Cara Mendapatkan Tingkat Adopsi Kunci Sandi yang Tinggi pada Alur Pembuatan

Dalam artikel ini, kami menyajikan panduan komprehensif yang menguraikan cara meningkatkan adopsi kunci sandi dan khususnya pembuatan kunci sandi melalui optimalisasi alur pembuatan kunci sandi dengan dorongan (nudges) yang tepat waktu. Kami akan menjawab pertanyaan-pertanyaan berikut:

• Apa saja praktik terbaik untuk perintah pengguna kunci sandi guna memaksimalkan pembuatan kunci sandi?
• Bagaimana perusahaan dapat secara efektif mendorong pengguna untuk mendaftarkan kunci sandi dalam skala besar?

Kami akan membagikan strategi yang telah terbukti dan praktik terbaik praktis yang disesuaikan dengan konteks perusahaan, sehingga organisasi Anda berhasil mengalihkan pengguna dari kata sandi ke kunci sandi. Blog ini secara khusus membahas pembuatan dan pendaftaran kunci sandi; strategi untuk mengoptimalkan penggunaan kunci sandi selanjutnya (frekuensi dan metode login) akan dieksplorasi secara terpisah dalam artikel mendatang.

Mengimplementasikan kunci sandi hanyalah langkah pertama; nilai sebenarnya terwujud ketika organisasi secara efektif meningkatkan adopsi kunci sandi. Tanpa langkah-langkah yang disengaja untuk meningkatkan tingkat pembuatan & penggunaan kunci sandi, bisnis sering kali terjebak dengan ketergantungan pada kata sandi yang terus-menerus. Sekadar menyediakan kunci sandi sebagai opsi tanpa dorongan yang bertujuan untuk pendaftaran kunci sandi dan mengoptimalkan alur login kunci sandi akan membuat orang kembali ke apa yang sudah mereka kenal: Kata sandi. Skenario ini dapat sangat membatasi pengembalian investasi dari proyek kunci sandi.

Organisasi akan mengalami peningkatan keamanan dan pengurangan biaya yang substansial, seperti lebih sedikit penyetelan ulang kata sandi dan penggunaan OTP yang lebih rendah, hanya ketika kunci sandi mencapai penerimaan kunci sandi yang tinggi dan menjadi metode login utama bagi mayoritas pengguna. Oleh karena itu, praktik terbaik untuk perintah pengguna kunci sandi, praktik terbaik perintah kunci sandi setelah login, dan pengujian A/B perintah kunci sandi memainkan peran penting dalam memenuhi tujuan ini. Perusahaan yang menargetkan transisi dari alur pengguna kata sandi ke kunci sandi dalam skala besar dan berupaya mencapai tingkat login kunci sandi 50–80% secara aktif terlibat dalam pembuatan kunci sandi.

Panduan Buy vs. Build. Panduan praktis, pola peluncuran, dan KPI untuk program passkeys.

Dapatkan panduan gratis

Strategi keterlibatan pengguna kunci sandi ini sejalan dengan rekomendasi FIDO Alliance di Passkey Central, di mana FIDO alliance memperkuat kebutuhan untuk mendorong adopsi kunci sandi oleh pengguna di perusahaan. Meskipun manfaat tingkat tingginya sudah dipahami dengan baik, tantangan sebenarnya sering kali terletak pada cara meningkatkan metrik keberhasilan login kunci sandi misalnya, secara efektif meningkatkan cakupan kunci sandi di berbagai perangkat, mengimplementasikan praktik terbaik perintah kunci sandi setelah login, dan mengatur edukasi pengguna yang berkelanjutan untuk pendaftaran kunci sandi.

Sebagai contoh, pendekatan eksplisit Amazon untuk meningkatkan adopsi kunci sandi - melalui eksperimen ekstensif dan peningkatan UX yang berulang - menghasilkan kecepatan masuk enam kali lebih cepat, yang secara signifikan mengurangi rujukan (fallback) ke kata sandi dan meningkatkan kepuasan pengguna. Demikian pula, segmentasi Microsoft berdasarkan persona dan perangkat, serta lebih dari 2,5 miliar proses masuk menggunakan kunci sandi dari Google, menunjukkan komitmen mereka terhadap penggunaan aktif dibandingkan ketersediaan kunci sandi semata:

Singkatnya, mendorong adopsi pengguna terhadap kunci sandi di perusahaan jauh lebih penting daripada sekadar mengaktifkan fitur kunci sandi. Pengguna jarang sekali mencari metode login baru dengan sendirinya. Anda harus memastikan bahwa optimalisasi alur login kunci sandi, dorongan yang tepat waktu untuk pendaftaran kunci sandi, dan pengujian A/B perintah kunci sandi yang berkelanjutan menjadi bagian dari rencana. Melalui strategi keterlibatan pengguna kunci sandi dan analitik kunci sandi semacam itu, organisasi dapat melampaui ambang batas penting, mengganti kata sandi dengan kunci sandi sepenuhnya dan menuai manfaat penuh - keamanan, finansial, dan pengalaman pengguna - dari masa depan tanpa kata sandi.

Berlangganan Passkeys Substack kami untuk berita terbaru.

Berlangganan

Mendorong pengguna untuk menyiapkan kunci sandi yang sering disebut sebagai pembuatan kunci sandi atau pendaftaran kunci sandi atau "mendaftarkan kunci sandi" adalah dasar dari setiap upaya untuk meningkatkan adopsi kunci sandi dan meningkatkan tingkat penggunaan kunci sandi. Praktiknya, ada beberapa perintah dan alur yang tersedia untuk dorongan pendaftaran kunci sandi, namun tidak semuanya sama efektifnya. Di bawah ini adalah ikhtisar dari pendekatan umum, beserta alasan mengapa praktik terbaik perintah kunci sandi setelah login secara luas dianggap sebagai yang paling berdampak.

Ini bukanlah pengganti perintah setelah login (ini hanya berlaku untuk subset login dan bergantung pada dukungan OS/browser/pengelola kata sandi), tetapi ini merupakan upaya tambahan yang kuat. Untuk detail implementasi teknis, contoh kode, dan tangkapan layar, lihat artikel peningkatan kunci sandi otomatis kami. Untuk dukungan platform, efektivitas, dan pertimbangan strategis, lihat artikel Conditional Create kami.

Saat memilih tempat untuk menerapkan dorongan kunci sandi, pertimbangkan wawasan ini berdasarkan pengalaman perusahaan besar:

Konsensus dari penerapan yang sudah ada sudah jelas: dorongan setelah sign-in menghasilkan pembuatan kunci sandi tertinggi, yang membenarkan kompleksitas implementasinya. Opsi lain yang lebih sederhana, seperti menawarkan pendaftaran kunci sandi melalui halaman pengaturan akun, memberikan titik awal yang berguna untuk eksplorasi pengguna awal. Sebaliknya, metode kompleks seperti perintah setelah reset kata sandi atau pemberitahuan dalam aplikasi yang berkelanjutan biasanya hanya memberikan manfaat inkremental moderat dan jarang membenarkan upaya yang diperlukan.

Conditional Create melengkapi perintah setelah masuk dengan memutakhirkan subset proses masuk kata sandi secara otomatis (saat kata sandi diisi otomatis dan platform mendukungnya). Untuk detailnya, lihat artikel Conditional Create kami.

Konsensus & Poin Penting

• Perintah Setelah Sign-In menempati peringkat tertinggi untuk dampak, yang membenarkan beban pengembangan yang signifikan. Metode ini memanfaatkan momen "titik kesulitan" universal saat mengetik kata sandi sehingga menjadikannya praktik terbaik yang paling penting untuk mencapai tingkat adopsi kunci sandi yang tinggi untuk pembuatan.

• Conditional Create (Peningkatan Otomatis) adalah upaya tambahan yang minim hambatan dan dapat menghilangkan perintah eksplisit bagi pengguna yang login menggunakan isi otomatis kata sandi tersimpan pada platform yang didukung.

• Halaman Pengaturan Akun pada dasarnya wajib untuk setiap proyek kunci sandi dan karenanya akan ada bagaimanapun juga. Meskipun memainkan peran minimal dalam meningkatkan tingkat adopsi secara signifikan, halaman ini sangat disarankan sebagai langkah implementasi awal. Menggunakan Halaman Pengaturan Akun terlebih dahulu memungkinkan organisasi untuk menguji coba, menyempurnakan, dan memvalidasi implementasi kunci sandi mereka sebelum menerapkan dorongan setelah sign-in yang lebih kompleks.

• Perintah Pembuatan Akun menawarkan manfaat yang tidak terlalu besar dan direkomendasikan sebagai tindakan sekunder untuk melengkapi strategi adopsi yang lebih luas. Perintah ini memberikan adopsi tambahan di antara pengguna baru tetapi tidak berdampak signifikan pada basis pengguna yang sudah ada.

• Setelah Reset Kata Sandi dan Pemberitahuan & Banner Dalam Aplikasi biasanya menghasilkan keuntungan yang rendah hingga sedang. Meskipun langkah-langkah ini dapat melengkapi upaya adopsi yang lebih luas, kompleksitas implementasinya jarang membenarkan untuk memprioritaskannya sebagai strategi inti.

Dalam menyusun dorongan setelah sign-in yang ideal, ada baiknya Anda memeriksa peluncuran yang sukses oleh perusahaan teknologi besar dan mengidentifikasi temuan umum dari eksperimen mereka. Sebagian besar informasi ini dapat ditemukan dalam pembicaraan yang dipublikasikan oleh FIDO Alliance.

• Eksperimen Ganda & Perlakuan: Amazon menguji berbagai alur postsignin ("T1," "T2," "T3") untuk melihat perintah pengguna mana yang paling berhasil. Beberapa di antaranya secara otomatis membuka dialog pembuatan kunci sandi, sementara yang lain menampilkan layar sederhana "Siapkan kunci sandi Anda" dengan dua pilihan: "Ya, buat kunci sandi" atau "Tidak, tetap gunakan kata sandi."

• Kecepatan Masuk 6× Lebih Cepat: Melalui pengujian A/B yang berulang dan penyesuaian waktu nyata, mereka mencapai login hingga enam kali lebih cepat bagi mereka yang mengadopsi kunci sandi yang secara signifikan mengurangi fallback ke kata sandi.

• Perbedaan Seluler vs. Desktop: Amazon menemukan bahwa pemicuan otomatis pendaftaran kunci sandi di ponsel menghasilkan penerimaan yang lebih tinggi dibandingkan dengan alur desktop, yang menunjukkan bahwa pengguna pada ponsel pintar lebih terbuka terhadap perintah biometrik.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

• Segmentasi Persona & Perangkat: Peluncuran internal Microsoft secara sistematis menargetkan kelompok pengguna yang berbeda (eksekutif, pengembang, pekerja garis depan) dan platform tertentu (Windows, macOS, iOS, Android). Mereka menampilkan perintah kunci sandi setelah login yang disesuaikan dengan alur kerja setiap segmen.

• Penegakan Bertahap: Setelah mengukur keberhasilan pada gelombang awal, Microsoft terus meningkatkan penggunaan kunci sandi wajib pada fase-fase berikutnya. Organisasi tersebut juga mengukur “tingkat penerimaan kunci sandi” untuk setiap gelombang, menyempurnakan teks UI atau logika fallback jika konversi menurun.

• Mendorong Cakupan: Setelah pengguna menyiapkan kunci sandi pada satu perangkat, mereka diminta setelah signin berikutnya pada perangkat baru dengan "Tambahkan kunci sandi di sini?" sehingga kunci sandi menjadi ada di mana-mana di lingkungan pengguna.

• Pengujian A/B Berskala: Dengan 2,5 miliar+ login kunci sandi, Google banyak berinvestasi dalam pengujian A/B perintah kunci sandi. Mereka sering membandingkan pesan kenyamanan (“Lewati pengetikan kata sandi Anda di lain waktu”) vs. pesan keamanan (“Lindungi akun Anda dengan kunci sandi”) untuk melihat mana yang lebih beresonansi.

• Alur ReAutentikasi: Google juga memanfaatkan perintah reauth (seperti ketika pengguna memodifikasi pengaturan sensitif) untuk mengingatkan mereka tentang kunci sandi: “Ingin langkah yang lebih cepat? Buat kunci sandi sekarang.”

• Dorongan Lintas Perangkat: Karena Pengelola Kata Sandi Google menyinkronkan kunci sandi di seluruh perangkat, pendekatan setelah masuk sering kali menyertakan catatan singkat tentang kenyamanan multiplatform, memperkuat "buat sekali, gunakan di mana saja."

• Bahasa Keamanan vs. Kenyamanan: Intuit, rumah bagi QuickBooks dan TurboTax, menguji pesan seperti "Masuk tahan phishing" (mengedepankan keamanan) vs. "Masuk lebih cepat, tanpa kata sandi" (penekanan pada kemudahan penggunaan). Mereka menemukan segmen tertentu (terutama ahli keuangan) lebih termotivasi oleh keamanan, sementara yang lain oleh kenyamanan.

• Pengujian Pengguna yang Berulang: Dengan basis yang sangat beragam - dari pemilik usaha kecil hingga wajib pajak biasa - Intuit terus menyempurnakan kata-kata, tata letak UI, dan waktu dari perintah. Mereka menemukan bahwa memberi perintah segera setelah login menghasilkan tingkat penerimaan kunci sandi yang jauh lebih tinggi.

• Pengingat yang Berkelanjutan: Untuk pengguna yang melewatkan alur kunci sandi pada awalnya, Intuit membuat perintah "kesempatan kedua", muncul kembali setelah jeda singkat - sebuah strategi yang semakin meningkatkan tingkat pembuatan pada akhirnya.

Mari kita lihat dan rangkum kesamaan dari peluncuran berskala besar tersebut:

Di luar taktik berbasis produk ini, platform modern juga mendukung Conditional Create (pemutakhiran kunci sandi otomatis) untuk memutakhirkan subkumpulan log in isi otomatis kata sandi ke kunci sandi dengan interaksi pengguna minimal. Lihat Conditional Create.

Bersama-sama, pembelajaran di dunia nyata ini menegaskan bahwa praktik terbaik setelah sign-in yang menampilkan salinan yang sederhana, dengan pengaturan waktu yang baik, dan keterpaparan ulang yang konsisten merupakan pendorong terkuat dari peningkatan adopsi kunci sandi untuk pembuatan. Di bagian selanjutnya, kita akan mengeksplorasi cara menyusun pendekatan ini guna memastikan pengguna tidak hanya menyiapkan kunci sandi pertama mereka, tetapi juga menambahkan kunci sandi ekstra di beberapa perangkat, sehingga tingkat adopsinya mendekati ambang 50–80% yang diwajibkan untuk mengganti kata sandi dengan kunci sandi sama sekali.

Strategi post-sign-in yang efektif melakukan lebih dari sekadar mendorong pengguna untuk membuat kunci sandi pertama mereka. Strategi ini juga secara proaktif memandu pengguna menuju adopsi kunci sandi yang komprehensif di seluruh perangkat mereka, memastikan bahwa kata sandi menjadi semakin berlebihan. Tujuan dari dorongan ini adalah untuk menetapkan kunci sandi sebagai metode otentikasi utama, sehingga secara signifikan mengurangi ketergantungan pada metode masuk dengan kata sandi yang sudah ketinggalan zaman. Di bawah ini adalah perluasan pertimbangan untuk setiap fase strategis dalam proses pasca masuk.

Tantangan utama dalam mendorong adopsi kunci sandi awal terletak pada menemukan pesan yang tepat. Organisasi harus dengan jelas menentukan apakah akan menarik kenyamanan pengguna atau berfokus terutama pada peningkatan keamanan. Contohnya, Google meraih keberhasilan di kalangan masyarakat umum dengan perintah sederhana dan berorientasi kenyamanan seperti "Proses masuk yang lebih cepat, tanpa kata sandi," yang sangat disukai oleh para pengguna sehari-hari. Sebaliknya, Intuit menetapkan bahwa kalangan profesional, terutama yang bergerak di bidang keuangan, bereaksi lebih positif terhadap pesan yang berfokus pada keamanan, seperti "Lindungi akun Anda dari praktik phishing." Pesan yang ideal akan sangat bergantung pada target demografi pengguna Anda serta kebutuhan atau prioritas khusus mereka, yang menggarisbawahi pentingnya pengujian A/B yang ekstensif untuk menentukan bahasa yang paling efektif.

Menguji varian dari pesan-pesan ini memungkinkan Anda untuk mengukur mana yang paling beresonansi dan menghasilkan tingkat penerimaan tertinggi. Hal yang tak kalah pentingnya adalah mengelola frekuensi perintah: dorongan awal sangat penting, tetapi pengingat berikutnya harus diseimbangkan dengan hati-hati. Perusahaan-perusahaan seperti Amazon mengamati adanya penurunan yang tajam dalam tingkat penerimaan (acceptance rates) setelah terlalu banyak perintah yang diulang secara berurutan. Praktik terbaik yang diadopsi secara luas adalah dengan memberikan kemudahan kepada pengguna untuk melewati pesan (skip), namun kemudian memperkenalkan kembali proses persiapan kunci sandi setelah adanya masa pendinginan (cooldown), contohnya setelah 30 hari.

Memutuskan apakah akan memicu alur pendaftaran secara otomatis setelah sign-in juga berdampak signifikan pada adopsi. Pemicu otomatis pada perangkat seluler telah terbukti sangat efektif, dengan Amazon mencatat tingkat penerimaan 30-50% lebih tinggi karena sifat interaksi biometrik yang intuitif. Namun, petunjuk pendaftaran otomatis harus dijalankan dengan hati-hati untuk menghindari rasa frustrasi pengguna, terutama pada platform desktop, di mana pemicu manual umumnya lebih efektif dan tidak terlalu mengganggu.

Mencapai adopsi kunci sandi yang meluas tidak hanya dengan mendorong para pengguna untuk mendaftarkan kunci sandi pertama mereka, namun juga secara sistematis mendorong mereka untuk memperluas jangkauan ke peranti-peranti lainnya. Hal ini juga menekan turun kemungkinan penangguhan akun (lockout). Pengiriman pesan yang proaktif membantu memastikan tersedianya pengalaman otentikasi tanpa kelim yang tidak bergantung pada peranti yang digunakan pengguna. Hal ini akan meningkatkan keamanannya secara signifikan sambil memberikan kemudahan di saat yang sama. Misalnya, apabila seseorang awalnya mendaftarkan sebuah kunci sandi pada Windows, dan kemudian masuk menggunakan opsi "fallback" via perangkat Android, maka sistem semestinya menyampaikan permintaan secara eksplisit: "Siapkanlah suatu kunci sandi di sini guna melangkau kata sandi Anda di lain waktu."

Pendekatan multi-perangkat ini memastikan cakupan yang berkelanjutan dan secara signifikan mengurangi rujukan ke metode autentikasi tradisional. Selain itu, mengatasi skenario di mana kunci sandi sebelumnya gagal atau ditinggalkan seperti ketika pengguna menghapus atau membatalkan pendaftaran kunci sandi menawarkan peluang penting lainnya untuk melibatkan kembali pengguna. Meminta mereka setelah login fallback yang berhasil dengan pesan seperti "Penyiapan kunci sandi tidak berhasil terakhir kali - coba lagi sekarang untuk menyederhanakan proses login di masa mendatang" mendorong mereka untuk mencoba ulang pendaftaran.

Dalam skenario login hibrida yang melibatkan otentikasi lintas perangkat (CDA), dorong pengguna segera setelah autentikasi berhasil untuk menyimpan kunci sandi bawaan (native) secara lokal, sehingga meningkatkan kenyamanan di masa mendatang. Misalnya, setelah menyelesaikan CDA melalui telepon pintar (smartphone) guna memberi otorisasi pada sebuah sesi Windows, anjurkan si pengguna tersebut secara jelas dengan kata-kata: "Tambahkan suatu kunci sandi secara langsung ke perangkat ini guna menghindari keharusan menggunakan telepon Anda pada kesempatan selanjutnya."

Pada akhirnya, pendekatan yang diperluas ini melintasi berbagai macam perangkat tidak sekadar menyempurnakan keamanannya namun di saat bersamaan, turut menghargai sang penggunanya menyangkut ihwal waktu, kemudahan, dan selera pilihannya. Para pengguna merasa lebih dipertimbangkan dan terberdayakan manakala disediakan sebuah tuntunan berdasar keadaan diri masing-masing secara jelas. Pada gilirannya, rasa keterpercayaan tersebut makin ditegaskan plus menyulut kemauan si penggunanya guna mengadopsi pemanfaatan atas berbagai kunci sandi mencakup semesta ekosistem persandian digital miliknya, dan berbuat sedemikian supaya rujukan atau pengulangan tak nyaman tersebut dapat dicegah dan pemanfaatan sistem CDA-nya pun dapat berkurang jumlahnya.

Transisi pengguna pada tahapan mewajibkan pemakaian kunci sandi mensyaratkan perlakuan bertingkat yang diorganisasikan, karena ia khususnya terasa signifikan maknanya kalau ditaruh pada kancah teregulasi maupun buat kelompok nilai-kepentingan-akun (account value) tinggi. Penegakan atas tahap adopsi kunci sandi secara merangkak maju tanpa tiba-tiba diharuskan berfungsi meminimalkan kadar daya tolak pengguna serta memaksimalkan ukuran kemauan-penerimaannya.

Satu metode efektifnya yaitu pada mulanya dilacak keterlibatan adopsi berbasis sukarelanya guna membikin para penggunanya menjadi mahir bersama penerapan pemakaian dari kunci sandinya tersebut. Setelah pengguna berhasil masuk beberapa kali menggunakan kunci sandi, Anda dapat secara bertahap menonaktifkan metode masuk berbasis kata sandi, mengomunikasikan transisi ini dengan jelas jauh-jauh hari sebelumnya. Sebagai contohnya, maklumkan secara eksplisit pada penggunanya: "Mulai per bulan yang akan tiba, perlakuan yang melibatkan kata sandi tiada lagi dilayani atau diperkenankan; harap mantapkan bahwasanya sang kunci sandi milik-Anda itu aktif-bekerja."

Memantau statistik keterlibatan pengguna dari dekat juga turut memberikan peranan membina (fine-tuning) terhadap wujud transisi pewajibannya itu sendiri. Jika pengguna berulang kali mengabaikan perintah pendaftaran, eskalasikan pesan Anda, kemungkinan dengan menghapus opsi "Lewati" (Skip) setelah mencapai ambang batas tertentu atau eskalasikan perpesanan menjadi suatu keharusan, semisal sebagaimana kentara via implementasi Microsoft di taraf terdahulu. Namun, selalulah persiapkan sistem mekanisme cadangannya yang masih bertaraf aman, misalnya wujud kunci keamanan berbasis perangkat keras (hardware), buat pengguna-penggunanya yang berkemungkinan mendapati kelainan fungsi karena permasalahan kendala secara teknikal atau ketidak-sesuaian komputasi.

Mengomunikasikan manfaat dengan gamblang semisal berwujud faedah yang mencegah peretasan (phishing) dengan pengambilalihan hak milik atas akun secara ilegal semakin menanamkan nilai-guna transisi dan kadar penerimaannya dari diri si pengguna bahwasanya pewajiban pemakaian atas peranti model kunci sandi itu urgen dibutuhkan. (yang ini tentunya berbeda dengan pemakluman biasa saat ia masih berwujud pilihan alternatif). Perpesanan bermodel seperti "Berbagai perangkat kunci sandi turut memproteksi sistem akun Anda buat jadi terus aman - segala kata sandi yang sebelumnya ada pun perlahan dienyahkan dari peredaran kelak secepatnya" menandakan kebergunaannya dan faedah atas beralih-gantinya sistem tersebut dengan makin menderaskan asa keyakinan diri pengguna terhadap praktik adopsi berbagai kunci sandinya itu dalam kapabilitasnya mewujud sebagai standar kenormalan baru demi menaut-sahkan diri.

Untuk secara efektif mendorong tingkat adopsi kunci sandi yang tinggi untuk pembuatan kunci sandi, maka alur setelah sign-in yang terstruktur dengan cermat dan dikomunikasikan secara jelas sangatlah penting. Alur optimal ini secara sistematis mengatasi tiga skenario berdasarkan apakah pengguna sudah memiliki kunci sandi yang didaftarkan, kemudian akan memandu mereka melintasi tiap tahap dari proses pembuatan yang mula-mula, seraya memperluas jangkuannya buat peranti-peranti di tahap selanjutnya dan disokong oleh metode penanganan bagi peristiwa pencadangan ulangnya (fallback).

Di bawah ini adalah uraian rinci yang selaras dengan diagram alur yang disajikan:

flowchart TD
    A[Pengguna Login] --> B{Apakah pengguna sudah memiliki kunci sandi?}

    %% Shared nodes
    Z[Kunci Sandi Dibuat]
    CD[Jeda 30 hari]

    %% Primary flow: create first passkey
    B -->|Tidak| P0[Alur utama]
    P0 --> P1{Kata sandi diisi otomatis?}
    P1 -->|Ya| CC[Coba Conditional Create]
    CC --> P2{CC berhasil?}
    P2 -->|Ya| Z
    P2 -->|Tidak| P3{Desktop atau Seluler?}
    P1 -->|Tidak| P3

    P3 -->|Desktop| D1
    P3 -->|Seluler| M1

    subgraph Desktop [Sub-alur Utama Desktop]
        direction TB
        D1[Perintah 1] --> D2{Terima?}
        D2 -->|Ya| DZ[Selesai]
        D2 -->|Tidak| D3[Perintah 2] --> D4{Terima?}
        D4 -->|Ya| DZ
        D4 -->|Tidak| D5[Perintah 3] --> D6{Terima?}
        D6 -->|Ya| DZ
        D6 -->|Tidak| DCD[Jeda]
    end

    subgraph Mobile [Sub-alur Utama Seluler]
        direction TB
        M1[Perintah 1 otomatis] --> M2{Terima?}
        M2 -->|Ya| MZ[Selesai]
        M2 -->|Tidak| M3[Perintah 2] --> M4{Terima?}
        M4 -->|Ya| MZ
        M4 -->|Tidak| M5[Perintah 3] --> M6{Terima?}
        M6 -->|Ya| MZ
        M6 -->|Tidak| MCD[Jeda]
    end

    DZ --> Z
    MZ --> Z
    DCD --> CD
    MCD --> CD

    %% Secondary flow: additional devices / recovery
    B -->|Ya| S0[Alur sekunder]
    S0 --> S1[Perangkat baru atau login fallback]
    S1 --> S2{Kata sandi diisi otomatis?}
    S2 -->|Ya| SCC[Coba Conditional Create]
    SCC --> S3{CC berhasil?}
    S3 -->|Ya| Z
    S3 -->|Tidak| S4[Tambahkan kunci sandi di sini?]
    S2 -->|Tidak| S4
    S4 --> S5{Terima?}
    S5 -->|Ya| Z
    S5 -->|Lewati 3x| CD

Pada setiap login, sistem akan melakukan pengecekan di fase awal:

• Apakah penggunanya sudah mempunyai kunci sandi di perantinya?

  • Jika ternyata kondisinya tidak (dengan nol buah peranti berbasis-kunci-sandi), maka perlakuan untuk pengguna kemudian langsung diantarkan ke ranah Layar Pertama (Primary Screen).

  • Jika kondisi jawabnya memunculkan label ya (satu, dua maupun sekian banyaknya kunci-sandi didapati), lantas kelompok penggunanya lalu dikirim berjalan melewati sebuah susunan khusus Layar Kedua (Secondary Screen).

Pada Layar Utama, pendekatan pendaftaran didasarkan atas kondisi bawaan model sistem platform perangkat komputasi di pihak si penggunanya sendiri:

Sebelum memperlihatkan suatu jendela dialog secara seketika/frontal ke mata pengguna (explicit prompt), timbangilah terlebih dulu Conditional Create (pemutakhiran kunci sandi secara otomatis). Langkah tersebut menjadi satu manuver pelibatan bernilai ekstra guna dilakukan tepat tak lama ketika penggunanya ini login berbekal perangkat berfasilitas isi otomatis kata sandi-nya asalkan perangkat jenis komputasi-platormnya men-support kemampuannya itu. Seumpamanya itu terlaksana sempurna, maka pengguna sekadar melewati langsung rangkaian rentetan prosedur prompt yang ditandai berikut.

• Alur bagi PC/Desktop
  Manakala berada pada lingkungan peranti semacam desktop, seraya mendapati mekanisme Conditional Create tiada bekerja atau teraplikasikan padanya, maka instruksi pemberitahu pembuatan perangkat kunci-sandinya pun otomatis menjadi perlakuan bernuansa manual:

  • Pemberitahuan Pertama (First prompt): Penggunanya memilah atau memilih antara mau mengklik atau mengambil status aksi Terima atau Lewati (Skip) pada tahapan permohonan berbunyi persiapan pembuatan piranti sistem kuncinya tersebut.

    • Jika dirasa Menerima, seketika sebuah kuncinya langsung tertata/diproses jadi.

    • Apabila mengambil status Lewati, penggunanya akan didapati suatu kemunculan layar berisikan Pemberitahuan Kedua (Second Prompt) persis pada kelanjutan fase log masuknya atau sign in yang akan datang lagi itu.

  • Kemunculan dari pemberitahuan yang ini, atau yang kita ketahui sebagai Pemberitahuan Kedua tersebut merisalahkan penyediaan ruang ekstra, lalu selanjutnya menagih kepada penggunanya tersebut agar mereka pun menegaskan pemilihannya baik di level opsional Terima ataupun Lewati.

    • Bila jawab-opsional dari pengguna menunjukkan Menerimanya, kemudian kunci terwujud-proses-jadinya seketika dengan status komplit-berhasil.

    • Semisalnya si pemakai justru kembali men-statuskan perlakuan Lewati lagi (Skip again), sistem berikutnya menjadwalkan agar Pemberitahuan yang ke Tiga (Third Prompt) disodorkan-tayang untuk masa tahapan sign in / sesinya kelak.

  • Begitu melampaui tahapan tayang Pemberitahuan Ketiga, sementara pengguna teguh pada keputusannya untuk Lewati, perlakuan bersistemik secara wajar akan menginterupsi siklus pemberitahuannya lantas menciptakan batasan Siklus Jeda untuk per kurun berentang-waktu setara 30 hari-an demi meluputkan penumpukan keluhan berwujud kekesalan (frustrasi) kepada si pemakai.

• Alur Bagi Pemakai Gawai-Mobile (Mobile Device Flow) lebih melibatkan satu pendekatan berkadar kedinamisan luwes:

  • Di ranah langkah-langkah mula, perlakuan penampakan notifikasi-perintah pendaftaran perangkat kunci pun dibangkitkan secara langsung otomatis berkas kesesuaian alami yang didapati dalam wujud pengikutsertaan biometrik peranti bergerak.

    • Asalkan penggunanya mengambil putusan setuju Terima, sistem pun menutup rampung alur urutan tahapan registrasi/pendaftaran seremonial persandiannya itu dalam sekejap.

    • Manakala sang pemakai sekadar memilih opsi Lewati tatkala di sodorkan fase jendela pop-up pemberitahuan dari skema pertama-otomatisnya, runtutannya segera dipindahtugaskan pada alur manual, yaitu untuk urusan Pemberitahuan Kedua untuk ditunggu kemunculannya dalam kelanjutan sesi proses login di esok.

  • Menuju ke bagian urutan pengerjaan fase Pemberitahuan Kedua (di skema jalannya wujud tindakan manual), sekali lagi pengguna harus terang-terangan (eksplisit) menyatakan kesanggupan keputusannya pada titik pilihan Terima atau Lewati.

    • Andaikata diputuskan jadi Diterima, sistem pembuatan (creation) kuncinya lalu membuah rupa sempurna.

    • Jika dilewati satu kali lagi, perlakuan berbentuk Pemberitahuan Ketiga selanjutnya bersedia-disuguhkan untuk satu masa sidang sesi pada lain saat nantinya.

  • Menginjak status tindakan-langkau (skip) sejumlah total tiga putaran bersambung, sistem dari pengguna tipe mobile tersebut masuk setali tiga uang dalam mode fase status Jeda Waktu-30 harian (30-day Cooldown) dan memendam siklus prompt-jendelanya sebelum dibolehkannya pemunculan berbagai deretan instruksi-pemakluman dalam tahapan seterusnya di periode-periode depan.

Sebuah strategi yang mendominasi kawasan ruang dari implementasi Layar Utama ini mengatur penyetaraan yang bertimbang di antara kepraktisan tingkat user seraya disertai teguran bertata-kesopanan namun tak gampang patah arang secara simultannya. Upaya demikian merayap maju secara pelan lalu dengan perlahan-lahan setahap demi setahap menyeret masuk atau melatih penggunanya hingga bertransformasi beralih lalu mengadopsi rupa-rupa penerapan bentuk piranti sandi di atasnya tanpa memberondong penggunanya dengan kemunculan pemberitahuan hingga bikin mereka blingsatan dan lari dari sergapan-kelebihan perlakuan tersebut.

Bagi porsi golongan orang pemakai sistemnya yang telah sedikitnya bertautan kepada sebuah bentuk piranti kunci setidaknya sebanyak 1 unit jumlahnya, deretan anjuran berupa permohonan bertajuk opsi sekunder diarahkan menitikberat fokusnya seraya mensosialisasi tahapan membagi keberlakuan pemakaian dari kunci-sandi demi disebar pemanfaatannya berjejaring ke penjuru rentang aneka alat maupun operasi komputasi untuk membungkam total perlunya prosedur fallback atau tahapan memukul rute sistem log out yang terlampau mundur:

Seumpamanya tahap verifikasi log-masuk mundur (fallback login) ditengarai berasal dari pemanfaatannya berbekal satu pola sesi login berisi-otomatis sebuah kata sandi, lalu prosedur semacam Conditional Create ini dikabarkan berkemampuan berfungsi jalan di perangkatnya, ada baiknya coba satu upaya rintisan ekstra menelurkan jalan masuk berbasis Conditional Create buat menaikkan level (upgrade)-nya di saat awalnya itu juga sembari satu langkah layar tayangan menu pemberitahuan khusus kelas sekunder akan dibentangkan barulah bilamana hal pertama di atas berujung kejatuhan pada tahap fungsinya.

• Selepas pengguna usai melewati berhasil tahapan login beralaskan perangkat metode log-masuk-jalan-balik/mudur ke model yang kuno (mengoper kata-sandi, via input barisan kode via OTP, ataupun model login ala sistem CDA yang melahap sistem pembacaan kode bersimbol model QR), layar tayang selanjutnya pada kacamata pandangannya berwujud satu layar terang serta berpesan menunjuk kepada peranti eksklusif tempat bekerjanya bernama jendela layar peringatan instruksional Sekunder, yang lantas mendesaknya mendaftarkan pembuatan sebuah tambahan ekstra-kunci tersendiri. Sebagai petikan, percontohan berbalut risalah bernarasi sepadan-dengan kata-kata di mana isinya berupa seruan berbunyi: "Menghadirkan lalu menyiapkan salah-satu jenis kunci (passkey)-nya pada piranti tersebut mengantar Anda melompati barisan sesi bermenu kata-sandi bilamana sewaktu-waktu di kesempatan lainnya dipakai memperantarai langkah pemakaian pada alat komputasi perangkat mesin tipe serupa berikut ini."

  • Para pemakainya sekali lagi mempunyai kekuasaan memilih langkah mengaktifkan opsi bertulisan Terima maupun Lewati.

  • Mengiringi putaran-skips (aksi perlakuan abaikan permohonan-jendelanya) melimpah sekian kali banyak bilangannya, cara tata bekerjanya pada komputerisasi ikut mensusupi/menyertakan berlakunya rupa kurun fase Cooldown (masa pembekuan penayangan jeda) terukur buat setara 30-putaran hitungan hari mengantisipasi supaya keengganan pengguna (rasa terganggu dan kelelahan pandang-matanya akan rentetan tampilan-jendela pop) tidak lantas muncul menjadi rupa bumerang buat kemauan adopsinya sendiri.

• Demikian rupa pulanya, beraneka jenis kasus atau permasalahan bilamana para pengguna sebelum waktu yang kini disibukkan pada suatu kondisi yang pernah menuntun perbuatan pembuatan atau tahap menasbihkan pendaftaran atas kunci sandinya yang sempat ditunaikan dulunya itu lantas berakhir pada kegagalan tersematkan di kuncinya; dan juga dalam keadaan spesifik dimana pengguna mencampakkan perwujudannya langsung tanpa keraguan mengabaikannya. Tampilannya berpusat-pusat secara gamblang lalu membicarakan kegagalan sebelumnya yang sempat menyela pengembangannya dahulu, membungkus serta menitik-tinggikan kembali narasi pesannya di persoalan mengunggah rupa kepraktisannya itu tadi sembari menggiring nilai kemampuan di mana keandalan tata prosedur penahapan dari mekanisme sistem-settingnya ini lebih membumi kemudahannya atau pun keuletannya di momen terkini sekarang (masa-kini ini/sekarang/saat ini-nya).

Diagram aliran kerangka rancangan di dalamnya lantas merepresentasikan satu susunan rancang bangun pijakan struktur mula berkapasitas daya topang kuat agar menjadi pemandu dalam mematangkan serta mengimplementasikan satu strategi rancangan dari sebuah post-sign-in atau alur urutan dari tahapan pembimbingan sehabis berlakunya aktivitas otentikasi dalam mendorong pengguna menciptakan pendaftarannya tersendiri atas pemanfaatan model passkey secara manjur plus mujarab. Seraya garis alur dari langkah penahapan sedemikiannya—ibaratnya model mendiferensiasi pola tingkah serta keberbedaan dari lingkungan perangkat layar komputer PC ke taraf mobilenya, pemantauan pada penarikan rasio yang menyoroti angka ritme (kepadatan sebar frekuensi) jendelanya ke pengguna secara amat cermat-hati-hati, terus dilanjutkan dalam menyediakan rentang barisan jenjang-lintasan/cara-berjalannya alur demi kemunculan prosedur selaput jendela seiring seringnya para pengguna menahan diri di mode 'melewatkan' notifikasinya (after repeated skips) menunjukan laku pantulan daripada segaris wujud rentetan pedoman tata-cara praktik model termasyhur (proven best practices) seperti telah diamati-telaah secara empirik oleh serentetan korporasi pemakai raksasa di kalangan jagat korporat laksana rentetan figur perusahan berskala akbar semisal si Amazon, korporasi milik empu Microsoft, apalagi sosok Google, namun menjadi penting poin ini buat terus dikemukakan menyangkut bahwasanya dasar demografi yang menaungi sebaris kalangan di pihak ujung dari pemakainya tentu saja merentang-rentang bervariabilitas membuahkan kesenjangan tajam (berbeda secara mutlak jumlah populasinya alias signifikan differ-nya). Apa saja racikan kiat-kiat di dalam perumusan langkah bertindaknya pada konteks tertentu manakala sanggup menerbitkan luaran paling optimal mungkin, di titik keadaan semesta beda, mampu justru mengeluarkan aneka rentang hasil atau besaran pencapaian di kondisi/skenario tersendiri gara-gara berhubung rupa demografi, selera kebiasaan/kecenderungan pilihan pemakaian alat platform peranti yang dipakai, sampai-sampai menyentuh kepada rupa latar dari model kancah alam tata-konteks pada urusan organisasinya masing-masing.

Demikian halnya, keberadaan pembedahan analisis bertahap-bersinambung berpadu pergelaran pengawasan bermonitor kuat (rigorous monitoring) menyimak sebaran interaksi bersinggungan ke pihak si pemakai ini menjelma krusial demi meracik optimalisasi sungguhan disusul penyelarasan dalam hal pengasahan buat si bentuk rancangan langkah (strategy)-nya dari bagian urusan registrasi persandian kuncinya bagi sisi lingkungan kepunyaan-Anda.

Kajian perekaman rinci/detail tentang angka Tingkat Penerimaan Kunci Sandi (Passkey Acceptance Rates) beserta keberadaaan rentetan-rentetan baris kelompok parameter indikator utama kunci atau lazim dijuluk KPI berpredikat krusial, di titik inilah, bakal senantiasa meneruskan asupan-asupan wawasan cerah-terang tentang tindakan pengambilalihan yang bersifat terarah menyoroti potongan ruas persisnya (mana-mana saja letak ruas porsi tahapannya)—dalam struktur badan bagian jalinan urutan tahapan beralur (alur Anda, your flow) sukses mencetak gol gemilang. Sebagai umpama menukil sepotong misal: di taraf pelacakan pemahaman pada lokasi/celah rentang urutan mana gerangan titik terjun bebas atau penyurutan merosot-tajam animo audiens di rute jalinan jalan panjang memproses/menunaikan fase registrasinya tadi pada nantinya akan serta merta membikin terburai-kelihatan/membongkar/menguak jikalau jajaran barisan pemakainya berpendapat lantas berasakan bahwasannya ragam himbauannya tampak sedemikian keterlaluan merangsek mendesak memaksa secara membabi-buta-kasar (intrusive), terasa berbelit bikin pikiran sumpek bingung (confusing) di kala menelaah mencerna ataukah dirasa kedatangannya terlalu cepat atau mendadak (menabrak kepatutan rupa-kesesuaian-waktunya lantas menjadikannya terasa kedodoran/untimely). Berikut terhimpun saran-rekomendasi rujukan menurut pertimbangan versi dari penelaahan kompas kami tertuju membidik himpunan Metrik parameter pencatat ukurnya bagi bahan pelacakan (Metric to track):

Strategi adopsi kunci sandi Anda tidak boleh statis. Sebaliknya, strategi ini harus berkembang secara dinamis berdasarkan data terukur, yang memungkinkan penyesuaian pada pesan, frekuensi, dan metode perintah (otomatis vs. manual). Dengan mengamati secara cermat bagaimana segmen pengguna yang berbeda merespons dari waktu ke waktu, organisasi Anda dapat secara iteratif menyempurnakan dorongan ini, memastikan bahwa perintah tetap menarik tanpa membebani pengguna. Pada akhirnya, peluncuran kunci sandi yang sukses sangat bergantung pada penyesuaian praktik terbaik terhadap perilaku dan preferensi khusus pengguna Anda, yang diinformasikan oleh analitik yang tepat alih-alih asumsi semata.

Mengimplementasikan praktik terbaik pembuatan kunci sandi dengan benar dengan pengujian A/B, peluncuran bertahap, Conditional Create, dan penanganan kasus ekstrem di 100+ kombinasi OS/browser membutuhkan waktu rekayasa berbulan-bulan. Corbado menyediakan observabilitas dan intelijen adopsi di atas tumpukan identitas Anda yang sudah ada, sehingga Anda dapat melakukan go live dalam hitungan hari, bukan bulan, sekaligus menjaga autentikasi sepenuhnya secara internal (in-house). SDK dan komponen kami dibangun di atas praktik terbaik yang telah terbukti dari peluncuran besar seperti Amazon, Google, dan Microsoft yang disempurnakan dengan data dunia nyata dari implementasi skala besar seperti VicRoads.

Sebagian besar organisasi meluncurkan alur pembuatan kunci sandi tanpa visibilitas tentang apa yang sebenarnya terjadi. Log Anda menunjukkan "pendaftaran berhasil" atau "pendaftaran gagal" tetapi log tersebut tidak memberi tahu Anda:

• Mengapa pengguna ini melewati perintah kunci sandi tiga kali?
• Kombinasi OS/browser mana yang memiliki tingkat putus (drop-off) tertinggi?
• Apakah Conditional Create benar-benar memicu, atau gagal secara diam-diam?
• Bagaimana perbandingan tingkat penerimaan kunci sandi di dorongan pertama vs. dorongan berulang?

Tanpa visibilitas ini, Anda tidak dapat mengoptimalkan. Anda menebak-nebak pesan, pengaturan waktu, dan desain alur, alih-alih mengulanginya berdasarkan data.

Corbado menyediakan observabilitas otentikasi asli (auth-native) yang dibuat khusus untuk alur pembuatan kunci sandi. Untuk gambaran umum lengkap tentang metrik autentikasi selain kunci sandi, lihat playbook analitik autentikasi kami:

Dasbor yang sama, cerita yang berbeda tergantung pada siapa yang bertanya:

SDK Corbado mengimplementasikan semua praktik terbaik pembuatan secara otomatis, termasuk Conditional Create, perintah setelah login, dan pendaftaran multi-perangkat:

Ketika pendaftaran gagal, Corbado memberi Anda alat bantu untuk memahami alasannya:

• Garis waktu debug per pengguna: Memutar ulang perjalanan pendaftaran di seluruh sesi dan perangkat
• Klasifikasi kesalahan yang cerdas: Bedakan kesalahan informasional dari kegagalan kritis
• Deteksi fragmentasi pengelola kata sandi: Mengidentifikasi konflik antara Dashlane, 1Password, dan pengelola bawaan browser
• Deteksi anomali: Peringatan langsung ketika tingkat pendaftaran turun secara tak terduga

Baik Anda membangun alur pembuatan kunci sandi sendiri atau mencari solusi yang dikelola, Corbado membantu Anda melihat apa yang terjadi, membuktikan dampak bisnis, dan memaksimalkan adopsi tanpa harus mengganti IDP Anda.

Kunci sandi telah muncul sebagai metode otentikasi transformatif, yang memungkinkan proses login yang lebih cepat, lebih sederhana, dan lebih aman daripada kredensial tradisional. Namun, sekadar menawarkan kunci sandi tidak menjamin bahwa pengguna akan menerimanya. Organisasi harus merancang perintah kunci sandi secara strategis, menguji A/B pesan, dan menyesuaikan alur ke perangkat yang berbeda untuk meningkatkan adopsi kunci sandi melampaui 50% yang merupakan ambang batas di mana kata sandi benar-benar dapat digantikan. Panduan ini telah mencakup pengetahuan dasar, mulai dari mengeksplorasi mengapa adopsi lebih penting daripada implementasi dasar hingga merinci taktik dorongan (setelah sign-in vs. halaman pengaturan, batas frekuensi, pembuatan otomatis seluler, dll.) yang diandalkan oleh perusahaan teknologi besar untuk mencapai keberhasilan.

• Apa saja praktik terbaik untuk perintah pengguna kunci sandi? Perintah yang paling efektif terjadi segera setelah pengguna berhasil login, memanfaatkan pola pikir autentikasi mereka. Pesan harus dengan jelas menekankan kenyamanan ("Masuk lebih cepat, tanpa kata sandi") atau keamanan ("Lindungi akun Anda dari phishing"), yang ditentukan melalui pengujian A/B yang ketat. Dorongan juga harus menghormati otonomi pengguna, memasukkan periode jeda (cooldown) setelah pelewatan yang berulang untuk meminimalkan frustrasi.

• Bagaimana cara mendorong adopsi kunci sandi oleh pengguna dalam konteks perusahaan? Adopsi perusahaan yang berhasil sangat bergantung pada pendekatan yang terstruktur dan bertahap dikombinasikan dengan analitik yang berkelanjutan. Organisasi harus memantau indikator kinerja utama (misalnya, Tingkat Penerimaan Kunci Sandi, Tingkat Keberhasilan Pembuatan), dengan menyempurnakan strategi mereka berdasarkan data pengguna. Mendorong pendaftaran kunci sandi di berbagai perangkat dan mentransisikan segmen bernilai tinggi menuju penggunaan kunci sandi wajib sangat penting untuk mencapai ambang batas adopsi 50-80% yang diinginkan.

Jika organisasi Anda sedang merencanakan penerapan skala besar dan menargetkan metrik adopsi terdepan di industri, kami di Corbado dengan senang hati akan membantu Anda. Platform Enterprise kami menyediakan analitik yang canggih, pengujian A/B, dan perjalanan pengguna yang disesuaikan untuk memastikan adopsi kunci sandi yang optimal.

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →