Mengapa Penyedia Autentikasi Passkey Menghemat Biaya >$100.000

Dalam artikel ini, kita akan membahas 5 kekeliruan paling umum yang sering kita temui terkait implementasi passkey ke dalam proses autentikasi (yang sudah ada), dan menggunakan contoh perhitungan untuk menunjukkan mengapa masuk akal untuk mencari penyedia khusus yang benar-benar ahli dalam hal passkey.

Passkey itu luar biasa. Untuk pertama kalinya dalam sejarah autentikasi, tidak hanya keamanan bagi pengguna yang meningkat pesat, tetapi juga kenyamanannya. Saat ini, kebanyakan orang sudah terbiasa membuka kunci ponsel mereka dengan wajah atau sidik jari. Membawa masa depan yang ramah pengguna ini ke web adalah langkah logis berikutnya. Bersama dengan infrastruktur kunci publik yang mendasarinya yang memanfaatkan kriptografi asimetris, passkey tampak seperti solusi yang sempurna. Itu benar dari sudut pandang pengguna akhir, tetapi bagi organisasi, mengimplementasikan standar autentikasi baru ini secara internal adalah upaya besar yang melibatkan risiko dan biaya tinggi. Artikel ini menjelaskan kekeliruan paling umum tentang passkey dan cara mengatasinya.

Pertama-tama, passkey didasarkan pada standar terbuka yang ditetapkan oleh aliansi FIDO (Fast Identity Online) di mana semua pemain teknologi besar, seperti Microsoft, Apple, Google, dan lainnya seperti PayPal, eBay, atau Visa tergabung di dalamnya.

Namun, standar terbuka ini dokumentasinya kurang baik, sehingga implementasi ke dalam sistem yang ada dan integrasi ke dalam alur pengguna menjadi tantangan dalam praktiknya. Hal ini menuntut kita untuk merancang alur pengguna serta integrasi teknis dari awal. Untuk menambahkan passkey ke sistem Anda yang sudah ada, dokumentasi dan implementasi dasar saja tidak cukup jika Anda sudah memiliki autentikasi untuk pengguna lama.

Selain itu, tantangan sebenarnya dimulai jika Anda memiliki pengguna dari berbagai platform (iOS, Android, Windows) yang menggunakan beberapa perangkat karena passkey (sebagian) terikat pada perangkat. Implementasi serta pengalaman pengguna bervariasi tergantung pada platform, menjadikannya upaya yang kompleks untuk menawarkan passkey sebagai metode login pilihan kepada semua pengguna Anda. Terutama saat ini, di mana banyak pengguna memiliki lebih dari satu perangkat, sangat penting untuk mendukung semua perangkat dan sistem operasi dengan benar.

Secara teori, ini benar tetapi ada biaya-biaya yang melekat, terutama untuk integrasi dan pemeliharaan. Awalnya, Anda perlu mengerjakan konsep untuk alur proses dan UX yang biasanya dikerjakan oleh 1-2 manajer produk. Ini bisa memakan waktu hingga 2 bulan dan, tergantung pada pengalaman manajer produk, bisa menelan biaya hingga $30.000 saja. Setelah itu selesai, arsitek sistem, manajer produk, dan developer yang mengintegrasikan solusi ini diperlukan. Kemudian, ada upaya pemeliharaan, misalnya untuk menjalankan server FIDO2. Selain itu, Anda perlu memastikan transisi pengguna yang mulus agar tidak membingungkan pengguna Anda, yang sangat rumit untuk dirancang dan diimplementasikan secara internal, dan karena itu mahal.

Selain itu, Anda perlu menjalankan infrastruktur: server dan database saat ini tidak gratis. Terutama, jika Anda membutuhkannya berjalan dengan aman dan andal dengan ketersediaan tinggi pada titik kritis dalam aplikasi Anda. Semua ini memakan banyak biaya yang lebih baik Anda alokasikan untuk fitur inti Anda.

Lebih jauh lagi, pemain eksternal lain untuk menyediakan sistem pendukung (fallback) seperti layanan email atau SMS perlu dipilih, dikelola, dan dipantau. Tentu saja, Anda juga bisa melakukannya sendiri, tetapi pengguna Anda mengharapkan pengiriman email transisional yang sangat cepat dan ketersediaan tinggi. Percayalah, Anda tidak ingin mengoptimalkan pengiriman email sendiri. Layanan ini tidak gratis dan menambah biaya.

Saat berbicara dengan pelanggan, ini mungkin adalah kesalahpahaman yang paling umum dan perjuangan sesungguhnya dari autentikasi. Menawarkan passkey untuk aplikasi baru yang dimulai dari nol bisa dilakukan dengan cukup mudah. Bagian yang rumit adalah mentransisikan pengguna yang sudah ada ke passkey. Sering kali, basis pengguna cukup heterogen karena ada pengguna awal (early adopters) yang ingin segera meninggalkan kata sandi mereka dan beralih ke passkey secepat mungkin. Di sisi lain, ada orang yang lebih suka tetap menggunakan kata sandi mereka. Merancang alur yang berbeda namun tetap dapat mengarahkan semua pengguna secara mulus dan cerdas menuju passkey adalah tantangan yang sebenarnya.

Setelah integrasi awal, banyak orang berpikir bahwa passkey akan bekerja dengan sendirinya dan adopsi akan datang dengan sendirinya. Itu adalah kesalahpahaman umum lainnya karena passkey adalah fitur yang kritis terhadap keamanan dan membawa banyak risiko. Ini berarti passkey perlu dipantau dan tim yang memantaunya harus ahli dalam keamanan dengan banyak pengalaman.

Selain itu, adopsi passkey perlu dipantau secara terus-menerus untuk mendeteksi potensi masalah dalam fase transisi yang memerlukan perubahan dalam implementasi.

Bahkan sebelum memikirkan implementasi teknis passkey dan mulai membuat kode, banyak pekerjaan konseptual yang harus dilakukan terlebih dahulu. Terutama, ketika mengintegrasikan teknologi baru seperti passkey, di mana kualitas dan kuantitas praktik terbaik dan dokumentasi yang ada masih rendah, banyak proses konseptual yang perlu dipertimbangkan. Di antara yang paling penting adalah:

1. Membuat sketsa seluruh proses pendaftaran dan login: Saat merancang alur dari awal pendaftaran atau login hingga autentikasi berhasil, ada banyak langkah proses yang berjalan di latar belakang. Ini perlu dimodelkan dan disusun dalam pohon logika yang kompleks. Merancang kasus standar saja sudah merupakan tugas yang rumit, yang sama sekali tidak sebanding dengan upaya yang jauh lebih besar yang diperlukan untuk mencakup semua kemungkinan kasus tepi (edge cases). Pada akhirnya, harus ada proses autentikasi yang berfungsi dalam setiap skenario potensial dan mengautentikasi pengguna.
2. Menangani penggunaan lintas platform: Sangat penting untuk memastikan bahwa pengguna dapat menggunakan passkey baik lintas perangkat maupun lintas platform sambil membimbing mereka dengan lancar melalui proses autentikasi bahkan ketika passkey belum tersedia.
3. Memastikan kompatibilitas mundur: Untuk mendorong penggunaan passkey, perlu dikembangkan mekanisme yang tidak hanya secara otomatis mendeteksi kesiapan passkey dari semua perangkat yang ingin digunakan pengguna untuk autentikasi, tetapi juga mengetahui apakah pengguna ingin login dengan passkey sejak awal. Jika pengguna lebih suka melanjutkan dengan opsi login saat ini seperti kata sandi, login sosial, atau SSO, autentikasi hibrida perlu dijalankan secara paralel.
4. Menyediakan layanan pemulihan: Mungkin terdengar jelas, tetapi merancang alur untuk reset kata sandi mandiri dan opsi fallback jika terjadi kesalahan adalah salah satu tugas yang paling menantang karena Anda perlu menjamin bahwa pengguna dapat melakukan autentikasi jika mereka lupa kata sandi atau tidak pernah mengaturnya.
5. Merancang UX yang hebat: UX lebih dari sekadar membuat antarmuka yang ramah pengguna. Untuk perangkat lunak secara umum, manajemen perangkat dan preferensi pengguna, komunikasi pengguna, dan desain yang dapat disesuaikan untuk CI Anda memainkan peran utama. Karena passkey terikat pada perangkat, perusahaan perlu fokus terutama pada manajemen perangkat untuk memastikan bahwa penggunaan passkey berfungsi tanpa cela untuk semua perangkat pengguna mereka. Ketika menyangkut komunikasi pengguna, penting untuk mengedukasi pengguna Anda dengan pesan pengguna yang telah ditentukan dan diuji.

Semua langkah ini membutuhkan waktu berjam-jam dari manajer produk dan developer dan sering kali diabaikan dalam pengembangan perangkat lunak.

Debat antara membangun versus membeli perangkat lunak bukanlah hal baru. Saat memutuskan hal ini, Anda harus mempertimbangkan banyak faktor. Faktor kunci bagi perusahaan mana pun adalah blok biaya yang berasal dari pengembangan atau pembelian perangkat lunak. Ketika solusi perangkat lunak, misalnya untuk autentikasi passkey, dibeli, sering kali argumen yang muncul adalah biaya di muka sangat tinggi. Namun, perusahaan biasanya lupa bahwa pengembangan sendiri setidaknya sama mahalnya, karena biayanya bergantung, misalnya, pada kompleksitas perangkat lunak itu sendiri, manajemen produk, desain UX/UI, tim pengembangan, dan sering kali banyak biaya tersembunyi (terutama pemeliharaan dan pembaruan).

Untuk memberikan gambaran tentang biaya pengembangan perangkat lunak autentikasi, berikut adalah perhitungan dasar untuk sebuah perusahaan dengan tim autentikasi internal yang menawarkan layanan mereka untuk pengguna desktop, seluler, dan aplikasi native. Selain autentikasi email/nomor telepon dan kata sandi, mereka juga memiliki login sosial:

• 2 backend developer: $126.000
• 1 frontend developer: $60.000
• 1 developer iOS: $60.000
• 1 developer Android: $68.000
• 2 product manager: $170.000
• 1 project manager: $85.000

Harap dicatat bahwa ini adalah total gaji tahunan dan didasarkan pada gaji rata-rata menurut standar industri menurut Glassdoor, tidak termasuk biaya tenaga kerja non-upah.

• Durasi: 1,5 bulan
• Stakeholder tim pengembangan perangkat lunak: 2 product manager, 1 project manager
• Total biaya (gaji): $31.875

• Durasi: 3,0 bulan
• Stakeholder tim pengembangan perangkat lunak: 2 product manager, 1 project manager, 2 backend developer, 1 frontend developer, 1 developer iOS, 1 developer Android
• Total biaya (gaji): $143.750

Total biaya pengembangan perangkat lunak: $175.625

Tentu saja, ini adalah penyederhanaan yang tidak memperhitungkan banyak biaya, seperti biaya transisi atau pelatihan. Jika Anda memerlukan infrastruktur tambahan seperti server dan database atau layanan cloud, Anda akan dikenakan biaya tambahan. Terutama untuk perangkat lunak autentikasi yang perlu melindungi data pribadi secara maksimal, biayanya mungkin jauh lebih tinggi, sehingga ada baiknya menggunakan penyedia passkey khusus seperti Corbado.

Singkatnya: passkey adalah standar terbuka yang dapat diintegrasikan oleh siapa saja secara gratis. Tapi ini adalah pandangan yang sangat sempit. Ketika melihat lebih dekat implikasi dari penggunaan passkey, menjadi jelas bahwa menggunakan penyedia passkey seperti Corbado adalah cara yang jauh lebih cerdas dan hemat biaya. Terutama, karena autentikasi jarang menjadi fitur inti dan lebih merupakan komoditas yang perlu ada dalam produk modern, memanfaatkan pengetahuan dan kemampuan ahli eksternal adalah langkah yang cerdas.

Masih belum yakin? Coba solusi Corbado secara gratis dan tanpa risiko hari ini.