Как провайдер аутентификации по Passkeys сэкономит вам более 100 000 $

В этой статье мы разберем 5 самых распространенных заблуждений, с которыми мы постоянно сталкиваемся, когда речь заходит о внедрении Passkeys в (существующий) процесс аутентификации. На примере простого расчета мы покажем, почему имеет смысл обратиться к специализированному провайдеру, который действительно разбирается в Passkeys.

Passkeys — это прекрасно. Впервые в истории аутентификации значительно улучшилась не только безопасность для пользователей, но и удобство. Сегодня большинство людей привыкли разблокировать телефон с помощью лица или отпечатка пальца. Перенести это удобное для пользователя будущее в веб — лишь следующий логический шаг. Вместе с лежащей в основе инфраструктурой открытых ключей, использующей асимметричную криптографию, Passkeys кажутся идеальным решением. С точки зрения конечного пользователя это так, но для организаций самостоятельное внедрение этого нового стандарта аутентификации — огромная работа, сопряженная с высокими рисками и затратами. В этой статье мы объясним самые распространенные заблуждения о Passkeys и как их избежать.

Прежде всего, Passkeys основаны на открытых стандартах, определенных альянсом FIDO (Fast Identity Online), в который входят все крупные технологические игроки, такие как Microsoft, Apple, Google, а также другие компании, например PayPal, eBay или Visa.

Однако эти открытые стандарты плохо документированы, что на практике усложняет их внедрение в существующие системы и интеграцию в пользовательские сценарии. Это требует разработки пользовательских сценариев и технических интеграций с нуля. Чтобы добавить Passkeys в вашу систему, базовой документации и реализации просто недостаточно, если у вас уже есть аутентификация для существующих пользователей.

Более того, настоящие трудности начинаются, если у вас есть пользователи с разных платформ (iOS, Android, Windows), использующие несколько устройств, поскольку Passkeys (частично) привязаны к устройству. Реализация и пользовательский опыт различаются в зависимости от платформы, что делает предложение Passkeys в качестве предпочтительного метода входа для всех ваших пользователей сложной задачей. Особенно в наши дни, когда у многих пользователей более одного устройства, крайне важно правильно поддерживать все устройства и операционные системы.

Теоретически это так, но существуют скрытые издержки, особенно на интеграцию и обслуживание. Изначально вам нужно разработать концепцию для процессов и UX, что обычно выполняют 1-2 продакт-менеджера. Это может занять до 2 месяцев и, в зависимости от опыта продакт-менеджеров, стоить до 30 000 $ только на этом этапе. После этого потребуются системные архитекторы, продакт-менеджеры и разработчики, которые будут интегрировать это решение. Затем возникают затраты на обслуживание, например, на запуск сервера FIDO2. Кроме того, необходимо позаботиться о плавном переходе пользователей, чтобы не перегружать их, что очень сложно спроектировать и реализовать внутри компании, а следовательно, дорого.

Кроме того, вам нужно поддерживать инфраструктуру: серверы и базы данных сегодня не бесплатны. Особенно если вам нужно, чтобы они работали надежно, безопасно и с высокой доступностью в таком критически важном месте вашего приложения. Все это стоит больших денег, которые лучше потратить на основные функции вашего продукта.

Более того, необходимо выбирать, управлять и контролировать других внешних поставщиков для обеспечения сопутствующих (резервных) систем, таких как сервисы электронной почты или SMS. Конечно, вы можете сделать это и самостоятельно, но ваши пользователи ожидают молниеносной доставки транзакционных писем и высокой доступности. Поверьте, вы не захотите самостоятельно оптимизировать доставку писем. Эти услуги не бесплатны и увеличивают общие затраты.

Когда мы общаемся с клиентами, это, вероятно, самое распространенное заблуждение и настоящая проблема аутентификации. Предложить Passkeys для нового приложения, создаваемого с нуля, можно довольно просто. Самое сложное — перевести на Passkeys уже существующих пользователей. Чаще всего база пользователей довольно разнородна: есть ранние последователи, которые с радостью отказались бы от паролей лучше вчера, чем сегодня, и перешли бы на Passkeys как можно скорее. С другой стороны, есть люди, которые предпочитают придерживаться своих паролей. Разработка различных индивидуальных сценариев, которые плавно и разумно ведут всех пользователей к Passkeys, — вот настоящая задача.

Многие думают, что после первоначальной интеграции Passkeys просто работают сами по себе, и их внедрение произойдет само собой. Это еще одно распространенное заблуждение, поскольку Passkeys — это критически важная для безопасности функция, сопряженная со многими рисками. Это означает, что их необходимо контролировать, а команда, занимающаяся мониторингом, должна состоять из экспертов в области безопасности с большим опытом.

Более того, внедрение Passkeys необходимо постоянно отслеживать, чтобы выявлять потенциальные проблемы на этапе перехода, которые требуют изменений в реализации.

Прежде чем даже думать о технической реализации Passkeys и приступать к написанию кода, необходимо проделать большую концептуальную работу. Особенно когда речь идет об интеграции новой технологии, такой как Passkeys, где качество и количество существующих лучших практик и документации невелико, нужно учесть множество концептуальных процессов. Среди наиболее важных:

1. Проработка всего процесса регистрации и входа в систему: При проектировании пути от начала регистрации или входа до успешной аутентификации в фоновом режиме выполняется бесчисленное количество шагов. Их необходимо смоделировать и структурировать в сложные логические деревья. Проектирование только стандартных случаев — сложная задача, которая абсолютно не сравнима с еще большими усилиями, необходимыми для охвата всех возможных крайних случаев. В конечном итоге должен существовать процесс аутентификации, который работает в любом потенциальном сценарии и аутентифицирует пользователя.
2. Обеспечение кроссплатформенного использования: Крайне важно убедиться, что пользователи могут использовать Passkeys как на разных устройствах, так и на разных платформах, при этом плавно направляя их через процессы аутентификации, даже когда Passkeys еще недоступны.
3. Обеспечение обратной совместимости: Чтобы способствовать использованию Passkeys, необходимо разработать механизм, который не только автоматически определяет готовность к Passkeys всех устройств, с которыми пользователь хочет аутентифицироваться, но и замечает, хочет ли пользователь вообще входить с помощью Passkeys. Если пользователи, наоборот, предпочитают продолжать использовать текущие варианты входа, такие как пароли, социальные входы или SSO, необходимо параллельно поддерживать гибридную аутентификацию.
4. Предоставление услуг восстановления: Это может звучать очевидно, но разработка процесса для самостоятельного сброса пароля и возможных резервных вариантов на случай ошибок — одна из самых сложных задач, поскольку вам нужно гарантировать, что пользователи смогут аутентифицироваться, если они забыли свой пароль или никогда его не устанавливали.
5. Проектирование отличного UX: UX — это гораздо больше, чем просто создание удобного интерфейса. Для программного обеспечения в целом большую роль играют управление устройствами и предпочтениями пользователя, коммуникация с пользователем и настраиваемый дизайн под ваш корпоративный стиль. Поскольку Passkeys привязаны к устройству, компаниям необходимо сосредоточиться в первую очередь на управлении устройствами, чтобы обеспечить безупречную работу Passkeys на всех устройствах их пользователей. Что касается коммуникации с пользователем, необходимо обучать ваших пользователей с помощью заранее определенных и протестированных сообщений.

Все эти шаги требуют от продакт-менеджеров и разработчиков многих часов работы и часто упускаются из виду при разработке программного обеспечения.

Спор о том, что лучше: разрабатывать или покупать ПО, далеко не нов. При принятии этого решения необходимо учитывать множество факторов. Ключевым фактором для любой компании является блок затрат, связанный с разработкой или покупкой программного обеспечения. Когда программные решения, например, для аутентификации по Passkeys, покупаются, часто приводится аргумент, что первоначальные затраты очень высоки. Однако компании обычно забывают, что собственная разработка как минимум так же дорога, поскольку ее стоимость зависит, например, от сложности самого программного обеспечения, управления продуктом, дизайна UX/UI, команды разработчиков и часто многих скрытых затрат (особенно на обслуживание и обновления).

Чтобы пролить свет на стоимость разработки программного обеспечения для аутентификации, вот базовый расчет для компании с собственной командой аутентификации, которая предлагает свои услуги для пользователей настольных компьютеров, мобильных устройств и нативных приложений. Помимо аутентификации по электронной почте/номеру телефона и паролю, у них также есть социальные входы:

• 2 бэкенд-разработчика: 126 000 $
• 1 фронтенд-разработчик: 60 000 $
• 1 iOS-разработчик: 60 000 $
• 1 Android-разработчик: 68 000 $
• 2 продакт-менеджера: 170 000 $
• 1 проектный менеджер: 85 000 $

Обратите внимание, что это общие годовые зарплаты, основанные на средних зарплатах по отраслевым стандартам согласно Glassdoor, без учета дополнительных расходов на оплату труда.

• Продолжительность: 1,5 месяца
• Участники команды разработки ПО: 2 продакт-менеджера, 1 проектный менеджер
• Общие затраты (зарплата): 31 875 $

• Продолжительность: 3,0 месяца
• Участники команды разработки ПО: 2 продакт-менеджера, 1 проектный менеджер, 2 бэкенд-разработчика, 1 фронтенд-разработчик, 1 iOS-разработчик, 1 Android-разработчик
• Общие затраты (зарплата): 143 750 $

Общие затраты на разработку ПО: 175 625 $

Конечно, это упрощенный расчет, который не учитывает многие затраты, такие как расходы на переход или обучение. Если вам понадобится дополнительная инфраструктура, такая как серверы и базы данных или облачные сервисы, вы столкнетесь с дополнительными расходами. Особенно для программного обеспечения аутентификации, которое должно максимально защищать персональные данные, затраты, вероятно, будут значительно выше, поэтому стоит использовать специализированных провайдеров Passkeys, таких как Corbado.

Подводя итог: Passkeys — это открытый стандарт, который каждый может интегрировать бесплатно. Но это очень недальновидно. Если присмотреться к последствиям использования Passkeys, становится очевидно, что использование провайдера Passkeys, такого как Corbado, — гораздо более разумный и экономичный путь. Особенно потому, что аутентификация редко является основной функцией продукта, а скорее необходимой базовой функцией, использование знаний и возможностей внешнего эксперта — это просто разумно.

Все еще не убеждены? Попробуйте решение Corbado бесплатно и без всякого риска уже сегодня.