis dapat mengadopsi metode autentikasi baru tanpa hambatan.

Setelah passkey terintegrasi, tantangan berikutnya adalah mendorong adopsi passkey oleh pengguna. Banyak organisasi meremehkan pentingnya fase ini, tetapi tanpa adopsi pengguna yang luas, proyek passkey kemungkinan besar akan gagal. Tujuannya adalah untuk mendorong sebanyak mungkin pengguna untuk membuat dan menggunakan passkey, idealnya menjadikannya metode login default.

Taktik kunci untuk meningkatkan adopsi termasuk edukasi pengguna yang proaktif, nudge (ajakan) di antarmuka pengguna yang mempromosikan pembuatan passkey, dan program insentif yang memberi penghargaan kepada pengguna karena beralih. Organisasi harus menetapkan ambang batas adopsi kritis, seperti 50-80% pengguna aktif menggunakan passkey, sebelum melanjutkan ke fase berikutnya. Untuk pemahaman yang lebih dalam tentang mengapa adopsi sangat penting, lihat artikel khusus kami tentang bagaimana tingkat adopsi yang buruk dapat membahayakan proyek passkey Anda.

Seiring adopsi passkey mencapai massa kritis, organisasi dapat mulai menghapus kata sandi secara bertahap. Namun, menghapus kata sandi terlalu dini atau tanpa perencanaan yang cermat dapat menyebabkan masalah kegunaan dan peningkatan permintaan dukungan. Pendekatan bertahap direkomendasikan:

• Mulailah dengan menghapus kata sandi dari akun di mana pengguna secara konsisten melakukan autentikasi dengan passkey.
• Tawarkan penghapusan kata sandi sebagai opsi di pengaturan akun untuk pengguna awal (early adopters).
• Gunakan wawasan berbasis data untuk mengidentifikasi pengguna yang siap beralih sepenuhnya ke sistem tanpa kata sandi. Misalnya, pengguna dengan beberapa passkey yang terdaftar di berbagai perangkat dapat diprioritaskan untuk penghapusan kata sandi.
• Komunikasikan secara proaktif manfaat penghapusan kata sandi untuk membangun kepercayaan pengguna.

Dengan membimbing pengguna secara strategis menuju autentikasi tanpa kata sandi penuh, organisasi dapat memaksimalkan keamanan tanpa mengganggu pengalaman pengguna.

Setelah kata sandi dihapus, mekanisme pemulihan akun harus kuat dan aman. Metode pemulihan tradisional sering kali mengandalkan intervensi manual, seperti tiket dukungan atau reset email, yang dapat menimbulkan risiko keamanan dan biaya operasional. Organisasi harus menerapkan solusi pemulihan akun mandiri yang modern yang menjaga keamanan sambil meningkatkan pengalaman pengguna.

Elemen kunci dari pemulihan akun otomatis meliputi:

• Pemeriksaan keaktifan (liveness checks): Mencegah pengambilalihan akun yang tidak sah dengan memastikan pengguna hadir secara fisik.
• Verifikasi ID: Memanfaatkan ID yang dikeluarkan pemerintah dan verifikasi biometrik untuk mengonfirmasi identitas.
• Passkey cadangan (fallback): Memungkinkan pengguna untuk memulihkan akun menggunakan passkey cadangan yang disimpan di perangkat lain milik mereka.

Banyak organisasi sudah berinvestasi dalam proses pemulihan otomatis secara independen dari transisi tanpa kata sandi mereka untuk mengurangi biaya dan meningkatkan kegunaan. Namun, dalam ekosistem yang didorong oleh passkey, mekanisme ini menjadi lebih penting untuk menjaga keamanan dan mengurangi hambatan.

Berdasarkan keempat fase ini, sekarang kami akan mencoba membantu Anda mengevaluasi keputusan beli vs. bangun. Oleh karena itu, sangat penting untuk keberhasilan jangka panjang proyek passkey Anda untuk mempertimbangkan semua fase dan tidak hanya mengintegrasikan passkey (ini masih bisa menjadi tujuan, tetapi Anda akan kehilangan potensi penuh dari passkey).

Memilih antara solusi passkey DIY dan eksternal bergantung pada sumber daya teknis perusahaan Anda, prioritas keamanan, ukuran penerapan, dan strategi passkey jangka panjang. Di bagian berikutnya, kami akan menguraikan aspek-aspek kunci untuk membantu Anda membuat keputusan terbaik.

Tabel berikut menunjukkan berbagai kriteria evaluasi yang perlu Anda nilai. Berdasarkan pernyataan yang lebih Anda condongi, poin yang berbeda akan diberikan.

Cara menggunakan matriks evaluasi:

Untuk setiap kriteria, pilih apakah perusahaan Anda memerlukan solusi yang lebih sederhana atau lebih rumit.

• Berikan 1 poin untuk setiap jawaban di mana kompleksitas dalam kasus Anda paling rendah dan lebih sesuai dengan deskripsi di sebelah kiri.
• Berikan 5 poin untuk setiap kategori di mana jawaban Anda lebih selaras dengan deskripsi kompleksitas tertinggi di sebelah kanan.
• Jika Anda tidak yakin, gunakan 3 poin sebagai opsi netral.

Unduh Panduan lengkap Beli vs. Bangun Passkey secara gratis dan dapatkan akses ke semua kriteria evaluasi.

Saat memutuskan apakah akan membangun atau membeli solusi passkey, penting untuk melihat keseluruhan proses, bukan hanya satu fase peluncuran passkey. Bahkan jika prioritas jangka pendek Anda adalah menawarkan passkey sebagai MVP, Anda harus mengantisipasi implikasi jangka panjang, terutama mendorong adopsi. Di bawah ini adalah cara kami merekomendasikan penggunaan panduan ini dan menafsirkan hasil Anda, dengan penekanan pada mengapa adopsi lebih penting daripada hampir semua faktor lainnya.

Tidak peduli seberapa canggih solusi passkey Anda, jika pengguna tidak mengadopsinya dengan membuat passkey dan menggunakannya untuk login, seluruh proyek berisiko. Dalam pengalaman kami, organisasi sering meremehkan upaya yang diperlukan untuk memindahkan pengguna dari kata sandi. Bahkan jika Anda mengimplementasikan passkey dengan mulus di tingkat teknis, adopsi yang rendah akan menyebabkan:

• Ketergantungan yang terus-menerus pada kata sandi, meniadakan manfaat keamanan passkey.
• ROI minimal, karena penghematan biaya (lebih sedikit reset kata sandi, pengurangan SMS OTP) bergantung pada penggunaan passkey yang signifikan untuk login.
• Pengalaman pengguna yang terfragmentasi, jika sebagian besar proses masuk masih terjadi melalui metode tradisional dan hanya sebagian kecil yang menggunakan passkey.

Adopsi yang tinggi, terkadang 50% atau bahkan +80% dari basis pengguna Anda, biasanya diperlukan sebelum Anda dapat membuat langkah berarti untuk mengurangi atau menghapus kata sandi sama sekali. Organisasi seperti Google dan Amazon menetapkan target adopsi yang eksplisit dan secara sistematis menjalankan tes A/B, kampanye edukasi pengguna, dan nudge di antarmuka pengguna untuk memastikan passkey diterima secara luas. Upaya terkonsentrasi pada adopsi ini bukanlah opsional; inilah yang mengubah peluncuran passkey Anda dari sekadar fitur menjadi keunggulan kompetitif yang nyata.

Panduan ini dirancang untuk membantu Anda membuat keputusan yang terinformasi tentang implementasi passkey di setiap tahap perjalanan:

1. Fase 1 (Integrasi Passkey): Jika Anda hanya mempertimbangkan apakah akan mengadopsi passkey dan cara mengintegrasikannya, fokuslah pada kriteria Beli vs. Bangun untuk integrasi passkey.
2. Fase 2 (Tingkatkan Adopsi): Jika Anda ingin passkey lebih dari sekadar fitur, rencanakan sejak awal untuk mendorong adopsi pengguna - bahkan untuk MVP karena ini memerlukan investasi teknologi tambahan yang sering kali jauh lebih besar daripada implementasi awal.
3. Fase 3 (Hapus Kata Sandi): Jika menghilangkan kata sandi adalah tujuan strategis jangka panjang, pastikan arsitektur dan alur pengguna Anda dirancang dengan mempertimbangkan langkah tersebut.
4. Fase 4 (Otomatisasi Pemulihan Akun): Meskipun Anda belum siap untuk beralih sepenuhnya ke sistem tanpa kata sandi hari ini, pastikan pendekatan passkey Anda dapat berevolusi ke pemulihan yang kuat dan mulus untuk menghindari hambatan di masa depan.

Dari semua ini, Fase 2 (Tingkatkan Adopsi) adalah yang paling penting. Anda dapat mengevaluasi setiap bagian secara terpisah, tetapi ingatlah bahwa kesuksesan jangka panjang dan ROI Anda sering kali bergantung pada seberapa serius Anda menangani adopsi sejak awal.

Jika Anda berada pada tahap awal memutuskan untuk mengimplementasikan passkey, mulailah dengan bagian pertama dari matriks evaluasi (integrasi passkey) dan isilah bersama manajemen, TI, pemilik produk, dan pembuat keputusan utama lainnya. Tanyakan pada diri Anda sendiri:

1. Berapa tingkat login passkey yang kami inginkan? Apakah 5% cukup untuk membuktikan kelayakan atau apakah kita memerlukan 50–80% sebelum kita menganggap passkey berhasil?
2. Apakah kita memiliki anggaran dan dukungan eksekutif untuk menjalankan tes A/B selama berbulan-bulan, menjalankan kampanye optimisasi, membuat materi edukasi, dan menyempurnakan alur pengguna secara terus-menerus agar pengguna memahami dan ingin beralih ke passkey? Apakah kapasitas rekayasa yang cukup tersedia untuk mengimplementasikan semua pelaporan, analitik, dan tes yang diperlukan? Bisakah kita merilis cukup sering untuk mencapai tujuan tersebut?
3. Apa visi jangka panjangnya? Apakah kita bertujuan untuk menghapus kata sandi atau hanya menyediakan alternatif?

Menjawab pertanyaan-pertanyaan ini di awal memastikan proyek passkey Anda tidak menjadi jalan buntu. Organisasi yang gagal merencanakan adopsi sering kali terjebak dengan kata sandi selama bertahun-tahun, merusak seluruh strategi keamanan dan pengalaman pengguna.

Di seluruh matriks, setiap kriteria evaluasi dapat menempatkan Anda di mana saja dari kompleksitas terendah (1) hingga kompleksitas tertinggi (5). Semakin banyak jawaban Anda yang bergeser ke dan melampaui zona netral (3), semakin kuat argumen untuk menggunakan vendor passkey khusus:

• Persyaratan kompleksitas tinggi - seperti metode fallback canggih, kepatuhan yang ketat, analitik mendalam, dan UX multi-perangkat - melipatgandakan beban rekayasa dan pemeliharaan Anda.
• Penekanan kuat pada adopsi - mencapai adopsi passkey yang tinggi dengan cepat atau menghapus kata sandi biasanya memerlukan alur pengguna yang teruji dengan baik, telemetri terperinci, dan nudge terstruktur.

Faktor-faktor ini dapat membebani tim internal, baik secara teknis maupun organisasional. Solusi passkey terkelola sering kali dapat memberikan praktik terbaik yang terbukti, pembaruan cepat, dan keahlian dunia nyata untuk meningkatkan adopsi jauh lebih cepat daripada pendekatan DIY.

Sebagai spesialis passkey, kami di Corbado memiliki sudut pandang yang kuat. Jika passkey ada di peta jalan Anda dan Anda menginginkan implementasi canggih yang secara aktif mendorong adopsi, Corbado Connect dapat membantu Anda mengatasi kompleksitas dalam skala besar. Inilah alasannya:

Adopsi sudah tertanam dalam solusi: Platform kami dirancang untuk memaksimalkan keikutsertaan pengguna melalui nudge cerdas, analitik, dan pengujian A/B berkelanjutan yang juga mendorong penghematan biaya.

Langkah Selanjutnya:

1. Isi setiap bagian yang relevan dari matriks evaluasi - mempertimbangkan tujuan jangka pendek dan jangka panjang.
2. Prioritaskan adopsi dalam pengambilan keputusan Anda - selaraskan dengan pemangku kepentingan mengenai target adopsi eksplisit dan sumber daya untuk mencapainya.
3. Bandingkan TCO untuk solusi in-house vs. vendor setelah Anda memahami kompleksitas dan ambisi adopsi Anda dan lalui proses internal Anda untuk mengevaluasi beli atau bangun.

4. Konsultasikan dengan ahli passkey (seperti Corbado) jika tujuan strategis Anda mengarah pada platform yang dikelola sepenuhnya yang menangani tantangan teknis dan adopsi secara efektif.

Dengan menangani passkey secara holistik dan menjadikan adopsi sebagai salah satu target utama, Anda akan mencapai hasil terbaik. Itu berarti keamanan yang lebih kuat, login yang disederhanakan, dan jalur nyata menuju masa depan tanpa kata sandi. Jika Anda tertarik untuk mempelajari lebih lanjut tentang Corbado Connect dan bagaimana kami membantu klien kami mencapai adopsi passkey yang tinggi, kami siap untuk berdiskusi.

Sekarang setelah kami membantu menentukan pendekatan yang tepat untuk menjawab pertanyaan “Beli vs. Bangun?”, kami akan menganalisis cara mengevaluasi keberhasilan penerapan passkey. Oleh karena itu, kami mendefinisikan KPI input dan output dari sebuah proyek passkey.

KPI input membantu melacak adopsi tahap awal passkey dan apakah kondisi yang diperlukan untuk penggunaan luas sedang dibangun. Indikator-indikator ini mendahului perilaku login yang sebenarnya tetapi sangat penting untuk memungkinkan adopsi yang berarti dan mengoptimalkan penerapan.

KPI input ini berfungsi sebagai indikator utama adopsi passkey di masa depan dan memungkinkan organisasi untuk menyempurnakan edukasi pengguna, alur UX, dan implementasi teknis.

KPI output (OKR) mengukur keberhasilan sebenarnya dari adopsi passkey dengan mengevaluasi perilaku pengguna, perbaikan operasional, dan dampak bisnis. Indikator-indikator ini mencerminkan efektivitas dunia nyata dari penerapan passkey. Tingkat Login Passkey adalah KPI Output inti karena secara langsung mencerminkan adopsi dan penggunaan passkey yang sebenarnya. Tingkat login passkey yang meningkat menunjukkan proses orientasi yang berhasil dan preferensi pengguna yang berkelanjutan untuk passkey dibandingkan metode autentikasi lama.

Sangat penting untuk mengoptimalkan terutama untuk keberhasilan login passkey dan tingkat login passkey untuk memastikan pengalaman pengguna yang lancar, sambil secara bersamaan bekerja untuk meningkatkan tingkat aktivasi pengguna - tetapi hanya ketika tingkat keberhasilan login cukup tinggi untuk menghindari frustrasi pengguna. Selain itu, melacak KPI ini berdasarkan segmen yang berbeda (seperti OS, browser, dan perangkat) dan kasus penggunaan spesifik (misalnya, login lintas perangkat) dapat memberikan wawasan yang lebih dalam tentang pola adopsi dan potensi titik gesekan.

Mengukur secara akurat baik KPI input (misalnya, penerimaan, pembuatan) maupun output (misalnya, tingkat login, penggunaan fallback) memerlukan pengumpulan data dari tiga sumber utama:

1. Data peristiwa frontend
2. Penyimpanan passkey / kredensial
3. Log autentikasi lama & fallback

Untuk menghitung metrik seperti Tingkat Penerimaan Passkey atau Tingkat Keberhasilan Pembuatan Passkey, Anda harus mendeteksi berapa banyak pengguna yang melihat nudge pasca-masuk, berapa banyak yang mengklik “Ya, buat passkey,” dan apakah mereka benar-benar menyelesaikan pembuatan passkey. Ini memerlukan pelacakan peristiwa JavaScript (atau seluler asli) untuk menangkap:

• Kapan dan jika nudge ditampilkan (pertama kali vs. waktu berikutnya)
• Berapa lama waktu yang mereka butuhkan untuk menyelesaikan nudge
• Jika mereka membatalkan seremoni pembuatan passkey sekali atau beberapa kali

Anda juga akan memerlukan penguraian agen pengguna atau petunjuk klien untuk mengaitkan tingkat penerimaan kembali ke versi OS / browser tertentu agar dapat mendeteksi jalur yang rusak secara spesifik.

Setelah pengguna memulai pendaftaran di frontend, server harus mengonfirmasi apakah passkey baru benar-benar disimpan. Anda akan memerlukan akses ke database atau API penyedia identitas eksternal yang mencatat setiap peristiwa pembuatan kredensial. Repositori ini membantu Anda menghitung berapa banyak passkey yang ada per pengguna dan melacak hasil akhir (berhasil atau gagal), memastikan Anda tahu persis upaya mana yang berakhir dengan pendaftaran yang selesai.

Untuk metrik seperti Tingkat Fallback, Anda harus melihat log & proses autentikasi Anda saat ini. Dengan menyatukan log ini dengan peristiwa frontend, Anda dapat melihat apakah pengguna memulai login passkey, mendapatkan kesalahan, dan beralih ke login fallback (misalnya, SMS atau kata sandi).

Terakhir, mengukur KPI berbasis waktu seperti Waktu Login Passkey vs. Waktu Login Lama bergantung pada stempel waktu klien dan server. Karena banyak organisasi hanya mencatat proses masuk yang berhasil, Anda harus menambahkan instrumentasi untuk alur passkey yang sebagian atau gagal untuk benar-benar mengukur gesekan dan fallback. Mengintegrasikan ketiga sumber data ini, sambil menghormati privasi dan batasan peraturan, sering kali lebih kompleks dari yang diperkirakan dan merupakan faktor lain yang membuat beberapa tim mengadopsi platform passkey khusus yang menyediakan analitik dan pelacakan peristiwa bawaan.

Komponen Corbado Connect secara implisit mengumpulkan semua titik data yang dijelaskan (ratusan yang berbeda) dengan secara otomatis menghasilkan proses unik untuk setiap pengguna yang memulai proses autentikasi. Melalui integrasi yang mulus, Corbado juga mengumpulkan metrik autentikasi dari solusi Anda yang ada. Tampilan holistik ini secara tepat menunjukkan perbaikan bagi pengguna, memberikan wawasan komprehensif tentang semua KPI passkey penting tanpa upaya tambahan dari pihak Anda.

Selain itu, efek KPI output berikut juga akan muncul setelah penerapan passkey yang berhasil dan sebagian besar sudah dikumpulkan di dalam perusahaan:

Metrik Operasional & Pengurangan Biaya

• Pengurangan Penggunaan SMS OTP – Jumlah SMS OTP yang dihemat karena autentikasi passkey (penghematan biaya langsung).
• Pengurangan Permintaan Reset Kata Sandi – Penurunan interaksi helpdesk terkait lupa kata sandi.
• Pengurangan Tiket Dukungan Pelanggan – Volume masalah layanan pelanggan terkait autentikasi yang lebih rendah.
• Pengurangan Volume Panggilan Dukungan – Lebih sedikit panggilan masuk terkait masalah akses akun.

Metrik Dampak Bisnis & UX

• Tingkat Retensi Pengguna – Persentase pengguna yang terus melakukan autentikasi setelah login pertama.
• Tingkat Konversi – Seberapa sering pengguna menyelesaikan transaksi setelah autentikasi.
• Tingkat Penurunan di Corong Login – Apakah passkey mengurangi jumlah pengguna yang meninggalkan upaya login.

Dengan secara spesifik melacak KPI input dan output passkey dan menghubungkannya dengan data lain, organisasi dapat mengukur dampak penerapan passkey mereka dan membuat perbaikan berbasis data untuk memaksimalkan adopsi, mengurangi biaya, dan meningkatkan keamanan.

Memilih solusi passkey yang tepat bergantung pada tantangan spesifik, persyaratan keamanan, dan pertimbangan biaya Anda. Di bawah ini adalah rekomendasi utama untuk keputusan beli vs. bangun di berbagai sektor.

Pertimbangan Utama:

• Kepatuhan terhadap peraturan (misalnya, PSD2, SOC 2, ISO 27001, GDPR) memerlukan langkah-langkah keamanan yang ketat dalam autentikasi passkey.
• Perbandingan biaya passkey sangat penting, karena bank sering meremehkan kompleksitas dan pemeliharaan jangka panjang dari solusi in-house.
• Autentikasi yang aman sangat penting untuk mengurangi penipuan pengambilalihan akun dan phishing

Rekomendasi: Sebagian besar bank dan lembaga keuangan harus mengandalkan solusi vendor passkey daripada membangun sendiri, karena mengelola infrastruktur passkey secara internal memperkenalkan kompleksitas tersembunyi yang melebihi keahlian TI tradisional. Menerapkan autentikasi passkey dalam skala besar memerlukan optimisasi dan pembaruan berkelanjutan, manajemen kompatibilitas WebAuthn, dan integrasi yang mulus dengan sistem perbankan lama - yang semuanya sudah ditangani oleh vendor passkey.

Bank seperti Ubank, Revolut, dan Finom memimpin dalam adopsi passkey, mengakui potensi teknologi untuk meningkatkan keamanan sambil meningkatkan pengalaman pengguna. Analisis ROI passkey sering kali lebih mendukung pembelian solusi passkey daripada berinvestasi dalam pemeliharaan dan pembaruan berkelanjutan, dengan implementasi yang menunjukkan pengurangan signifikan dalam upaya penipuan dan biaya dukungan terkait autentikasi.

Contoh: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square

Pertimbangan Utama:

• Kepatuhan HIPAA dan GDPR memerlukan keamanan autentikasi yang ketat dalam adopsi passkey.
• Tantangan implementasi passkey termasuk menyeimbangkan keamanan dengan kemudahan penggunaan untuk pasien, staf medis, dan administrator TI rumah sakit.
• Banyak sistem autentikasi layanan kesehatan masih mengandalkan infrastruktur lama, membuat integrasi passkey lebih kompleks.

Rekomendasi: Solusi vendor passkey adalah cara paling efektif untuk memenuhi persyaratan kepatuhan sambil menyederhanakan autentikasi. Vendor passkey menangani patch keamanan, pembaruan kepatuhan, dan keandalan autentikasi, mengurangi beban pada tim TI.

Contoh: CVS Health, Caremark, Helsana, NHS, Swica

Pertimbangan Utama:

• Optimisasi Tingkat Konversi (CRO) sangat penting untuk bisnis - gesekan autentikasi secara langsung memengaruhi pendapatan.
• Skenario multi-perangkat harus bekerja dengan mulus (pengguna menjelajah di ponsel tetapi menyelesaikan checkout di desktop).
• Kesalahan autentikasi secara langsung meningkatkan tingkat pengabaian keranjang, membuat alur login yang dioptimalkan UX menjadi penting.

Rekomendasi: Platform e-commerce paling diuntungkan dari penyedia implementasi passkey yang menawarkan tingkat adopsi tinggi. Platform besar seperti Amazon dan Shopify telah mengimplementasikan autentikasi passkey, menunjukkan adopsi teknologi yang berkembang di e-commerce. Data dunia nyata menunjukkan bahwa lebih dari 27% login kata sandi awal gagal, sementara autentikasi berbasis passkey dapat mencapai tingkat login berhasil hingga 95-97% seperti yang ditunjukkan pada adopsi sebelumnya. Analisis ROI passkey menunjukkan bahwa tingkat konversi yang lebih tinggi dan kerugian penipuan yang lebih rendah dengan cepat membenarkan investasi tersebut.

Amazon baru-baru ini mengatakan bahwa mereka menetapkan target ambisius adopsi passkey 100% dan penghapusan total kata sandi.

Google juga menemukan bahwa pengguna uji coba yang berinteraksi dengan passkey 20% lebih mungkin untuk berkonversi menjadi pelanggan berbayar daripada mereka yang tidak.

Contoh: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target

Pertimbangan Utama:

• Autentikasi lintas perangkat sangat penting, karena pengguna memesan perjalanan di satu perangkat dan check-in di perangkat lain.
• Vendor spesialis passkey harus memastikan login yang cepat dan aman untuk pemesanan, check-in, dan manajemen akun yang nyaman.
• Pencegahan penipuan adalah prioritas, karena platform perjalanan menangani transaksi bernilai tinggi.

Rekomendasi: Sebagian besar perusahaan perjalanan harus mengimplementasikan solusi passkey untuk meningkatkan keamanan dan pengalaman pengguna. Perusahaan terkemuka seperti Kayak dan maskapai besar sudah menggunakan autentikasi passkey untuk meningkatkan pengalaman pengguna mereka. Solusi siap pakai memberikan deteksi penipuan yang lebih kuat, pengalaman login yang mulus, dan dukungan multi-perangkat instan. Sektor perhotelan khususnya mendapat manfaat dari pengurangan waktu check-in dan peningkatan keamanan melalui implementasi passkey, memastikan autentikasi yang lancar di semua titik kontak (aplikasi, kios, web, dan platform mitra).

Contoh: Air New Zealand, Bolt, Grab, Uber, Hyatt

Pertimbangan Utama:

• Biaya implementasi passkey harus selaras dengan kebutuhan kepatuhan dan peningkatan pengalaman pengguna.
• Banyak pelanggan asuransi tidak terlalu melek teknologi, jadi pengalaman pengguna di semua jenis perangkat dan browser adalah suatu keharusan.
• Integrasi passkey dengan verifikasi identitas sering kali diperlukan untuk manajemen polis dan pemrosesan klaim.

Rekomendasi: Solusi passkey eksternal paling cocok untuk penerapan cepat dan kepatuhan terhadap peraturan. Penyedia asuransi melaporkan pengurangan signifikan dalam tiket dukungan terkait autentikasi setelah mengimplementasikan passkey. Penyedia implementasi passkey dengan alur autentikasi yang dapat disesuaikan dan verifikasi identitas terintegrasi memastikan keamanan sambil menjaga login pelanggan tetap sederhana. Analisis ROI passkey menunjukkan bahwa mengurangi reset kata sandi dan kerugian penipuan mengimbangi biaya vendor.

Contoh: Branch

Pertimbangan Utama:

• Standar keamanan dan persyaratan kepatuhan tertinggi (misalnya, NIST, kerangka kerja Essential Eight memerlukan MFA yang tahan phishing).
• Kebutuhan penerapan skala besar di berbagai populasi pengguna dengan kemahiran teknis yang bervariasi.
• Persyaratan integrasi dengan sistem verifikasi identitas pemerintah yang ada dan infrastruktur lama.

Rekomendasi: Untuk lembaga pemerintah, solusi passkey khusus yang memenuhi standar keamanan yang ketat sambil memastikan aksesibilitas sangat penting. Keberhasilan implementasi di VicRoads menunjukkan bahwa organisasi pemerintah paling diuntungkan dari solusi passkey eksternal yang menangani persyaratan kepatuhan dan pembaruan keamanan secara otomatis. Oleh karena itu, pilih penyedia implementasi passkey yang menawarkan keamanan tingkat perusahaan, mendukung autentikasi multi-perangkat, dan menyediakan alur autentikasi adaptif untuk mengakomodasi semua warga negara.

Contoh: VicRoads, myGov, State of Michigan

Pertimbangan Utama:

• Skalabilitas dan keandalan sangat penting, karena penyedia telekomunikasi dan utilitas sering mengelola jutaan pengguna di berbagai segmen pelanggan, memerlukan autentikasi yang sangat tersedia dan toleran terhadap kesalahan.
• Dukungan multi-perangkat dan lintas platform sangat penting, karena pengguna mengakses akun melalui aplikasi seluler atau portal web. Autentikasi passkey yang mulus harus berfungsi di semua titik kontak pelanggan.
• Dukungan untuk sistem autentikasi lama sering kali diperlukan, karena penyedia telekomunikasi dan utilitas mungkin perlu mengintegrasikan passkey ke dalam sistem IAM dan platform identitas pelanggan yang ada tanpa mengganggu alur autentikasi saat ini.
• Pencegahan penipuan dan keamanan akun adalah prioritas utama, terutama untuk penipuan SIM swap, pencurian identitas, dan akses akun yang tidak sah. Passkey dapat secara signifikan mengurangi serangan phishing dan risiko credential stuffing.

Rekomendasi: Untuk penyedia telekomunikasi dan utilitas, mengadopsi solusi passkey eksternal adalah pendekatan yang direkomendasikan. Mengingat skala, kompleksitas, dan tuntutan keamanan industri ini, penyedia passkey terkelola memastikan kepatuhan, ketersediaan tinggi, dan integrasi yang mulus dengan infrastruktur autentikasi yang ada. Raksasa telekomunikasi dan penyedia utilitas digital-first sudah merangkul passkey sebagai bagian dari upaya modernisasi keamanan mereka untuk mengurangi penipuan dan meningkatkan pengalaman pengguna. Selain itu, mengalihdayakan implementasi passkey menurunkan Total Cost of Ownership (TCO) dibandingkan dengan membangun sendiri, karena pemeliharaan berkelanjutan, pembaruan keamanan, dan kepatuhan terhadap peraturan ditangani oleh penyedia.

Contoh: Deutsche Telekom, Telstra, SK Telecom

Pertimbangan Utama:

• Autentikasi multi-tenant sangat penting untuk SaaS B2B, memerlukan integrasi passkey yang dapat diskalakan di berbagai sistem IAM.
• Perusahaan mengharapkan SSO (OIDC/SAML), oleh karena itu integrasi yang mulus dengan Penyedia Identitas sangat penting untuk bisnis.
• Biaya implementasi passkey harus diimbangi dengan investasi keamanan lainnya, seperti autentikasi multi-faktor (MFA) dan model keamanan zero-trust.

Rekomendasi: Untuk sebagian besar penyedia SaaS B2B, implementasi passkey eksternal adalah pilihan optimal. Implementasi biasanya lebih cepat daripada pengembangan in-house. Perusahaan B2B digital seperti Notion, Hubspot, atau Vercel telah merangkul passkey untuk meningkatkan keamanan autentikasi mereka. Total Cost of Ownership secara signifikan lebih rendah daripada pengembangan in-house, karena pemeliharaan, pembaruan, dan persyaratan kepatuhan ditanggung oleh penyedia.

Contoh: Canva, DocuSign, Notion

Passkey telah menjadi standar global untuk autentikasi, menyederhanakan login bagi pengguna akhir sambil meningkatkan keamanan. Saat perusahaan mengevaluasi cara mengimplementasikan passkey, mereka harus memutuskan apakah akan membangun solusi in-house atau memanfaatkan vendor passkey khusus. Meskipun implementasi DIY menawarkan kontrol penuh, mereka memerlukan keahlian teknis yang signifikan, sumber daya pengembangan, dan pemeliharaan berkelanjutan. Sebaliknya, vendor passkey menyediakan pendekatan yang lebih cepat, dapat diskalakan, dan hemat biaya, memastikan tingkat adopsi yang tinggi, pengalaman pengguna yang mulus, dan kepatuhan terhadap standar keamanan yang terus berkembang.

Panduan ini membahas pertanyaan-pertanyaan kunci berikut:

• Komponen apa saja yang diperlukan untuk mengimplementasikan passkey dan beralih ke sistem tanpa kata sandi?

  Penerapan passkey yang berhasil memerlukan infrastruktur FIDO2/WebAuthn, alur UX yang mulus, mekanisme fallback, dan opsi pemulihan akun yang aman. Perusahaan juga harus mempertimbangkan kompatibilitas lintas platform dan kepatuhan keamanan.

• Haruskah saya mengimplementasikan passkey secara in-house atau menggunakan vendor eksternal?

  Meskipun pengembangan in-house menawarkan kontrol, itu datang dengan kompleksitas tinggi, biaya pemeliharaan berkelanjutan, dan tanggung jawab keamanan. Sebagian besar organisasi yang berhadapan dengan konsumen skala besar mendapat manfaat dari solusi passkey eksternal yang menyediakan penerapan cepat, biaya operasional yang lebih rendah, dan overhead teknis yang berkurang.

• Apa keuntungan memiliki vendor passkey ketika ada pustaka sumber terbuka?

  Pustaka WebAuthn sumber terbuka menyediakan titik awal tetapi tidak memiliki keamanan tingkat perusahaan, pengalaman pengguna yang dioptimalkan untuk passkey, dan fitur peningkat adopsi. Vendor passkey memastikan penerapan yang mulus, skalabilitas, dan strategi adopsi pengguna yang dioptimalkan yang memberikan ROI lebih baik, mengurangi gesekan bagi pengguna dan pengembang.

• Apa tantangan terbesar dalam membangun solusi passkey?

  Mengembangkan sistem passkey in-house memerlukan keahlian mendalam dalam WebAuthn, dukungan multi-perangkat, dan adopsi passkey. Mempertahankan kompleksitas perangkat dan browser yang berkelanjutan dan memastikan tingkat adopsi yang tinggi semakin menambah kompleksitas.

• Apa risiko mengimplementasikan passkey secara in-house?

  Perusahaan berisiko biaya pengembangan yang tinggi, jadwal penerapan yang berkepanjangan, dan beban pemeliharaan keamanan yang berkelanjutan. Kegagalan kepatuhan, kerentanan keamanan, dan adopsi pengguna yang buruk dapat menggagalkan keberhasilan peluncuran passkey. Solusi passkey yang dikelola vendor mengurangi risiko ini dengan menawarkan infrastruktur autentikasi yang terbukti dan dapat diskalakan dengan keamanan dan kepatuhan peraturan bawaan.