Руководство по Passkeys: купить или создать?

Скачайте полное руководство по выбору решения для Passkeys бесплатно и получите доступ ко всей информации.

• ✅ Запрошено командами из Adidas, Woolworths и Mitsubishi
• ✅ Полный список компонентов и модель затрат для принятия решения о покупке или разработке
• ✅ Практическое 50-страничное руководство для принятия решений

Идея создания собственной реализации Passkeys звучит привлекательно: полный контроль, кастомные интеграции и отсутствие зависимости от вендора. В конце концов, FIDO2 основан на открытых стандартах, и написать первые строки кода WebAuthn кажется довольно простым. Насколько это может быть сложно?

Но именно здесь часто и начинаются сложности, особенно если вы планируете создать решение для крупномасштабного потребительского развертывания с миллионами пользователей в таких отраслях, как:

• Банковские и финансовые услуги (например, онлайн-банкинг, банкинг, платежи, финтех)
• Государственные и общественные услуги (например, порталы для граждан, платформы для уплаты налогов и социального обеспечения)
• Страхование и здравоохранение (например, порталы для пациентов, цифровые страховые платформы)
• Электронная коммерция и розничная торговля (например, маркетплейсы, программы лояльности)
• Телекоммуникации и коммунальные услуги (например, мобильные операторы, поставщики энергии)
• Путешествия и гостиничный бизнес (например, аккаунты авиакомпаний, программы лояльности отелей)

Настоящие трудности начинаются после первого успешного входа с помощью Passkey и часто проявляются уже в процессе внедрения вашего решения. Внезапно возникают странные пограничные случаи, непонятные для пользователя ошибки и потенциальные блокировки доступа из-за недоступности Passkeys. То, что казалось простой интеграцией, превращается в месяцы или даже годы разработки, непредвиденные расходы на обслуживание и потенциально провальный проект по внедрению Passkeys.

Однако создание собственного решения также может быть правильным выбором для определенных организаций и специфических требований. Мы общались с десятками организаций об их планах по внедрению Passkeys и некоторых сопровождали на этом пути. Это руководство поможет вам определить, когда самостоятельный подход (DIY) к Passkeys имеет смысл, а когда выбор проверенного поставщика Passkeys является более разумным решением.

С помощью нашего руководства по выбору решения для Passkeys мы хотим ответить на следующие вопросы:

1. Какие компоненты необходимы для внедрения Passkeys и перехода на беспарольную аутентификацию?
2. Следует ли внедрять Passkeys собственными силами или использовать внешнего вендора?
3. В чем преимущество вендора Passkeys, если существуют библиотеки с открытым исходным кодом?
4. Каковы самые большие проблемы при создании решения для Passkeys?
5. Каковы риски самостоятельного внедрения Passkeys?

Пароли устарели, небезопасны и вызывают разочарование. Passkeys устраняют риски фишинга, улучшают пользовательский опыт и упрощают аутентификацию, делая их новым стандартом безопасного входа в систему.

Google обнаружил, что акцент на простоте использования или скорости работает. Люди обычно жалуются на процесс входа, поэтому все, что делает его проще и быстрее, — это победа.

Помимо этих преимуществ в области безопасности, существует огромный потенциал для экономии операционных расходов с помощью Passkeys. Вы можете сократить количество отправляемых пользователям SMS с одноразовыми паролями, что может привести к значительным расходам при большой базе пользователей. Кроме того, нагрузка на вашу службу поддержки из-за восстановления паролей и MFA — это еще один фактор затрат, который можно устранить.

Кроме того, Passkeys улучшают показатели успешного входа и время входа для пользователей, что в конечном итоге приводит к повышению коэффициента конверсии, что является основным драйвером роста выручки в таких отраслях, как электронная коммерция, розничная торговля или путешествия.

Конечная цель для многих организаций, рассматривающих внедрение Passkeys, — это полный переход на беспарольную аутентификацию. Для достижения этой цели обычно необходимо пройти четыре этапа. Скорость прохождения этих этапов во многом зависит от технических возможностей организации, моделей входа в систему и пользовательской базы. В некоторых случаях внешние факторы, такие как общественное давление с целью внедрения более безопасной аутентификации или финансовые ограничения, также могут играть роль.

Давайте рассмотрим эти четыре этапа и опишем их, поскольку внедрение Passkeys — это лишь один шаг к обеспечению успеха проекта.

Первый шаг на пути к полностью беспарольной системе — это интеграция Passkeys в качестве метода входа. На этом этапе пароли и другие методы аутентификации остаются в качестве резервных, чтобы пользователи по-прежнему могли получить доступ к своим аккаунтам, если они еще не перешли на Passkeys. Успешная интеграция требует полной совместимости с существующими процессами входа и политиками безопасности. Организациям следует сосредоточиться на том, чтобы сделать создание Passkey простым, чтобы как технические, так и нетехнические пользователи могли без проблем освоить новый метод аутентификации.

После интеграции Passkeys следующей задачей является стимулирование их внедрения пользователями. Многие организации недооценивают важность этого этапа, но без широкого распространения среди пользователей проект по внедрению Passkeys, скорее всего, провалится. Цель состоит в том, чтобы побудить как можно больше пользователей создавать и использовать Passkeys, в идеале сделав их методом входа по умолчанию.

Ключевые тактики для повышения уровня внедрения включают проактивное обучение пользователей, подсказки в интерфейсе, которые поощряют создание Passkey, и программы поощрения, которые вознаграждают пользователей за переход. Организациям следует установить критический порог внедрения, например, 50-80% активных пользователей, использующих Passkeys, прежде чем переходить к следующему этапу. Для более глубокого понимания того, почему внедрение так важно, обратитесь к нашей специальной статье о том, как низкие показатели внедрения могут поставить под угрозу ваш проект по Passkeys.

Когда уровень внедрения Passkeys достигнет критической массы, организации могут начать поэтапный отказ от паролей. Однако слишком ранний или непродуманный отказ от паролей может привести к проблемам с удобством использования и увеличению количества обращений в службу поддержки. Рекомендуется поэтапный подход:

• Начните с удаления паролей из аккаунтов, где пользователи постоянно аутентифицируются с помощью Passkeys.
• Предложите удаление пароля как опцию в настройках аккаунта для ранних последователей.
• Используйте данные для выявления пользователей, готовых полностью перейти на беспарольную аутентификацию. Например, пользователям с несколькими Passkeys, зарегистрированными на разных устройствах, можно отдать приоритет при удалении пароля.
• Проактивно сообщайте о преимуществах отказа от паролей, чтобы укрепить доверие пользователей.

Стратегически направляя пользователей к полной беспарольной аутентификации, организации могут максимизировать безопасность, не нарушая пользовательский опыт.

После удаления паролей механизмы восстановления аккаунта должны быть надежными и безопасными. Традиционные методы восстановления часто полагаются на ручное вмешательство, такое как заявки в службу поддержки или сброс пароля по электронной почте, что может создавать риски безопасности и операционные расходы. Организации должны внедрить современные решения для самостоятельного восстановления аккаунта, которые поддерживают безопасность и улучшают пользовательский опыт.

Ключевые элементы автоматизированного восстановления аккаунта включают:

• Проверки на присутствие (liveness checks): Предотвращают несанкционированный захват аккаунта, убеждаясь, что пользователь физически присутствует.
• Верификация личности: Используйте государственные удостоверения личности и биометрическую верификацию для подтверждения личности.
• Резервные Passkeys: Позволяют пользователям восстанавливать аккаунты с помощью резервных Passkeys, хранящихся на других их устройствах.

Многие организации уже инвестируют в автоматизированные процессы восстановления независимо от перехода на беспарольную аутентификацию, чтобы сократить расходы и повысить удобство использования. Однако в экосистеме, основанной на Passkeys, эти механизмы становятся еще более важными для поддержания безопасности и снижения трения.

Основываясь на этих четырех этапах, мы теперь попытаемся помочь вам оценить решение о покупке или разработке. Таким образом, для долгосрочного успеха вашего проекта по внедрению Passkeys очень важно иметь в виду все этапы, а не просто интегрировать Passkeys (это все еще может быть целью, но тогда вы не используете весь потенциал Passkeys).

Выбор между самостоятельной разработкой и внешним решением для Passkeys зависит от технических ресурсов вашей компании, приоритетов в области безопасности, масштаба развертывания и долгосрочной стратегии по Passkeys. В следующем разделе мы разберем ключевые аспекты, которые помогут вам принять наилучшее решение.

В следующей таблице показаны различные критерии оценки, которые вам необходимо проанализировать. В зависимости от того, к какому утверждению вы больше склоняетесь, начисляется разное количество баллов.

Как использовать матрицу оценки:

Для каждого критерия выберите, нужно ли вашей компании более простое или более проработанное решение.

• Присвойте 1 балл за каждый ответ, где сложность в вашем случае наименьшая и больше соответствует описанию слева.
• Присвойте 5 баллов за каждую категорию, где ваш ответ больше соответствует описанию с наибольшей сложностью справа.
• Если вы не уверены, используйте 3 балла как нейтральный вариант.

Скачайте полное руководство по выбору решения для Passkeys бесплатно и получите доступ ко всем критериям оценки.

При принятии решения о разработке или покупке решения для Passkeys важно рассматривать весь процесс, а не только один этап развертывания. Даже если вашей ближайшей задачей является предложение Passkeys в качестве MVP, вы должны предвидеть долгосрочные последствия, особенно стимулирование внедрения. Ниже мы рекомендуем, как использовать это руководство и интерпретировать ваши результаты, с акцентом на то, почему внедрение важнее почти любого другого фактора.

Независимо от того, насколько продвинутым является ваше решение для Passkeys, если пользователи не начнут его использовать, создавая Passkeys и входя с их помощью, весь проект окажется под угрозой. По нашему опыту, организации часто недооценивают усилия, необходимые для того, чтобы отучить пользователей от паролей. Даже если вы безупречно внедрите Passkeys на техническом уровне, низкий уровень внедрения приведет к:

• Постоянной зависимости от паролей, что сводит на нет преимущества Passkeys в области безопасности.
• Минимальному ROI, так как экономия средств (меньше сбросов паролей, сокращение SMS с одноразовыми паролями) зависит от значительного использования Passkeys для входа.
• Фрагментированному пользовательскому опыту, если большинство входов по-прежнему происходит традиционными методами, и только небольшая часть использует Passkeys.

Высокий уровень внедрения, иногда 50% или даже +80% вашей пользовательской базы, обычно требуется, прежде чем вы сможете предпринять значимые шаги к сокращению или полному отказу от паролей. Такие организации, как Google и Amazon, устанавливают четкие цели по внедрению и систематически проводят A/B-тесты, кампании по обучению пользователей и используют подсказки в интерфейсе, чтобы обеспечить широкое распространение Passkeys. Эти целенаправленные усилия по внедрению не являются опциональными; именно они превращают ваше развертывание Passkeys из просто функции в ощутимое конкурентное преимущество.

Это руководство разработано, чтобы помочь вам принимать обоснованные решения о внедрении Passkeys на каждом этапе пути:

1. Этап 1 (Интеграция Passkeys): Если вы просто рассматриваете, стоит ли внедрять Passkeys и как их интегрировать, сосредоточьтесь на критериях Разработка vs. Покупка для интеграции Passkeys.
2. Этап 2 (Повышение уровня внедрения): Если вы хотите, чтобы Passkeys были больше, чем просто функцией, планируйте заранее стимулирование внедрения пользователями — даже для MVP, так как это требует дополнительных технологических инвестиций, часто значительно превышающих первоначальное внедрение.
3. Этап 3 (Отказ от паролей): Если отказ от паролей является долгосрочной стратегической целью, убедитесь, что ваша архитектура и пользовательские сценарии разработаны с учетом этого шага.
4. Этап 4 (Автоматизация восстановления аккаунта): Даже если вы не готовы полностью перейти на беспарольную аутентификацию сегодня, убедитесь, что ваш подход к Passkeys может развиваться до надежного и бесшовного восстановления, чтобы избежать будущих препятствий.

Из них Этап 2 (Повышение уровня внедрения) является самым важным. Вы можете оценивать каждый раздел отдельно, но помните, что ваш долгосрочный успех и ROI часто зависят от того, насколько серьезно вы отнесетесь к внедрению с самого начала.

Если вы находитесь на ранней стадии принятия решения о внедрении Passkeys, начните с первого раздела матрицы оценки (интеграция Passkeys) и заполните его вместе с руководством, IT-отделом, владельцами продуктов и другими ключевыми лицами, принимающими решения. Спросите себя:

1. Каков наш желаемый показатель входа с помощью Passkey? Достаточно ли 5%, чтобы доказать жизнеспособность, или нам нужно 50–80%, прежде чем мы сочтем Passkeys успешными?
2. Есть ли у нас бюджет и поддержка руководства для проведения A/B-тестов в течение нескольких месяцев, проведения кампаний по оптимизации, создания образовательных материалов и постоянного совершенствования пользовательских сценариев, чтобы пользователи понимали и хотели перейти на Passkeys? Достаточно ли инженерных ресурсов для реализации всех необходимых отчетов, аналитики и тестов? Можем ли мы выпускать обновления достаточно часто, чтобы достичь этих целей?
3. Каково долгосрочное видение? Мы стремимся к отказу от паролей или просто предоставляем альтернативу?

Ответы на эти вопросы заранее гарантируют, что ваш проект по внедрению Passkeys не зайдет в тупик. Организации, которые не планируют внедрение, часто оказываются застрявшими с паролями на долгие годы, что подрывает всю стратегию безопасности и пользовательского опыта.

В матрице каждый критерий оценки может принести вам от наименьшей сложности (1) до наибольшей сложности (5). Чем больше ваших ответов смещается за пределы нейтральной зоны (3), тем сильнее аргументы в пользу использования специализированного вендора Passkeys:

• Требования высокой сложности — такие как продвинутые резервные методы, строгие требования соответствия, глубокая аналитика и UX для нескольких устройств — умножают вашу нагрузку на разработку и обслуживание.
• Сильный акцент на внедрении — достижение высокого уровня внедрения Passkeys быстро или отказ от паролей обычно требуют хорошо протестированных пользовательских сценариев, детальной телеметрии и структурированных стимулов.

Эти факторы могут перегрузить внутренние команды, как технически, так и организационно. Управляемое решение для Passkeys часто может предоставить проверенные лучшие практики, быстрые обновления и реальный опыт для ускорения внедрения гораздо быстрее, чем самостоятельный подход.

Как специалисты по Passkeys, мы в Corbado имеем твердую точку зрения. Если Passkeys есть в вашей дорожной карте и вы хотите современную реализацию, которая активно стимулирует внедрение, Corbado Connect может помочь вам справиться со сложностями в большом масштабе. Вот почему:

Внедрение встроено в решение: Наша платформа разработана для максимизации участия пользователей с помощью умных стимулов, аналитики и постоянного A/B-тестирования, что также способствует экономии средств.

Следующие шаги:

1. Заполните каждый соответствующий раздел матрицы оценки, учитывая как немедленные, так и долгосрочные цели.
2. Приоритезируйте внедрение при принятии решений — согласуйте с заинтересованными сторонами четкие цели по внедрению и ресурсы для их достижения.
3. Сравните совокупную стоимость владения (TCO) для внутреннего решения и решения от вендора, как только вы поймете свою сложность и амбиции по внедрению, и пройдите внутренний процесс оценки покупки или разработки.

4. Проконсультируйтесь с экспертами по Passkeys (такими как Corbado), если ваши стратегические цели указывают на полностью управляемую платформу, которая эффективно решает как технические, так и связанные с внедрением задачи.

Подходя к Passkeys комплексно и делая внедрение одной из ключевых целей, вы достигнете наилучших результатов. Это означает более надежную безопасность, упрощенный вход и реальный путь к будущему без паролей. Если вы хотите узнать больше о Corbado Connect и о том, как мы помогаем нашим клиентам достигать высокого уровня внедрения Passkeys, мы готовы к диалогу.

Теперь, когда мы помогли определить правильный подход к ответу на вопрос «Купить или создать?», мы проанализируем, как оценить успех развертывания Passkeys. Для этого мы определим входные и выходные KPI проекта по внедрению Passkeys.

Входные KPI помогают отслеживать внедрение Passkeys на ранней стадии и то, создаются ли необходимые условия для широкого использования. Эти индикаторы предшествуют фактическому поведению при входе, но имеют решающее значение для обеспечения значимого внедрения и оптимизации развертывания.

Эти входные KPI служат опережающими индикаторами будущего внедрения Passkeys и позволяют организациям точно настраивать обучение пользователей, UX-сценарии и техническую реализацию.

Выходные KPI (OKR) измеряют фактический успех внедрения Passkeys, оценивая поведение пользователей, операционные улучшения и влияние на бизнес. Эти индикаторы отражают реальную эффективность развертывания Passkeys. Коэффициент входа с помощью Passkey является ключевым выходным KPI, поскольку он напрямую отражает фактическое внедрение и использование Passkeys. Растущий коэффициент входа с помощью Passkey указывает на успешное вовлечение и постоянное предпочтение пользователями Passkeys перед устаревшими методами аутентификации.

Важно оптимизировать в первую очередь успешность входа с помощью Passkey и коэффициент входа с помощью Passkey, чтобы обеспечить беспроблемный пользовательский опыт, одновременно работая над увеличением коэффициента активации пользователей — но только тогда, когда коэффициент успешного входа достаточно высок, чтобы не вызывать разочарования у пользователей. Кроме того, отслеживание этих KPI по различным сегментам (таким как ОС, браузер и устройство) и конкретным сценариям использования (например, вход на разных устройствах) может предоставить более глубокое понимание паттернов внедрения и потенциальных точек трения.

Точное измерение как входных (например, принятие, создание), так и выходных KPI (например, коэффициент входа, использование резервных методов) требует сбора данных из трех основных источников:

1. Данные о событиях на фронтенде
2. Хранилище Passkeys / учетных данных
3. Логи устаревшей аутентификации и резервных методов

Чтобы рассчитать такие метрики, как Коэффициент принятия Passkey или Коэффициент успешного создания Passkey, вы должны определить, сколько пользователей видят предложение после входа, сколько нажимают «Да, создать Passkey» и действительно ли они завершают создание Passkey. Это требует отслеживания событий JavaScript (или нативного мобильного) для сбора данных:

• Когда и было ли показано предложение (в первый раз или в последующие)
• Сколько времени им требуется для завершения действия по предложению
• Прерывают ли они церемонию создания Passkey один или несколько раз

Вам также понадобится парсинг user agent или client hints, чтобы связать коэффициенты принятия с конкретными версиями ОС / браузера для выявления конкретных проблемных путей.

После того как пользователь инициирует регистрацию на фронтенде, сервер должен подтвердить, был ли действительно сохранен новый Passkey. Вам понадобится доступ к базе данных или API внешнего поставщика удостоверений, который записывает событие создания каждого учетного данного. Этот репозиторий поможет вам подсчитать, сколько Passkeys существует у каждого пользователя, и отследить конечный результат (успех или неудача), гарантируя, что вы точно знаете, какие попытки завершились успешной регистрацией.

Для таких метрик, как Коэффициент использования резервного метода, вы должны проанализировать ваши текущие логи и процессы аутентификации. Объединив эти логи с событиями на фронтенде, вы увидите, начал ли пользователь вход с Passkey, получил ошибку и переключился на резервный вход (например, SMS или пароль).

Наконец, измерение временных KPI, таких как Время входа с Passkey vs. Время входа с устаревшими методами, зависит как от клиентских, так и от серверных временных меток. Поскольку многие организации регистрируют только успешные входы, вы должны добавить инструменты для частичных или неудачных процессов с Passkey, чтобы по-настоящему оценить трение и использование резервных методов. Интеграция этих трех источников данных, при соблюдении конфиденциальности и нормативных ограничений, часто сложнее, чем предполагается, и является еще одним фактором, который заставляет некоторые команды использовать специализированные платформы для Passkeys, предоставляющие встроенную аналитику и отслеживание событий.

Компоненты Corbado Connect неявно собирают все описанные точки данных (сотни различных) путем автоматического создания уникального процесса для каждого пользователя, начинающего процесс аутентификации. Благодаря бесшовной интеграции, Corbado также собирает метрики аутентификации из вашего существующего решения. Этот целостный взгляд точно определяет улучшения для пользователей, предоставляя всестороннее понимание всех основных KPI Passkeys без дополнительных усилий с вашей стороны.

Кроме того, следующие эффекты выходных KPI также должны проявиться после успешного развертывания Passkeys и в большинстве случаев уже собираются внутри предприятия:

Метрики операционной деятельности и сокращения затрат

• Сокращение использования SMS OTP – Количество сэкономленных SMS OTP благодаря аутентификации с помощью Passkey (прямая экономия затрат).
• Сокращение запросов на сброс пароля – Уменьшение взаимодействий со службой поддержки, связанных с забытыми паролями.
• Сокращение обращений в службу поддержки – Меньший объем проблем с обслуживанием клиентов, связанных с аутентификацией.
• Сокращение объема звонков в службу поддержки – Меньше входящих звонков, связанных с проблемами доступа к аккаунту.

Метрики влияния на бизнес и UX

• Коэффициенты удержания пользователей – Процент пользователей, которые продолжают аутентифицироваться после первого входа.
• Коэффициент конверсии – Как часто пользователи завершают транзакции после аутентификации.
• Коэффициент отказов в воронках входа – Снижают ли Passkeys количество пользователей, бросающих попытки входа.

Специально отслеживая входные и выходные KPI Passkeys и связывая их с другими данными, организации могут количественно оценить влияние своего развертывания Passkeys и вносить улучшения на основе данных для максимизации внедрения, сокращения затрат и повышения безопасности.

Выбор правильного решения для Passkeys зависит от ваших конкретных задач, требований безопасности и соображений стоимости. Ниже приведены ключевые рекомендации по решениям о покупке или разработке в различных секторах.

Ключевые соображения:

• Соответствие нормативным требованиям (например, PSD2, SOC 2, ISO 27001, GDPR) требует строгих мер безопасности при аутентификации с помощью Passkey.
• Сравнение стоимости Passkeys имеет решающее значение, так как банки часто недооценивают долгосрочную сложность и обслуживание внутренних решений.
• Безопасная аутентификация необходима для снижения мошенничества с захватом аккаунтов и фишинга.

Рекомендация: Большинство банков и финансовых учреждений должны полагаться на решение от вендора Passkeys, а не создавать его самостоятельно, так как управление инфраструктурой Passkeys внутри компании сопряжено со скрытыми сложностями, выходящими за рамки традиционной IT-экспертизы. Внедрение аутентификации с помощью Passkey в большом масштабе требует постоянной оптимизации и обновлений, управления совместимостью WebAuthn и бесшовной интеграции с устаревшими банковскими системами — все это уже решают вендоры Passkeys.

Банки, такие как Ubank, Revolut и Finom, лидируют во внедрении Passkeys, признавая потенциал технологии для повышения безопасности при одновременном улучшении пользовательского опыта. Анализ ROI Passkeys часто склоняется в пользу покупки решения, а не инвестирования в постоянное обслуживание и обновления, при этом внедрения показывают значительное сокращение попыток мошенничества и затрат на поддержку, связанную с аутентификацией.

Примеры: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square

Ключевые соображения:

• Соответствие HIPAA и GDPR требует строгой безопасности аутентификации при внедрении Passkeys.
• Проблемы внедрения Passkeys включают баланс между безопасностью и простотой использования для пациентов, медицинского персонала и IT-администраторов больниц.
• Многие системы аутентификации в здравоохранении все еще полагаются на устаревшую инфраструктуру, что усложняет интеграцию Passkeys.

Рекомендация: Решение от вендора Passkeys — самый эффективный способ соответствовать требованиям и упростить аутентификацию. Вендоры Passkeys занимаются обновлениями безопасности, соответствием нормативным требованиям и надежностью аутентификации, снижая нагрузку на IT-команды.

Примеры: CVS Health, Caremark, Helsana, NHS, Swica

Ключевые соображения:

• Оптимизация коэффициента конверсии (CRO) критически важна для бизнеса — трение при аутентификации напрямую влияет на доход.
• Сценарии с несколькими устройствами должны работать без сбоев (пользователи просматривают товары на мобильном устройстве, а завершают покупку на десктопе).
• Ошибки аутентификации напрямую увеличивают количество брошенных корзин, что делает оптимизированные для UX процессы входа необходимыми.

Рекомендация: Платформы электронной коммерции больше всего выигрывают от поставщика реализации Passkeys, предлагающего высокие показатели внедрения. Крупные платформы, такие как Amazon и Shopify, уже внедрили аутентификацию с помощью Passkeys, демонстрируя растущее внедрение технологии в электронной коммерции. Реальные данные показывают, что более 27% первоначальных входов с паролем завершаются неудачей, в то время как аутентификация на основе Passkeys может достигать 95-97% успешных входов, как показали предыдущие внедрения. Анализ ROI Passkeys показывает, что более высокие коэффициенты конверсии и меньшие потери от мошенничества быстро оправдывают инвестиции.

Amazon недавно заявил, что они поставили амбициозную цель 100% внедрения Passkeys и полного отказа от паролей.

Google также выяснил, что пользователи, участвующие в пробном периоде и взаимодействующие с Passkeys, на 20% чаще конвертируются в платящих клиентов, чем те, кто этого не делает.

Примеры: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target

Ключевые соображения:

• Аутентификация на разных устройствах необходима, так как пользователи бронируют поездки на одном устройстве и регистрируются на другом.
• Специализированные вендоры Passkeys должны обеспечивать быстрый и безопасный вход для удобного бронирования, регистрации и управления аккаунтом.
• Предотвращение мошенничества является приоритетом, так как платформы для путешествий обрабатывают транзакции на крупные суммы.

Рекомендация: Большинство компаний в сфере путешествий должны внедрять решения для Passkeys, чтобы повысить безопасность и улучшить пользовательский опыт. Ведущие компании, такие как Kayak и крупные авиакомпании, уже используют аутентификацию с помощью Passkeys для улучшения своего пользовательского опыта. Готовые решения обеспечивают более надежное обнаружение мошенничества, бесшовный опыт входа и мгновенную поддержку нескольких устройств. Сектор гостеприимства особенно выигрывает от сокращения времени регистрации и повышения безопасности благодаря внедрению Passkeys, обеспечивая плавную аутентификацию на всех точках контакта (приложения, киоски, веб и партнерские платформы).

Примеры: Air New Zealand, Bolt, Grab, Uber, Hyatt

Ключевые соображения:

• Затраты на внедрение Passkeys должны соответствовать требованиям соответствия и улучшениям пользовательского опыта.
• Многие клиенты страховых компаний не очень технически подкованы, поэтому пользовательский опыт на всех типах устройств и браузеров является обязательным.
• Интеграция Passkeys с верификацией личности часто требуется для управления полисами и обработки претензий.

Рекомендация: Внешнее решение для Passkeys лучше всего подходит для быстрого развертывания и соответствия нормативным требованиям. Поставщики страховых услуг сообщают о значительном сокращении обращений в службу поддержки, связанных с аутентификацией, после внедрения Passkeys. Поставщик реализации Passkeys с настраиваемыми потоками аутентификации и интегрированной верификацией личности обеспечивает безопасность, сохраняя при этом простоту входа для клиентов. Анализ ROI Passkeys показывает, что сокращение сбросов паролей и потерь от мошенничества компенсирует затраты на вендора.

Примеры: Branch

Ключевые соображения:

• Высочайшие стандарты безопасности и требования соответствия (например, NIST, фреймворк Essential Eight требует фишинг-устойчивой MFA).
• Потребности в крупномасштабном развертывании для разнообразных групп населения с разным уровнем технической подготовки.
• Требования к интеграции с существующими государственными системами верификации личности и устаревшей инфраструктурой.

Рекомендация: Для государственных учреждений необходимо специализированное решение для Passkeys, которое соответствует строгим стандартам безопасности и обеспечивает доступность. Успешное внедрение в VicRoads демонстрирует, что государственные организации больше всего выигрывают от внешних решений для Passkeys, которые автоматически обрабатывают требования соответствия и обновления безопасности. Поэтому выбирайте поставщика реализации Passkeys, который предлагает безопасность корпоративного уровня, поддерживает аутентификацию на нескольких устройствах и предоставляет адаптивную аутентификацию для всех граждан.

Пример: VicRoads, myGov, State of Michigan

Ключевые соображения:

• Масштабируемость и надежность критически важны, так как провайдеры телекоммуникаций и коммунальных услуг часто управляют миллионами пользователей в различных сегментах клиентов, что требует высокодоступной и отказоустойчивой аутентификации.
• Поддержка нескольких устройств и кросс-платформенность необходимы, так как пользователи получают доступ к аккаунтам через мобильные приложения или веб-порталы. Бесшовная аутентификация с помощью Passkeys должна работать на всех точках контакта с клиентом.
• Поддержка устаревших систем аутентификации часто необходима, так как провайдерам телекоммуникаций и коммунальных услуг может потребоваться интегрировать Passkeys в существующие системы IAM и платформы идентификации клиентов, не нарушая текущие потоки аутентификации.
• Предотвращение мошенничества и безопасность аккаунтов являются главными приоритетами, особенно в отношении мошенничества с заменой SIM-карты, кражи личных данных и несанкционированного доступа к аккаунту. Passkeys могут значительно снизить риски фишинговых атак и подстановки учетных данных.

Рекомендация: Для провайдеров телекоммуникаций и коммунальных услуг рекомендуется использовать внешнее решение для Passkeys. Учитывая масштаб, сложность и требования к безопасности в этих отраслях, управляемый поставщик Passkeys обеспечивает соответствие требованиям, высокую доступность и бесшовную интеграцию с существующей инфраструктурой аутентификации. Телеком-гиганты и цифровые провайдеры коммунальных услуг уже внедряют Passkeys в рамках своих усилий по модернизации безопасности для снижения мошенничества и улучшения пользовательского опыта. Кроме того, аутсорсинг реализации Passkeys снижает совокупную стоимость владения (TCO) по сравнению с самостоятельной разработкой, так как текущее обслуживание, обновления безопасности и соответствие нормативным требованиям берет на себя поставщик.

Пример: Deutsche Telekom, Telstra, SK Telecom

Ключевые соображения:

• Мультитенантная аутентификация необходима для B2B SaaS, что требует масштабируемой интеграции Passkeys с различными системами IAM.
• Предприятия ожидают SSO (OIDC/SAML), поэтому бесшовная интеграция с поставщиками удостоверений критически важна для бизнеса.
• Затраты на внедрение Passkeys должны быть сбалансированы с другими инвестициями в безопасность, такими как многофакторная аутентификация (MFA) и модели безопасности с нулевым доверием.

Рекомендация: Для большинства поставщиков B2B SaaS внешняя реализация Passkeys является оптимальным выбором. Внедрение обычно происходит быстрее, чем внутренняя разработка. Цифровые B2B-компании, такие как Notion, Hubspot или Vercel, уже внедрили Passkeys для повышения безопасности своей аутентификации. Совокупная стоимость владения значительно ниже, чем при внутренней разработке, так как обслуживание, обновления и требования соответствия покрываются поставщиком.

Пример: Canva, DocuSign, Notion

Passkeys стали мировым стандартом аутентификации, упрощая вход для конечных пользователей и повышая безопасность. Оценивая способы внедрения Passkeys, компании должны решить, создавать ли внутреннее решение или использовать специализированного вендора. Хотя самостоятельные реализации предлагают полный контроль, они требуют значительной технической экспертизы, ресурсов на разработку и постоянного обслуживания. В отличие от этого, вендоры Passkeys предоставляют более быстрый, масштабируемый и экономически эффективный подход, обеспечивая высокие показатели внедрения, бесшовный пользовательский опыт и соответствие развивающимся стандартам безопасности.

Это руководство ответило на следующие ключевые вопросы::

• Какие компоненты необходимы для внедрения Passkeys и перехода на беспарольную аутентификацию?

  Успешное развертывание Passkeys требует инфраструктуры FIDO2/WebAuthn, бесшовных UX-сценариев, резервных механизмов и безопасных опций восстановления аккаунта. Компании также должны учитывать кросс-платформенную совместимость и соответствие требованиям безопасности.

• Следует ли внедрять Passkeys самостоятельно или использовать внешнего вендора?

  Хотя внутренняя разработка предлагает контроль, она сопряжена с высокой сложностью, постоянными затратами на обслуживание и ответственностью за безопасность. Большинство крупномасштабных организаций, ориентированных на потребителей, выигрывают от внешнего решения для Passkeys, которое обеспечивает быстрое развертывание, более низкие операционные расходы и меньшую техническую нагрузку.

• В чем преимущество вендора Passkeys, если существуют библиотеки с открытым исходным кодом?

  Библиотеки WebAuthn с открытым исходным кодом предоставляют отправную точку, но им не хватает безопасности корпоративного уровня, оптимизированного для Passkeys пользовательского опыта и функций, способствующих внедрению. Вендор Passkeys обеспечивает бесшовное развертывание, масштабируемость и оптимизированные стратегии внедрения, которые приносят лучший ROI, снижая трение как для пользователей, так и для разработчиков.

• Каковы самые большие проблемы при создании решения для Passkeys?

  Разработка внутренней системы Passkeys требует глубоких знаний в области WebAuthn, поддержки нескольких устройств и внедрения Passkeys. Поддержание постоянной сложности устройств и браузеров и обеспечение высоких показателей внедрения еще больше усложняют задачу.

• Каковы риски самостоятельного внедрения Passkeys?

  Компании рискуют высокими затратами на разработку, длительными сроками развертывания и постоянной нагрузкой на обслуживание безопасности. Сбои в соблюдении требований, уязвимости в безопасности и низкое внедрение пользователями могут сорвать успех развертывания Passkeys. Управляемое вендором решение для Passkeys снижает эти риски, предлагая проверенную, масштабируемую инфраструктуру аутентификации со встроенной безопасностью и соответствием нормативным требованиям.