Guida all'acquisto o sviluppo di passkey
Sviluppare o acquistare una soluzione passkey? Scopri i pro e i contro del fai-da-te rispetto alle soluzioni dei fornitori (SaaS e on-prem), sfide, costi e best practice.
Questa pagina è stata tradotta automaticamente. Leggi la versione originale in inglese qui.
Scarica la guida completa Buy vs. Build Passkey#
Scarica gratuitamente la guida Buy vs Build Passkey completa e ottieni accesso a tutti gli approfondimenti.
- ✅ Richiesto dai team di Adidas, Woolworths e Mitsubishi
- ✅ Elenco completo dei componenti base e modello di costo per decidere tra acquisto e sviluppo
- ✅ Pratico framework decisionale di 50 pagine
Acquistare o sviluppare una soluzione passkey?
Scarica la guida completa all'acquisto vs. sviluppo
Ottieni una checklist completa per l'implementazione delle passkey, confrontando le soluzioni fai-da-te con quelle dei fornitori (SaaS e on-prem), sfide chiave, costi e best practice.
Scarica la guida gratuita all'acquisto vs. sviluppo
- Per la maggior parte delle implementazioni consumer su larga scala, l'acquisto di una soluzione da un fornitore di passkey offre un'implementazione più rapida, un TCO inferiore e tassi di adozione più elevati rispetto allo sviluppo interno.
- È necessario raggiungere una soglia di adozione critica del 50-80% degli utenti attivi prima che la rimozione delle password diventi praticabile, rendendo gli strumenti di adozione un fattore decisivo nella scelta tra sviluppo e acquisto.
- Oltre il 27% degli accessi tramite password fallisce, mentre l'autenticazione tramite passkey raggiunge tassi di successo del 95-97%, migliorando direttamente i tassi di conversione nell'e-commerce e nel retail.
- Le passkey offrono vantaggi in termini di velocità da 3 a 5 volte rispetto alla password più SMS MFA, correlati a una maggiore soddisfazione degli utenti e a un utilizzo prolungato.
- Le librerie WebAuthn open source forniscono un punto di partenza, ma mancano della sicurezza di livello enterprise, di un'esperienza utente ottimizzata e delle funzionalità di miglioramento dell'adozione necessarie per l'implementazione su larga scala.
1. Motivazione: dovrei acquistare o sviluppare una soluzione di autenticazione passkey?#
L'idea di sviluppare la propria implementazione passkey sembra allettante: controllo completo, integrazioni personalizzate e nessun vincolo (vendor lock-in). Dopotutto, FIDO2 si basa su standard aperti e scrivere le prime righe di codice WebAuthn sembra abbastanza semplice. Quanto può essere davvero difficile?
Ma è spesso qui che inizia la complessità, specialmente quando si prevede di sviluppare una soluzione per uno scenario di implementazione consumer su larga scala con milioni di utenti in un settore come:
- Banca e servizi finanziari (ad es. online, banche, pagamenti, fintech)
- Governo e servizi pubblici (ad es. portali per i cittadini, piattaforme fiscali e di previdenza sociale)
- Assicurazioni e sanità (ad es. portali dei pazienti, piattaforme assicurative digitali)
- E-commerce e retail (ad es. marketplace, programmi fedeltà)
- Telecomunicazioni e utility (ad es. operatori mobili, fornitori di energia)
- Viaggi e ospitalità (ad es. account di compagnie aeree, programmi fedeltà di hotel)
La vera sfida inizia oltre il primo accesso con passkey andato a buon fine e spesso si svela solo mentre si sta già implementando la propria soluzione passkey. All'improvviso compaiono casi limite anomali, errori utente confusi e potenziali blocchi dell'utente a causa della non disponibilità delle passkey. Quella che sembrava un'integrazione lineare si trasforma in mesi o addirittura anni di impegno nello sviluppo, costi di manutenzione imprevisti e un progetto passkey potenzialmente fallito.
Tuttavia, sviluppare la propria soluzione può anche essere la scelta giusta per determinate organizzazioni e requisiti specifici. Abbiamo parlato con decine di organizzazioni dei loro piani di implementazione delle passkey e ne abbiamo accompagnate alcune nel loro percorso in modo pratico. Questa guida ti aiuterà a determinare quando un approccio passkey fai-da-te (DIY) potrebbe avere senso e quando scegliere un fornitore di passkey consolidato è la decisione più intelligente.
Con la nostra Guida all'acquisto vs. sviluppo di passkey, vogliamo rispondere alle seguenti domande:
- Quali componenti sono necessari per implementare le passkey e passare al passwordless?
- Dovrei implementare le passkey internamente o utilizzare un fornitore esterno?
- Qual è il vantaggio di avere un fornitore di passkey quando esistono librerie open source?
- Quali sono le sfide più grandi nello sviluppo di una soluzione passkey?
- Quali sono i rischi di implementare le passkey internamente?
2. Prerequisiti: perché le passkey sono il nuovo standard di accesso#
Le password sono obsolete, insicure e frustranti. Le passkey eliminano i rischi di phishing, migliorano l'esperienza utente e semplificano l'autenticazione, rendendole il nuovo standard degli accessi sicuri. Sia che tu sviluppi internamente o utilizzi una soluzione esterna, integrare le passkey è un importante aggiornamento per la sicurezza e l'usabilità.
Google ha scoperto che puntare sulla facilità d'uso o sulla velocità ha risonanza e funziona. Le persone in genere si lamentano dell'accesso, quindi qualsiasi cosa che renda il processo più semplice e veloce è una vittoria.
Oltre a questi vantaggi per la sicurezza, esiste un enorme potenziale di risparmio sui costi operativi con le passkey. Puoi ridurre il numero di SMS OTP inviati agli utenti che possono accumularsi in modo massiccio per le grandi basi di utenti. Inoltre, l'onere che i recuperi di password e MFA pongono sui tuoi team di assistenza clienti è anche un fattore di costo che può essere eliminato.
A parte questo, le passkey migliorano le percentuali di successo degli accessi e i tempi di accesso per gli utenti, con un conseguente miglioramento dei tassi di conversione, che è un fattore chiave per la crescita dei ricavi in settori come e-commerce, retail o viaggi.
3. Il percorso verso il passwordless: come entrano in gioco le passkey?#
L'obiettivo finale per molte organizzazioni che considerano l'introduzione delle passkey è quello di diventare completamente passwordless. Per raggiungere questo obiettivo, ci sono in genere quattro fasi che devono essere completate. La velocità con cui queste fasi progrediscono dipende in gran parte dalle capacità tecniche, dai modelli di accesso e dalla base di utenti dell'organizzazione. In alcuni casi, possono avere un ruolo anche fattori esterni come la pressione pubblica per introdurre un'autenticazione più sicura o vincoli finanziari.
Esaminiamo queste quattro fasi e descriviamole, poiché l'implementazione delle passkey è solo un passo per garantire il successo di un progetto passkey.
3.1 Fase 1: integrare le passkey#
Il primo passo nella transizione a un sistema completamente passwordless è integrare le passkey come metodo di accesso. In questa fase, le password e gli altri metodi di autenticazione rimangono in atto come alternative per garantire che gli utenti possano ancora accedere ai propri account se non hanno ancora adottato le passkey. Un'integrazione di successo richiede una compatibilità perfetta con i flussi di accesso e le policy di sicurezza esistenti. Le organizzazioni dovrebbero concentrarsi sul rendere semplice la creazione di passkey, assicurando che sia gli utenti tecnici che quelli non tecnici possano adottare il nuovo metodo di autenticazione senza attriti.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study3.2 Fase 2: aumentare l'adozione delle passkey#
Una volta integrate le passkey, la sfida successiva è guidare l'adozione delle passkey da parte degli utenti. Molte organizzazioni sottovalutano l'importanza di questa fase, ma senza un'ampia adozione da parte degli utenti, è probabile che un progetto passkey fallisca. L'obiettivo è incoraggiare il maggior numero possibile di utenti a creare e utilizzare le passkey, rendendole idealmente il metodo di accesso predefinito.
Le tattiche chiave per aumentare l'adozione includono l'educazione proattiva degli utenti, avvisi nell'interfaccia utente (nudge) che promuovono la creazione di passkey e programmi di incentivazione che premiano gli utenti per il passaggio. Le organizzazioni dovrebbero stabilire una soglia di adozione critica, come il 50-80% degli utenti attivi che utilizzano le passkey, prima di passare alla fase successiva. Per una comprensione più approfondita del motivo per cui l'adozione è cruciale, fai riferimento al nostro articolo dedicato su come i bassi tassi di adozione possono mettere a repentaglio il tuo progetto passkey.
3.3 Fase 3: rimuovere le password#
Man mano che l'adozione delle passkey raggiunge una massa critica, le organizzazioni possono iniziare a eliminare gradualmente le password. Tuttavia, rimuovere le password troppo presto o senza un'attenta pianificazione può portare a problemi di usabilità e a un aumento delle richieste di supporto. Si consiglia un approccio graduale:
- Inizia rimuovendo le password dagli account in cui gli utenti si autenticano costantemente con le passkey.
- Offri la rimozione della password come opzione nelle impostazioni dell'account per i primi utenti (early adopters).
- Usa informazioni basate sui dati per identificare gli utenti che sono pronti a diventare completamente passwordless. Ad esempio, gli utenti con più passkey registrate su diversi dispositivi possono avere la priorità per la rimozione della password.
- Comunica proattivamente i vantaggi della rimozione della password per creare fiducia negli utenti.
Guidando strategicamente gli utenti verso un'autenticazione completamente passwordless, le organizzazioni possono massimizzare la sicurezza senza interrompere l'esperienza dell'utente.
3.4 Fase 4: automatizzare il recupero dell'account#
Una volta rimosse le password, i meccanismi di recupero dell'account devono essere solidi e sicuri. I metodi di recupero tradizionali si basano spesso su interventi manuali, come ticket di supporto o reset tramite e-mail, che possono introdurre rischi per la sicurezza e costi operativi. Le organizzazioni devono implementare soluzioni moderne di recupero dell'account self-service che mantengano la sicurezza migliorando l'esperienza dell'utente.
Gli elementi chiave del recupero automatizzato dell'account includono:
- Controlli di vitalità (Liveness checks): prevengono le acquisizioni non autorizzate dell'account assicurando che l'utente sia fisicamente presente.
- Verifica dell'ID: sfrutta documenti d'identità emessi dal governo e la verifica biometrica per confermare l'identità.
- Passkey di fallback: consenti agli utenti di recuperare gli account utilizzando passkey di backup memorizzate su altri loro dispositivi.
Molte organizzazioni investono già in processi di recupero automatizzati indipendentemente dalla loro transizione passwordless per ridurre i costi e migliorare l'usabilità. Tuttavia, in un ecosistema basato su passkey, questi meccanismi diventano ancora più critici per mantenere la sicurezza e ridurre gli attriti.
Sulla base di queste quattro fasi, cercheremo ora di aiutarti a valutare la decisione di acquisto o sviluppo (buy vs. build). Pertanto, è molto importante per il successo a lungo termine del tuo progetto passkey tenere a mente tutte le fasi e non solo integrare le passkey (questo può ancora essere un obiettivo, ma in tal caso si lascia inutilizzato l'intero potenziale delle passkey).
4. Come determinare il giusto approccio per le passkey#
La scelta tra una soluzione passkey fai-da-te e una esterna dipende dalle risorse tecniche della tua azienda, dalle priorità di sicurezza, dalle dimensioni dell'implementazione e dalla strategia a lungo termine per le passkey. Nella prossima sezione, analizzeremo gli aspetti chiave per aiutarti a prendere la decisione migliore.
La seguente tabella mostra i diversi criteri di valutazione che devi valutare. In base all'affermazione verso cui propendi maggiormente, viene fornito un diverso numero di punti.
Come usare la matrice di valutazione:
Per ogni criterio, scegli se la tua azienda ha bisogno di una soluzione più semplice o più elaborata.
- Assegna 1 punto per ogni risposta in cui la complessità nel tuo caso è più bassa e si allinea maggiormente con la descrizione a sinistra.
- Assegna 5 punti per ogni categoria in cui la tua risposta si allinea maggiormente con la descrizione di massima complessità a destra.
- Se non sei sicuro, usa 3 punti come opzione neutrale.
Scarica la guida completa Buy vs. Build Passkey#
Scarica gratuitamente la guida Buy vs Build Passkey completa e ottieni accesso a tutti i criteri di valutazione.
Acquistare o sviluppare una soluzione passkey?
Scarica la guida completa all'acquisto vs. sviluppo
Ottieni una checklist completa per l'implementazione delle passkey, confrontando le soluzioni fai-da-te con quelle dei fornitori (SaaS e on-prem), sfide chiave, costi e best practice.
Scarica la guida gratuita all'acquisto vs. sviluppo
5. Come usare questa guida in modo efficace#
Quando si decide se sviluppare o acquistare una soluzione passkey, è importante guardare all'intero processo, non solo a una singola fase del lancio delle passkey. Anche se la tua priorità a breve termine è offrire le passkey come MVP, dovresti anticipare le implicazioni a lungo termine, in particolare per stimolare l'adozione. Di seguito illustriamo come consigliamo di utilizzare questa guida e di interpretare i risultati, ponendo l'accento sul motivo per cui l'adozione conta più di quasi qualsiasi altro fattore.
5.1 Concentrarsi sull'adozione come fattore di successo numero 1#
Indipendentemente da quanto sia avanzata la tua soluzione passkey, se gli utenti non la adottano creando passkey e usandole per accedere, l'intero progetto è a rischio. Nella nostra esperienza, le organizzazioni spesso sottovalutano lo sforzo necessario per allontanare gli utenti dalle password. Anche se implementi le passkey in modo impeccabile a livello tecnico, una bassa adozione porterà a:
- Dipendenza persistente dalle password, vanificando i vantaggi in termini di sicurezza delle passkey.
- ROI minimo, poiché i risparmi sui costi (meno ripristini di password, riduzione degli SMS OTP) dipendono da un uso significativo delle passkey per l'accesso.
- Esperienza utente frammentata, se la maggior parte degli accessi avviene ancora tramite metodi tradizionali e solo un piccolo sottoinsieme utilizza le passkey.
È in genere necessaria un'alta adozione, a volte il 50% o persino oltre l'80% della base di utenti prima di poter fare passi significativi verso la riduzione o l'eliminazione totale delle password. Organizzazioni come Google e Amazon fissano obiettivi di adozione espliciti ed eseguono sistematicamente A/B test, campagne di educazione degli utenti e notifiche dell'interfaccia utente (UI nudges) per garantire che le passkey siano ampiamente accettate. Questo sforzo concentrato sull'adozione non è facoltativo; è ciò che trasforma il lancio delle passkey da una funzionalità a un tangibile vantaggio competitivo.
5.2 Usare la guida in modo olistico o a fasi#
Questa guida è pensata per aiutarti a prendere decisioni informate sull'implementazione delle passkey in ogni fase del percorso:
- Fase 1 (Integrare le passkey): se stai semplicemente considerando se adottare le passkey e come integrarle, concentrati sui criteri Sviluppare vs. Acquistare (Build vs. Buy) per l'integrazione delle passkey.
- Fase 2 (Aumentare l'adozione): se vuoi che le passkey siano più di una funzionalità, pianifica in anticipo per stimolare l'adozione da parte degli utenti, anche per un MVP, in quanto richiede investimenti tecnologici aggiuntivi, spesso sostanzialmente maggiori rispetto all'implementazione iniziale.
- Fase 3 (Rimuovere le password): se eliminare le password è un obiettivo strategico a lungo termine, assicurati che la tua architettura e i flussi utente siano progettati tenendo presente quel passaggio finale.
- Fase 4 (Automatizzare il recupero dell'account): anche se non sei pronto per passare completamente al passwordless oggi, assicurati che il tuo approccio alle passkey possa evolversi verso un recupero robusto e senza interruzioni per evitare ostacoli futuri.
Di queste, la Fase 2 (Aumentare l'adozione) è la più importante. Puoi valutare ogni sezione separatamente, ma tieni presente che il tuo successo e il tuo ROI a lungo termine spesso dipendono dalla serietà con cui prendi l'adozione fin dall'inizio.
5.3 Coinvolgere i principali stakeholder e allinearsi sugli obiettivi di adozione#
Se sei nella fase iniziale in cui stai decidendo di implementare le passkey, inizia con la prima sezione della matrice di valutazione (integrazione delle passkey) e compilala con il management, l'IT, i product owner e gli altri decisori chiave. Chiedetevi:
- Qual è il nostro tasso di accesso passkey desiderato? Il 5% è sufficiente per dimostrare la fattibilità o abbiamo bisogno del 50-80% prima di considerare le passkey un successo?
- Abbiamo il budget e il consenso dei dirigenti per eseguire A/B test per mesi, eseguire campagne di ottimizzazione, creare materiali educativi e perfezionare continuamente i flussi degli utenti in modo che gli utenti comprendano e vogliano passare alle passkey? C'è abbastanza capacità ingegneristica disponibile per implementare tutti i report, le analisi e i test necessari? Possiamo rilasciare abbastanza frequentemente per raggiungere quegli obiettivi?
- Qual è la visione a lungo termine? Puntiamo alla rimozione della password o stiamo solo fornendo un'alternativa?
Rispondere a queste domande in anticipo assicura che il tuo progetto passkey non diventi un vicolo cieco. Le organizzazioni che non riescono a pianificare l'adozione si ritrovano spesso bloccate con le password per gli anni a venire, minando l'intera strategia di sicurezza e l'esperienza dell'utente.
5.4 Più ti allontani dal "neutrale", più un fornitore ha senso#
In tutta la matrice, ogni criterio di valutazione può portarti dalla complessità più bassa (1) alla complessità più alta (5). Più le tue risposte si spostano verso e oltre la zona neutrale (3), più forte è il caso dell'utilizzo di un fornitore di passkey specializzato:
- Requisiti di alta complessità - come metodi di fallback avanzati, conformità rigorosa, analisi approfondita e UX multi-dispositivo - moltiplicano l'onere ingegneristico e di manutenzione.
- Forte enfasi sull'adozione - raggiungere rapidamente un'elevata adozione delle passkey o rimuovere le password richiede in genere flussi utente ben testati, telemetria dettagliata e notifiche strutturate (nudges).
Questi fattori possono sopraffare i team interni, sia tecnicamente che organizzativamente. Una soluzione passkey gestita può spesso fornire best practice comprovate, aggiornamenti rapidi e competenze del mondo reale per aumentare l'adozione molto più velocemente di un approccio fai-da-te.
5.5. La prospettiva di Corbado: quando un fornitore è la scelta migliore#
Come specialisti in passkey, noi di Corbado abbiamo un punto di vista forte. Se le passkey sono nella tua roadmap e desideri un'implementazione all'avanguardia che guidi attivamente l'adozione, Corbado Connect può aiutarti ad affrontare le complessità su larga scala. Ecco perché:
L'adozione è integrata nella soluzione: la nostra piattaforma è progettata per massimizzare il consenso (opt-in) dell'utente attraverso notifiche intelligenti, analisi e A/B test continui, che determinano anche risparmi sui costi.
Passaggi successivi:
- Compila ogni sezione rilevante della matrice di valutazione - considerando sia gli obiettivi immediati che quelli a lungo termine.
- Dai priorità all'adozione nel tuo processo decisionale - allineati con gli stakeholder su obiettivi di adozione espliciti e sulle risorse per raggiungerli.
- Confronta il TCO tra soluzioni interne e fornite esternamente una volta comprese le tue ambizioni in termini di complessità e adozione, e attraversa il tuo processo interno per valutare se sviluppare o acquistare.
- Consulta esperti di passkey (come Corbado) se i tuoi obiettivi strategici puntano verso una piattaforma completamente gestita che gestisca efficacemente sia le sfide tecniche che quelle relative all'adozione.
Affrontando le passkey in modo olistico e rendendo l'adozione uno degli obiettivi principali, otterrai i risultati migliori. Ciò significa maggiore sicurezza, accessi semplificati e un vero percorso verso un futuro senza password. Se sei interessato a saperne di più su Corbado Connect e su come aiutiamo i nostri clienti a raggiungere un'elevata adozione delle passkey, siamo qui per parlarne.
6. Come misurare il successo di un'implementazione passkey?#
Ora che abbiamo contribuito a determinare il giusto approccio per rispondere alla domanda "Acquistare vs Sviluppare?", analizziamo come valutare il successo di un'implementazione passkey. Pertanto, definiamo i KPI di input e di output di un progetto passkey.
6.1 Quali sono gli importanti KPI di input delle passkey?#
I KPI di input aiutano a tracciare l'adozione in fase iniziale delle passkey e se si stanno creando le condizioni necessarie per un uso diffuso. Questi indicatori precedono il comportamento effettivo di accesso ma sono cruciali per consentire un'adozione significativa e ottimizzare la distribuzione.
| KPI | Definizione | Perché è importante | Come misurarlo | Benchmark |
|---|---|---|---|---|
| Tasso di accettazione delle passkey | Percentuale di utenti che, dopo aver effettuato l'accesso con successo (post-sign-in), ricevono un "nudge" (una notifica o un suggerimento che li incoraggia a configurare una passkey) e scelgono di creare una passkey. Questo KPI misura specificamente la reattività degli utenti a questi prompt post-accesso, evidenziando l'efficacia dei messaggi nel guidare la creazione delle passkey. Questo approccio è considerato all'avanguardia perché in genere gli utenti non creano in modo proattivo passkey tramite le impostazioni di gestione dell'account o delle credenziali. Al contrario, le passkey vengono adottate con maggior successo quando agli utenti viene richiesto direttamente dopo l'accesso, rendendo i nudge il motore principale della creazione di passkey. Assicurati di differenziare il primo nudge in assoluto da quelli successivi, poiché il tasso diminuisce. | Un'elevata accettazione indica che la persuasione dell'utente e il design del nudge hanno avuto successo. Tassi bassi segnalano attrito, messaggistica poco chiara o esitazione dell'utente. | Formula: (N. di utenti che completano la creazione della passkey dopo il nudge) ÷ (N. di utenti esposti al nudge). Segmentare per OS/browser/dispositivo. | 50%-75% al primo nudge, fino all'85% per nudge multipli su dispositivo mobile. Più basso su desktop. Dipende molto dal testo e dall'implementazione. |
| Tasso di successo nella creazione di passkey | Percentuale di utenti che iniziano la cerimonia di registrazione della passkey ma la completano con successo (ossia, nessun abbandono). | Mostra quanti utenti abbandonano a metà della creazione a causa di UX confusa, problemi tecnici o ripensamenti da parte degli utenti. | Formula: (N. di registrazioni passkey completate) ÷ (N. di tentativi di registrazione) Analizzare i punti di errore per OS/browser/dispositivo. | Quasi 100%. |
| Numero di passkey create | Conteggio cumulativo delle nuove passkey create in un determinato periodo (giornaliero, settimanale, mensile). | Una misura di adozione grezza, spesso considerata un KPI di semi-output. Riflette il volume dell'uso delle passkey e i potenziali futuri cambiamenti degli accessi che si allontaneranno dalle password. | Formula: Somma di tutte le passkey appena registrate nelle categorie sistema operativo, browser e dispositivo. Monitorare le tendenze di crescita nel tempo. Il numero assoluto non ha alcuna implicazione in quanto dipende dalle dimensioni della base utenti. | Una quantità sostanziale al giorno non appena l'implementazione è completa. |
Questi KPI di input fungono da indicatori anticipatori della futura adozione delle passkey e consentono alle organizzazioni di perfezionare la formazione degli utenti, i flussi UX e l'implementazione tecnica.
6.2 Quali sono gli importanti KPI / OKR di output delle passkey?#
I KPI di output (OKR) misurano l'effettivo successo dell'adozione delle passkey valutando il comportamento degli utenti, i miglioramenti operativi e l'impatto sul business. Questi indicatori riflettono l'efficacia reale di un'implementazione passkey. Il tasso di accesso tramite passkey (Passkey Login Rate) è un indicatore KPI di output fondamentale perché riflette direttamente l'adozione e l'utilizzo reali delle passkey. Un tasso di accesso tramite passkey in aumento indica un onboarding di successo e una continua preferenza dell'utente per le passkey rispetto ai metodi di autenticazione legacy.
| KPI | Definizione | Perché è importante | Come misurarlo | Benchmark |
|---|---|---|---|---|
| Tasso di attivazione dell'utente | Tra tutti gli utenti che hanno visualizzato almeno un nudge (potrebbero esserci stati più prompt nel tempo), la percentuale di coloro che alla fine hanno creato almeno una passkey. | Misura il successo complessivo dell'onboarding delle passkey attraverso più nudge. Gli utenti possono rifiutare il primo nudge, ma convertirsi in seguito. | Formula: (N. di utenti unici che hanno creato ≥1 passkey) ÷ (N. di utenti unici a cui è stato mostrato almeno un nudge) Segmentare per sistema operativo, browser, dispositivo per vedere chi alla fine adotta le passkey. Quando l'implementazione cresce, anche le passkey eliminate devono essere incluse in questa metrica. | Oltre il 50% in 12 mesi. Il tasso di accesso con passkey converge con il tasso di attivazione degli utenti. Dipenderà dalla composizione dei tuoi utenti. |
| Tasso di accesso passkey | La percentuale di tutti gli eventi di accesso che vengono completati utilizzando una passkey anziché un metodo legacy (password, SMS OTP, ecc.). | Dimostra la frequenza d'uso delle passkey nel mondo reale. Un basso tasso di accesso costantemente indica che gli utenti preferiscono o tornano alle password nonostante abbiano inizialmente creato delle passkey, riflette tassi di attivazione bassi (poiché un alto tasso di accesso può verificarsi solo se l'attivazione stessa è alta) o deriva da un'implementazione di accesso non ottimale che non sfrutta automaticamente le passkey esistenti. | Formula: (N. di accessi con passkey) ÷ (Accessi totali) Segmentare per OS/browser/dispositivo o gruppo di utenti. Questo aiuta a individuare le piattaforme problematiche o le fasce demografiche con un basso utilizzo di passkey. | Oltre il 20% in settimane, oltre il 50% in 12 mesi. (dipende molto da come si implementa) |
| Percentuale di successo dell'accesso passkey | Percentuale di tentativi di accesso passkey che terminano con successo senza ritornare a un metodo di ripiego (fallback). | Rivela attriti all'interno del flusso passkey. Un tasso inferiore può indicare confusione nell'utente, limitazioni ambientali o problemi di compatibilità del dispositivo che portano all'uso di soluzioni di riserva (fallback). Non ci si aspetta un 100%, in quanto gli utenti cambiano dispositivo o provano ad accedere da dispositivi che non sono collegati. Dipende molto dal pattern degli utenti e dai dispositivi usati. | Formula: (N. di accessi passkey andati a buon fine) ÷ (N. di tentativi di accesso passkey) Tracciare i tentativi parziali, in cui l'utente abbandona la passkey a metà strada e passa alla password. | Oltre il 95% su web mobile. Oltre il 99% sulle app native. I tassi di accesso dal desktop dipendono da quanti dei tuoi utenti hanno più dispositivi e da dove si registrano prima. |
| Tempo di accesso passkey rispetto a tempo di accesso legacy | Confronto del tempo medio per l'autenticazione tramite passkey rispetto alle password (o altri metodi legacy), dal momento in cui l'utente avvia l'accesso al completamento corretto. | L'accesso più veloce tramite passkey è correlato a una maggiore soddisfazione dell'utente e a un utilizzo duraturo. | Registrare i timestamp di inizio e di successo per ogni tentativo di accesso. Calcolare il tempo medio di accesso passkey rispetto al tempo medio di accesso legacy. Segmentare per OS/browser/dispositivo per informazioni più approfondite. | Aumento della velocità da 3 a 5 volte. Se confrontato con MFA esistente (PW+SMS). |
| Tasso di fallback | La frequenza con cui gli utenti ritornano alle password o ad un altro metodo non passkey durante un tentativo di accesso avviato inizialmente con una passkey. | Mostra la continua dipendenza dai flussi preesistenti (legacy), forse a causa di una scarsa affidabilità della passkey o alla mancanza di comodità da parte dell'utente. | Formula: (N. di eventi di ripiego) ÷ (N. di tentativi di accesso passkey) Correlare i dati del ripiego (fallback) ai sondaggi tra gli utenti o ai ticket di assistenza per identificare le cause profonde. | Questo KPI è in sostanza il tasso di accesso tramite passkey invertito e dipende dall'implementazione. |
È importante ottimizzare principalmente il successo dell'accesso con passkey e il tasso di accesso con passkey per garantire un'esperienza utente priva di attriti, lavorando contemporaneamente per aumentare i tassi di attivazione degli utenti, ma solo quando la percentuale di successo dell'accesso è sufficientemente alta da evitare di generare frustrazione nell'utente. Inoltre, tracciare questi KPI in base a segmenti diversi (come sistema operativo, browser e dispositivo) e casi d'uso specifici (ad es. accessi cross-device) può fornire approfondimenti sui pattern di adozione e sui potenziali punti di attrito.
6.3 Come registrare gli eventi necessari per le metriche passkey#
La misurazione accurata sia dei KPI di input (ad es. accettazione, creazione) sia dei KPI di output (ad es. tasso di accesso, uso del fallback) richiede la raccolta di dati da tre fonti principali:
- Dati degli eventi di frontend
- Archivio passkey / credenziali
- Log di autenticazione legacy e di fallback
6.3.1 Dati degli eventi di frontend#
Per calcolare metriche come il tasso di accettazione passkey o il tasso di successo nella creazione passkey, devi rilevare quanti utenti vedono un nudge post-accesso, quanti cliccano "Sì, crea una passkey" e se completano effettivamente la creazione della passkey. Ciò richiede il tracciamento degli eventi JavaScript (o mobile nativo) per acquisire:
- Quando e se viene mostrato il nudge (prima volta vs. volte successive)
- Quanto tempo impiegano per completare il nudge
- Se annullano la cerimonia di creazione passkey una o più volte
Avrai anche bisogno di analisi dell'user agent o di client hints per collegare i tassi di accettazione a specifiche versioni di sistemi operativi o browser per poter rilevare specifici percorsi interrotti.
6.3.2 Archivio passkey / credenziali#
Dopo che un utente ha avviato la registrazione nel frontend, il server deve confermare se è stata effettivamente memorizzata una nuova passkey. Avrai bisogno di accedere al database o all'API di un provider di identità esterno che registra l'evento di creazione di ciascuna credenziale. Questo repository ti aiuta a contare quante passkey esistono per utente e tracciare il risultato finale (successo o fallimento), assicurandoti di sapere con precisione quali tentativi si sono conclusi con registrazioni completate.
6.3.3 Log di autenticazione legacy e di fallback#
Per le metriche come il tasso di fallback, devi analizzare i registri e i processi di autenticazione attuali. Unificando questi registri con gli eventi del front-end, potrai verificare se un utente ha iniziato un accesso con passkey, ha riscontrato un errore ed è passato all'accesso alternativo (ad esempio tramite SMS o password).
Infine, la misurazione dei KPI basati sul tempo, come il tempo di accesso passkey rispetto al tempo di accesso legacy, si basa sui timestamp sia del client che del server. Poiché molte organizzazioni registrano solo gli accessi riusciti, devi aggiungere la strumentazione per i flussi passkey parziali o falliti per misurare realmente gli attriti e il fallback. L'integrazione di queste tre fonti di dati, nel rispetto della privacy e dei vincoli normativi, è spesso più complessa del previsto ed è un altro fattore che porta alcuni team ad adottare piattaforme passkey specializzate che offrono analitica integrata e tracciamento degli eventi.
6.3.4 L'approccio integrato di Corbado: Authentication Process Mining#
I componenti di Corbado Connect raccolgono implicitamente tutti i data point descritti (centinaia di tipi diversi) generando automaticamente un processo univoco per ogni utente che inizia un processo di autenticazione. Attraverso un'integrazione perfetta, Corbado raccoglie anche metriche di autenticazione dalla tua soluzione esistente. Questa visione olistica individua con precisione i miglioramenti per gli utenti, fornendo approfondimenti completi su tutti i KPI passkey essenziali senza alcuno sforzo aggiuntivo da parte tua.
6.4 Quali sono altri importanti KPI / OKR di output che dovrebbero essere influenzati?#
Inoltre, gli effetti dei seguenti KPI di output dovrebbero apparire dopo un'implementazione di successo della passkey e la maggior parte delle volte sono già raccolti all'interno dell'azienda:
Metriche operative e di riduzione dei costi
- Riduzione dell'uso di SMS OTP – Numero di SMS OTP risparmiati grazie all'autenticazione tramite passkey (risparmio diretto sui costi).
- Riduzione delle richieste di ripristino della password – Diminuzione delle interazioni con l'helpdesk relative a password dimenticate.
- Riduzione dei ticket per l'assistenza clienti – Minore volume di problemi del servizio clienti legati all'autenticazione.
- Riduzione del volume delle chiamate di supporto – Meno chiamate in entrata per problemi di accesso agli account.
Metriche d'impatto sul business e sulla UX
- Tassi di fidelizzazione degli utenti (Retention Rates) – Percentuale di utenti che continuano ad autenticarsi dopo il primo accesso.
- Tasso di conversione – Frequenza con cui gli utenti completano transazioni dopo l'autenticazione.
- Tasso di abbandono nei funnel di accesso – Se le passkey riducono il numero di utenti che abbandonano i tentativi di accesso.
Tracciando in modo specifico i KPI di input e output delle passkey e mettendoli in relazione con altri dati, le organizzazioni possono quantificare l'impatto della loro distribuzione delle passkey e apportare miglioramenti basati sui dati per massimizzare l'adozione, ridurre i costi e migliorare la sicurezza.
7. Raccomandazioni#
La scelta della giusta soluzione passkey dipende dalle tue sfide specifiche, dai requisiti di sicurezza e da considerazioni sui costi. Di seguito sono riportati i consigli chiave per le decisioni di acquisto o sviluppo nei diversi settori.
7.1 Raccomandazione per le passkey nei servizi bancari e finanziari#
Considerazioni chiave:
- La conformità normativa (es. PSD2, SOC 2, ISO 27001, GDPR) richiede rigorose misure di sicurezza nell'autenticazione tramite passkey.
- Il confronto dei costi delle passkey è cruciale, poiché le banche spesso sottostimano la complessità e la manutenzione a lungo termine delle soluzioni interne.
- L'autenticazione sicura è essenziale per ridurre le frodi da acquisizione dell'account (account takeover) e il phishing
Raccomandazione:
La maggior parte delle banche e degli istituti finanziari dovrebbe affidarsi a una
soluzione di passkey fornita da terzi anziché svilupparla internamente, poiché la gestione
autonoma dell'infrastruttura passkey introduce complessità nascoste che superano le
tradizionali competenze informatiche. L'implementazione dell'autenticazione tramite
passkey su vasta scala richiede ottimizzazioni e aggiornamenti continui, la gestione della
compatibilità di WebAuthn e una perfetta integrazione con i sistemi
bancari legacy, tutti aspetti che i fornitori di passkey
gestiscono già.
Banche come Ubank, Revolut e Finom stanno aprendo la strada all'adozione delle passkey, riconoscendo il potenziale della tecnologia per migliorare la sicurezza e, allo stesso tempo, l'esperienza utente. L'analisi del ROI delle passkey spesso favorisce l'acquisto di una soluzione rispetto all'investimento per la manutenzione e gli aggiornamenti continui, e le implementazioni evidenziano una significativa riduzione dei tentativi di frode e dei costi di supporto relativi all'autenticazione.
Esempi: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square
7.2 Raccomandazione per le passkey nel settore sanitario#
Considerazioni chiave:
- La conformità alle norme HIPAA e GDPR richiede una rigorosa sicurezza di autenticazione nell'adozione delle passkey.
- Le sfide per l'implementazione delle passkey includono il bilanciamento tra sicurezza e facilità d'uso per pazienti, personale medico e amministratori informatici degli ospedali.
- Molti sistemi di autenticazione del settore sanitario si basano ancora su infrastrutture legacy, il che rende più complessa l'integrazione delle passkey.
Raccomandazione:
Una soluzione fornita da un fornitore di passkey è il modo più efficace per soddisfare i
requisiti di conformità semplificando al contempo l'autenticazione. I fornitori di passkey
gestiscono patch di sicurezza, aggiornamenti normativi e affidabilità dell'autenticazione,
alleggerendo l'onere per i team IT.
Esempi: CVS Health, Caremark, Helsana, NHS, Swica
7.3 Raccomandazione per le passkey nell'e-commerce e retail#
Considerazioni chiave:
- L'ottimizzazione del tasso di conversione (CRO) è critica per il business: l'attrito nell'autenticazione influisce direttamente sui ricavi.
- Gli scenari multi-dispositivo devono funzionare senza problemi (gli utenti navigano su dispositivi mobili ma completano il checkout sul desktop).
- Gli errori di autenticazione aumentano direttamente i tassi di abbandono del carrello, rendendo essenziali flussi di accesso ottimizzati per la UX.
Raccomandazione:
Le piattaforme di e-commerce traggono i maggiori vantaggi da
un fornitore di implementazione passkey che offre elevati tassi di adozione. Piattaforme
importanti come Amazon e Shopify hanno implementato
l'autenticazione tramite passkey, a dimostrazione della crescente adozione della
tecnologia nel settore dell'e-commerce. I dati reali indicano
che oltre il 27% dei primi accessi con password fallisce, mentre l'autenticazione basata
su passkey può raggiungere fino al 95-97% di successo negli accessi, come dimostrato in
adozioni precedenti.
L'analisi del ROI delle passkey dimostra che l'aumento dei tassi di conversione e la
diminuzione delle perdite da frode giustificano rapidamente l'investimento.
Amazon ha recentemente dichiarato di aver fissato l'ambizioso obiettivo del 100% di adozione delle passkey e della completa eliminazione delle password.
Google ha anche scoperto che gli utenti di prova che interagiscono con le passkey hanno il 20% in più di probabilità di convertirsi in clienti paganti rispetto a chi non lo fa.
Esempi: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target
7.4 Raccomandazione per le passkey nel settore dei viaggi e dell'ospitalità#
Considerazioni chiave:
- L'autenticazione su più dispositivi è essenziale, in quanto gli utenti prenotano i viaggi su un dispositivo e fanno il check-in su un altro.
- I fornitori specializzati in passkey devono garantire accessi rapidi e sicuri per prenotazioni, check-in e gestione dell'account convenienti.
- La prevenzione delle frodi è una priorità, in quanto le piattaforme di viaggio gestiscono transazioni di alto valore.
Raccomandazione:
La maggior parte delle compagnie di viaggio dovrebbe implementare
soluzioni di passkey per migliorare la sicurezza e l'esperienza dell'utente. Aziende
leader come Kayak e le principali
compagnie aeree stanno già utilizzando l'autenticazione tramite
passkey per migliorare la loro esperienza utente. Le soluzioni predefinite forniscono un
rilevamento delle frodi più forte, esperienze di accesso fluide e un supporto istantaneo
per più dispositivi. Il settore dell'ospitalità sta in particolare beneficiando di tempi
di check-in ridotti e maggiore sicurezza tramite l'implementazione delle passkey,
assicurando un'autenticazione fluida in tutti i punti di contatto (app, chioschi, web e
piattaforme dei partner).
Esempi: Air New Zealand, Bolt, Grab, Uber, Hyatt
7.5 Raccomandazione per le passkey nel settore assicurativo#
Considerazioni chiave:
- I costi di implementazione delle passkey devono essere bilanciati con le esigenze di conformità e i miglioramenti dell'esperienza utente.
- Molti clienti delle assicurazioni non sono molto esperti di tecnologia, quindi l'esperienza utente su tutti i tipi di dispositivi e browser è un must
- L'integrazione delle passkey con la verifica dell'identità è spesso richiesta per la gestione delle polizze e l'elaborazione dei sinistri.
Raccomandazione:
Una soluzione passkey esterna è la più indicata per un'implementazione rapida e la
conformità alle normative. I fornitori di assicurazioni
segnalano una significativa riduzione dei ticket di assistenza relativi all'autenticazione
dopo l'implementazione delle passkey. Un fornitore di implementazione di passkey con
flussi di autenticazione personalizzabili e verifica dell'identità integrata garantisce
sicurezza, mantenendo al contempo semplici gli accessi dei clienti. L'analisi del ROI
delle passkey suggerisce che la riduzione dei ripristini delle password e delle perdite
per frode compensa i costi del fornitore.
Esempi: Branch
7.6 Raccomandazione per le passkey nel governo e nei servizi pubblici#
Considerazioni chiave:
- Massimi standard di sicurezza e requisiti di conformità (ad esempio, NIST, il framework Essential Eight richiede MFA resistente al phishing).
- Necessità di implementazione su larga scala attraverso popolazioni di utenti diversificate con varie competenze tecniche
- Requisiti di integrazione con i sistemi di verifica dell'identità del governo esistenti e l'infrastruttura legacy
Raccomandazione:
Per le agenzie governative è essenziale disporre di una
soluzione passkey specializzata in grado di soddisfare standard di sicurezza rigorosi e di
garantire l'accessibilità. Il successo dell'implementazione presso
VicRoads dimostra che le organizzazioni governative traggono i
maggiori vantaggi da soluzioni passkey esterne, in grado di gestire automaticamente i
requisiti di conformità e gli aggiornamenti di sicurezza. Pertanto, è opportuno scegliere
un fornitore per l'implementazione delle passkey che offra sicurezza di livello aziendale,
supporti l'autenticazione multi-dispositivo e fornisca flussi di autenticazione adattivi
per soddisfare le esigenze di tutti i cittadini.
Esempio: VicRoads, myGov, Stato del Michigan
7.7 Raccomandazione per le passkey nelle telecomunicazioni e nelle utility#
Considerazioni chiave:
- Scalabilità e affidabilità sono fondamentali, poiché i fornitori di telecomunicazioni e servizi di pubblica utilità spesso gestiscono milioni di utenti in vari segmenti di clientela e necessitano di un'autenticazione altamente disponibile e tollerante ai guasti.
- Il supporto multi-dispositivo e multipiattaforma è essenziale, poiché gli utenti accedono agli account tramite app mobili o portali web. Un'autenticazione fluida con passkey deve funzionare in tutti i punti di contatto del cliente.
- Spesso è necessario supportare sistemi di autenticazione legacy, poiché i fornitori di telecomunicazioni e servizi pubblici potrebbero aver bisogno di integrare le passkey nei sistemi IAM (Identity and Access Management) esistenti e nelle piattaforme di identità dei clienti senza interrompere i flussi di autenticazione attuali.
- La prevenzione delle frodi e la sicurezza degli account sono priorità assolute, in particolare per le frodi con scambio di SIM (SIM swap), il furto di identità e l'accesso non autorizzato all'account. Le passkey possono ridurre significativamente gli attacchi di phishing e i rischi legati al credential stuffing.
Raccomandazione:
Per i fornitori di telecomunicazioni e utility, l'adozione di una
soluzione passkey esterna è l'approccio consigliato. Date le dimensioni, la complessità e
le esigenze di sicurezza di questi settori, un fornitore di passkey gestito garantisce
conformità, elevata disponibilità e perfetta integrazione con l'infrastruttura di
autenticazione esistente. I colossi delle telecomunicazioni e i fornitori di utility
orientati al digitale stanno già adottando le passkey come parte delle loro iniziative di
ammodernamento della sicurezza per ridurre le frodi e migliorare l'esperienza dell'utente.
Inoltre, esternalizzare l'implementazione delle passkey abbassa il costo totale di
proprietà (TCO) rispetto a uno sviluppo interno, in quanto manutenzione continua,
aggiornamenti di sicurezza e conformità normativa sono gestiti dal fornitore.
Esempio: Deutsche Telekom, Telstra, SK Telecom
7.8 Raccomandazione per le passkey nei servizi B2B SaaS#
Considerazioni chiave:
- L'autenticazione multi-tenant è essenziale per il B2B SaaS, richiedendo un'integrazione passkey scalabile in diversi sistemi IAM.
- Le imprese si aspettano SSO (OIDC/SAML), quindi un'integrazione perfetta con gli Identity Provider è fondamentale per il business.
- I costi di implementazione delle passkey devono essere bilanciati con altri investimenti per la sicurezza, come l'autenticazione a più fattori (MFA) e i modelli di sicurezza zero-trust.
Raccomandazione:
Per la maggior parte dei fornitori di B2B SaaS, un'implementazione passkey esterna è la
scelta ottimale. L'implementazione è di solito più veloce rispetto allo sviluppo interno.
Aziende B2B digitali come Notion, Hubspot o Vercel hanno già
adottato le passkey per migliorare la sicurezza della loro autenticazione. Il Total Cost
of Ownership è significativamente più basso rispetto allo sviluppo interno, in quanto la
manutenzione, gli aggiornamenti e i requisiti di conformità sono coperti dal fornitore.
Esempio: Canva, DocuSign, Notion
8. Conclusione#
Le passkey sono diventate lo standard globale per l'autenticazione, semplificando gli accessi per gli utenti finali e migliorandone al contempo la sicurezza. Mentre le aziende valutano come implementare le passkey, devono decidere se sviluppare una soluzione in-house o avvalersi di un fornitore specializzato in passkey. Mentre le implementazioni fai-da-te offrono un controllo totale, richiedono significative competenze tecniche, risorse di sviluppo e manutenzione continua. Al contrario, i fornitori di passkey offrono un approccio più rapido, scalabile e conveniente, garantendo tassi di adozione elevati, un'esperienza utente fluida e la conformità ai più recenti standard di sicurezza.
Questa guida ha affrontato le seguenti domande chiave:
-
Quali componenti sono necessari per implementare le passkey e passare al passwordless?
Un'implementazione passkey di successo richiede infrastruttura FIDO2/WebAuthn, flussi UX senza interruzioni, meccanismi di fallback e opzioni di recupero dell'account sicure. Le aziende devono anche considerare la compatibilità multipiattaforma e la conformità in termini di sicurezza.
-
Dovrei implementare le passkey internamente o usare un fornitore esterno?
Sebbene lo sviluppo in-house offra controllo, porta con sé un'elevata complessità, costi di manutenzione continui e responsabilità legate alla sicurezza. La maggior parte delle organizzazioni su larga scala orientate ai consumatori trae vantaggio da una soluzione passkey esterna che offre una distribuzione rapida, costi operativi inferiori e un ridotto sovraccarico tecnico.
-
Qual è il vantaggio di avere un fornitore di passkey quando ci sono librerie open source?
Le librerie WebAuthn open source forniscono un punto di partenza ma non dispongono di sicurezza di livello enterprise, di un'esperienza utente ottimizzata per le passkey e di funzionalità che migliorino l'adozione. Un fornitore di passkey garantisce implementazione senza interruzioni, scalabilità e strategie ottimizzate per l'adozione da parte degli utenti che portano un migliore ROI, riducendo l'attrito per utenti e sviluppatori.
-
Quali sono le sfide più grandi nello sviluppo di una soluzione passkey?
Sviluppare un sistema passkey in-house richiede competenze approfondite in WebAuthn, supporto multi-dispositivo e adozione delle passkey. Il mantenimento continuo della complessità di dispositivi e browser e la garanzia di elevati tassi di adozione aggiungono ulteriore complessità.
-
Quali sono i rischi di implementare le passkey internamente?
Le aziende rischiano costi di sviluppo elevati, tempi di implementazione prolungati e oneri continui per la manutenzione della sicurezza. Fallimenti nella conformità, vulnerabilità di sicurezza e scarsa adozione da parte degli utenti possono far deragliare il successo del lancio di passkey. Una soluzione passkey gestita dal fornitore mitiga questi rischi offrendo un'infrastruttura di autenticazione comprovata e scalabile con sicurezza integrata e conformità alle normative.
Chi siamo
Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →
Domande frequenti#
Quali sono i rischi principali nello sviluppare una soluzione passkey internamente in un'impresa?#
Lo sviluppo interno richiede una profonda competenza su WebAuthn, gestione continua della compatibilità tra browser e dispositivi e manutenzione dedicata alla sicurezza. Le aziende rischiano tempi prolungati di implementazione, fallimenti di conformità e scarsa adozione da parte degli utenti. Per settori regolamentati come quello bancario e sanitario, la conformità con PSD2, HIPAA e NIST aggiunge ulteriore complessità che i fornitori di passkey gestiscono già in modo continuo.
Di quanta adozione delle passkey ho bisogno prima di rimuovere in modo sicuro le password?#
Le organizzazioni hanno bisogno del 50-80% degli utenti attivi che si autenticano con passkey prima di rimuovere le password. Rimuovere le password troppo presto aumenta le richieste di supporto e i problemi di usabilità. Un approccio a fasi inizia con account in cui gli utenti si autenticano costantemente tramite passkey, sfrutta più prompt/nudge (i tassi di accettazione raggiungono fino all'85% su dispositivi mobili con prompt ripetuti) e si espande in base a informazioni guidate dai dati.
Quali KPI dovrei tracciare per misurare il successo del lancio di una passkey?#
Traccia i KPI di input tra cui il tasso di accettazione passkey (benchmark: 50-75% al primo nudge, fino all'85% su mobile per nudge successivi) e il tasso di successo della creazione puntando a quasi il 100%. Per i KPI di output, punta a un tasso di accesso passkey superiore al 20% in poche settimane e superiore al 50% in 12 mesi. Segmenta tutte le metriche per OS, browser e dispositivo per identificare i punti di attrito.
Perché i progetti passkey falliscono anche dopo un'implementazione tecnicamente riuscita?#
La maggior parte dei progetti passkey fallisce a causa della bassa adozione da parte degli utenti, piuttosto che per problemi tecnici. La dipendenza persistente dalle password vanifica i vantaggi per la sicurezza, elimina i risparmi sui costi dovuti alla riduzione di SMS OTP e ripristini password e crea un'esperienza utente frammentata. Google e Amazon affrontano il problema tramite continui A/B test, nudge nell'interfaccia utente (UI) e campagne strutturate di educazione dell'utente che mirano specificamente all'adozione.
Quali settori traggono maggiori vantaggi dall'utilizzo di un fornitore di passkey anziché dallo sviluppo in-house?#
I settori bancario, sanitario, governativo, e-commerce, delle telecomunicazioni e assicurativo beneficiano maggiormente delle soluzioni dei fornitori di passkey a causa dei requisiti normativi come PSD2, HIPAA e NIST, combinati con basi di utenti su larga scala e infrastrutture legacy complesse. Amazon ha fissato un obiettivo di adozione delle passkey del 100% e l'eliminazione completa delle password, il che dimostra la portata dell'impegno richiesto da queste implementazioni.
Condividi questo articolo
Articoli correlati
Indice