Perché un provider di autenticazione passkey ti fa risparmiare più di 100.000 $

In questo articolo, sfateremo i 5 miti più comuni in cui continuiamo a imbatterci quando si tratta di implementare le passkey nel processo di autenticazione (esistente) e useremo un calcolo di esempio per mostrare perché ha senso cercare un provider specializzato che sa davvero il fatto suo in materia di passkey.

Le passkey sono una meraviglia. Per la prima volta nella storia dell'autenticazione, non solo la sicurezza per gli utenti, ma anche la praticità è notevolmente migliorata. Oggi, la maggior parte delle persone è abituata a sbloccare il telefono con il viso o l'impronta digitale. Portare questo futuro user-friendly sul web è semplicemente il passo logico successivo. Insieme all'infrastruttura a chiave pubblica sottostante che sfrutta la crittografia asimmetrica, le passkey sembrano la soluzione perfetta. Questo è vero dal punto di vista dell'utente finale, ma per le organizzazioni, implementare internamente questo nuovo standard di autenticazione è un'impresa enorme che comporta rischi e costi elevati. Questo articolo spiega i miti più comuni sulle passkey e come sfatarli.

Innanzitutto, le passkey si basano su standard aperti definiti dall'alleanza FIDO (Fast Identity Online), di cui fanno parte tutti i principali giganti tecnologici, come Microsoft, Apple, Google e altri come PayPal, eBay o Visa.

Tuttavia, questi standard aperti sono scarsamente documentati, rendendo l'implementazione nei sistemi esistenti e l'integrazione nei flussi utente una vera sfida nella pratica. Richiede di definire da zero sia i flussi utente che le integrazioni tecniche. Per aggiungere le passkey al tuo sistema esistente, la documentazione e l'implementazione di base non sono sufficienti se si dispone già di un sistema di autenticazione per gli utenti esistenti.

Inoltre, i problemi veri iniziano quando si hanno utenti su piattaforme diverse (iOS, Android, Windows) che utilizzano più dispositivi, poiché le passkey sono (in parte) legate al dispositivo. L'implementazione e l'esperienza utente variano a seconda della piattaforma, rendendo un'impresa complessa offrire le passkey come metodo di login preferito a tutti i propri utenti. Specialmente oggi, dove molti utenti hanno più di un dispositivo, è essenziale supportare correttamente tutti i dispositivi e i sistemi operativi.

Teoricamente, questo è corretto, ma ci sono costi intrinseci, specialmente per l'integrazione e la manutenzione. Inizialmente, bisogna elaborare un concept per i flussi di processo e la UX, un lavoro che di solito viene svolto da 1-2 product manager. Questa fase può richiedere fino a 2 mesi e, a seconda dell'esperienza dei product manager, può costare da sola fino a 30.000 $. Una volta fatto questo, sono necessari architetti di sistema, product manager e sviluppatori per integrare la soluzione. Poi, ci sono i costi di manutenzione, ad esempio per la gestione del server FIDO2. Inoltre, bisogna occuparsi di una transizione fluida per gli utenti per non sopraffarli, un aspetto molto complicato da progettare e implementare internamente, e quindi costoso.

In più, è necessario gestire l'infrastruttura: oggi i server e i database non sono gratuiti. Specialmente se devono funzionare in modo sicuro e affidabile, con un'elevata disponibilità, in un punto così critico della tua applicazione. Tutto questo costa molto denaro che sarebbe meglio investire nelle funzionalità principali del tuo prodotto.

Inoltre, è necessario selezionare, gestire e monitorare altri attori esterni per fornire i sistemi di contorno (fallback) come i servizi di email o SMS. Certo, si può fare anche questo da soli, ma i tuoi utenti si aspettano una consegna fulminea delle email transazionali e un'alta disponibilità. Fidati, non vuoi ottimizzare la consegna delle email da solo. Questi servizi non sono gratuiti e si aggiungono ai costi.

Quando parliamo con i clienti, questa è probabilmente l'idea sbagliata più comune e la vera difficoltà dell'autenticazione. Offrire le passkey per una nuova applicazione "greenfield" (partendo da zero) può essere abbastanza semplice. La parte difficile è far passare gli utenti esistenti alle passkey. La maggior parte delle volte, la base di utenti è piuttosto eterogenea: ci sono gli "early adopter" che vorrebbero abbandonare le password ieri piuttosto che oggi e passare alle passkey il prima possibile. Dall'altra parte, ci sono persone che preferiscono continuare a usare le loro password. Creare flussi individuali diversi, guidando al contempo tutti gli utenti verso le passkey in modo fluido e intelligente, è la vera sfida.

Dopo l'integrazione iniziale, molti pensano che le passkey funzionino da sole e che l'adozione avvenga in automatico. Questa è un'altra idea sbagliata comune, poiché le passkey sono una funzionalità critica per la sicurezza che comporta molti rischi. Ciò significa che devono essere monitorate e il team che se ne occupa deve essere composto da esperti di sicurezza con molta esperienza.

Inoltre, l'adozione delle passkey deve essere monitorata costantemente per rilevare potenziali problemi nella fase di transizione che richiedono modifiche nell'implementazione.

Prima ancora di pensare all'implementazione tecnica delle passkey e di mettersi a scrivere codice, c'è molto lavoro concettuale da fare. Specialmente quando si tratta di integrare una nuova tecnologia come le passkey, dove la qualità e la quantità delle best practice e della documentazione esistenti sono scarse, è necessario considerare molti processi concettuali. Tra i più importanti ci sono:

1. Tracciare l'intero processo di registrazione e login: Quando si progetta il flusso dall'inizio della registrazione o del login fino all'autenticazione riuscita, in background si eseguono innumerevoli passaggi di processo. Questi devono essere modellati e strutturati in complessi alberi logici. La progettazione dei casi standard è già di per sé un compito complicato, che non è assolutamente paragonabile allo sforzo ancora maggiore richiesto per coprire tutti i possibili "edge case" (casi limite). Alla fine, ci deve essere un processo di autenticazione che funzioni in ogni scenario potenziale e che autentichi l'utente.
2. Gestire l'utilizzo multipiattaforma: È fondamentale assicurarsi che gli utenti possano usare le passkey sia su più dispositivi che su più piattaforme, guidandoli fluidamente attraverso i processi di autenticazione anche quando le passkey non sono ancora disponibili.
3. Garantire la retrocompatibilità: Per promuovere l'uso delle passkey, è necessario sviluppare un meccanismo che non solo rilevi automaticamente la compatibilità con le passkey di tutti i dispositivi con cui l'utente vuole autenticarsi, ma che capisca anche se gli utenti desiderano effettivamente accedere con le passkey. Se gli utenti, invece, preferiscono continuare con le opzioni di login attuali come password, social login o SSO, è necessario gestire un'autenticazione ibrida in parallelo.
4. Fornire servizi di recupero: Può sembrare ovvio, ma ideare un flusso per il reset della password self-service e le possibili opzioni di fallback in caso di errori è uno dei compiti più impegnativi, poiché è necessario garantire che gli utenti possano autenticarsi nel caso in cui abbiano dimenticato la password o non ne abbiano mai impostata una.
5. Progettare un'ottima UX: La UX è molto più che creare un'interfaccia user-friendly. Per il software in generale, la gestione dei dispositivi e delle preferenze dell'utente, la comunicazione con l'utente e un design personalizzabile per la tua Corporate Identity (CI) giocano un ruolo fondamentale. Poiché le passkey sono legate al dispositivo, le aziende devono concentrarsi principalmente sulla gestione dei dispositivi per garantire che l'uso delle passkey funzioni senza problemi su tutti i dispositivi dei loro utenti. Per quanto riguarda la comunicazione con l'utente, è necessario educare i tuoi utenti con messaggi predefiniti e testati.

Tutti questi passaggi richiedono molte ore a product manager e sviluppatori e vengono spesso sottovalutati nello sviluppo del software.

Il dibattito "build vs. buy" (sviluppare o acquistare) nel software non è affatto nuovo. Quando si prende questa decisione, si devono considerare molti fattori. Il fattore chiave per qualsiasi azienda è il blocco di costi derivante dallo sviluppo o dall'acquisto del software. Quando si acquistano soluzioni software, ad esempio per l'autenticazione con passkey, spesso si sostiene che i costi iniziali siano molto alti. Tuttavia, le aziende di solito dimenticano che lo sviluppo "fatto in casa" è altrettanto costoso, poiché i suoi costi dipendono, ad esempio, dalla complessità del software stesso, dal product management, dal design UX/UI, dal team di sviluppo e spesso da molti costi nascosti (specialmente manutenzione e aggiornamenti).

Per fare un po' di luce sul costo dello sviluppo di un software di autenticazione, ecco un calcolo di base per un'azienda con un team di autenticazione interno che offre i propri servizi a utenti desktop, mobile e di app native. Oltre all'autenticazione con email/numero di telefono e password, dispongono anche di social login:

• 2 sviluppatori backend: 126.000 $
• 1 sviluppatore frontend: 60.000 $
• 1 sviluppatore iOS: 60.000 $
• 1 sviluppatore Android: 68.000 $
• 2 product manager: 170.000 $
• 1 project manager: 85.000 $

Nota: si tratta di stipendi annui totali basati sulle medie del settore secondo Glassdoor, esclusi i costi non salariali del lavoro.

• Durata: 1,5 mesi
• Stakeholder del team di sviluppo software: 2 product manager, 1 project manager
• Costi totali (stipendi): 31.875 $

• Durata: 3,0 mesi
• Stakeholder del team di sviluppo software: 2 product manager, 1 project manager, 2 sviluppatori backend, 1 sviluppatore frontend, 1 sviluppatore iOS, 1 sviluppatore Android
• Costi totali (stipendi): 143.750 $

Costi totali di sviluppo del software: 175.625 $

Ovviamente, questa è una semplificazione che non tiene conto di molti costi, come quelli di transizione o formazione. Nel caso in cui siano necessarie infrastrutture aggiuntive come server e database o servizi cloud, dovrai affrontare costi aggiuntivi. Specialmente per un software di autenticazione che deve proteggere al massimo i dati personali, i costi sono probabilmente molto più alti, quindi vale la pena utilizzare provider di passkey dedicati come Corbado.

In sintesi: le passkey sono uno standard aperto che chiunque può integrare gratuitamente. Ma questa è una visione molto miope. Analizzando più da vicino le implicazioni dell'uso delle passkey, diventa evidente che affidarsi a un provider di passkey come Corbado è la scelta molto più intelligente ed economica. Specialmente perché l'autenticazione è raramente una funzionalità principale, ma piuttosto una "commodity" necessaria in un prodotto moderno, sfruttare il know-how e le capacità di un esperto esterno è semplicemente una mossa intelligente.

Non sei ancora convinto? Prova la soluzione di Corbado gratuitamente e senza alcun rischio oggi stesso.