Guia sobre comprar ou construir chaves de acesso
Construir ou comprar uma solução de chaves de acesso? Descubra os prós e contras das soluções próprias vs. fornecedores de chaves de acesso, desafios, custos e melhores práticas.
Esta página foi traduzida automaticamente. Leia a versão original em inglês aqui.
Baixe o guia completo sobre comprar ou construir chaves de acesso#
Baixe o guia Comprar ou construir chaves de acesso gratuitamente e tenha acesso a todos os insights.
- ✅ Solicitado por equipes da Adidas, Woolworths e Mitsubishi
- ✅ Lista completa de componentes e modelo de custo para decidir entre comprar ou construir
- ✅ Estrutura de decisão prática de 50 páginas
Comprar ou construir uma solução de chaves de acesso?
Baixe o guia completo sobre comprar ou construir
Obtenha um checklist completo para implantação de chaves de acesso, comparando soluções próprias vs. de fornecedores (SaaS e local), principais desafios, custos e melhores práticas.
Baixe o guia gratuito sobre comprar ou construir
- Para a maioria das implantações de consumidores em larga escala, comprar uma solução de fornecedor de chaves de acesso oferece uma implantação mais rápida, menor TCO e taxas de adoção mais altas do que construir internamente.
- Um limite crítico de adoção de 50 a 80 % dos usuários ativos deve ser atingido antes que a remoção de senhas se torne viável, tornando as ferramentas de adoção um fator decisivo de construir vs. comprar.
- Mais de 27 % dos logins por senha falham, enquanto a autenticação por chave de acesso atinge taxas de sucesso de 95 a 97 %, melhorando diretamente as taxas de conversão em e-commerce e varejo.
- As chaves de acesso oferecem ganhos de velocidade de 3x a 5x em relação à senha mais SMS MFA, correlacionando-se com maior satisfação do usuário e uso sustentado.
- Bibliotecas WebAuthn de código aberto fornecem um ponto de partida, mas carecem de segurança de nível corporativo, UX otimizada e recursos de aprimoramento de adoção necessários para implantação em larga escala.
1. Motivação: Devo comprar ou construir uma solução de autenticação com chaves de acesso?#
A ideia de construir sua própria implementação de chaves de acesso parece atraente: controle total, integrações personalizadas e sem dependência de fornecedor. Afinal, o FIDO2 é baseado em padrões abertos e escrever as primeiras linhas de código WebAuthn parece bastante fácil. Quão difícil pode ser?
Mas é frequentemente aqui que a complexidade começa, especialmente quando se planeja construir uma solução para um cenário de implantação de consumidores em larga escala com milhões de usuários em um setor como:
- Bancos e serviços financeiros (por exemplo, online, bancários, pagamentos, fintech)
- Governo e serviços públicos (por exemplo, portais do cidadão, plataformas de impostos e previdência social)
- Seguros e saúde (por exemplo, portais de pacientes, plataformas digitais de seguros)
- E-commerce e varejo (por exemplo, marketplaces, programas de fidelidade)
- Telecomunicações e serviços de utilidade pública (por exemplo, operadoras de celular, provedores de energia)
- Viagens e hospitalidade (por exemplo, contas de companhias aéreas, programas de fidelidade de hotéis)
O verdadeiro desafio começa além do primeiro login bem-sucedido com chaves de acesso e muitas vezes se revela apenas enquanto você já está implementando sua solução. De repente, coisas como casos extremos estranhos, erros de usuário confusos e possíveis bloqueios de usuário devido à não disponibilidade de chaves de acesso aparecem. O que parecia uma integração direta se transforma em meses ou até anos de esforço de desenvolvimento, custos de manutenção inesperados e um projeto de chaves de acesso potencialmente fracassado.
No entanto, construir sua própria solução também pode ser a escolha certa para determinadas organizações e requisitos específicos. Conversamos com dezenas de organizações sobre seus planos de implementação de chaves de acesso e acompanhamos algumas em sua jornada na prática. Este guia ajudará a determinar quando uma abordagem de chaves de acesso do tipo "faça você mesmo" (DIY) pode fazer sentido e quando escolher um provedor estabelecido de chaves de acesso é a decisão mais inteligente.
Com nosso guia sobre comprar ou construir chaves de acesso, queremos responder às seguintes perguntas:
- Quais componentes são necessários para implementar chaves de acesso e não usar mais senhas?
- Devo implementar chaves de acesso internamente ou usar um fornecedor externo?
- Qual é o benefício de ter um fornecedor de chaves de acesso quando existem bibliotecas de código aberto?
- Quais são os maiores desafios na construção de uma solução de chaves de acesso?
- Quais são os riscos de implementar chaves de acesso internamente?
2. Pré-requisitos: Por que as chaves de acesso são o novo login padrão#
As senhas são desatualizadas, inseguras e frustrantes. As chaves de acesso eliminam os riscos de phishing, melhoram a experiência do usuário e simplificam a autenticação - tornando-as o novo padrão de logins seguros. Quer construa internamente ou use uma solução externa, a integração de chaves de acesso é uma grande atualização para segurança e usabilidade.
O Google descobriu que focar na história de facilidade de uso ou na história da velocidade ressoa e funciona. As pessoas geralmente resmungam sobre o login, então qualquer coisa que torne o processo mais fácil e rápido é uma vitória.
Além desses benefícios de segurança, há um enorme potencial para economia de custos operacionais com chaves de acesso. É possível reduzir o número de SMS OTPs enviados aos usuários, o que pode se acumular massivamente para grandes bases de usuários. Além disso, o fardo que as recuperações de senha e MFA colocam em suas equipes de suporte ao cliente também é um fator de custo que pode ser eliminado.
Além disso, as chaves de acesso melhoram as taxas de sucesso de login e os tempos de login para os usuários, resultando em melhores taxas de conversão, o que é um grande impulsionador para o crescimento da receita em setores como e-commerce, varejo ou viagens.
3. A jornada sem senhas: Como as chaves de acesso entram em jogo?#
O objetivo final para muitas organizações que consideram a introdução de chaves de acesso é se tornarem totalmente sem senha. Para atingir esse objetivo, normalmente há quatro fases que precisam ser concluídas. A velocidade com que essas fases progridem depende muito das capacidades técnicas da organização, dos padrões de login e da base de usuários. Em alguns casos, fatores externos, como pressão pública para introduzir autenticação mais segura ou restrições financeiras, também podem desempenhar um papel.
Vamos passar por essas quatro fases e descrevê-las, pois a implementação de chaves de acesso é apenas um passo para garantir o sucesso de um projeto.
3.1 Fase 1: Integrar chaves de acesso#
O primeiro passo na transição para um sistema totalmente sem senhas é integrar chaves de acesso como método de login. Neste estágio, senhas e outros métodos de autenticação permanecem como alternativas para garantir que os usuários ainda possam acessar suas contas se ainda não adotaram as chaves de acesso. A integração bem-sucedida requer compatibilidade perfeita com os fluxos de login e políticas de segurança existentes. As organizações devem se concentrar em tornar a criação de chaves de acesso simples, garantindo que usuários técnicos e não técnicos possam adotar o novo método de autenticação sem atritos.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study3.2 Fase 2: Aumentar a adoção de chaves de acesso#
Depois que as chaves de acesso são integradas, o próximo desafio é impulsionar a adoção de chaves de acesso pelos usuários. Muitas organizações subestimam a importância desta fase, mas sem a adoção generalizada dos usuários, um projeto de chaves de acesso provavelmente falhará. O objetivo é encorajar o maior número possível de usuários a criar e usar chaves de acesso, idealmente tornando-as o método de login padrão.
As principais táticas para aumentar a adoção incluem educação proativa do usuário, incentivos na interface do usuário (UI) que promovem a criação de chaves de acesso e programas de incentivo que recompensam os usuários pela troca. As organizações devem definir um limite crítico de adoção, como 50 a 80 % de usuários ativos utilizando chaves de acesso, antes de avançar para a próxima fase. Para um entendimento mais profundo de por que a adoção é crucial, consulte nosso artigo dedicado sobre como as baixas taxas de adoção podem comprometer seu projeto de chaves de acesso.
3.3 Fase 3: Remover senhas#
À medida que a adoção de chaves de acesso atinge uma massa crítica, as organizações podem começar a eliminar gradualmente as senhas. No entanto, remover senhas muito cedo ou sem um planejamento cuidadoso pode levar a problemas de usabilidade e aumento de solicitações de suporte. Uma abordagem em fases é recomendada:
- Comece removendo senhas de contas onde os usuários se autenticam consistentemente com chaves de acesso.
- Ofereça a remoção de senha como uma opção nas configurações da conta para os pioneiros.
- Use insights baseados em dados para identificar usuários que estão prontos para se tornarem totalmente sem senhas. Por exemplo, usuários com várias chaves de acesso registradas em diferentes dispositivos podem ser priorizados para a remoção de senhas.
- Comunique proativamente os benefícios da remoção de senhas para aumentar a confiança do usuário.
Ao orientar estrategicamente os usuários para a autenticação totalmente sem senhas, as organizações podem maximizar a segurança sem interromper a experiência do usuário.
3.4 Fase 4: Automatizar a recuperação de contas#
Uma vez que as senhas são removidas, os mecanismos de recuperação de contas devem ser robustos e seguros. Os métodos tradicionais de recuperação geralmente dependem de intervenções manuais, como tickets de suporte ou redefinições de e-mail, o que pode introduzir riscos de segurança e custos operacionais. As organizações devem implementar soluções modernas de recuperação de conta de autoatendimento que mantenham a segurança enquanto melhoram a experiência do usuário.
Os principais elementos da recuperação automatizada de contas incluem:
- Verificações de vivacidade: evite apropriações de contas não autorizadas garantindo que o usuário esteja fisicamente presente.
- Verificação de identidade: aproveite IDs emitidos pelo governo e verificação biométrica para confirmar a identidade.
- Chaves de acesso alternativas: permita que os usuários recuperem contas usando chaves de acesso de backup armazenadas em outros dispositivos deles.
Muitas organizações já investem em processos automatizados de recuperação independentemente de sua transição sem senhas para reduzir custos e melhorar a usabilidade. No entanto, em um ecossistema impulsionado por chaves de acesso, esses mecanismos tornam-se ainda mais críticos para manter a segurança e reduzir atritos.
Com base nessas quatro fases, agora tentaremos ajudá-lo a avaliar a decisão de comprar ou construir. Portanto, é muito importante para o sucesso a longo prazo do seu projeto ter todas as fases em mente e não apenas integrar as chaves de acesso (este ainda pode ser um objetivo, mas então você deixa todo o potencial não utilizado).
4. Como determinar a abordagem correta de chaves de acesso#
A escolha entre uma solução DIY e uma solução externa de chaves de acesso depende dos recursos técnicos da sua empresa, prioridades de segurança, tamanho da implantação e estratégia de longo prazo. Na próxima seção, detalharemos os principais aspectos para ajudá-lo a tomar a melhor decisão.
A tabela a seguir mostra diferentes critérios de avaliação que devem ser analisados. Com base na declaração para a qual você se inclina mais, diferentes números de pontos são fornecidos.
Como usar a matriz de avaliação:
Para cada critério, escolha se sua empresa precisa de uma solução mais simples ou mais elaborada.
- Atribua 1 ponto para cada resposta em que a complexidade no seu caso é a mais baixa e se alinha mais com a descrição à esquerda.
- Atribua 5 pontos para cada categoria onde sua resposta se alinha mais com a descrição de maior complexidade à direita.
- Se não tiver certeza, use 3 pontos como uma opção neutra.
Baixe o guia completo sobre comprar ou construir chaves de acesso#
Baixe o guia Comprar ou construir chaves de acesso gratuitamente e tenha acesso a todos os critérios de avaliação.
Comprar ou construir uma solução de chaves de acesso?
Baixe o guia completo sobre comprar ou construir
Obtenha um checklist completo para implantação de chaves de acesso, comparando soluções próprias vs. de fornecedores (SaaS e local), principais desafios, custos e melhores práticas.
Baixe o guia gratuito sobre comprar ou construir
5. Como usar este guia de forma eficaz#
Ao decidir entre construir ou comprar uma solução de chaves de acesso, é importante observar todo o processo, não apenas uma única fase de implementação. Mesmo que sua prioridade de curto prazo seja oferecer chaves de acesso como um MVP, você deve antecipar as implicações de longo prazo, especialmente o impulsionamento da adoção. Abaixo está como recomendamos o uso deste guia e a interpretação de seus resultados, com ênfase no motivo pelo qual a adoção é mais importante do que quase qualquer outro fator.
5.1 Foco na adoção como o fator de sucesso nº 1#
Não importa quão avançada seja a sua solução de chaves de acesso, se os usuários não a adotarem criando chaves de acesso e usando-as para o login, todo o projeto estará em risco. Em nossa experiência, as organizações frequentemente subestimam o esforço necessário para afastar os usuários das senhas. Mesmo se você implementar as chaves de acesso perfeitamente no nível técnico, a baixa adoção levará a:
- Dependência persistente de senhas, anulando os benefícios de segurança.
- ROI mínimo, pois a economia de custos (menos redefinições de senha, redução de SMS OTPs) depende de um uso significativo de chaves de acesso para login.
- Experiência do usuário fragmentada, se a maioria dos logins ainda acontecer por meio de métodos tradicionais e apenas um pequeno subconjunto usar chaves de acesso.
Alta adoção, às vezes 50 % ou até +80 % da sua base de usuários, normalmente é necessária antes que você possa dar passos significativos para reduzir ou remover senhas completamente. Organizações como Google e Amazon estabelecem metas explícitas de adoção e sistematicamente executam testes A/B, campanhas de educação do usuário e incentivos de UI para garantir que as chaves de acesso sejam amplamente aceitas. Esse esforço concentrado na adoção não é opcional; é o que transforma a implementação da chave de acesso de um recurso em uma vantagem competitiva tangível.
5.2 Use o guia holisticamente ou em fases#
Este guia foi elaborado para ajudar a tomar decisões informadas sobre implementações de chaves de acesso em todas as fases da jornada:
- Fase 1 (Integrar chaves de acesso): se você está simplesmente considerando se deve adotar as chaves de acesso e como integrá-las, concentre-se nos critérios Comprar ou Construir para a integração.
- Fase 2 (Aumentar a adoção): se você quer que as chaves de acesso sejam mais do que um recurso, planeje desde cedo impulsionar a adoção do usuário - mesmo para um MVP, pois requer um investimento adicional em tecnologia muitas vezes substancialmente maior do que a implementação inicial.
- Fase 3 (Remover senhas): se eliminar as senhas é um objetivo estratégico de longo prazo, garanta que sua arquitetura e fluxos de usuários sejam desenhados com essa eventual etapa em mente.
- Fase 4 (Automatizar a recuperação de contas): mesmo que não esteja pronto para ficar totalmente sem senhas hoje, certifique-se de que a abordagem das chaves de acesso possa evoluir para uma recuperação robusta e perfeita para evitar obstáculos futuros.
Destas, a Fase 2 (Aumentar a adoção) é a mais importante. Você pode avaliar cada seção separadamente, mas lembre-se de que o sucesso a longo prazo e o ROI frequentemente dependem de quão a sério a adoção é levada desde o início.
5.3 Envolva os principais stakeholders e alinhe-se sobre as metas de adoção#
Se você está no estágio inicial da decisão de implementar chaves de acesso, comece pela primeira seção da matriz de avaliação (integração de chaves de acesso) e preencha-a com a gerência, TI, proprietários do produto e outros tomadores de decisão importantes. Perguntem a si mesmos:
- Qual é a nossa taxa de login desejada com chaves de acesso? 5 % é suficiente para provar a viabilidade ou precisamos de 50 a 80 % antes de considerarmos as chaves de acesso um sucesso?
- Temos orçamento e adesão executiva para executar testes A/B ao longo de meses, rodar campanhas de otimização, criar materiais educacionais e refinar os fluxos de usuário continuamente para que os usuários entendam e queiram mudar para as chaves de acesso? Há capacidade de engenharia suficiente disponível para implementar todos os relatórios, análises e testes necessários? Podemos lançar com a frequência suficiente para alcançar esses objetivos?
- Qual é a visão de longo prazo? Nosso objetivo é remover senhas ou apenas fornecer uma alternativa?
Responder a essas perguntas antecipadamente garante que o projeto de chaves de acesso não se torne um beco sem saída. As organizações que falham em planejar a adoção geralmente se veem presas às senhas por muitos anos, prejudicando toda a estratégia de segurança e experiência do usuário.
5.4 Quanto mais você se afasta do "neutro", mais um fornecedor faz sentido#
Em toda a matriz, cada critério de avaliação pode colocá-lo em qualquer lugar, desde a menor complexidade (1) até a maior complexidade (5). Quanto mais suas respostas mudam para além da zona neutra (3), mais forte é o argumento a favor do uso de um fornecedor especializado de chaves de acesso:
- Requisitos de alta complexidade - como métodos alternativos avançados, conformidade rigorosa, análises profundas e UX em vários dispositivos - multiplicam a carga de engenharia e manutenção.
- Forte ênfase na adoção - alcançar alta adoção rapidamente ou remover senhas normalmente requer fluxos de usuário bem testados, telemetria detalhada e incentivos estruturados.
Esses fatores podem sobrecarregar equipes internas, tanto técnica quanto organizacionalmente. Uma solução de chaves de acesso gerenciada muitas vezes pode fornecer práticas recomendadas comprovadas, atualizações rápidas e experiência do mundo real para aumentar a adoção muito mais rápido do que uma abordagem DIY.
5.5. Perspectiva da Corbado: Quando um fornecedor é a melhor escolha#
Como especialista em chaves de acesso, a Corbado tem uma visão forte. Se as chaves de acesso estão no seu roteiro e você deseja uma implementação de ponta que impulsione ativamente a adoção, o Corbado Connect pode ajudar a lidar com complexidades em escala. Eis o porquê:
A adoção está integrada na solução: nossa plataforma foi projetada para maximizar a aceitação do usuário por meio de incentivos inteligentes, análises e testes A/B contínuos, o que também gera economia de custos.
Próximos passos:
- Preencha cada seção relevante da matriz de avaliação - considerando as metas imediatas e de longo prazo.
- Priorize a adoção na sua tomada de decisão - alinhe-se com os stakeholders sobre metas explícitas de adoção e os recursos para alcançá-las.
- Compare o TCO de soluções internas em relação a fornecedores assim que entender a sua complexidade e ambições de adoção e passe pelo processo interno para avaliar se deve construir ou comprar.
- Consulte especialistas em chaves de acesso (como a Corbado) se suas metas estratégicas apontarem para uma plataforma totalmente gerenciada que lida efetivamente com desafios técnicos e de adoção.
Ao abordar as chaves de acesso de forma holística e tornar a adoção um dos principais alvos, você alcançará os melhores resultados. Isso significa segurança mais forte, logins simplificados e um caminho real para um futuro sem senhas. Se tiver interesse em saber mais sobre o Corbado Connect e como ajudamos os nossos clientes a alcançar uma alta adoção, estamos à disposição para conversar.
6. Como medir o sucesso de uma implantação de chaves de acesso?#
Agora que ajudamos a determinar a abordagem correta para responder à pergunta “Comprar ou construir?”, analisamos como avaliar o sucesso de uma implantação de chaves de acesso. Portanto, definimos KPIs de entrada e saída de um projeto.
6.1 Quais são os KPIs de entrada importantes para as chaves de acesso?#
Os KPIs de entrada ajudam a rastrear a adoção inicial das chaves de acesso e se as condições necessárias para o uso generalizado estão sendo estabelecidas. Esses indicadores precedem o comportamento real de login, mas são cruciais para viabilizar uma adoção significativa e otimizar a implantação.
| KPI | Definição | Por que isso é importante | Como medir | Benchmark |
|---|---|---|---|---|
| Taxa de aceitação das chaves de acesso | Porcentagem de usuários que, após entrarem com sucesso (pós-login), recebem um “incentivo” (um prompt ou sugestão para configurar uma chave de acesso) e optam por criá-la. Esse KPI mede especificamente a capacidade de resposta do usuário a esses prompts, destacando a eficácia das mensagens em impulsionar a criação. Essa abordagem é considerada de ponta porque os usuários normalmente não criam chaves de acesso proativamente pelas configurações. Em vez disso, as chaves de acesso são adotadas com mais sucesso quando os usuários são solicitados logo após o login, tornando os incentivos o principal motor. Certifique-se de diferenciar entre o primeiro incentivo e os seguintes, já que as taxas caem. | Alta aceitação indica uma persuasão bem-sucedida do usuário e bom design de incentivo. Taxas baixas sinalizam atrito, mensagens pouco claras ou hesitação do usuário. | Fórmula: (Nº de usuários que concluem a criação de uma chave de acesso após incentivo) ÷ (Nº de usuários expostos ao incentivo). Segmente por SO/navegador/dispositivo. | 50 % a 75 % no primeiro incentivo, até 85 % ao longo de vários incentivos no celular. Mais baixo no desktop. Depende fortemente das palavras e da implementação. |
| Taxa de sucesso na criação de chaves de acesso | Proporção de usuários que iniciam a cerimônia de registro da chave de acesso, mas a concluem com sucesso (ou seja, sem abandono). | Mostra quantos usuários desistem no meio da criação devido a uma UX confusa, problemas técnicos ou dúvidas do usuário. | Fórmula: (Nº de registros concluídos de chaves de acesso) ÷ (Nº de tentativas de registro) Analise os pontos de falha por SO/navegador/dispositivo. | Quase 100 %. |
| Número de chaves de acesso criadas | Contagem cumulativa de chaves de acesso recém-criadas em um determinado período (diário, semanal, mensal). | Uma medida bruta de adoção frequentemente considerada um KPI semi-saída. Reflete o volume do uso de chaves de acesso e as futuras mudanças potenciais de login afastando-se das senhas. | Fórmula: Soma de todas as chaves de acesso recém-registradas em categorias de SO, navegador e dispositivo. Monitore as tendências de crescimento ao longo do tempo. O número absoluto não tem implicação; depende do tamanho da base de usuários. | Uma quantidade substancial por dia assim que for totalmente implantado. |
Esses KPIs de entrada serveem como indicadores antecedentes da futura adoção e permitem que as organizações refinem a educação do usuário, os fluxos de UX e a implementação técnica.
6.2 Quais são os KPIs de saída / OKRs importantes para as chaves de acesso?#
Os KPIs de saída (OKRs) medem o sucesso real da adoção de chaves de acesso avaliando o comportamento do usuário, melhorias operacionais e impacto comercial. Esses indicadores refletem a eficácia real da implantação. A Taxa de Login de Chaves de Acesso é um KPI de saída fundamental porque reflete diretamente a adoção e o uso reais. Uma taxa crescente indica a integração bem-sucedida e a preferência contínua do usuário em detrimento dos métodos de autenticação herdados.
| KPI | Definição | Por que isso é importante | Como medir | Benchmark |
|---|---|---|---|---|
| Taxa de ativação de usuários | Entre todos os usuários que viram pelo menos um incentivo (podem ser vários ao longo do tempo), a porcentagem de quem finalmente criou pelo menos uma chave de acesso. | Mede o sucesso geral de integração ao longo de vários incentivos. Os usuários podem rejeitar o primeiro e converter mais tarde. | Fórmula: (Nº de usuários exclusivos que criaram ≥1 chave de acesso) ÷ (Nº de usuários exclusivos a quem foi mostrado pelo menos um incentivo) Segmente por SO, navegador, dispositivo para ver quem adota chaves de acesso. Quando a implantação cresce, as chaves de acesso excluídas também devem ser refletidas aqui. | Mais de 50 % em 12 meses. A taxa de login das chaves de acesso converge para a taxa de ativação de usuários. Vai depender da composição do usuário. |
| Taxa de login com chaves de acesso | A porcentagem de todos os eventos de login que são concluídos usando uma chave de acesso em vez de um método legado (senha, SMS OTP, etc.). | Demonstra a frequência de uso real das chaves de acesso. Uma taxa de login consistentemente baixa indica que os usuários preferem ou voltam às senhas apesar de criarem chaves de acesso, reflete baixas taxas de ativação (já que uma alta taxa de login só pode ocorrer se a ativação em si for alta), ou resulta de uma implementação de login subótima que não aproveita automaticamente as chaves de acesso existentes. | Fórmula: (Nº de logins por chave de acesso) ÷ (Total de logins) Segmente por SO/navegador/dispositivo ou grupo de usuários. Isso ajuda a localizar plataformas ou dados demográficos problemáticos com baixo uso de chaves de acesso. | Mais de 20 % em semanas, mais de 50 % em 12 meses. (depende muito de como você implementa) |
| Taxa de sucesso de login com chaves de acesso | Proporção de tentativas de login por chave de acesso que terminam com sucesso sem retornar a uma alternativa. | Revela atritos dentro do fluxo da chave de acesso. Uma taxa menor pode indicar confusão do usuário, restrições de ambiente ou problemas de compatibilidade de dispositivo, levando ao uso da alternativa. Espera-se que não seja 100 %, já que os usuários trocam de dispositivos ou tentam fazer login em dispositivos não conectados. Depende muito do padrão do usuário e dos dispositivos. | Fórmula: (Nº de logins bem-sucedidos de chaves de acesso) ÷ (Nº de tentativas de login de chaves de acesso) Rastreie as tentativas parciais, onde o usuário abandona a chave de acesso no meio e muda para a senha. | Mais de 95 % na web móvel. Mais de 99 % nos aplicativos nativos. As taxas de login no desktop dependem de quantos dos seus usuários têm vários dispositivos e onde eles se registram primeiro. |
| Tempo de login com chaves de acesso vs. tempo de login legado | Comparação do tempo médio para autenticar com chaves de acesso em relação às senhas (ou outros métodos herdados), desde o momento em que o usuário inicia o login até a conclusão com sucesso. | Logins mais rápidos com chaves de acesso correlacionam-se com maior satisfação e uso sustentado. | Registre o início e os registros de data e hora de sucesso de cada tentativa de login. Calcule o tempo médio de login com chave de acesso em comparação com o método legado. Segmente por SO/navegador/dispositivo para obter insights mais profundos. | Ganhos de velocidade de 3x a 5x. Quando comparado ao MFA existente (Senha + SMS). |
| Taxa de fallback | Com que frequência os usuários revertem para senhas ou outro método alternativo durante uma tentativa de login inicialmente iniciada com uma chave de acesso. | Mostra a dependência contínua dos fluxos legados, possivelmente devido à baixa confiabilidade das chaves de acesso ou à falta de conforto do usuário. | Fórmula: (Nº de eventos de fallback) ÷ (Nº de tentativas de login com chaves de acesso) Correlacione os dados de fallback a pesquisas com usuários ou tickets de suporte para identificar a causa raiz. | Esse KPI é basicamente a taxa de login invertida das chaves de acesso e depende da sua implementação. |
É importante otimizar principalmente o sucesso e a taxa de login de chaves de acesso para garantir uma experiência sem atritos, enquanto se trabalha simultaneamente para aumentar as taxas de ativação de usuários - mas apenas quando a taxa de sucesso de login é alta o suficiente para evitar a introdução de frustração no usuário. Além disso, acompanhar esses KPIs por diferentes segmentos (como SO, navegador e dispositivo) e casos de uso específicos (por exemplo, logins em vários dispositivos) pode fornecer insights mais profundos sobre padrões de adoção e possíveis pontos de atrito.
6.3 Como registrar os eventos necessários para as métricas das chaves de acesso#
Medir com precisão os KPIs de entrada (por exemplo, aceitação, criação) e os de saída (por exemplo, taxa de login, uso de fallback) exige a coleta de dados de três fontes principais:
- Dados do evento de frontend
- Loja de chaves de acesso / credenciais
- Logs legados de autenticação e fallback
6.3.1 Dados do evento de frontend#
Para calcular métricas como a Taxa de aceitação de chaves de acesso ou a Taxa de sucesso na criação de chaves de acesso, é necessário detectar quantos usuários veem um incentivo pós-login, quantos clicam em "Sim, criar uma chave de acesso", e se eles realmente terminam a criação. Isso exige o rastreamento de eventos em JavaScript (ou nativo móvel) para capturar:
- Quando e se o incentivo for exibido (primeira vez vs. vezes subsequentes)
- Quanto tempo eles demoram para concluir o incentivo
- Se eles abortam a cerimônia de criação uma ou várias vezes
Também será necessária a análise do user agent ou dicas de cliente para vincular as taxas de aceitação de volta a versões específicas de SO / navegador, a fim de poder detectar caminhos específicos com problemas.
6.3.2 Loja de chaves de acesso / credenciais#
Após o usuário iniciar o registro no frontend, o servidor deve confirmar se uma nova chave de acesso foi realmente armazenada. Você precisará de acesso ao banco de dados ou a uma API de um provedor de identidade externo que registra o evento de criação de cada credencial. Este repositório ajuda a contar quantas chaves de acesso existem por usuário e a rastrear o resultado final (sucesso ou falha), garantindo que você saiba precisamente quais tentativas terminaram em registros concluídos.
6.3.3 Logs legados de autenticação e fallback#
Para métricas como a Taxa de fallback, você deve examinar seus processos e logs de autenticação atuais. Ao unificar esses logs com eventos de frontend, você verifica se um usuário iniciou um login por chave de acesso, obteve um erro e mudou para o login de fallback (por exemplo, SMS ou senha).
Finalmente, medir KPIs baseados em tempo, como Tempo de login com chaves de acesso vs. Tempo de login legado, baseia-se em registros de data e hora do cliente e do servidor. Como muitas organizações registram apenas os logins bem-sucedidos, você deve adicionar instrumentação para fluxos parciais ou com falha para realmente avaliar o atrito e o fallback. Integrar essas três fontes de dados, respeitando as restrições regulatórias e de privacidade, muitas vezes é mais complexo do que o previsto e é outro fator que leva algumas equipes a adotarem plataformas especializadas de chaves de acesso que fornecem análises integradas e rastreamento de eventos.
6.3.4 Abordagem integrada da Corbado: Mineração de processos de autenticação#
Os componentes do Corbado Connect coletam implicitamente todos os dados descritos (centenas de diferentes) ao gerar automaticamente um processo exclusivo para cada usuário que inicia uma autenticação. Por meio da integração perfeita, a Corbado também coleta métricas da sua solução existente. Essa visão holística aponta precisamente melhorias, fornecendo insights abrangentes sobre todos os KPIs essenciais de chaves de acesso, sem nenhum esforço adicional da sua parte.
6.4 Quais são outros KPIs / OKRs de saída importantes que devem ser afetados?#
Além disso, os seguintes efeitos de KPIs de saída também devem aparecer após uma implantação bem-sucedida de chaves de acesso e, na maioria das vezes, já são coletados dentro da empresa:
Métricas Operacionais e de Redução de Custos
- Redução no uso de SMS OTP – Número de SMS OTPs economizados devido à autenticação por chaves de acesso (economia direta de custos).
- Redução nas solicitações de redefinição de senha – Diminuição das interações do helpdesk relacionadas a senhas esquecidas.
- Redução de tickets de suporte ao cliente – Menor volume de problemas de serviço ao cliente relacionados à autenticação.
- Redução no volume de chamadas de suporte – Menos chamadas recebidas relacionadas a problemas de acesso à conta.
Métricas de Impacto de Negócios e UX
- Taxas de retenção de usuários – Porcentagem de usuários que continuam se autenticando após o primeiro login.
- Taxa de conversão – Com que frequência os usuários concluem transações após a autenticação.
- Taxa de abandono nos funis de login – Se as chaves de acesso reduzem o número de usuários que abandonam as tentativas de login.
Ao rastrear especificamente os KPIs de entrada e saída das chaves de acesso e relacioná-los a outros dados, as organizações podem quantificar o impacto de sua implantação e fazer melhorias baseadas em dados para maximizar a adoção, reduzir custos e melhorar a segurança.
7. Recomendações#
A escolha da solução certa depende dos desafios específicos, requisitos de segurança e considerações de custo. Abaixo estão as principais recomendações para as decisões entre comprar ou construir em diferentes setores.
7.1 Recomendação para chaves de acesso no setor de bancos e serviços financeiros#
Principais considerações:
- A conformidade regulatória (por exemplo, PSD2, SOC 2, ISO 27001, RGPD) exige medidas de segurança rigorosas na autenticação por chaves de acesso.
- A comparação de custos de chaves de acesso é crucial, pois os bancos muitas vezes subestimam a complexidade e a manutenção de longo prazo das soluções internas.
- A autenticação segura é essencial para reduzir a fraude de controle de conta e phishing.
Recomendação:
A maioria dos bancos e instituições financeiras deve contar com uma solução de fornecedor
de chaves de acesso em vez de construir internamente, já que gerenciar a infraestrutura de
chaves de acesso internamente introduz complexidades ocultas que excedem a especialização
tradicional de TI. Implementar chaves de acesso em escala exige otimizações contínuas,
gerenciamento de compatibilidade de WebAuthn e integração perfeita com sistemas
bancários legados - tudo isso já é tratado por fornecedores.
Bancos como Ubank, Revolut e Finom estão liderando o caminho na adoção, reconhecendo o potencial da tecnologia de aprimorar a segurança enquanto melhora a experiência. A análise do ROI frequentemente favorece a compra de uma solução em vez de investir em manutenção e atualizações, com as implementações demonstrando reduções significativas nas tentativas de fraude e nos custos de suporte.
Exemplos: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square
7.2 Recomendação para chaves de acesso na área de saúde#
Principais considerações:
- A conformidade com HIPAA e RGPD exige segurança rigorosa na autenticação.
- Os desafios de implementação incluem o equilíbrio entre a segurança e a facilidade de uso para pacientes, equipe médica e administradores de TI do hospital.
- Muitos sistemas de autenticação na área de saúde ainda dependem de infraestruturas legadas, tornando a integração de chaves de acesso mais complexa.
Recomendação:
Uma solução de fornecedor é a forma mais eficaz de cumprir os requisitos regulatórios e,
ao mesmo tempo, simplificar a autenticação. Eles lidam com patches de segurança,
atualizações de conformidade e confiabilidade da autenticação, reduzindo a carga das
equipes de TI.
Exemplos: CVS Health, Caremark, Helsana, NHS, Swica
7.3 Recomendação para chaves de acesso no e-commerce e varejo#
Principais considerações:
- A Otimização da Taxa de Conversão (CRO) é crítica - o atrito de autenticação afeta diretamente a receita.
- Os cenários para múltiplos dispositivos devem funcionar perfeitamente (os usuários navegam em dispositivos móveis, mas concluem a compra no desktop).
- Os erros de autenticação aumentam diretamente as taxas de abandono do carrinho, tornando os fluxos de login otimizados essenciais.
Recomendação:
As plataformas de e-commerce se beneficiam mais de um provedor
de implantação que ofereça altas taxas de adoção. As principais plataformas, como a Amazon
e a Shopify, implementaram a autenticação de chaves de acesso,
demonstrando a crescente adoção no e-commerce. Os dados reais
mostram que mais de 27 % dos logins com senha falham, ao passo que a autenticação baseada
em chaves de acesso pode atingir até 95 a 97 % de sucesso, como demonstrado em
adoções anteriores.
A análise de ROI de chaves de acesso mostra que
as taxas de conversão mais altas e as perdas de fraude reduzidas rapidamente justificam o
investimento.
A Amazon afirmou recentemente que definiu uma meta ambiciosa de 100 % de adoção de chaves de acesso e eliminação total das senhas.
O Google também descobriu que os usuários de testes que interagem com as chaves de acesso têm 20 % mais chances de se converterem em clientes pagantes do que aqueles que não interagem.
Exemplos: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target
7.4 Recomendação para chaves de acesso em viagens e hospitalidade#
Principais considerações:
- A autenticação em vários dispositivos é essencial, já que os usuários reservam as viagens num dispositivo e fazem o check-in noutro.
- Os fornecedores especializados em chaves de acesso devem assegurar os logins de forma rápida e segura para facilitar as reservas, os check-ins e a gestão de contas.
- A prevenção contra fraudes é uma prioridade, dado que as plataformas de viagens processam transações de grande valor.
Recomendação:
A maioria das empresas de viagens deve implementar soluções de
chaves de acesso para reforçar a segurança e a experiência do usuário. As principais
empresas, como o Kayak e as grandes
companhias aéreas, já estão utilizando a autenticação para
melhorar a experiência. As soluções prontas fornecem uma melhor detecção de fraude, login
sem interrupções e suporte instantâneo para vários dispositivos. O setor de hospitalidade
está a beneficiar particularmente de tempos de check-in reduzidos e do aumento de
segurança, garantindo a autenticação suave em todos os pontos de contato (aplicativos,
quiosques, web e parceiros).
Exemplos: Air New Zealand, Bolt, Grab, Uber, Hyatt
7.5 Recomendação para chaves de acesso nos seguros#
Principais considerações:
- Os custos de implementação devem estar alinhados com as exigências de conformidade e as melhorias na experiência.
- Muitos clientes de seguros não têm grandes conhecimentos tecnológicos, pelo que a experiência em todo o tipo de dispositivos e navegadores é indispensável.
- A integração com a verificação de identidade é muitas vezes necessária para a gestão de apólices e processamento de sinistros.
Recomendação:
A implementação de uma solução externa é a mais adequada para assegurar uma implementação
rápida e a conformidade com as normas. Os provedores de seguros
relatam uma redução significativa dos tickets de suporte após a introdução das chaves de
acesso. Um provedor de implementação de chaves de acesso que dispõe de fluxos de
autenticação personalizáveis e de uma verificação de identidade integrada garante a
segurança sem comprometer os logins de clientes simples. As análises de ROI sugerem que a
diminuição das redefinições de senha e de fraudes compensam os custos de um provedor.
Exemplos: Branch
7.6 Recomendação para chaves de acesso no governo e serviços públicos#
Principais considerações:
- Os níveis de segurança mais elevados e os requisitos de conformidade (por exemplo, a estrutura do NIST ou o Essential Eight exige uma MFA resistente a phishing).
- Necessidades de implementação em grande escala numa base diversificada de usuários com diferentes níveis de proficiência técnica.
- Exigências de integração em sistemas de verificação da identidade do governo ou de infraestruturas herdadas.
Recomendação:
Para agências governamentais, é essencial uma solução
especializada em chaves de acesso que cumpra normas de segurança rígidas, garantindo ao
mesmo tempo a acessibilidade. A implantação de sucesso na
VicRoads mostra que as instituições governamentais têm
vantagens evidentes na implementação externa para processar de modo automático os
requisitos e as atualizações de segurança. Por essa razão, opte por um provedor que
apresente medidas rigorosas, uma autenticação para vários dispositivos e fluxos
adaptativos para abarcar todos os cidadãos.
Exemplo: VicRoads, myGov, State of Michigan
7.7 Recomendação para chaves de acesso nas telecomunicações e serviços de utilidade pública#
Principais considerações:
- A escalabilidade e a fiabilidade são fundamentais, dado que as telecomunicações e prestadores de serviços lidam muitas vezes com milhões de usuários numa multiplicidade de segmentos de clientes e precisam de sistemas altamente acessíveis e imunes a falhas.
- O suporte interplataformas e dispositivos é primordial. Os usuários tentam aceder por aplicativos móveis ou por portais da web, sendo que a autenticação em si precisa ser perfeitamente harmonizada em todas as etapas de interação.
- Frequentemente o apoio de sistemas herdados é um requisito, pois estes setores telecomunicações podem precisar introduzir chaves de acesso em sistemas IAM ou em plataformas de gestão de identidades dos clientes, e fazê-lo de uma forma a não criar interrupções de fluxos de login atuais.
- A prevenção das fraudes e a gestão das contas são prioridades assentes nestas dinâmicas, com enfoque sobre a fraude SIM, usurpação de identidade e invasão de contas sem autorização. As chaves de acesso protegem enormemente o utilizador quanto aos riscos das investidas de phishing ou à exposição da credencial.
Recomendação:
Para as telecomunicações e serviços de utilidade pública, a
implementação de fornecedor gerido tem primazia sobre uma arquitetura feita pelas
empresas. Devido ao âmbito alargado de dimensão e às imposições ao nível da segurança de
complexidade técnica que o espaço obriga a seguir, as empresas geridas por parceiros detêm
ferramentas concebidas à luz dos critérios referidos que salvaguardam as certificações ou
as aproximações fluidas a arquiteturas da autenticação ativas já em processo. Os gigantes
do panorama das telecomunicações que orientam em regime exclusivo num modo digital
apoiam-se hoje em medidas de segurança do género, abrandando comportamentos criminosos. Ao
delegar o sistema a agências qualificadas a TCO é encurtada quando em contradição com
processos desenvolvidos in loco por haver diminuição nos quadros atinentes a reajustes que
competem a administradores peritos.
Exemplo: Deutsche Telekom, Telstra, SK Telecom
7.8 Recomendação para chaves de acesso em SaaS B2B#
Principais considerações:
- A autenticação baseada numa relação multilocatária é indispensável na dinâmica do SaaS B2B o qual é sinónimo da exequibilidade de transposição em chaves em diversos IAM.
- As organizações pressupõem SSO (OIDC/SAML) da mesma maneira que alianças pacíficas para com os Provedores de Identidade.
- Custos sobre o uso das chaves que ponderem orçamentos adjacentes que preveem MFA ou as premissas em matérias a envolver o modelo das restrições confidenciais “zero-trust”.
Recomendação:
Para a maioria dos prestadores de SaaS B2B, a integração das chaves no modelo externo
assinala preferência pela sua superior celeridade de exequibilidade sob desenvolvimentos
in-house. A aposta material de enquadramento feita através destas valências providenciou a
companhias de cariz digital o Hubspot e Notion uma defesa firme do parâmetro. Um valor em
conjunto Total Cost of Ownership a registar um decréscimo ao ser posto perante o modo
in-house decorre dos quadros relativos de adequação continuada de parâmetros pelo criador
de acesso.
Exemplo: Canva, DocuSign, Notion
8. Conclusão#
As chaves de acesso tornaram-se o padrão global de autenticação, simplificando os logins para os usuários finais e melhorando a segurança. À medida que as empresas avaliam como implementar chaves de acesso, devem decidir se desejam criar uma solução interna ou recorrer a um fornecedor especializado. Embora as implementações do tipo DIY ofereçam controle total, elas exigem conhecimento técnico significativo, recursos de desenvolvimento e manutenção contínua. Em contraste, os fornecedores fornecem uma abordagem mais rápida, escalável e econômica, garantindo altas taxas de adoção, experiência do usuário perfeita e conformidade com os padrões de segurança em evolução.
Este guia abordou as seguintes questões principais:
-
Quais componentes são necessários para implementar chaves de acesso e não usar mais senhas?
Uma implantação bem-sucedida requer infraestrutura FIDO2/WebAuthn, fluxos de UX contínuos, mecanismos de fallback e opções seguras de recuperação de conta. As empresas também devem considerar a compatibilidade entre plataformas e a conformidade de segurança.
-
Devo implementar chaves de acesso internamente ou usar um fornecedor externo?
Embora o desenvolvimento interno ofereça controle, ele vem com alta complexidade, custos de manutenção contínuos e responsabilidades de segurança. A maioria das organizações de grande escala voltadas para o consumidor se beneficia de uma solução externa que fornece implantação rápida, custos operacionais mais baixos e redução da sobrecarga técnica.
-
Qual é o benefício de ter um fornecedor de chaves de acesso quando existem bibliotecas de código aberto?
As bibliotecas WebAuthn de código aberto fornecem um ponto de partida, mas carecem de segurança de nível corporativo, experiência do usuário otimizada para chaves de acesso e recursos de aprimoramento de adoção. Um fornecedor garante uma implantação contínua, escalabilidade e estratégias otimizadas de adoção do usuário que trazem melhor ROI, reduzindo o atrito para usuários e desenvolvedores.
-
Quais são os maiores desafios na construção de uma solução de chaves de acesso?
O desenvolvimento de um sistema interno exige profundo conhecimento em WebAuthn, suporte a vários dispositivos e adoção de chaves de acesso. Manter a complexidade contínua do dispositivo e do navegador e garantir altas taxas de adoção aumentam ainda mais a complexidade.
-
Quais são os riscos de implementar chaves de acesso internamente?
As empresas correm o risco de altos custos de desenvolvimento, cronogramas de implantação prolongados e encargos contínuos de manutenção de segurança. Falhas de conformidade, vulnerabilidades de segurança e baixa adoção pelo usuário podem inviabilizar o sucesso de uma implantação. Uma solução gerenciada por um fornecedor mitiga esses riscos, oferecendo uma infraestrutura comprovada e escalável com segurança e conformidade regulatória integradas.
Sobre a Corbado
Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →
Perguntas Frequentes#
Quais são os principais riscos de construir uma solução de chaves de acesso internamente para uma empresa?#
Construir internamente exige profundo conhecimento em WebAuthn, gerenciamento contínuo de compatibilidade de navegadores e dispositivos e manutenção de segurança dedicada. As empresas correm o risco de cronogramas de implantação prolongados, falhas de conformidade e baixa adoção pelos usuários. Para setores regulamentados como bancos e saúde, a conformidade com PSD2, HIPAA e NIST adiciona complexidade adicional que os fornecedores de chaves de acesso já gerenciam continuamente.
Quanta adoção de chaves de acesso preciso antes de remover senhas com segurança?#
As organizações precisam de 50 a 80 % de usuários ativos autenticando com chaves de acesso antes de remover as senhas. Remover senhas muito cedo aumenta as solicitações de suporte e problemas de usabilidade. Uma abordagem em fases começa com contas onde os usuários se autenticam consistentemente via chaves de acesso, aproveita vários incentivos (as taxas de aceitação chegam a 85 % em dispositivos móveis ao longo de vários avisos) e expande com base em insights orientados por dados.
Quais KPIs devo rastrear para medir o sucesso de uma implantação de chaves de acesso?#
Acompanhe os KPIs de entrada, incluindo taxa de aceitação de chaves de acesso (benchmark: 50 a 75 % no primeiro aviso, até 85 % no celular ao longo de vários avisos) e taxa de sucesso de criação visando perto de 100 %. Para KPIs de saída, vise uma taxa de login de chaves de acesso acima de 20 % em semanas e acima de 50 % em 12 meses. Segmente todas as métricas por sistema operacional, navegador e dispositivo para identificar pontos de atrito.
Por que os projetos de chaves de acesso falham mesmo após uma implementação técnica bem-sucedida?#
A maioria dos projetos de chaves de acesso falha devido à baixa adoção do usuário, e não a problemas técnicos. A dependência persistente de senhas anula os benefícios de segurança, elimina a economia de custos com redução de SMS OTPs e redefinições de senha e cria uma experiência de usuário fragmentada. Google e Amazon lidam com isso por meio de testes A/B contínuos, incentivos na interface do usuário e campanhas estruturadas de educação de usuários voltadas especificamente para a adoção.
Quais setores se beneficiam mais do uso de um fornecedor de chaves de acesso em vez de construir internamente?#
Os setores bancário, de saúde, governamental, de e-commerce, telecomunicações e seguros se beneficiam mais das soluções de fornecedores de chaves de acesso devido a requisitos regulatórios como PSD2, HIPAA e NIST, combinados com bases de usuários em larga escala e infraestrutura legada complexa. A Amazon estabeleceu uma meta de 100 % de adoção de chaves de acesso e eliminação total de senhas, ilustrando a escala de comprometimento que essas implantações exigem.
Compartilhar este artigo
Artigos relacionados
Índice