Guia Passkeys: Comprar ou Construir?

Baixe o Guia completo Comprar ou Construir Passkeys gratuitamente e tenha acesso a todos os insights.

• ✅ Solicitado por equipes da Adidas, Woolworths e Mitsubishi
• ✅ Lista completa de componentes e modelo de custos para decidir entre comprar e construir
• ✅ Estrutura de decisão prática de 50 páginas

A ideia de construir sua própria implementação de passkeys parece atraente: controle total, integrações personalizadas e sem dependência de fornecedores. Afinal, o FIDO2 é baseado em padrões abertos e escrever as primeiras linhas de código WebAuthn parece bastante fácil. Qual a dificuldade, afinal?

Mas é aqui que a complexidade geralmente começa, especialmente quando se planeja construir uma solução para um cenário de implementação em larga escala para consumidores com milhões de usuários em setores como:

• Banca e Serviços Financeiros (ex: online, banca, pagamentos, fintech)
• Governo e Serviços Públicos (ex: portais do cidadão, plataformas de impostos e segurança social)
• Seguros e Saúde (ex: portais de pacientes, plataformas digitais de seguros)
• E-commerce e Varejo (ex: marketplaces, programas de fidelidade)
• Telecomunicações e Serviços Públicos (ex: operadoras de telefonia móvel, fornecedores de energia)
• Viagens e Hotelaria (ex: contas de companhias aéreas, programas de fidelidade de hotéis)

O verdadeiro desafio começa após o primeiro login bem-sucedido com passkey e, muitas vezes, só se revela quando você já está implementando sua solução de passkeys. De repente, surgem coisas como casos de uso incomuns, erros de usuário confusos e potenciais bloqueios de usuários devido à indisponibilidade de passkeys. O que parecia uma integração direta se transforma em meses ou até anos de esforço de desenvolvimento, custos de manutenção inesperados e um projeto de passkeys potencialmente fracassado.

No entanto, construir sua própria solução também pode ser a escolha certa para certas organizações e requisitos específicos. Conversamos com dezenas de organizações sobre seus planos de implementação de passkeys e acompanhamos algumas em sua jornada de perto. Este guia ajudará você a determinar quando uma abordagem "faça você mesmo" (DIY) para passkeys pode fazer sentido e quando escolher um provedor de passkeys estabelecido é a decisão mais inteligente.

Com nosso Guia Comprar ou Construir Passkeys, queremos responder às seguintes perguntas:

1. Quais componentes são necessários para implementar passkeys e se tornar passwordless?
2. Devo implementar passkeys internamente ou usar um fornecedor externo de passkeys?
3. Qual é o benefício de ter um fornecedor de passkeys quando existem bibliotecas de código aberto?
4. Quais são os maiores desafios na construção de uma solução de passkeys?
5. Quais são os riscos de implementar passkeys internamente?

As senhas estão desatualizadas, são inseguras e frustrantes. As passkeys eliminam os riscos de phishing, melhoram a experiência do usuário e simplificam a autenticação - tornando-as o novo padrão de logins seguros. Quer você construa internamente ou use uma solução externa, integrar passkeys é uma grande atualização para a segurança e a usabilidade.

O Google descobriu que liderar com a história da facilidade de uso ou da velocidade ressoa e funciona. As pessoas geralmente reclamam de fazer login, então qualquer coisa que torne o processo mais fácil e rápido é uma vitória.

Além desses benefícios de segurança, há um enorme potencial para economia de custos operacionais com passkeys. Você pode reduzir o número de SMS OTPs enviados aos usuários, que podem se acumular massivamente para grandes bases de usuários. Além disso, o fardo que as recuperações de senha e MFA colocam em suas equipes de suporte ao cliente também é um fator de custo que pode ser eliminado.

Além disso, as passkeys melhoram as taxas de sucesso de login e os tempos de login para os usuários, resultando em melhores taxas de conversão, o que é um grande impulsionador para o crescimento da receita em setores como e-commerce, varejo ou viagens.

O objetivo final para muitas organizações que consideram a introdução de passkeys é se tornar totalmente passwordless. Para alcançar esse objetivo, normalmente existem quatro fases que precisam ser concluídas. A velocidade com que essas fases progridem depende em grande parte das capacidades técnicas da organização, dos padrões de login e da base de usuários. Em alguns casos, fatores externos, como a pressão pública para introduzir uma autenticação mais segura ou restrições financeiras, também podem desempenhar um papel.

Vamos analisar essas quatro fases e descrevê-las, pois implementar passkeys é apenas um passo para garantir o sucesso de um projeto de passkeys.

O primeiro passo na transição para um sistema totalmente passwordless é integrar as passkeys como um método de login. Nesta fase, as senhas e outros métodos de autenticação permanecem como alternativas (fallbacks) para garantir que os usuários ainda possam acessar suas contas se ainda não tiverem adotado as passkeys. Uma integração bem-sucedida requer compatibilidade perfeita com os fluxos de login e políticas de segurança existentes. As organizações devem se concentrar em tornar a criação de passkeys direta, garantindo que tanto os usuários técnicos quanto os não técnicos possam adotar o novo método de autenticação sem atritos.

Uma vez que as passkeys são integradas, o próximo desafio é impulsionar a adoção de passkeys pelos usuários. Muitas organizações subestimam a importância desta fase, mas sem uma ampla adoção pelos usuários, um projeto de passkeys provavelmente falhará. O objetivo é incentivar o maior número possível de usuários a criar e usar passkeys, idealmente tornando-as o método de login padrão.

As principais táticas para aumentar a adoção incluem educação proativa do usuário, estímulos na interface do usuário (UI nudges) que promovem a criação de passkeys e programas de incentivo que recompensam os usuários pela mudança. As organizações devem definir um limite de adoção crítico, como 50-80% dos usuários ativos utilizando passkeys, antes de avançar para a próxima fase. Para um entendimento mais profundo de por que a adoção é crucial, consulte nosso artigo dedicado sobre como taxas de adoção baixas podem comprometer seu projeto de passkeys.

À medida que a adoção de passkeys atinge uma massa crítica, as organizações podem começar a eliminar gradualmente as senhas. No entanto, remover senhas muito cedo ou sem um planejamento cuidadoso pode levar a problemas de usabilidade e aumento de solicitações de suporte. Uma abordagem em fases é recomendada:

• Comece removendo senhas de contas onde os usuários se autenticam consistentemente com passkeys.
• Ofereça a remoção de senha como uma opção nas configurações da conta para os primeiros adeptos.
• Use insights baseados em dados para identificar usuários que estão prontos para se tornarem totalmente passwordless. Por exemplo, usuários com múltiplas passkeys registradas em diferentes dispositivos podem ser priorizados para a remoção da senha.
• Comunique proativamente os benefícios da remoção de senhas para construir a confiança do usuário.

Ao guiar estrategicamente os usuários em direção à autenticação totalmente passwordless, as organizações podem maximizar a segurança sem interromper a experiência do usuário.

Uma vez que as senhas são removidas, os mecanismos de recuperação de conta devem ser robustos e seguros. Os métodos de recuperação tradicionais geralmente dependem de intervenções manuais, como tickets de suporte ou redefinições por e-mail, que podem introduzir riscos de segurança e custos operacionais. As organizações devem implementar soluções modernas de recuperação de conta de autoatendimento que mantenham a segurança enquanto melhoram a experiência do usuário.

Os elementos-chave da recuperação de conta automatizada incluem:

• Verificações de vivacidade: Impedem apropriações de conta não autorizadas, garantindo que o usuário esteja fisicamente presente.
• Verificação de identidade: Utilize documentos de identidade emitidos pelo governo e verificação biométrica para confirmar a identidade.
• Passkeys de fallback: Permitem que os usuários recuperem contas usando passkeys de backup armazenadas em outros de seus dispositivos.

Muitas organizações já investem em processos de recuperação automatizados independentemente de sua transição para o passwordless para reduzir custos e melhorar a usabilidade. No entanto, em um ecossistema impulsionado por passkeys, esses mecanismos se tornam ainda mais críticos para manter a segurança и reduzir o atrito.

Com base nessas quatro fases, agora tentaremos ajudá-lo a avaliar a decisão de comprar vs. construir. Portanto, é muito importante para o sucesso a longo prazo do seu projeto de passkeys ter todas as fases em mente e não apenas integrar as passkeys (isso ainda pode ser um objetivo, mas então você deixa o potencial total das passkeys inexplorado).

Escolher entre uma solução de passkeys própria (DIY) e uma externa depende dos recursos técnicos da sua empresa, prioridades de segurança, tamanho da implementação e estratégia de passkeys a longo prazo. Na próxima seção, detalharemos os principais aspectos para ajudá-lo a tomar a melhor decisão.

A tabela a seguir mostra diferentes critérios de avaliação que você precisa analisar. Com base na afirmação com a qual você mais se inclina, diferentes números de pontos são fornecidos.

Como usar a matriz de avaliação:

Para cada critério, escolha se sua empresa precisa de uma solução mais simples ou mais elaborada.

• Atribua 1 ponto para cada resposta onde a complexidade no seu caso é menor e se alinha mais com a descrição à esquerda.
• Atribua 5 pontos para cada categoria onde sua resposta se alinha mais com a descrição de maior complexidade à direita.
• Se você não tiver certeza, use 3 pontos como uma opção neutra.

Baixe o Guia completo Comprar ou Construir Passkeys gratuitamente e tenha acesso a todos os critérios de avaliação.

Ao decidir se deve construir ou comprar uma solução de passkeys, é importante olhar para todo o processo, não apenas para uma única fase do lançamento das passkeys. Mesmo que sua prioridade a curto prazo seja oferecer passkeys como um MVP, você deve antecipar as implicações a longo prazo, especialmente impulsionar a adoção. Abaixo está como recomendamos usar este guia e interpretar seus resultados, com ênfase em por que a adoção importa mais do que quase qualquer outro fator.

Não importa quão avançada seja sua solução de passkeys, se os usuários não a adotarem criando passkeys e usando-as para login, todo o projeto está em risco. Em nossa experiência, as organizações muitas vezes subestimam o esforço necessário para afastar os usuários das senhas. Mesmo que você implemente passkeys perfeitamente em um nível técnico, a baixa adoção levará a:

• Dependência persistente de senhas, negando os benefícios de segurança das passkeys.
• ROI mínimo, pois a economia de custos (menos redefinições de senha, redução de SMS OTPs) depende do uso significativo de passkeys para login.
• Experiência do usuário fragmentada, se a maioria dos logins ainda ocorrer por métodos tradicionais e apenas um pequeno subconjunto usar passkeys.

Alta adoção, às vezes 50% ou até +80% da sua base de usuários, é normalmente necessária antes que você possa fazer progressos significativos na redução ou remoção total das senhas. Organizações como Google e Amazon estabelecem metas de adoção explícitas e executam sistematicamente testes A/B, campanhas de educação do usuário e estímulos na interface do usuário para garantir que as passkeys sejam amplamente adotadas. Este esforço concentrado na adoção não é opcional; é o que transforma seu lançamento de passkeys de um recurso em uma vantagem competitiva tangível.

Este guia foi projetado para ajudá-lo a tomar decisões informadas sobre implementações de passkeys em todas as fases da jornada:

1. Fase 1 (Integrar Passkeys): Se você está simplesmente considerando se deve adotar passkeys e como integrá-las, foque nos critérios de Construir vs. Comprar para a integração de passkeys.
2. Fase 2 (Aumentar a Adoção): Se você quer que as passkeys sejam mais do que um recurso, planeje desde cedo para impulsionar a adoção do usuário - mesmo para um MVP, pois isso requer investimento adicional em tecnologia, muitas vezes substancialmente maior do que a implementação inicial.
3. Fase 3 (Remover Senhas): Se eliminar senhas é um objetivo estratégico a longo prazo, garanta que sua arquitetura e fluxos de usuário sejam projetados com esse passo eventual em mente.
4. Fase 4 (Automatizar a Recuperação de Conta): Mesmo que você não esteja pronto para se tornar totalmente passwordless hoje, certifique-se de que sua abordagem de passkeys possa evoluir para uma recuperação robusta e fluida para evitar obstáculos futuros.

Destas, a Fase 2 (Aumentar a Adoção) é a mais importante. Você pode avaliar cada seção separadamente, mas tenha em mente que seu sucesso a longo prazo e o ROI muitas vezes dependem de quão seriamente você leva a adoção desde o início.

Se você está na fase inicial de decidir implementar passkeys, comece com a primeira seção da matriz de avaliação (integração de passkeys) и preencha-a com a gestão, TI, donos de produto e outros tomadores de decisão chave. Perguntem-se:

1. Qual é a nossa taxa de login com passkeys desejada? 5% é suficiente para provar a viabilidade ou precisamos de 50-80% antes de considerarmos as passkeys um sucesso?
2. Temos orçamento e apoio executivo para realizar testes A/B por meses, executar campanhas de otimização, criar materiais educacionais e refinar continuamente os fluxos de usuário para que eles entendam e queiram mudar para passkeys? Há capacidade de engenharia suficiente disponível para implementar todos os relatórios, análises e testes necessários? Podemos lançar com frequência suficiente para atingir esses objetivos?
3. Qual é a visão a longo prazo? Estamos mirando na remoção de senhas ou apenas fornecendo uma alternativa?

Responder a essas perguntas antecipadamente garante que seu projeto de passkeys não se torne um beco sem saída. Organizações que não planejam a adoção muitas vezes se veem presas com senhas por anos, minando toda a estratégia de segurança e experiência do usuário.

Ao longo da matriz, cada critério de avaliação pode colocá-lo em qualquer lugar de menor complexidade (1) a maior complexidade (5). Quanto mais de suas respostas se deslocarem para e além da zona neutra (3), mais forte será o argumento para usar um fornecedor especializado em passkeys:

• Requisitos de alta complexidade - como métodos de fallback avançados, conformidade rigorosa, análises profundas e UX multi-dispositivo - multiplicam sua carga de engenharia e manutenção.
• Forte ênfase na adoção - alcançar alta adoção de passkeys rapidamente ou remover senhas normalmente requer fluxos de usuário bem testados, telemetria detalhada e estímulos estruturados.

Esses fatores podem sobrecarregar as equipes internas, tanto técnica quanto organizacionalmente. Uma solução de passkeys gerenciada pode muitas vezes fornecer as melhores práticas comprovadas, atualizações rápidas e experiência do mundo real para aumentar a adoção muito mais rápido do que uma abordagem DIY.

Como especialistas em passkeys, nós da Corbado temos um ponto de vista forte. Se as passkeys estão no seu roteiro e você quer uma implementação de ponta que impulsiona ativamente a adoção, o Corbado Connect pode ajudá-lo a lidar com complexidades em escala. Eis o porquê:

A adoção está embutida na solução: Nossa plataforma é projetada para maximizar a adesão do usuário através de estímulos inteligentes, análises e testes A/B contínuos, o que também impulsiona a economia de custos.

Próximos Passos:

1. Preencha cada seção relevante da matriz de avaliação - considerando tanto os objetivos imediatos quanto os de longo prazo.
2. Priorize a adoção em sua tomada de decisão - alinhe com os stakeholders sobre metas de adoção explícitas e recursos para alcançá-las.
3. Compare o Custo Total de Propriedade (TCO) para soluções internas vs. de fornecedor uma vez que você entenda sua complexidade e ambições de adoção e passe pelo seu processo interno para avaliar construir ou comprar.

4. Consulte especialistas em passkeys (como a Corbado) se seus objetivos estratégicos apontarem para uma plataforma totalmente gerenciada que lida eficazmente com os desafios técnicos e de adoção.

Ao abordar as passkeys de maneira holística e fazer da adoção uma das metas principais, você alcançará os melhores resultados. Isso significa segurança mais forte, logins simplificados e um caminho real para um futuro sem senhas. Se você estiver interessado em saber mais sobre o Corbado Connect e como ajudamos nossos clientes a alcançar alta adoção de passkeys, estamos aqui para conversar.

Agora que ajudamos a determinar a abordagem correta para responder à pergunta “Comprar vs. Construir?”, vamos analisar como avaliar o sucesso de uma implementação de passkeys. Para isso, definimos KPIs de entrada e de saída de um projeto de passkeys.

Os KPIs de entrada ajudam a rastrear a adoção inicial de passkeys e se as condições necessárias para o uso generalizado estão sendo estabelecidas. Esses indicadores precedem o comportamento real de login, mas são cruciais para permitir uma adoção significativa e otimizar a implementação.

Esses KPIs de entrada servem como indicadores antecedentes da futura adoção de passkeys e permitem que as organizações ajustem a educação do usuário, os fluxos de UX e a implementação técnica.

Os KPIs de saída (OKRs) medem o sucesso real da adoção de passkeys, avaliando o comportamento do usuário, melhorias operacionais e impacto nos negócios. Esses indicadores refletem a eficácia no mundo real de uma implementação de passkeys. A Taxa de Login com Passkeys é um KPI de Saída central porque reflete diretamente a adoção e o uso real de passkeys. Uma taxa de login com passkeys crescente indica uma integração bem-sucedida e a preferência contínua do usuário por passkeys em detrimento de métodos de autenticação legados.

É importante otimizar principalmente para o sucesso do login com passkeys e a taxa de login com passkeys para garantir uma experiência de usuário sem atritos, enquanto se trabalha simultaneamente para aumentar as taxas de ativação do usuário - mas apenas quando a taxa de sucesso do login for suficientemente alta para evitar a introdução de frustração no usuário. Além disso, rastrear esses KPIs por diferentes segmentos (como SO, navegador e dispositivo) e casos de uso específicos (por exemplo, logins entre dispositivos) pode fornecer insights mais profundos sobre padrões de adoção e potenciais pontos de atrito.

Medir com precisão tanto os KPIs de entrada (ex: aceitação, criação) quanto os de saída (ex: taxa de login, uso de fallback) requer a coleta de dados de três fontes principais:

1. Dados de eventos do frontend
2. Armazenamento de passkeys / credenciais
3. Logs de autenticação legada e fallback

Para calcular métricas como Taxa de Aceitação de Passkeys ou Taxa de Sucesso na Criação de Passkeys, você deve detectar quantos usuários veem um nudge pós-login, quantos clicam em “Sim, criar uma passkey” e se eles realmente concluem a criação da passkey. Isso exige o rastreamento de eventos em JavaScript (ou nativo móvel) para capturar:

• Quando e se o nudge é mostrado (primeira vez vs. subsequentes)
• Quanto tempo eles levam para completar o nudge
• Se eles abortam a cerimônia de criação da passkey uma ou várias vezes

Você também precisará de análise de user agent ou client hints para vincular as taxas de aceitação a versões específicas de SO / navegador para poder detectar caminhos quebrados específicos.

Depois que um usuário inicia o registro no frontend, o servidor deve confirmar se uma nova passkey foi realmente armazenada. Você precisará de acesso ao banco de dados ou à API de um provedor de identidade externo que registra o evento de criação de cada credencial. Este repositório ajuda a contar quantas passkeys existem por usuário e a rastrear o resultado final (sucesso ou falha), garantindo que você saiba precisamente quais tentativas terminaram em registros concluídos.

Para métricas como Taxa de Fallback, você deve olhar para seus logs e processos de autenticação atuais. Ao unificar esses logs com eventos de frontend, você vê se um usuário iniciou um login com passkey, recebeu um erro e mudou para o login de fallback (por exemplo, SMS ou senha).

Finalmente, medir KPIs baseados em tempo, como Tempo de Login com Passkeys vs. Tempo de Login Legado, depende de carimbos de data/hora tanto do cliente quanto do servidor. Como muitas organizações registram apenas logins bem-sucedidos, você deve adicionar instrumentação para fluxos de passkey parciais ou com falha para avaliar verdadeiramente o atrito e o fallback. Integrar essas três fontes de dados, respeitando as restrições de privacidade e regulatórias, é muitas vezes mais complexo do que o previsto e é outro fator que leva algumas equipes a adotar plataformas de passkeys especializadas que fornecem análises e rastreamento de eventos integrados.

Os componentes do Corbado Connect coletam implicitamente todos os pontos de dados descritos (centenas de diferentes) gerando automaticamente um processo único para cada usuário que inicia um processo de autenticação. Através de uma integração perfeita, a Corbado também coleta métricas de autenticação da sua solução existente. Essa visão holística aponta com precisão as melhorias para os usuários, fornecendo insights abrangentes sobre todos os KPIs essenciais de passkeys sem esforço adicional da sua parte.

Além disso, os seguintes efeitos de KPIs de saída também devem aparecer após uma implementação bem-sucedida de passkeys e, na maioria das vezes, já são coletados dentro da empresa:

Métricas Operacionais e de Redução de Custos

• Redução no Uso de SMS OTP – Número de SMS OTPs economizados devido à autenticação com passkeys (economia de custos diretos).
• Redução nas Solicitações de Redefinição de Senha – Diminuição nas interações com o helpdesk relacionadas a senhas esquecidas.
• Redução nos Tickets de Suporte ao Cliente – Menor volume de problemas de atendimento ao cliente relacionados à autenticação.
• Redução no Volume de Chamadas de Suporte – Menos chamadas recebidas relacionadas a problemas de acesso à conta.

Métricas de Impacto nos Negócios e UX

• Taxas de Retenção de Usuários – Percentual de usuários que continuam a se autenticar após o primeiro login.
• Taxa de Conversão – Com que frequência os usuários concluem transações após a autenticação.
• Taxa de Abandono nos Funis de Login – Se as passkeys reduzem o número de usuários que abandonam as tentativas de login.

Ao rastrear especificamente os KPIs de entrada e saída de passkeys e relacioná-los a outros dados, as organizações podem quantificar o impacto de sua implementação de passkeys e fazer melhorias baseadas em dados para maximizar a adoção, reduzir custos e aprimorar a segurança.

Escolher a solução de passkeys certa depende de seus desafios específicos, requisitos de segurança e considerações de custo. Abaixo estão as principais recomendações para decisões de comprar vs. construir em diferentes setores.

Principais Considerações:

• A conformidade regulatória (ex: PSD2, SOC 2, ISO 27001, GDPR) exige medidas de segurança rigorosas na autenticação com passkeys.
• A comparação de custos de passkeys é crucial, pois os bancos muitas vezes subestimam a complexidade e a manutenção a longo prazo de soluções internas.
• A autenticação segura é essencial para reduzir fraudes de apropriação de conta e phishing.

Recomendação: A maioria dos bancos e instituições financeiras deve contar com uma solução de fornecedor de passkeys em vez de construir internamente, pois gerenciar a infraestrutura de passkeys internamente introduz complexidades ocultas que excedem a experiência tradicional de TI. Implementar a autenticação com passkeys em escala requer otimizações e atualizações contínuas, gerenciamento de compatibilidade WebAuthn e integração perfeita com sistemas bancários legados - tudo o que os fornecedores de passkeys já lidam.

Bancos como Ubank, Revolut e Finom estão liderando o caminho na adoção de passkeys, reconhecendo o potencial da tecnologia para aprimorar a segurança enquanto melhora a experiência do usuário. A análise de ROI de passkeys muitas vezes favorece a compra de uma solução de passkeys em vez de investir em manutenção e atualizações contínuas, com implementações mostrando reduções significativas em tentativas de fraude e custos de suporte relacionados à autenticação.

Exemplos: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square

Principais Considerações:

• A conformidade com HIPAA e GDPR exige segurança de autenticação rigorosa na adoção de passkeys.
• Os desafios de implementação de passkeys incluem equilibrar a segurança com a facilidade de uso para pacientes, equipe médica e administradores de TI do hospital.
• Muitos sistemas de autenticação de saúde ainda dependem de infraestrutura legada, tornando a integração de passkeys mais complexa.

Recomendação: Uma solução de fornecedor de passkeys é a maneira mais eficaz de atender aos requisitos de conformidade enquanto simplifica a autenticação. Os fornecedores de passkeys lidam com patches de segurança, atualizações de conformidade e confiabilidade da autenticação, reduzindo o fardo sobre as equipes de TI.

Exemplos: CVS Health, Caremark, Helsana, NHS, Swica

Principais Considerações:

• A Otimização da Taxa de Conversão (CRO) é crítica para os negócios - o atrito na autenticação impacta diretamente a receita.
• Cenários multi-dispositivo devem funcionar perfeitamente (usuários navegam no celular, mas finalizam a compra no desktop).
• Erros de autenticação aumentam diretamente as taxas de abandono de carrinho, tornando essenciais os fluxos de login otimizados para UX.

Recomendação: Plataformas de e-commerce se beneficiam mais de um provedor de implementação de passkeys que oferece altas taxas de adoção. Grandes plataformas como Amazon e Shopify implementaram a autenticação com passkeys, demonstrando a crescente adoção da tecnologia no e-commerce. Dados do mundo real mostram que mais de 27% dos logins iniciais com senha falham, enquanto a autenticação baseada em passkeys pode alcançar taxas de sucesso de login de até 95-97%, como mostrado em adoções anteriores. A análise de ROI de passkeys mostra que taxas de conversão mais altas e menores perdas por fraude justificam rapidamente o investimento.

A Amazon disse recentemente que estabeleceu uma meta ambiciosa de 100% de adoção de passkeys e a eliminação completa de senhas.

O Google também descobriu que os usuários de teste que interagem com passkeys têm 20% mais probabilidade de se converterem em clientes pagantes do que aqueles que não o fazem.

Exemplos: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target

Principais Considerações:

• A autenticação entre dispositivos é essencial, pois os usuários reservam viagens em um dispositivo e fazem check-in em outro.
• Fornecedores especialistas em passkeys devem garantir logins rápidos e seguros para reservas, check-ins e gerenciamento de contas convenientes.
• A prevenção de fraudes é uma prioridade, pois as plataformas de viagens lidam com transações de alto valor.

Recomendação: A maioria das empresas de viagens deve implementar soluções de passkeys para aprimorar a segurança e a experiência do usuário. Empresas líderes como Kayak e grandes companhias aéreas já estão utilizando a autenticação com passkeys para melhorar sua experiência do usuário. Soluções pré-construídas fornecem detecção de fraude mais forte, experiências de login perfeitas e suporte instantâneo a múltiplos dispositivos. O setor de hotelaria está se beneficiando particularmente da redução dos tempos de check-in e da segurança aprimorada através da implementação de passkeys, garantindo uma autenticação suave em todos os pontos de contato (aplicativos, quiosques, web e plataformas de parceiros).

Exemplos: Air New Zealand, Bolt, Grab, Uber, Hyatt

Principais Considerações:

• Os custos de implementação de passkeys devem estar alinhados com as necessidades de conformidade e as melhorias na experiência do usuário.
• Muitos clientes de seguros não são muito experientes em tecnologia, então a experiência do usuário em todos os tipos de dispositivos e navegadores é uma obrigação.
• A integração de passkeys com a verificação de identidade é frequentemente necessária para o gerenciamento de apólices e processamento de sinistros.

Recomendação: Uma solução externa de passkeys é a mais adequada para uma implementação rápida e conformidade regulatória. As seguradoras relatam uma redução significativa nos tickets de suporte relacionados à autenticação após a implementação de passkeys. Um provedor de implementação de passkeys com fluxos de autenticação personalizáveis e verificação de identidade integrada garante a segurança, mantendo os logins dos clientes simples. A análise de ROI de passkeys sugere que a redução de redefinições de senha e perdas por fraude compensa os custos do fornecedor.

Exemplos: Branch

Principais Considerações:

• Padrões de segurança mais elevados e requisitos de conformidade (por exemplo, NIST, o framework Essential Eight exige MFA resistente a phishing).
• Necessidades de implementação em larga escala em populações de usuários diversas com proficiência técnica variada.
• Requisitos de integração com sistemas de verificação de identidade governamentais existentes e infraestrutura legada.

Recomendação: Para agências governamentais, uma solução de passkeys especializada que atenda a padrões de segurança rigorosos, garantindo a acessibilidade, é essencial. O sucesso da implementação na VicRoads demonstra que as organizações governamentais se beneficiam mais de soluções externas de passkeys que lidam com os requisitos de conformidade e atualizações de segurança automaticamente. Portanto, escolha um provedor de implementação de passkeys que ofereça segurança de nível empresarial, suporte à autenticação multi-dispositivo e forneça fluxos de autenticação adaptativa para acomodar todos os cidadãos.

Exemplo: VicRoads, myGov, Estado de Michigan

Principais Considerações:

• Escalabilidade e confiabilidade são críticas, pois as operadoras de telecomunicações e serviços públicos geralmente gerenciam milhões de usuários em vários segmentos de clientes, exigindo autenticação altamente disponível e tolerante a falhas.
• O suporte a múltiplos dispositivos e plataformas é essencial, pois os usuários acessam contas por meio de aplicativos móveis ou portais da web. A autenticação perfeita com passkeys deve funcionar em todos os pontos de contato com o cliente.
• O suporte a sistemas de autenticação legados é frequentemente necessário, pois as operadoras de telecomunicações e serviços públicos podem precisar integrar passkeys em sistemas IAM existentes e plataformas de identidade do cliente sem interromper os fluxos de autenticação atuais.
• A prevenção de fraudes e a segurança da conta são as principais prioridades, particularmente para fraudes de troca de SIM (SIM swap), roubo de identidade e acesso não autorizado à conta. As passkeys podem reduzir significativamente os ataques de phishing e os riscos de credential stuffing.

Recomendação: Para as operadoras de telecomunicações e serviços públicos, adotar uma solução externa de passkeys é a abordagem recomendada. Dada a escala, complexidade e demandas de segurança desses setores, um provedor de passkeys gerenciado garante conformidade, alta disponibilidade e integração perfeita com a infraestrutura de autenticação existente. Gigantes das telecomunicações e provedores de serviços públicos digitais já estão adotando passkeys como parte de seus esforços de modernização da segurança para reduzir fraudes e melhorar a experiência do usuário. Além disso, terceirizar a implementação de passkeys reduz o Custo Total de Propriedade (TCO) em comparação com a construção interna, pois a manutenção contínua, as atualizações de segurança e a conformidade regulatória são tratadas pelo provedor.

Exemplo: Deutsche Telekom, Telstra, SK Telecom

Principais Considerações:

• A autenticação multi-tenant é essencial para SaaS B2B, exigindo integração escalável de passkeys em diferentes sistemas IAM.
• As empresas esperam SSO (OIDC/SAML), portanto, uma integração perfeita com Provedores de Identidade é crítica para os negócios.
• Os custos de implementação de passkeys devem ser equilibrados com outros investimentos em segurança, como autenticação multifator (MFA) e modelos de segurança de confiança zero.

Recomendação: Para a maioria dos provedores de SaaS B2B, uma implementação externa de passkeys é a escolha ideal. A implementação geralmente é mais rápida do que o desenvolvimento interno. Empresas B2B digitais como Notion, Hubspot ou Vercel já adotaram passkeys para aprimorar a segurança de sua autenticação. O Custo Total de Propriedade é significativamente menor do que o desenvolvimento interno, pois a manutenção, as atualizações e os requisitos de conformidade são cobertos pelo provedor.

Exemplo: Canva, DocuSign, Notion

As passkeys se tornaram o padrão global para autenticação, simplificando os logins para os usuários finais enquanto aprimoram a segurança. À medida que as empresas avaliam como implementar passkeys, elas devem decidir se constroem uma solução interna ou aproveitam um fornecedor especializado em passkeys. Embora as implementações DIY ofereçam controle total, elas exigem conhecimento técnico significativo, recursos de desenvolvimento e manutenção contínua. Em contraste, os fornecedores de passkeys fornecem uma abordagem mais rápida, escalável e econômica, garantindo altas taxas de adoção, experiência do usuário perfeita e conformidade com os padrões de segurança em evolução.

Este guia abordou as seguintes questões-chave:

• Quais componentes são necessários para implementar passkeys e se tornar passwordless?

  Uma implementação bem-sucedida de passkeys requer infraestrutura FIDO2/WebAuthn, fluxos de UX perfeitos, mecanismos de fallback e opções seguras de recuperação de conta. As empresas também devem considerar a compatibilidade entre plataformas e a conformidade de segurança.

• Devo implementar passkeys internamente ou usar um fornecedor externo?

  Embora o desenvolvimento interno ofereça controle, ele vem com alta complexidade, custos de manutenção contínuos e responsabilidades de segurança. A maioria das organizações de grande escala voltadas para o consumidor se beneficia de uma solução externa de passkeys que oferece implementação rápida, menores custos operacionais e sobrecarga técnica reduzida.

• Qual é o benefício de ter um fornecedor de passkeys quando existem bibliotecas de código aberto?

  As bibliotecas WebAuthn de código aberto fornecem um ponto de partida, mas carecem de segurança de nível empresarial, experiência do usuário otimizada para passkeys e recursos que aprimoram a adoção. Um fornecedor de passkeys garante uma implementação perfeita, escalabilidade e estratégias otimizadas de adoção do usuário que trazem melhor ROI, reduzindo o atrito tanto para os usuários quanto para os desenvolvedores.

• Quais são os maiores desafios na construção de uma solução de passkeys?

  Desenvolver um sistema de passkeys interno requer profundo conhecimento em WebAuthn, suporte a múltiplos dispositivos e adoção de passkeys. Manter a complexidade contínua de dispositivos e navegadores e garantir altas taxas de adoção aumentam ainda mais a complexidade.

• Quais são os riscos de implementar passkeys internamente?

  As empresas correm o risco de altos custos de desenvolvimento, cronogramas de implementação prolongados e encargos contínuos de manutenção de segurança. Falhas de conformidade, vulnerabilidades de segurança e baixa adoção do usuário podem comprometer o sucesso de um lançamento de passkeys. Uma solução de passkeys gerenciada por um fornecedor mitiga esses riscos, oferecendo uma infraestrutura de autenticação comprovada e escalável com segurança e conformidade regulatória integradas.