Büyük ölçekte B2C için parolasız kimlik doğrulama aslında ne gerektirir?

Büyük ölçekte B2C için parolasız kimlik doğrulama üst üste binen dört katman gerektirir: kayıt sistemi olarak bir CIAM, WebAuthn istemi öncesinde cihazı, işletim sistemini, tarayıcıyı ve kimlik bilgisi sağlayıcısını sınıflandıran bir geçiş anahtarı orkestrasyon katmanı, istemci tarafı süreci yakalayan bir gözlemlenebilirlik katmanı ve geçiş anahtarı akışlarını tamamlayamayan ortamlardaki kullanıcılar için bir geri dönüş (fallback) katmanı. Çoğu CIAM platformu yalnızca ilk katmanı sağlar ve yerel dağıtımların yüzde 5 ila 10 arası bir benimseme oranında takılı kalmasının nedeni de budur.

500 bin MAU'da parolasız B2C dağıtımları neden düşük benimseme oranlarında takılır?

Standart CIAM parolasız arayüzleri tüm kullanıcıları aynı şekilde yönlendirir ancak Corbado Passkey Benchmark 2026'ya göre ilk denemede web geçiş anahtarı kaydı iOS'te %49-83 aralığından Windows'ta %25-39'a kadar düşer. Cihaz yapısı segmentasyonu, akıllı istemler ve ilk tanımlayıcı (identifier-first) kurtarma olmadan, platform teknik olarak WebAuthn'i desteklese bile dağıtımlar ortalama yüzde 5 ila 10 arasında bir geçiş anahtarı giriş oranında kalır.

500 bin MAU'da B2C parolasız bir sistemi sıfırdan kurmanın TCO'su nedir?

Bir CIAM platformunda geçiş anahtarlarını yerel olarak geliştirmek 500 bin MAU'da genellikle ürün, geliştirme ve QA boyunca 25-30 tam zamanlı eşdeğer (FTE) ay ve devam eden bakım için yılda 1.5 FTE gerektirir. Bu ölçekteki platform ücretleri, Stytch B2C Essentials için ayda yaklaşık 4.900 USD'den başlayıp Auth0 kurumsal sözleşmeleri için ayda 15.000-30.000 USD'ye kadar çıkar. Cognito'nun geçiş anahtarı yetenekli Essentials paketi yaklaşık 7.300 USD ve Clerk yaklaşık 9.000 USD'dir. iOS, Android, Windows ve macOS güncellemeler yayınladıkça yapılması gereken çapraz platform yeniden testleri işin gizli maliyetidir.

1 Milyondan fazla kullanıcıda parolasız kimlik doğrulama için en iyi mimari modeli hangisidir?

1 Milyondan fazla kullanıcıda en baskın model, CIAM'in kayıt sistemi olarak kaldığı ve cihaz sınıflandırması, koşullu oluşturma (conditional create), ilk tanımlayıcı (identifier-first) kurtarma ve benimseme analitiklerini ele alan bir geçiş anahtarı orkestrasyon eklentisi katmanıdır. Bu model; kullanıcı veritabanı taşımasını önler, mevcut SIEM ve APM yatırımlarını korur ve büyük ölçekte katlanarak artan yüzde 60-90 oranındaki SMS maliyet düşüşünü devreye alır.

Büyük Ölçekte B2C için Parolasız Kimlik Doğrulama: 2026 Rehberi

Bu sayfa otomatik olarak çevrildi. Orijinal İngilizce sürümü buradan okuyun.

Önemli bilgiler

Büyük ölçekte parolasız kimlik doğrulama, temel platform Auth0, Cognito, Ping Identity veya Clerk olsa bile, ekipler yalnızca bir CIAM'in yerel WebAuthn API'sine güvendiğinde %5-10 geçiş anahtarı giriş oranında takılı kalır.
Corbado Passkey Benchmark 2026'ya göre, ilk denemede web geçiş anahtarı kaydı iOS'ta %49-83 aralığındayken Windows'ta %25-39'a kadar düşüyor. Standart CIAM arayüzleri bu 2 katlık farkı göz ardı eder.
Gelişmiş sunum modeli (otomatik oluşturma ve önce tanımlayıcı kurtarma içeren geçiş anahtarı öncelikli dönüş akışı), aynı %89 web hazırlık tavanında geçiş anahtarı giriş oranını %60'ın üzerine çıkarır.
500 bin MAU'da, SMS OTP'de sağlanacak %60-90'lık bir azalma, yıllık 50.000 - 100.000 USD veya daha fazla tasarrufa dönüşür; orkestrasyon katmanı genellikle ilk çeyrekte kendi maliyetini çıkarır.
Bir CIAM platformunda doğrudan parolasız kimlik doğrulama oluşturmak, ürün, geliştirme ve QA süreçlerinde yaklaşık 25-30 FTE-ay (Tam Zamanlı Eşdeğer ay) ve devam eden çapraz platform bakımı için yılda 1,5 FTE gerektirir.
2026 CIAM karşılaştırmasındaki hiçbir satıcı, cihaza duyarlı yönlendirme, önce tanımlayıcı (identifier-first) kurtarma ve Conditional Create özelliklerini standart olarak yerleşik şekilde sunmuyor; bu yetenekler ayrı bir orkestrasyon katmanında yer alıyor.

1. Giriş: Büyük Ölçekte B2C için Parolasız Kimlik Doğrulama#

Büyük ölçekte B2C için parolasız kimlik doğrulama artık stratejik bir seçenek değil, CIAM ekipleri için önemli bir gereksinimdir. 2 milyonluk toplam kullanıcı tabanında 500 bin aylık aktif kullanıcıya (MAU) ulaşıldığında, geçiş anahtarı benimseme oranındaki her bir yüzdelik artış, SMS OTP maliyeti üzerinde ölçülebilir bir düşüş, daha az hesap ele geçirme vakası ve daha yüksek ödeme dönüşümü anlamına gelir. Ancak "geçiş anahtarlarını etkinleştirdiğini" belirten çoğu büyük ölçekli B2C dağıtımında günlük girişlerin %90'ı hala parolalar veya SMS OTP üzerinden gerçekleşiyor.

Kurumlar için ücretsiz passkey whitepaper alın.

Ücretsiz al

Bu rehberde, standart CIAM parolasız dağıtımlarının ölçeklenirken neden duraksadığını, geçiş anahtarı giriş oranı değerini sürekli olarak %60'ın üzerine çıkaran dört katmanlı referans mimarisini ve 500 bin MAU'ya sahip bir Fortune 500 alıcısının planlaması gereken toplam sahip olma maliyetini (TCO) açıklıyoruz.

2. Standart CIAM Parolasız Çözümleri Neden Ölçeklenemez?#

Parolasız kimlik doğrulama konusundaki satın alma anlatısı ortak bir noktada birleşti: 2026'da her CIAM bir WebAuthn API'si sunuyor, her satıcı kendi fiyatlandırma matrisinde "parolasız" özelliğini satıyor ve her analiz raporu geçiş anahtarlarını temel bir gereksinim olarak içeriyor. 500 bin MAU'da ölçülen sonuç ise tutarlı. Geçiş anahtarı giriş oranı %5 civarında seyrediyor, SMS OTP hacmi zar zor hareket ediyor ve öngörülen tasarruflar gerçekleşmiyor. Bunun nedeni genellikle yapısaldır.

Son makaleler

2.1 Geçiş Anahtarı Benimseme Yanılgısı#

Corbado Passkey Benchmark 2026, aynı %89 web hazırlık tavanında dört farklı dağıtım rejimini ölçer. Yalnızca ayarlarda bulunabilirlik %1'in altında bir geçiş anahtarı giriş oranı üretir. Basit bir giriş sonrası yönlendirme bu oranı kabaca %4-5'e çıkarır. Cihaza duyarlı yönlendirme ile optimize edilmiş bir kayıt süreci %23'e tırmanır. Otomatik oluşturma ve önce tanımlayıcı kurtarma içeren geçiş anahtarı öncelikli dönüş akışı ise %60'ı aşar. Altta yatan CIAM bu rakamları değiştirmez. Bunu değiştiren şey; yönlendirme mantığı, cihaz sınıflandırması ve bunun üzerine oturan giriş arayüzü tasarımıdır.

Aynı Auth0 veya Cognito kiracısını (tenant) çalıştıran aynı kuruluş, ekibinin özel önyüzde benchmark'ın belgelediği orkestrasyon modellerini sunup sunmadığına bağlı olarak bu merdivenin iki ucundan birine inebilir. Benimseme yanılgısı tam olarak budur: "Platform geçiş anahtarlarını destekliyor" demek, "platform büyük ölçekte geçiş anahtarı benimseme hedefine ulaşıyor" anlamına gelmez.

2.2 Cihaz Yığını Parçalanması#

Geleneksel bir B2C tüketici tabanında 500 bin MAU'da cihaz popülasyonu hiç de tekdüze değildir. Corbado Passkey Benchmark 2026 ilk denemede web kaydını iOS cihazlarda %49-83, Android cihazlarda %41-67, macOS'ta %41-65 ve Windows'ta yalnızca %25-39 olarak ölçüyor.

Bu uçurum sadece kullanıcı tercihi değildir. Ekosistem yığınını izler. iOS; tarayıcıyı, kimlik doğrulayıcıyı (authenticator) ve kimlik bilgisi sağlayıcısını sıkı bir şekilde birleştirir. Windows Hello henüz bir Conditional Create yolu değildir ve Edge geçiş anahtarı kaydetme özelliği ancak 2025'in sonlarında gelmiştir. Gerçekçi bir hesaplama, akıllı yönlendirme ve mobil ile masaüstü arasındaki çapraz cihaz kullanımını da içerecek şekilde bu yönleri hesaba katmalıdır.

Kaç kişinin gerçekten passkeys kullandığını görün.

Adoption verilerini gör

2.3 Tanımlayıcı Öncesi Körlük#

Tüketici kimlik doğrulamasında, kullanıcı bir e-posta veya kullanıcı adı yazana kadar anonimdir. Eğer parolasız bir yönlendirme kafalarını karıştırırsa veya bir parola yöneticisi arayüzü bu noktaya ulaşmadan önce otomatik doldurmayı engellerse, arka uç hiçbir şey kaydetmez. Standart CIAM günlükleri istemci tarafı telemetri için tasarlanmamıştır, bu nedenle büyük ölçekte benimsemeyi engelleyen hatalar arka uç günlüğü dahil IDP'nin raporlama çerçevesinin dışında kalır.

3. 500 Bin MAU'da Geçiş Anahtarı Benimseme Merdiveni#

2 milyon kullanıcı tabanında 500 bin MAU'ya sahip bir B2C dağıtımı için operasyonel hedef, CIAM'i yeniden platformlandırmak yerine benimseme merdivenini tırmanmaktır. Her seviye farklı bir satıcıya değil, belirli bir sunum modeline karşılık gelir.

Geçiş Anahtarı Benimseme Merdiveni (Corbado Passkey Benchmark 2026)

Sunum Modeli	Kayıt	Kullanım	Geçiş Anahtarı Giriş Oranı
Yalnızca ayarlarda bulunabilirlik (Pasif)	~%4	~%5	<%1
Basit giriş sonrası yönlendirme (Temel)	~%25	~%20	~%4-5
Optimize edilmiş kayıt (Yönetilen)	~%65	~%40	~%23
Geçiş anahtarı öncelikli dönüş akışı (Gelişmiş)	~%80	~%95	>%60

Aynı hazırlık tavanı dört sunum modeline karşı grafiğe döküldüğünde doğrusal olmayan sıçrama belirgin hale gelir:

Sabit yüzde 89'luk web hazırlık tavanına karşı giriş oranının yüzde 1'in altından yüzde 60'ın üzerine tırmandığını gösteren dört basamaklı geçiş anahtarı benimseme merdiveninin adım grafiği.

Yerleşik CIAM dağıtımlarının çoğu Temel (Baseline) seviyelerinde sona erer çünkü kutudan çıktığı haliyle parolasız arayüzlerin sunduğu şey budur: giriş sonrası tek bir buton, cihaza duyarlı yönlendirmenin olmaması, yeni cihazlar için önce tanımlayıcı kurtarmanın bulunmaması ve kayıtlı parolayla oturum açtıktan sonra otomatik oluşturmanın yapılmaması. Yönetilen (Managed) ve Gelişmiş (Advanced) seviyelere tırmanmak, bölümlere ayrılmış kayıt yönlendirmeleri, ekosistemin desteklediği yerlerde Conditional Create (şu anda en güçlü iOS'ta, macOS'ta uygulanabilir, Android'de parçalı, Windows'ta kısıtlıdır) ve destekli girişleri artırmak için geri dönen cihazların tek dokunuşla (one-tap) tanınmasını gerektirir.

4. Büyük Ölçekte B2C Parolasız Doğrulama İçin Referans Mimarisi#

Büyük ölçekte parolasız doğrulama, temeli CIAM olan dört katmanlı bir yapıdır. Her katman mimari olarak bir altındakine bağlıdır - aşağıdaki diyagram piramidi ve her bir bileşenin ne katkı sağladığını gösterir:

CIAM'in temel oluşturduğu, üzerinde geçiş anahtarı orkestrasyonu, onun üzerinde kimlik doğrulama gözlemlenebilirliği ve en üstte geri dönüş ve kurtarmanın yer aldığı büyük ölçekte parolasız B2C için dört katmanlı mimari piramidi.

Her katman farklı bir rol oynar. CIAM kayıt sistemi olarak kalır. Geçiş anahtarı orkestrasyon katmanı akıllı yönlendirmeyi yönetir. Gözlem katmanı istemci tarafındaki süreci yakalar. Geri dönüş katmanı ise bugün geçiş anahtarı akışlarını tamamlayamayan ortamları üstlenir. Aşağıdaki bölümler her bir katmanı sırasıyla incelemektedir.

Kurumsal Passkey Whitepaper. Passkey programları için pratik rehberler, geçiş kalıpları ve KPI'lar.

Whitepaper al

4.1 Kimlik Katmanı: Kayıt Sistemi Olarak CIAM#

CIAM kullanıcı kaydını, oturumu, OAuth/OIDC belirteçlerini, sosyal giriş bilgilerini, MFA politikasını ve onayı barındırır. 500 bin MAU'luk B2C dağıtımları için baskın seçenekler hala Auth0, Amazon Cognito, Ping Identity, Ory, FusionAuth ve Keycloak üzerine inşa edilmiş kendi IDP'leridir. Buradaki seçim, lisanslama ve ekosistem entegrasyonu açısından sonuç doğurur, ancak geçiş anahtarı benimseme sürecinin kendisi için değil. Fiyatlandırma katmanları, AI aracı kimlik desteği ve 500 bin MAU'da TCO için 2026 CIAM satıcı değerlendirmesi raporunun tamamına bakın.

4.2 Geçiş Anahtarı Orkestrasyon Katmanı#

Orkestrasyon katmanı, büyük ölçekte parolasız deneyimin kazanıldığı veya kaybedildiği yerdir. WebAuthn istemi tetiklenmeden önce kimlik doğrulama olayını keser, cihazın donanımını, işletim sistemini, tarayıcısını ve kimlik bilgisi sağlayıcı yığınını sınıflandırır ve kullanıcıyı o ortama göre şekillendirilmiş bir yolculuğa yönlendirir.

Uygulamada, 500 bin MAU'daki orkestrasyon katmanı neredeyse her zaman CIAM'in önünde oturan ve özel bir giriş arayüzü sunan özel bir önyüz uygulamasıdır. Altta yatan CIAM kimlik bilgisi depolamayı, oturumu ve OAuth/OIDC'yi yönetmeye devam eder, ancak ekip giriş noktasının, cihaza duyarlı yönlendirme mantığının ve kurtarma akışının sahibidir. Bunun nedeni yapısaldır: kurumsal B2C ekiplerinin markalama, dönüşüm açısından kritik metinler, A/B testleri ve hangi kullanıcının hangi istemi göreceğini belirleyen cihaz segmentasyon kuralları üzerinde tam kontrole sahip olması gerekir. Satıcı tarafından oluşturulan bir giriş sayfası büyük ölçekte bu düzeyde özelleştirmeyi nadiren tolere eder.

Özel orkestrasyon katmanının uygulaması gereken somut modeller şunlardır:

Cihaz ve yetenek sınıflandırması: Bir WebAuthn istemi yayınlamadan önce cihaz donanımını, işletim sistemini, tarayıcıyı ve kimlik bilgisi sağlayıcısını araştırın, böylece benchmark'ın başarısız olacağını söylediği ortamlardaki kullanıcılar çıkmaz yollardan uzaklaştırılır.
Conditional create: Desteklenen yığınlarda parola yöneticisi destekli başarılı bir oturum açma işleminden sonra bir geçiş anahtarını otomatik olarak kaydedin ve iOS ve geçerli macOS yapılandırmalarında açık kayıt istemini tamamen ortadan kaldırın.
Tek dokunuşla dönüş akışı: Geri dönen cihazları gizliliğe saygılı cihaz güven sinyalleri aracılığıyla tanıyın ve bir sonraki ziyarette tek dokunuşla geçiş anahtarı ile kimlik doğrulama sunun.
Önce tanımlayıcı (identifier-first) kurtarma: Benchmark'ın Windows'ta %40-65'lik önce tanımlayıcı geçiş anahtarı başarı oranının hala Çapraz Cihaz Doğrulaması aracılığıyla bir telefona köprü kurduğunu ölçtüğü Windows kullanıcılarını, yalnızca %0-10'unun köprü kurduğu iOS veya Android kullanıcılarından farklı kurtarma yollarına yönlendirin.
Kademeli sunum: İşletim sistemi sürümüne, coğrafyaya veya kullanıcı segmentine göre hedefleme yapın ve uygulama sürümleri yayınlamadan akıllı geri dönüşleri devreye alın.

Bu katmanı şirket içinde oluşturmak 500 bin MAU'da en yaygın modeldir çünkü büyük B2C dağıtımlarının çoğu zaten karmaşık bir önyüz yığını ve giriş akışının devralması gereken şirket içi bir tasarım sistemi işletmektedir. Buradaki takas, tarayıcı, işletim sistemi ve kimlik bilgisi sağlayıcı güncellemelerine ayak uydurmanın getirdiği devam eden mühendislik maliyetidir. Bu katmanı oluşturmak yerine satın almayı tercih eden ekipler için Corbado Connect, aynı orkestrasyon modellerini kullanıcı veritabanı geçişi olmadan herhangi bir CIAM'in üzerine bir katman olarak ürünleştirir. Her iki yol da geçiş anahtarı kaydı oranını %80+ olan Gelişmiş senaryo tavanına doğru yükseltir ve büyük ölçekte katlanan %60-90 SMS OTP maliyet indirimlerinin kilidini açar.

4.3 Kimlik Doğrulama Gözlemlenebilirlik Katmanı#

500 bin MAU'da parolasız sistemleri yöneten her CISO, CTO ve ürün sahibinin aldığı soru açıktır: "Uçtan uca oturum açma başarı oranımız nedir? Kullanıcılar neden kayıt sırasında ayrılıyor? %10'dan %50'ye çıkmalı mıyız? Liderliğe etkiyi gösterebilir misiniz?" Bugün çoğu büyük B2C dağıtımındaki dürüst cevap "bilmiyoruz"dur - veriler var olmadığı için değil, geçiş anahtarı işlemi etrafında birleştirilmek üzere hiç tasarlanmamış beş ayrı sistemde yaşadığı için.

Tipik kurumsal teknoloji yığını her parçayı ayrı ayrı ele alır:

Önyüz içerik ve deneyim platformu pazarlama katmanındaki sayfa görüntülemelerini, içerik varyantlarını ve huni olaylarını görür, ancak WebAuthn işleminin kendisini göremez.
FIDO veya WebAuthn sunucusu kimlik bilgisi kaydını ve assertion sonucunu görür, ancak kullanıcının cihazında öncesinde veya sonrasında ne olduğunu göremez.
Arka uç APM API gecikmesini ve izlemelerini görür, ancak kullanıcı iptali ile biyometrik zaman aşımını birbirinden ayıramaz.
Kimlik sağlayıcının orkestrasyon günlükleri hangi politikanın tetiklendiğini ve kullanıcının hangi akış adımına ulaştığını görür, ancak tarayıcı arayüzünün neden hiç görünmediğini bilemez.
SIEM arka uç güvenlik olaylarını görür, ancak geçiş anahtarı benimsenmesini yok eden hatalar herhangi bir arka uç isteği yayınlanmadan önce istemcide gerçekleşir.

Aşağıdaki diyagram, yanıtlanmamış sorulara ve geçiş anahtarıyla oturum açmanın fiilen gerçekleştiği yüzeye karşı bu siloları haritalandırır:

Dört yanıtsız yönetim kurulu sorusu, geçiş anahtarı işleminin yalnızca bir parçasını gören beş kurumsal araç silosu ve geçiş anahtarı oturum açma işleminin fiilen gerçekleştiği istemci tarafı yüzeyi arasındaki veri boşluğu diyagramı.

Bu araçların her biri kendi kategorisinde sınıfının en iyisidir, ancak hiçbiri yukarıdaki soruları kendi başına yanıtlayamaz. Sorular aralarındaki boşlukta yer alır. Üç Conditional UI ölçüm noktası bu boşluğun ölçeğini göstermektedir: sunucu tarafı geçiş anahtarı başarısı %97-99 ile mükemmele yakın görünür, kullanıcıya dönük giriş tamamlama oranı %90-95'tir ve kullanıcıların fiilen ayrıldığı ilk öneri etkileşim oranı yalnızca %55-90 arasındadır. Standart arka uç araçları birinci ve son ölçüm noktası arasındaki 35 puanlık farkı göremez.

Corbado Observe, yukarıdaki kategorilerin her birinin ayrı ayrı görebildiği şeyleri birleştiren tek üründür. Önyüz platformunun sahip olduğu cihaz bağlamıyla istemci tarafındaki tam işlemi yakalar, bunu FIDO sunucusunun kaydettiği kimlik bilgisi sonucuna bağlar, APM yığınının yorumlayamadığı hata modunu sınıflandırır ve bunu tek bir huni ve kullanıcı bazlı zaman çizelgesi aracılığıyla sunar. Katman, IDP geçişi gerektirmeden CIAM'den bağımsız olarak herhangi bir WebAuthn sunucusu üzerinde oturan hafif bir SDK olarak teslim edilir:

Huni ve yolculuk analitiği: Kayıt, oturum açma, geri dönüş ve ekleme akışlarında, cihaz, işletim sistemi ve tarayıcı kohortlarına göre bölünmüş bırakma oranı ile karar noktası görünürlüğü - "kullanıcılar kayıt sırasında neden ayrılıyor" sorusunun cevabı
Kullanıcı bazlı hata ayıklama zaman çizelgesi: Bir kullanıcıyı arayın, işlemi tekrarlayın, bir hatanın arkasındaki tam dal geçişlerini görün - hata ayıklama süresi ~14 günden ~5 dakikaya düşer
Hazırlık içgörüleri: Kohort ve sunum aşamasına göre bölünmüş tarayıcı, işletim sistemi, OEM ve kimlik doğrulayıcı hazırlığı, böylece baskılama ve artırma kararları reaktif olmak yerine verilere dayalı olur
Akıllı hata sınıflandırması: Kullanıcı iptallerini biyometrik zaman aşımlarından, parola yöneticisi müdahalesinden, tekrarlayan iptallerden ve gerçek cihaz uyumsuzluklarından ayırt eder; 100'den fazla WebAuthn hata türünü otomatik sınıflandırır
Paydaş raporlaması: CFO'ya SMS OTP maliyet tasarruflarını ve dönüşüm iyileştirmelerini kanıtlayan panolar, sunum modellerinin ve sonraki düzeltmelerin yapay zeka destekli analizi - "liderliğe etkiyi gösterebilir misiniz" sorusunun cevabı

Corbado Observe yalnızca UUID içeren, sıfır PII (GDPR uyumlu) mimarisiyle sunulur ve yukarıdaki dört yönetim kurulu sorusunu ölçülebilir KPI'lara dönüştüren katmandır.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

Milyonlarca kişinin hızlıca benimsediği geçiş anahtarları. Corbado Benimseme Platformu ile başlayın.

Ücretsiz Denemeye Başlayın

4.4 Geri Dönüş ve Kurtarma Katmanı#

Gelişmiş seviyede bile denemelerin yaklaşık %11'i ilk denemede geçiş anahtarı akışını tamamlayamayacaktır. Geri dönüş katmanı, varsayılan olarak bir parolaya geri dönmeden bu gerçeği kabul etmelidir. 500 bin MAU'da çalışan modeller:

QR aracılığıyla Çapraz Cihaz Kimlik Doğrulaması (Cross-Device Authentication): Windows boşluğunu kapatır ve masaüstünden zaten bir geçiş anahtarı barındıran bir telefona köprü kurar
Sihirli bağlantı veya e-posta OTP: Bilinçli bir sürtünme bütçesi ile ikincil bir faktör olarak tutulur, böylece kullanımı aylık girişlerin %5'inin altında kalır
Kademeli iptal yolu olarak SMS OTP: Büyük ölçekte %60-90 maliyet tasarrufunu yakalamak için birincil parolasız doğrulama yedeği olarak değil, yalnızca işaretlenmiş risk olaylarında zorunlu kılınır
Doğrulanmış ikincil e-posta veya kimlik doğrulama kanıtı aracılığıyla hesap kurtarma: Destek üretkenliğini yok eden güvenlik anahtarı sıfırlama döngülerini önler

5. Büyük Ölçekte Parolasız Doğrulamanın Toplam Sahip Olma Maliyeti (TCO)#

Lisans ücretlerine odaklanan satın alma değerlendirmeleri, büyük ölçekte parolasız sistemlerin gerçek maliyetini kabaca bir büyüklük sırasına göre hafife almaktadır. 500 bin MAU'da üç temel etken platform ücretleri, uygulama çabası ve devam eden bakımdır.

Platform ücretleri büyük ölçüde değişir. Sektör tarafından rapor edilen kurumsal sözleşmelere göre Auth0, 500 bin MAU'da ayda 15.000-30.000 USD seviyesindedir. Amazon Cognito'nun geçiş anahtarı destekli Essentials katmanı ayda yaklaşık 7.300 USD civarındadır ancak mühendislik yükünü gizler. Stytch'in B2C Essentials'ı ve Clerk sırasıyla yaklaşık 4.900 USD ve 9.000 USD civarında yer alıyor.

Uygulama çabası, gözden kaçan bir maliyettir. Bir CIAM platformunda 500 bin MAU'da yerel olarak geçiş anahtarları oluşturmak kabaca 25-30 FTE-ay sürer: üründe yaklaşık 5,5 FTE-ay, geliştirmede 14 FTE-ay ve QA'da 8 FTE-ay. Önceden oluşturulmuş geçiş anahtarı arayüzüne sahip platformlar bunu 5-10 FTE-aya sıkıştırır ancak yine de benimseme optimizasyonu çalışması gerektirir. Ory gibi API öncelikli platformlar tüm UX'in sıfırdan oluşturulmasını gerektirir.

Devam eden bakım ise gizli TCO çarpanıdır. Geçiş anahtarı işlemlerinin yeni işletim sistemi sürümleri, tarayıcı güncellemeleri ve OEM'e özgü hatalara karşı sürekli olarak yeniden test edilmesi gerekir. Lansman sonrası operasyonlar için yılda yaklaşık 1,5 FTE bütçe ayırın: sunum yönetimi, platformlar arası yeniden test etme, meta veri güncellemeleri ve destek eğitimi. Özel arayüz gerektiren platformlarda, yalnızca önyüz bakımı için 1-2 ek FTE daha ekleyin.

Son haberler için Passkeys Substack'e abone olun.

Abone ol

6. Büyük Ölçekte Parolasız İçin Satın Al veya İnşa Et Kararı#

500 bin MAU ve üzerindeki kuruluşlar için tercih nadiren "yeni bir CIAM satın almak"tır. Mevcut CIAM zaten faturalandırma, dolandırıcılık, pazarlama ve analitik ile entegredir. Asıl tercih bir üst katmanda yatar: orkestrasyon ve gözlemlenebilirliği kurum içinde oluşturmak veya özel bir kaplama katmanı benimsemek.

500 bin MAU'daki orkestrasyon katmanı için satın al veya inşa et ekonomisi tutarlı bir şekilde benimseme yönündedir. Şirket içi oluşturma yolu 25-30 FTE-ayını, ardından operasyonlarda yılda 1,5-3 FTE'yi emer; geçiş anahtarı giriş oranı genellikle Temel veya Yönetilen seviyelerinde sınırlı kalır çünkü ekip tarayıcı ve işletim sistemi sürüm hızına ayak uyduramaz. Kaplama katmanı yolu, haftalarla ölçülen bir entegrasyon projesini emer, ardından ekosistem geliştikçe platform iyileştirmelerini sürekli olarak devralır.

Geçiş anahtarlarını zaten yerleşik olarak sunmuş ve Temel seviyede sıkışmış kuruluşlar için satın alma-inşa etme matematiği yine değişir. Orada, daha yüksek kaldıraçlı hamle, yalnızca gözlemlenebilirlik katmanını eklemek, bırakma noktalarını yüzeye çıkarmak ve kalan boşluğun şirket içinde mi yoksa bir orkestrasyon kaplamasıyla mı kapatılacağına karar vermektir.

7. Büyük Ölçekte B2C Parolasız Doğrulama İçin Sunum Başucu Kitabı#

500 bin MAU'da Gelişmiş seviyesine sürekli olarak ulaşan dağıtım modeli dört aşamalı bir şekil izler:

Önce enstrümante edin: İstemleri değiştirmeden önce kimlik doğrulama gözlemlenebilirliği uygulamasını devreye alın. İşletim sistemi, tarayıcı ve kimlik bilgisi sağlayıcısına göre bölümlere ayrılmış mevcut Temel seviyeyi yakalayın; böylece sonraki her değişiklik bir yönetici tahmini yerine gerçek bir eğriye göre ölçülebilir.
Cihaz popülasyonunu segmentlere ayırın: İstemci yetenekleri sorgulamasını kullanarak kohortu sınıflandırın. Windows, Android ve iOS alt popülasyonlarını ve bunlara özgü hata modlarını belirleyin.
Akıllı yönlendirme ve conditional create sunun: Her bir kohortu en yüksek verimli kayıt yoluna yönlendirin. Benchmark'ın ve kendi telemetrinizin başarısız olacağını söylediği ortamlarda istemleri bastırın. Yığının desteklediği yerlerde, parola yöneticisi destekli oturum açma işlemlerini otomatik geçiş anahtarı oluşturmalarına dönüştürün.
Geçiş anahtarı öncelikli dönüşe geçin: Kayıt %65'in üzerine çıktığında ve kullanım tırmanışa geçtiğinde, geri dönen kullanıcılar için varsayılanı, yeni cihazlar için önce tanımlayıcı kurtarma ile tek dokunuşla (one-tap) geçiş anahtarı doğrulamasına çevirin. Bu, SMS OTP maliyet eğrisinin büküldüğü aşamadır.

Canlı demo ile passkeys deneyin.

Passkeys dene

8. Sonuç#

Büyük ölçekte B2C için parolasız kimlik doğrulama, bir CIAM seçimi sorunu değil, bir orkestrasyon sorunudur. 2026 satıcı ortamı WebAuthn desteği için boşlukları kapattı, ancak %5 ile %60+ geçiş anahtarı giriş oranı arasındaki fark, IDP'nin üzerinde sunulan orkestrasyon ve gözlemlenebilirlik katmanlarında yatıyor. 500 bin MAU'da bu, duraksayan bir pilot uygulama ile yıllık 50 bin-100 bin USD veya daha fazla SMS tasarrufu sağlayan, ödeme dönüşümünü artıran ve geriye kalan en büyük hesap ele geçirme vektörünü ortadan kaldıran parolasız bir dönüşüm arasındaki farktır.

Halihazırda bir CIAM çalıştıran Fortune 500 alıcıları için en yüksek ROI (yatırım getirisi) hamlesi geçiş yapmak değil, donatmak, segmentlere ayırmak ve orkestre etmektir. Corbado Observe mevcut seviyeyi görünür kılar. Corbado Connect ise mevcut CIAM'in üzerindeki Gelişmiş seviyeye olan boşluğu kapatır. Birlikte, büyük ölçekte parolasız kimlik doğrulamayı bir satın alma vaadinden sahada çalışan bir KPI'a dönüştürürler.

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →

Sıkça Sorulan Sorular#

Büyük ölçekte B2C için parolasız kimlik doğrulama gerçekte ne gerektirir?#

Büyük ölçekte B2C için parolasız kimlik doğrulama dört yığılı katman gerektirir: kayıt sistemi olarak bir CIAM, WebAuthn'u başlatmadan önce cihaz, işletim sistemi, tarayıcı ve kimlik bilgisi sağlayıcısını sınıflandıran bir geçiş anahtarı orkestrasyon katmanı, istemci tarafındaki süreci yakalayan bir gözlemlenebilirlik katmanı ve geçiş anahtarı akışlarını tamamlayamayan ortamlardaki kullanıcılar için bir geri dönüş katmanı. Çoğu CIAM platformu yalnızca ilk katmanı sunar, bu nedenle yerel kullanıma sunumlar yüzde 5 ila 10'luk bir benimseme oranında duraksar.

Neden 500 bin MAU'daki parolasız B2C sunumları düşük benimseme oranlarında takılı kalıyor?#

Genel CIAM parolasız arayüzleri tüm kullanıcıları aynı şekilde yönlendirir ancak Corbado Passkey Benchmark 2026'ya göre ilk denemede web geçiş anahtarı kaydı iOS'ta %49-83'ten Windows'ta %25-39'a kadar düşer. Cihaz yığını segmentasyonu, akıllı yönlendirme ve önce tanımlayıcı kurtarma olmadan platform teknik olarak WebAuthn'u desteklese bile dağıtımlar ortalama yüzde 5 ila 10 geçiş anahtarı giriş oranında kalır.

500 bin MAU'da parolasız B2C'yi sıfırdan oluşturmanın TCO'su nedir?#

500 bin MAU'da bir CIAM platformunda doğrudan geçiş anahtarları oluşturmak, ürün, geliştirme ve QA genelinde tipik olarak 25-30 FTE-ay ve ayrıca devam eden bakım için yılda 1,5 FTE gerektirir. Bu ölçekteki platform ücretleri, Stytch B2C Essentials için ayda kabaca 4.900 USD'den başlar ve Auth0 kurumsal sözleşmeleri için ayda 15.000-30.000 USD'ye kadar çıkar; Cognito'nun geçiş anahtarı yeteneğine sahip Essentials paketi 7.300 USD civarında ve Clerk ise yaklaşık 9.000 USD'dir. Gizli maliyet, iOS, Android, Windows ve macOS güncellemeler yayınladıkça ortaya çıkan çapraz platform yeniden test etme gereksinimidir.

1 Milyondan fazla kullanıcıda parolasız kimlik doğrulama için en iyi hangi mimari modeli çalışır?#

1 Milyondan fazla kullanıcıda baskın model, CIAM'in kayıt sistemi olarak kalması ve orkestrasyon katmanının cihaz sınıflandırması, conditional create, önce tanımlayıcı kurtarma ve benimseme analitiğini yönetmesiyle oluşan bir CIAM artı geçiş anahtarı orkestrasyon kaplamasıdır. Bu, kullanıcı veritabanı geçişini önler, mevcut SIEM ve APM yatırımlarını korur ve büyük ölçekte katlanan yüzde 60-90'lık SMS maliyet düşüşünün kilidini açar.