Руководство: купить или создать собственное решение для ключей доступа
Создать или купить решение для ключей доступа? Узнайте плюсы и минусы собственной разработки по сравнению с готовыми решениями, проблемы, затраты и лучшие практики.
Эта страница переведена автоматически. Прочитайте оригинальную версию на английском здесь.
Загрузить полное руководство «Купить или создать решение для ключей доступа»#
Загрузите полное руководство по выбору между покупкой и собственной разработкой ключей доступа бесплатно и получите доступ ко всем аналитическим материалам.
- ✅ Подготовлено по запросам команд из Adidas, Woolworths и Mitsubishi
- ✅ Полный список компонентов и модель затрат для принятия решения о покупке или разработке
- ✅ Практическое 50-страничное руководство для принятия решений
Купить или разработать решение для ключей доступа?
Загрузить полное руководство
Получите полный чек-лист по внедрению ключей доступа, сравнение собственной разработки с решениями поставщиков (SaaS и локальными), обзор основных проблем, затрат и лучших практик.
Бесплатно скачать руководство
- Для большинства крупных потребительских проектов покупка готового решения для ключей доступа обеспечивает более быстрое развертывание, более низкую совокупную стоимость владения (TCO) и более высокие показатели внедрения по сравнению с собственной разработкой.
- Перед тем как полный отказ от паролей станет возможным, необходимо достичь критического порога принятия в 50–80 % активных пользователей, что делает инструменты стимулирования перехода решающим фактором при выборе между покупкой и разработкой.
- Более 27 % входов по паролю завершаются неудачей, в то время как аутентификация по ключам доступа достигает показателя успешности 95–97 %, напрямую повышая коэффициенты конверсии в электронной коммерции и ритейле.
- Ключи доступа обеспечивают в 3–5 раз более высокую скорость входа по сравнению с паролем и SMS MFA, что коррелирует с более высокой удовлетворенностью пользователей и постоянным использованием.
- Open-source библиотеки WebAuthn являются хорошей отправной точкой, но им не хватает безопасности корпоративного уровня, оптимизированного UX и функций для повышения уровня принятия, необходимых для масштабных развертываний.
1. Мотивация: стоит ли мне покупать или создавать решение для аутентификации по ключам доступа?#
Идея создания собственной реализации ключей доступа звучит привлекательно: полный контроль, индивидуальные интеграции и отсутствие привязки к поставщику. В конце концов, FIDO2 базируется на открытых стандартах, и написать первые строки кода WebAuthn кажется достаточно простым делом. Насколько это вообще может быть сложно?
Но именно здесь часто начинаются сложности, особенно если вы планируете создать решение для масштабного потребительского сценария развертывания с миллионами пользователей в таких отраслях, как:
- Банковские и финансовые услуги (например, онлайн-банкинг, платежи, финтех)
- Государственные и общественные услуги (например, порталы госуслуг, налоговые платформы)
- Страхование и здравоохранение (например, порталы для пациентов, цифровые страховые платформы)
- Электронная коммерция и ритейл (например, маркетплейсы, программы лояльности)
- Телекоммуникации и коммунальные услуги (например, операторы мобильной связи, поставщики энергии)
- Туризм и гостиничный бизнес (например, аккаунты авиакомпаний, программы лояльности отелей)
Настоящие проблемы начинаются после первого успешного входа по ключу доступа и часто обнаруживаются только тогда, когда вы уже внедряете свое решение. Внезапно появляются непредвиденные пограничные случаи, запутанные ошибки пользователей и потенциальные блокировки из-за недоступности ключей доступа. То, что казалось простой интеграцией, превращается в месяцы или даже годы усилий по разработке, непредвиденные затраты на обслуживание и потенциально провальный проект внедрения ключей доступа.
Однако создание собственного решения может быть правильным выбором для определенных организаций и специфических требований. Мы пообщались с десятками компаний об их планах по внедрению ключей доступа и сопровождали некоторых на их пути. Это руководство поможет вам определить, когда самостоятельный (DIY) подход к ключам доступа может иметь смысл, а когда выбор проверенного поставщика ключей доступа является более разумным решением.
В нашем руководстве «Купить или создать решение для ключей доступа» мы хотим ответить на следующие вопросы:
- Какие компоненты необходимы для внедрения ключей доступа и отказа от паролей?
- Стоит ли мне внедрять ключи доступа самостоятельно или использовать внешнего поставщика?
- В чем преимущество поставщика ключей доступа, если существуют библиотеки с открытым исходным кодом?
- Каковы самые большие проблемы при создании решения для ключей доступа?
- Каковы риски самостоятельного внедрения ключей доступа?
2. Предпосылки: почему ключи доступа — новый стандарт входа в систему#
Пароли устарели, небезопасны и вызывают раздражение. Ключи доступа устраняют риски фишинга, улучшают пользовательский опыт и упрощают аутентификацию — делая их новым стандартом безопасного входа. Независимо от того, создаете ли вы собственное решение или используете внешнее, интеграция ключей доступа — это серьезное обновление безопасности и удобства использования.
Компания Google обнаружила, что акцент на простоте использования или скорости находит отклик у пользователей и работает. Люди обычно жалуются на процесс входа в систему, поэтому все, что делает его проще и быстрее, является выигрышным.
Помимо этих преимуществ в области безопасности, ключи доступа открывают огромный потенциал для снижения операционных расходов. Вы можете сократить количество SMS-сообщений с одноразовыми паролями, отправляемых пользователям, затраты на которые могут существенно возрасти при большой базе пользователей. Более того, нагрузка на службы поддержки из-за восстановления паролей и MFA также является фактором затрат, который можно устранить.
Кроме того, ключи доступа повышают процент успешных входов в систему и сокращают время авторизации для пользователей, что в конечном итоге приводит к лучшим коэффициентам конверсии — это основной драйвер роста выручки в таких отраслях, как электронная коммерция, ритейл или туризм.
3. Путь к отказу от паролей: как ключи доступа вступают в игру?#
Конечная цель для многих организаций, рассматривающих внедрение ключей доступа, — полностью отказаться от паролей. Для достижения этой цели обычно необходимо пройти четыре этапа. Скорость прохождения этих этапов во многом зависит от технических возможностей организации, паттернов входа и пользовательской базы. В некоторых случаях роль могут играть внешние факторы, такие как давление общественности с целью внедрения более безопасной аутентификации или финансовые ограничения.
Давайте пройдемся по этим четырем этапам и опишем их, поскольку внедрение ключей доступа — это лишь один шаг в обеспечении успеха проекта.
3.1 Этап 1: Интеграция ключей доступа#
Первым шагом при переходе к системе без паролей является интеграция ключей доступа в качестве метода входа. На этом этапе пароли и другие методы аутентификации остаются в качестве резервных вариантов, чтобы пользователи могли получить доступ к своим учетным записям, если они еще не перешли на ключи доступа. Успешная интеграция требует бесшовной совместимости с существующими процессами входа в систему и политиками безопасности. Организациям следует сосредоточиться на том, чтобы сделать создание ключей доступа простым, гарантируя, что как технические, так и нетехнические пользователи смогут освоить новый метод аутентификации без затруднений.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study3.2 Этап 2: Увеличение уровня принятия ключей доступа#
После интеграции ключей доступа следующей задачей является стимулирование пользователей к переходу на ключи доступа. Многие организации недооценивают важность этого этапа, но без широкого принятия пользователями проект, скорее всего, потерпит неудачу. Цель состоит в том, чтобы побудить как можно больше пользователей создать и использовать ключи доступа, в идеале сделав их методом входа по умолчанию.
Ключевые тактики для увеличения принятия включают проактивное обучение пользователей, подсказки в интерфейсе (nudges), которые способствуют созданию ключа доступа, и программы поощрения, вознаграждающие пользователей за переход. Организациям следует установить критический порог принятия, например, 50–80 % активных пользователей, использующих ключи доступа, прежде чем переходить к следующему этапу. Для более глубокого понимания того, почему принятие имеет решающее значение, ознакомьтесь с нашей специальной статьей о том, как низкий уровень принятия может поставить под угрозу ваш проект.
3.3 Этап 3: Отказ от паролей#
По мере того как внедрение ключей доступа достигает критической массы, организации могут начать постепенный отказ от паролей. Однако слишком раннее удаление паролей или удаление без тщательного планирования может привести к проблемам с удобством использования и увеличению количества запросов в службу поддержки. Рекомендуется поэтапный подход:
- Начните с удаления паролей из учетных записей, где пользователи постоянно аутентифицируются с помощью ключей доступа.
- Предложите удаление пароля как опцию в настройках учетной записи для первопроходцев (early adopters).
- Используйте данные для выявления пользователей, готовых полностью отказаться от паролей. Например, пользователи с несколькими ключами доступа, зарегистрированными на разных устройствах, могут иметь приоритет для удаления пароля.
- Проактивно сообщайте о преимуществах отказа от пароля, чтобы укрепить доверие пользователей.
Стратегически направляя пользователей к полностью беспарольной аутентификации, организации могут максимизировать безопасность, не нарушая пользовательский опыт.
3.4 Этап 4: Автоматизация восстановления учетной записи#
После удаления паролей механизмы восстановления учетных записей должны быть надежными и безопасными. Традиционные методы восстановления часто полагаются на ручное вмешательство, такое как заявки в службу поддержки или сброс по электронной почте, что может привести к рискам безопасности и операционным расходам. Организации должны внедрить современные решения для самостоятельного восстановления, которые поддерживают безопасность и одновременно улучшают пользовательский опыт.
Ключевые элементы автоматизированного восстановления включают:
- Проверки на жизнеспособность (Liveness checks): предотвращение несанкционированного захвата учетной записи путем подтверждения физического присутствия пользователя.
- Проверка удостоверения личности: использование выданных государством удостоверений личности и биометрической верификации для подтверждения личности.
- Резервные ключи доступа: возможность для пользователей восстанавливать учетные записи с помощью резервных ключей доступа, хранящихся на других их устройствах.
Многие организации уже инвестируют в автоматизированные процессы восстановления независимо от перехода на беспарольный режим, чтобы сократить расходы и повысить удобство. Однако в экосистеме ключей доступа эти механизмы становятся еще более важными для поддержания безопасности и снижения трудностей.
Основываясь на этих четырех этапах, мы теперь постараемся помочь вам оценить решение «купить или создать». Таким образом, для долгосрочного успеха вашего проекта очень важно помнить обо всех этапах, а не просто внедрить ключи доступа (это может быть вашей целью, но тогда вы оставите весь потенциал ключей доступа неиспользованным).
4. Как определить правильный подход к ключам доступа#
Выбор между самостоятельной разработкой и внешним решением для ключей доступа зависит от технических ресурсов вашей компании, приоритетов в области безопасности, масштаба развертывания и долгосрочной стратегии в отношении ключей доступа. В следующем разделе мы разберем ключевые аспекты, которые помогут вам принять наилучшее решение.
В следующей таблице показаны различные критерии оценки, которые необходимо проанализировать. В зависимости от утверждения, к которому вы больше склоняетесь, начисляется различное количество баллов.
Как использовать матрицу оценки:
Для каждого критерия выберите, нужно ли вашей компании более простое или более сложное решение.
- Назначьте 1 балл за каждый ответ, где сложность в вашем случае минимальна и больше совпадает с описанием слева.
- Назначьте 5 баллов за каждую категорию, где ваш ответ больше совпадает с описанием наибольшей сложности справа.
- Если вы не уверены, используйте 3 балла как нейтральный вариант.
Загрузить полное руководство «Купить или создать решение для ключей доступа»#
Загрузите полное руководство по выбору между покупкой и разработкой ключей доступа бесплатно и получите доступ ко всем критериям оценки.
Купить или разработать решение для ключей доступа?
Загрузить полное руководство
Получите полный чек-лист по внедрению ключей доступа, сравнение собственной разработки с решениями поставщиков (SaaS и локальными), обзор основных проблем, затрат и лучших практик.
Бесплатно скачать руководство
5. Как эффективно использовать это руководство#
При принятии решения о том, разрабатывать ли собственное решение или покупать готовое, важно рассматривать весь процесс в целом, а не только один этап развертывания ключей доступа. Даже если вашим краткосрочным приоритетом является внедрение ключей доступа в качестве MVP, вы должны предвидеть долгосрочные последствия, особенно стимулирование принятия (adoption). Ниже описано, как мы рекомендуем использовать это руководство и интерпретировать результаты, с акцентом на то, почему принятие важнее почти любого другого фактора.
5.1 Сосредоточьтесь на принятии как на факторе успеха №1#
Независимо от того, насколько продвинуто ваше решение, если пользователи не примут его, не начнут создавать ключи доступа и использовать их для входа, весь проект окажется под угрозой. По нашему опыту, организации часто недооценивают усилия, необходимые для отучения пользователей от паролей. Даже если вы технически безупречно внедрите ключи доступа, низкий уровень принятия приведет к следующему:
- Постоянная зависимость от паролей, что сводит на нет преимущества безопасности ключей доступа.
- Минимальный ROI, поскольку снижение затрат (меньше сбросов паролей, сокращение SMS-уведомлений) напрямую зависит от активного использования ключей доступа.
- Фрагментированный пользовательский опыт, если большинство входов по-прежнему осуществляется традиционными методами, и лишь небольшая часть использует ключи доступа.
Обычно требуется высокий уровень принятия — иногда 50 % или даже +80 % вашей базы пользователей, прежде чем вы сможете сделать значимые шаги по сокращению или полному удалению паролей. Такие организации, как Google и Amazon, устанавливают четкие цели по принятию и систематически проводят A/B-тесты, образовательные кампании и настраивают подсказки в интерфейсе, чтобы гарантировать широкое распространение ключей доступа. Эти концентрированные усилия — не опция, а то, что превращает внедрение ключей доступа из простой функции в ощутимое конкурентное преимущество.
5.2 Используйте руководство комплексно или по этапам#
Это руководство предназначено для того, чтобы помочь вам принимать обоснованные решения на каждом этапе:
- Этап 1 (Интеграция ключей доступа): Если вы просто рассматриваете возможность внедрения ключей доступа и способы их интеграции, сосредоточьтесь на критериях Разработка или Покупка для интеграции.
- Этап 2 (Увеличение принятия): Если вы хотите, чтобы ключи доступа стали чем-то большим, чем просто функция, планируйте заранее, чтобы стимулировать их использование — даже для MVP, так как это требует дополнительных инвестиций в технологии, часто существенно превышающих первоначальное внедрение.
- Этап 3 (Отказ от паролей): Если отказ от паролей является долгосрочной стратегической целью, убедитесь, что ваша архитектура и пользовательские сценарии спроектированы с учетом этого шага.
- Этап 4 (Автоматизация восстановления учетной записи): Даже если вы не готовы полностью перейти на беспарольную систему уже сегодня, убедитесь, что ваш подход к ключам доступа может эволюционировать в надежное и бесшовное восстановление, чтобы избежать будущих препятствий.
Из них Этап 2 (Увеличение принятия) является наиболее важным. Вы можете оценивать каждый раздел отдельно, но помните, что ваш долгосрочный успех и окупаемость инвестиций (ROI) часто зависят от того, насколько серьезно вы отнесетесь к стимулированию перехода с самого начала.
5.3 Привлеките ключевые заинтересованные стороны и согласуйте цели#
Если вы находитесь на ранней стадии принятия решения о внедрении ключей доступа, начните с первого раздела матрицы оценки (интеграция ключей доступа) и заполните его вместе с руководством, ИТ-отделом, владельцами продуктов и другими ключевыми лицами. Спросите себя:
- Каков наш желаемый показатель входа по ключу доступа? Достаточно ли 5 %, чтобы доказать осуществимость, или нам нужно 50–80 %, прежде чем мы будем считать проект успешным?
- Есть ли у нас бюджет и поддержка руководства для проведения A/B-тестов на протяжении нескольких месяцев, кампаний по оптимизации, создания образовательных материалов и непрерывного улучшения пользовательских путей, чтобы люди понимали и хотели перейти на ключи доступа? Хватает ли у нас инженерных ресурсов для внедрения всей необходимой аналитики, отчетности и тестирования? Можем ли мы выпускать обновления достаточно часто, чтобы достичь этих целей?
- Каково наше долгосрочное видение? Стремимся ли мы к удалению паролей или просто предоставляем альтернативу?
Ответы на эти вопросы заранее гарантируют, что ваш проект не зайдет в тупик. Организации, которые не планируют стимулирование пользователей, часто оказываются застрявшими с паролями на годы вперед, что подрывает всю стратегию безопасности.
5.4 Чем больше вы отклоняетесь от «нейтрального», тем больше смысла в поставщике#
В матрице каждый критерий оценки может привести вас к любому результату — от минимальной сложности (1) до максимальной сложности (5). Чем больше ваших ответов сдвигается в сторону, выходящую за пределы нейтральной зоны (3), тем весомее аргументы в пользу использования специализированного поставщика ключей доступа:
- Высокие требования к сложности — такие как продвинутые методы резервного входа, строгие нормы комплаенса, глубокая аналитика и многоплатформенный UX — кратно увеличивают нагрузку на ваших инженеров и затраты на обслуживание.
- Сильный акцент на принятии — достижение высокого уровня использования или отказ от паролей обычно требует проверенных пользовательских сценариев, детальной телеметрии и структурированных подсказок.
Эти факторы могут перегрузить внутренние команды, как технически, так и организационно. Готовое управляемое решение часто может предоставить проверенные передовые практики, быстрые обновления и реальный опыт, чтобы ускорить процесс перехода намного быстрее, чем подход DIY.
5.5 Точка зрения Corbado: когда поставщик — лучший выбор#
Как специалисты по ключам доступа, мы в Corbado имеем четкую позицию. Если ключи доступа находятся в вашей дорожной карте и вам нужна передовая реализация, которая активно стимулирует принятие, платформа Corbado Connect может помочь вам справиться со сложностями в любом масштабе. Вот почему:
Принятие встроено в решение: Наша платформа спроектирована так, чтобы максимизировать согласие пользователей (opt-in) с помощью умных подсказок, аналитики и непрерывного A/B-тестирования, что также способствует снижению затрат.
Следующие шаги:
- Заполните каждый соответствующий раздел матрицы оценки, учитывая как краткосрочные, так и долгосрочные цели.
- Установите приоритет на принятие в процессе принятия решений — согласуйте с заинтересованными сторонами конкретные цели и ресурсы для их достижения.
- Сравните совокупную стоимость владения (TCO) для собственной разработки и готовых решений, когда вы поймете свои амбиции в отношении сложности и принятия.
- Проконсультируйтесь с экспертами (такими как Corbado), если ваши стратегические цели указывают на полностью управляемую платформу, которая эффективно решает как технические задачи, так и проблемы принятия.
Подходя к ключам доступа комплексно и делая принятие одной из ключевых целей, вы добьетесь лучших результатов. Это означает усиление безопасности, упрощение входа и реальный путь к будущему без паролей. Если вы хотите узнать больше о Corbado Connect и о том, как мы помогаем нашим клиентам достигать высоких показателей принятия, мы всегда готовы к диалогу.
6. Как измерить успех внедрения ключей доступа?#
Теперь, когда мы помогли определить правильный подход и ответить на вопрос «Купить или создать?», давайте проанализируем, как оценивать успех развертывания ключей доступа. Для этого мы определяем вводные (input) и выводные (output) KPI проекта.
6.1 Каковы важные вводные KPI ключей доступа?#
Вводные KPI помогают отслеживать принятие на ранних стадиях и то, создаются ли необходимые условия для широкого использования ключей доступа. Эти индикаторы предшествуют фактическому поведению при входе, но имеют решающее значение для стимулирования принятия и оптимизации развертывания.
| KPI | Определение | Почему это важно | Как измерять | Бенчмарк |
|---|---|---|---|---|
| Уровень принятия ключей доступа (Passkey Acceptance Rate) | Процент пользователей, которые после успешного входа в систему получают подсказку (nudge) с предложением настроить ключ доступа и решают его создать. Этот KPI измеряет реакцию пользователей на эти подсказки, подчеркивая эффективность призывов. Такой подход считается передовым, поскольку пользователи обычно не создают ключи доступа самостоятельно через настройки. Наиболее успешное внедрение происходит, когда пользователям предлагают это сделать сразу после входа в систему. Важно различать самую первую подсказку и последующие, так как со временем этот показатель снижается. | Высокий уровень принятия свидетельствует об успешном убеждении пользователя и хорошем дизайне подсказки. Низкие показатели сигнализируют о трениях, неясных сообщениях или нерешительности. | Формула: (Количество пользователей, завершивших создание ключа доступа после подсказки) ÷ (Количество пользователей, которым была показана подсказка). Сегментировать по ОС/браузеру/устройству. | 50 %–75 % при первой подсказке, до 85 % после нескольких показов на мобильных. На десктопах ниже. Сильно зависит от формулировки и реализации. |
| Уровень успешного создания ключей доступа (Passkey Creation Success Rate) | Доля пользователей, которые начинают процесс регистрации ключа доступа и успешно завершают его (т. е. не прерывают). | Показывает, сколько пользователей отказываются в процессе создания из-за запутанного UX, технических проблем или сомнений. | Формула: (Количество завершенных регистраций) ÷ (Количество попыток регистрации). Анализ причин сбоев по ОС/браузеру/устройству. | Близко к 100 %. |
| Количество созданных ключей доступа | Совокупное количество новых созданных ключей доступа за определенный период (день, неделя, месяц). | Базовый показатель принятия, который отражает объем использования ключей доступа и потенциальный отказ от паролей в будущем. | Формула: Сумма всех зарегистрированных ключей доступа по категориям ОС, браузеров и устройств. Отслеживание тенденций роста. Абсолютное число не имеет прямого значения, так как зависит от размера базы. | Значительное количество в день, как только происходит полное развертывание. |
Эти вводные KPI служат опережающими индикаторами будущего принятия ключей доступа и позволяют организациям настраивать обучение пользователей, UX и техническую реализацию.
6.2 Каковы важные выводные KPI / OKR ключей доступа?#
Выводные KPI (OKR) измеряют фактический успех внедрения ключей доступа, оценивая поведение пользователей, операционные улучшения и влияние на бизнес. Уровень входа по ключам доступа (Passkey Login Rate) является основным выводным KPI, поскольку он напрямую отражает фактическое использование технологии.
| KPI | Определение | Почему это важно | Как измерять | Бенчмарк |
|---|---|---|---|---|
| Уровень активации пользователей (User Activation Rate) | Среди всех пользователей, которые видели как минимум одну подсказку (возможно, несколько раз за определенный период), процент тех, кто в конечном итоге создал как минимум один ключ доступа. | Измеряет общий успех онбординга. Пользователи могут отклонить первую подсказку, но конвертироваться позже. | Формула: (Уникальные пользователи, создавшие ≥1 ключ доступа) ÷ (Уникальные пользователи, которым хоть раз показывалась подсказка). Сегментировать по ОС, браузеру и устройству. Если база растет, удаленные ключи доступа также должны учитываться. | Более 50 % за 12 месяцев. Показатель входов по ключам доступа стремится к этому значению. Зависит от состава ваших пользователей. |
| Уровень входа по ключам доступа (Passkey Login Rate) | Процент от всех попыток входа, которые завершены с использованием ключа доступа, а не устаревшего метода (пароль, SMS OTP и т. д.). | Демонстрирует реальную частоту использования ключей доступа. Стабильно низкий уровень указывает на то, что пользователи либо предпочитают пароли, либо возвращаются к ним, несмотря на то, что у них есть ключ. Также может быть следствием неоптимальной реализации формы входа. | Формула: (Количество входов по ключу доступа) ÷ (Общее количество входов). Сегментировать по ОС/браузеру/устройству или группам пользователей. | Более 20 % за несколько недель, более 50 % за 12 месяцев (сильно зависит от реализации). |
| Уровень успешного входа по ключам доступа (Passkey Login Success Rate) | Доля попыток входа по ключу доступа, которые завершаются успешно, без возврата к резервному методу. | Выявляет трения в процессе входа. Более низкий показатель может указывать на путаницу пользователей, ограничения среды или проблемы совместимости устройств. Показатель ниже 100 % ожидаем, так как пользователи меняют устройства или пытаются войти с неподключенных устройств. | Формула: (Количество успешных входов по ключу) ÷ (Количество попыток входа по ключу). Отслеживайте частичные попытки, когда пользователь прерывает вход и переключается на пароль. | Более 95 % в мобильном вебе. Более 99 % в нативных приложениях. На десктопах зависит от того, сколько устройств есть у пользователей и где они регистрировались. |
| Время входа по ключу доступа в сравнении с традиционным входом (Login Time) | Сравнение среднего времени аутентификации с помощью ключей доступа и паролей (от момента инициации входа до успешного завершения). | Более быстрый вход по ключу доступа коррелирует с более высокой удовлетворенностью и постоянным использованием. | Логируйте временные метки начала и успешного завершения каждой попытки входа. Рассчитайте среднее время для ключей доступа и паролей. Сегментируйте по ОС/браузеру/устройству. | Выигрыш в скорости в 3–5 раз по сравнению с традиционной MFA (пароль + SMS). |
| Уровень возврата (Fallback Rate) | Как часто пользователи возвращаются к паролям или другому методу не на основе ключей доступа во время попытки входа, первоначально начатой с ключа доступа. | Показывает сохраняющуюся зависимость от устаревших процессов, возможно, из-за низкой надежности ключей доступа или дискомфорта пользователей. | Формула: (Количество событий возврата) ÷ (Количество попыток входа по ключу). Соотнесите эти данные с опросами или тикетами в поддержку, чтобы найти первопричину. | Этот KPI в основном обратно пропорционален уровню успешного входа и зависит от вашей реализации. |
Важно оптимизировать в первую очередь показатель успешности входа по ключам доступа и уровень входа (Login Rate), чтобы обеспечить беспроблемный пользовательский опыт, одновременно работая над повышением уровня активации пользователей — но только тогда, когда показатель успешности входа достаточно высок, чтобы не вызывать раздражения у пользователей.
6.3 Как регистрировать необходимые события для метрик ключей доступа#
Для точного измерения как вводных (например, принятие, создание), так и выводных KPI (например, уровень входа, уровень возврата) необходимо собирать данные из трех основных источников:
- Данные о событиях во фронтенде (Frontend event data)
- Хранилище ключей доступа / учетных данных (Credential store)
- Логи устаревшей аутентификации и резервных методов (Fallback logs)
6.3.1 Данные о событиях во фронтенде#
Для расчета таких метрик, как Уровень принятия ключей доступа (Passkey Acceptance Rate) или Уровень успешного создания ключей доступа (Passkey Creation Success Rate), вы должны определять, сколько пользователей видят подсказку после входа в систему, сколько из них нажимают «Да, создать ключ доступа», и завершают ли они фактически процесс создания. Это требует отслеживания событий с помощью JavaScript (или нативного мобильного кода) для фиксации:
- Когда и показывается ли подсказка (первый или последующие разы)
- Сколько времени у них уходит на выполнение подсказки
- Прерывают ли они церемонию создания ключа доступа один или несколько раз
Вам также потребуется парсинг user agent или client hints, чтобы привязать показатели принятия к конкретным версиям ОС/браузеров и выявить сломанные пути.
6.3.2 Хранилище ключей доступа / учетных данных#
После того как пользователь инициирует регистрацию во фронтенде, сервер должен подтвердить, был ли новый ключ доступа действительно сохранен. Вам понадобится доступ к базе данных или API внешнего поставщика идентификации, который регистрирует событие создания каждых учетных данных. Это поможет вам подсчитать, сколько ключей доступа существует у каждого пользователя, и отследить окончательный результат (успех или неудача).
6.3.3 Логи устаревшей аутентификации и резервных методов#
Для таких метрик, как Уровень возврата (Fallback Rate), вы должны смотреть на ваши текущие журналы и процессы аутентификации. Объединив эти логи с событиями на фронтенде, вы увидите, начал ли пользователь вход по ключу доступа, получил ли ошибку и переключился ли на резервный логин (например, SMS или пароль).
Наконец, измерение KPI, основанных на времени, таких как Время входа по ключу доступа в сравнении с традиционным входом, опирается как на клиентские, так и на серверные метки времени. Поскольку многие организации регистрируют только успешные входы, вы должны добавить инструментарий для частичных или неудачных попыток входа по ключам доступа.
6.3.4 Интегрированный подход Corbado: майнинг процессов аутентификации (Authentication Process Mining)#
Компоненты Corbado Connect неявно собирают все описанные точки данных (сотни различных), автоматически генерируя уникальный процесс для каждого пользователя, начинающего аутентификацию. Благодаря бесшовной интеграции Corbado также собирает метрики аутентификации из вашего существующего решения. Этот целостный взгляд точно указывает на улучшения для пользователей, предоставляя исчерпывающую информацию по всем основным KPI ключей доступа без дополнительных усилий с вашей стороны.
6.4 На какие еще важные выводные KPI / OKR должно повлиять внедрение?#
Кроме того, следующие эффекты в выводных KPI также должны проявиться после успешного развертывания ключей доступа, и в большинстве случаев эти данные уже собираются внутри предприятия:
Метрики снижения операционных расходов
- Снижение использования SMS OTP – количество сэкономленных SMS OTP благодаря аутентификации по ключам доступа (прямая экономия затрат).
- Снижение запросов на сброс пароля – уменьшение обращений в службу поддержки в связи с забытыми паролями.
- Снижение количества тикетов в службу поддержки клиентов – меньший объем проблем с обслуживанием клиентов, связанных с аутентификацией.
- Снижение объема звонков в поддержку – меньше входящих звонков по вопросам доступа к учетной записи.
Метрики влияния на бизнес и UX
- Уровень удержания пользователей (Retention Rates) – процент пользователей, которые продолжают аутентифицироваться после первого входа.
- Коэффициент конверсии (Conversion Rate) – как часто пользователи завершают транзакции после аутентификации.
- Показатель отказов в воронках входа (Drop-Off Rate) – снижают ли ключи доступа количество пользователей, прерывающих попытки входа.
Целенаправленно отслеживая вводные и выводные KPI ключей доступа и соотнося их с другими данными, организации могут количественно оценить влияние своего развертывания и вносить улучшения на основе данных.
7. Рекомендации#
Выбор правильного решения для ключей доступа зависит от ваших конкретных задач, требований к безопасности и соображений стоимости. Ниже приведены ключевые рекомендации по решениям «купить или создать» для различных секторов.
7.1 Рекомендации по ключам доступа в банковской сфере и финансовых услугах#
Ключевые соображения:
- Требования регуляторов (например, PSD2, SOC 2, ISO 27001, GDPR) требуют строгих мер безопасности при аутентификации.
- Сравнение стоимости внедрения ключей доступа имеет решающее значение, так как банки часто недооценивают долгосрочную сложность и затраты на обслуживание внутренних решений.
- Безопасная аутентификация важна для снижения мошенничества с захватом учетных записей и фишинга.
Рекомендация:
Большинству банков и финансовых учреждений следует полагаться на решение поставщика ключей
доступа, а не создавать его собственными силами, так как управление инфраструктурой ключей
доступа внутри компании влечет за собой скрытые сложности, выходящие за рамки
традиционного ИТ-опыта. Масштабное внедрение требует постоянной оптимизации, управления
совместимостью WebAuthn и бесшовной интеграции с устаревшими банковскими системами — всем
этим уже занимаются поставщики ключей доступа.
Такие банки, как Ubank, Revolut и Finom, лидируют во внедрении ключей доступа. Анализ рентабельности инвестиций (ROI) ключей доступа часто говорит в пользу покупки готового решения, поскольку реализация демонстрирует значительное сокращение попыток мошенничества и затрат на поддержку.
Примеры: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square
7.2 Рекомендации по ключам доступа в здравоохранении#
Ключевые соображения:
- Соответствие HIPAA и GDPR требует строгой безопасности аутентификации.
- Проблемы внедрения ключей доступа включают баланс между безопасностью и простотой использования для пациентов, медицинского персонала и ИТ-администраторов больниц.
- Многие системы аутентификации в здравоохранении по-прежнему опираются на устаревшую инфраструктуру.
Рекомендация:
Решение от поставщика ключей доступа — это наиболее эффективный способ выполнить
требования регуляторов и упростить аутентификацию. Поставщики управляют патчами
безопасности, обновлениями соответствия и надежностью аутентификации, снижая нагрузку на
ИТ-команды.
Примеры: CVS Health, Caremark, Helsana, NHS, Swica
7.3 Рекомендации по ключам доступа в электронной коммерции и ритейле#
Ключевые соображения:
- Оптимизация коэффициента конверсии (CRO) критически важна для бизнеса — трудности с аутентификацией напрямую влияют на выручку.
- Мультиустройственные сценарии должны работать безупречно.
- Ошибки аутентификации напрямую увеличивают уровень брошенных корзин.
Рекомендация:
Платформы электронной коммерции получают наибольшую выгоду от
провайдеров внедрения ключей доступа, предлагающих высокие показатели принятия. Крупные
платформы, такие как Amazon и Shopify, уже внедрили ключи
доступа. Реальные данные показывают, что более 27 % первоначальных входов по паролю терпят
неудачу, в то время как аутентификация по ключам доступа может достигать 95–97 % успешных
входов, как показано в
предыдущих внедрениях.
Amazon недавно заявила, что поставила перед собой амбициозную цель — 100 % принятие ключей доступа и полный отказ от паролей.
Google также выяснила, что пробные пользователи, использующие ключи доступа, на 20 % чаще конвертируются в платящих клиентов.
Примеры: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target
7.4 Рекомендации по ключам доступа в туризме и гостиничном бизнесе#
Ключевые соображения:
- Кросс-платформенная аутентификация имеет важное значение, так как пользователи бронируют поездки на одном устройстве и регистрируются на другом.
- Предотвращение мошенничества является приоритетом.
Рекомендация:
Большинству туристических компаний следует внедрить ключи доступа для повышения
безопасности и качества обслуживания пользователей. Ведущие компании, такие как
Kayak и крупные авиакомпании, уже
используют аутентификацию по ключам доступа. Готовые решения обеспечивают более сильное
обнаружение мошенничества и мгновенную поддержку нескольких устройств.
Примеры: Air New Zealand, Bolt, Grab, Uber, Hyatt
7.5 Рекомендации по ключам доступа в страховании#
Ключевые соображения:
- Затраты на внедрение ключей доступа должны соответствовать потребностям соответствия нормативным требованиям и улучшению UX.
- Многие клиенты страховых компаний не обладают высокими техническими знаниями, поэтому UX должен быть максимально простым на всех типах устройств.
- Часто требуется интеграция ключей доступа с проверкой личности.
Рекомендация:
Внешнее решение лучше всего подходит для быстрого развертывания и соблюдения нормативных
требований. Страховые компании сообщают о значительном
сокращении количества обращений в поддержку.
Примеры: Branch
7.6 Рекомендации по ключам доступа в государственном секторе#
Ключевые соображения:
- Самые высокие стандарты безопасности и требования комплаенса (например, NIST, структура Essential Eight).
- Потребности в масштабном развертывании для различных групп населения.
- Требования к интеграции с существующими правительственными системами верификации личности.
Рекомендация:
Для государственных учреждений необходимо
специализированное решение, которое соответствует строгим стандартам безопасности и
обеспечивает доступность. Успешное внедрение в VicRoads
демонстрирует, что государственным организациям выгоднее использовать внешние решения,
которые автоматически обрабатывают требования регуляторов и обновления безопасности.
Примеры: VicRoads, myGov, State of Michigan
7.7 Рекомендации по ключам доступа в телекоммуникациях и коммунальных услугах#
Ключевые соображения:
- Масштабируемость и надежность имеют решающее значение, так как провайдеры телекоммуникаций и коммунальных услуг часто управляют миллионами пользователей в различных сегментах, что требует высокодоступной и отказоустойчивой аутентификации.
- Поддержка нескольких устройств и кросс-платформенность имеет важное значение, поскольку пользователи получают доступ к учетным записям через мобильные приложения или веб-порталы. Бесшовная аутентификация по ключам доступа должна работать на всех точках контакта с клиентами.
- Зачастую необходима поддержка устаревших систем аутентификации, поскольку провайдерам телекоммуникаций и коммунальных услуг может потребоваться интеграция ключей доступа в существующие системы IAM и платформы идентификации клиентов без прерывания текущих процессов аутентификации.
- Предотвращение мошенничества и безопасность учетных записей являются главными приоритетами, особенно в отношении мошенничества с подменой SIM-карт, кражи личных данных и несанкционированного доступа к учетным записям. Ключи доступа могут значительно снизить риски фишинговых атак и перехвата учетных данных.
Рекомендация:
Для провайдеров в сфере телекоммуникаций и коммунальных услуг
рекомендуется внедрять внешнее решение для ключей доступа. Учитывая масштабы, сложность и
требования к безопасности в этих отраслях, управляемый провайдер ключей доступа
обеспечивает соответствие требованиям, высокую доступность и бесшовную интеграцию с
существующей инфраструктурой аутентификации. Телекоммуникационные гиганты и цифровые
поставщики коммунальных услуг уже активно внедряют ключи доступа в рамках модернизации
безопасности для снижения уровня мошенничества и улучшения пользовательского опыта. Кроме
того, аутсорсинг внедрения ключей доступа снижает совокупную стоимость владения (TCO) по
сравнению с внутренней разработкой, так как текущее обслуживание, обновления безопасности
и соблюдение нормативных требований берет на себя провайдер.
Примеры: Deutsche Telekom, Telstra, SK Telecom
7.8 Рекомендации по ключам доступа в B2B SaaS#
Ключевые соображения:
- Мультитенантная аутентификация имеет важное значение для B2B SaaS.
- Предприятия ожидают наличия SSO (OIDC/SAML).
- Затраты на внедрение ключей доступа необходимо сбалансировать с другими инвестициями в безопасность.
Рекомендация:
Для большинства B2B SaaS провайдеров внешнее внедрение ключей доступа является оптимальным
выбором. Внедрение обычно происходит быстрее, чем собственная разработка. TCO значительно
ниже, чем при собственной разработке.
Примеры: Canva, DocuSign, Notion
8. Заключение#
Ключи доступа стали мировым стандартом аутентификации, упрощая вход для конечных пользователей и повышая безопасность. Компании должны решить, создавать ли собственное решение или воспользоваться услугами специализированного поставщика ключей доступа. Хотя решения DIY обеспечивают полный контроль, они требуют значительных технических знаний, ресурсов на разработку и непрерывного обслуживания. В отличие от них, поставщики ключей доступа предоставляют более быстрый, масштабируемый и экономичный подход.
В этом руководстве были рассмотрены следующие ключевые вопросы:
-
Какие компоненты необходимы для внедрения ключей доступа и отказа от паролей?
Для успешного развертывания требуются инфраструктура FIDO2/WebAuthn, бесшовные UX-сценарии, резервные механизмы и варианты безопасного восстановления.
-
Стоит ли мне внедрять ключи доступа самостоятельно или использовать внешнего поставщика?
Большинству крупных потребительских организаций выгодно использовать внешнее решение для ключей доступа, которое обеспечивает быстрое развертывание и снижает операционные расходы.
-
В чем преимущество поставщика ключей доступа, если существуют библиотеки с открытым исходным кодом?
Open-source библиотеки обеспечивают хорошую стартовую базу, но им не хватает безопасности корпоративного уровня и функций для повышения принятия пользователями.
-
Каковы самые большие проблемы при создании решения для ключей доступа?
Разработка требует глубоких знаний WebAuthn и поддержки различных устройств. Поддержание работы на новых устройствах и браузерах еще больше усложняет задачу.
-
Каковы риски самостоятельного внедрения ключей доступа?
Компании рискуют понести высокие затраты на разработку, затянуть сроки внедрения и возложить на себя постоянное бремя обслуживания безопасности.
О Corbado
Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →
Часто задаваемые вопросы#
Каковы основные риски при разработке собственного решения для ключей доступа на предприятии?#
Внутренняя разработка требует глубоких знаний WebAuthn, постоянного управления совместимостью браузеров и устройств, а также специализированного обслуживания безопасности. Компании рискуют получить затяжные сроки внедрения, нарушения нормативных требований и низкий уровень принятия пользователями. Для регулируемых отраслей соответствие PSD2, HIPAA и NIST добавляет дополнительные сложности, которые поставщики ключей доступа уже успешно решают на постоянной основе.
Какой уровень принятия ключей доступа мне нужен, прежде чем можно будет безопасно отказаться от паролей?#
Организациям необходимо, чтобы 50–80 % активных пользователей аутентифицировались с помощью ключей доступа, прежде чем полностью удалять пароли. Слишком раннее удаление паролей приводит к увеличению запросов в службу поддержки и проблемам с удобством использования. Поэтапный подход начинается с учетных записей, где пользователи постоянно применяют ключи доступа, и расширяется на основе аналитики данных.
Какие KPI следует отслеживать для измерения успеха внедрения ключей доступа?#
Отслеживайте вводные KPI, включая уровень принятия ключей доступа (целевой показатель: 50–75 % при первой подсказке, до 85 % на мобильных устройствах при многократных подсказках) и уровень успешного создания ключей доступа (целевой показатель близок к 100 %). Для выводных KPI стремитесь к уровню входа по ключам доступа выше 20 % в течение нескольких недель и выше 50 % за 12 месяцев. Сегментируйте все метрики по ОС, браузерам и устройствам, чтобы выявить проблемные места.
Почему проекты с ключами доступа терпят неудачу даже после успешной технической реализации?#
Большинство проектов терпят неудачу из-за низкого уровня принятия пользователями, а не из-за технических проблем. Постоянная зависимость от паролей сводит на нет преимущества безопасности и создает фрагментированный пользовательский опыт. Компании уровня Google и Amazon решают эту проблему путем непрерывного A/B-тестирования, подсказок в интерфейсе и структурированных образовательных кампаний для пользователей.
Каким отраслям выгоднее всего использовать поставщика ключей доступа, а не разрабатывать собственное решение?#
Банковский сектор, здравоохранение, государственные учреждения, электронная коммерция, телекоммуникации и страхование получают наибольшую выгоду от готовых решений благодаря строгим нормативным требованиям, таким как PSD2, HIPAA и NIST, в сочетании с масштабными базами пользователей и сложной устаревшей инфраструктурой.
Поделиться статьей
Похожие статьи
Содержание