---
url: 'https://www.corbado.com/tr/blog/buyuk-olcekte-b2c-parolasiz-2026'
title: 'Büyük Ölçekte B2C için Parolasız Kimlik Doğrulama: 2026 Rehberi'
description: 'Büyük ölçekte B2C için parolasız kimlik doğrulamayı inceliyoruz. 500 binden fazla MAU''ya sahip kurumsal dağıtımlar için referans mimarisi, toplam sahip olma maliyeti (TCO) ve geçiş anahtarı benimseme adımları.'
lang: 'tr'
author: 'Vincent Delitz'
date: '2026-05-19T11:50:36.642Z'
lastModified: '2026-05-19T12:38:02.655Z'
keywords: 'büyük ölçekte b2c için parolasız, parolasız kimlik doğrulama ölçeklendirme, b2c geçiş anahtarları kurumsal, parolasız ciam, 500k mau geçiş anahtarları, geçiş anahtarı orkestrasyonu'
category: 'Passkeys Strategy'
---

# Büyük Ölçekte B2C için Parolasız Kimlik Doğrulama: 2026 Rehberi

## Key Facts

- **Büyük ölçekte parolasız kimlik doğrulama**, temel platform Auth0, Cognito, Ping Identity veya Clerk olsa bile, ekipler yalnızca bir CIAM'in yerel WebAuthn API'sine güvendiğinde **%5-10 geçiş anahtarı giriş oranında takılı kalır**.
- Corbado Passkey Benchmark 2026'ya göre, **ilk denemede web geçiş anahtarı kaydı** iOS'ta %49-83 aralığındayken Windows'ta %25-39'a kadar düşüyor. Standart CIAM arayüzleri bu 2 katlık farkı göz ardı eder.
- **Gelişmiş sunum modeli** (otomatik oluşturma ve önce tanımlayıcı kurtarma içeren geçiş anahtarı öncelikli dönüş akışı), aynı %89 web hazırlık tavanında geçiş anahtarı giriş oranını %60'ın üzerine çıkarır.
- **500 bin MAU'da**, SMS OTP'de sağlanacak %60-90'lık bir azalma, yıllık 50.000 - 100.000 USD veya daha fazla tasarrufa dönüşür; orkestrasyon katmanı genellikle ilk çeyrekte kendi maliyetini çıkarır.
- Bir CIAM platformunda **doğrudan parolasız kimlik doğrulama oluşturmak**, ürün, geliştirme ve QA süreçlerinde yaklaşık 25-30 FTE-ay (Tam Zamanlı Eşdeğer ay) ve devam eden çapraz platform bakımı için yılda 1,5 FTE gerektirir.
- **2026 CIAM karşılaştırmasındaki hiçbir satıcı**, cihaza duyarlı yönlendirme, önce tanımlayıcı (identifier-first) kurtarma ve Conditional Create özelliklerini standart olarak yerleşik şekilde sunmuyor; bu yetenekler ayrı bir orkestrasyon katmanında yer alıyor.

## 1. Giriş: Büyük Ölçekte B2C için Parolasız Kimlik Doğrulama

Büyük ölçekte B2C için parolasız kimlik doğrulama artık stratejik bir seçenek değil, CIAM ekipleri için önemli bir gereksinimdir. 2 milyonluk toplam kullanıcı tabanında 500 bin aylık aktif kullanıcıya (MAU) ulaşıldığında, geçiş anahtarı benimseme oranındaki her bir yüzdelik artış, SMS OTP maliyeti üzerinde ölçülebilir bir düşüş, daha az hesap ele geçirme vakası ve daha yüksek ödeme dönüşümü anlamına gelir. Ancak "geçiş anahtarlarını etkinleştirdiğini" belirten çoğu büyük ölçekli B2C dağıtımında günlük girişlerin %90'ı hala parolalar veya SMS OTP üzerinden gerçekleşiyor.

Bu rehberde, standart CIAM parolasız dağıtımlarının ölçeklenirken neden duraksadığını, geçiş anahtarı giriş oranı değerini sürekli olarak %60'ın üzerine çıkaran dört katmanlı referans mimarisini ve 500 bin MAU'ya sahip bir Fortune 500 alıcısının planlaması gereken toplam sahip olma maliyetini (TCO) açıklıyoruz.

## 2. Standart CIAM Parolasız Çözümleri Neden Ölçeklenemez?

Parolasız kimlik doğrulama konusundaki satın alma anlatısı ortak bir noktada birleşti: 2026'da her CIAM bir WebAuthn API'si sunuyor, her satıcı kendi fiyatlandırma matrisinde "parolasız" özelliğini satıyor ve her analiz raporu geçiş anahtarlarını temel bir gereksinim olarak içeriyor. 500 bin MAU'da ölçülen sonuç ise tutarlı. Geçiş anahtarı giriş oranı %5 civarında seyrediyor, SMS OTP hacmi zar zor hareket ediyor ve öngörülen tasarruflar gerçekleşmiyor. Bunun nedeni genellikle yapısaldır.

### 2.1 Geçiş Anahtarı Benimseme Yanılgısı

Corbado Passkey Benchmark 2026, aynı %89 web hazırlık tavanında dört farklı dağıtım rejimini ölçer. Yalnızca ayarlarda bulunabilirlik %1'in altında bir geçiş anahtarı giriş oranı üretir. Basit bir giriş sonrası yönlendirme bu oranı kabaca %4-5'e çıkarır. Cihaza duyarlı yönlendirme ile optimize edilmiş bir kayıt süreci %23'e tırmanır. Otomatik oluşturma ve önce tanımlayıcı kurtarma içeren geçiş anahtarı öncelikli dönüş akışı ise %60'ı aşar. Altta yatan CIAM bu rakamları değiştirmez. Bunu değiştiren şey; yönlendirme mantığı, cihaz sınıflandırması ve bunun üzerine oturan giriş arayüzü tasarımıdır.

Aynı Auth0 veya Cognito kiracısını (tenant) çalıştıran aynı kuruluş, ekibinin özel önyüzde benchmark'ın belgelediği orkestrasyon modellerini sunup sunmadığına bağlı olarak bu merdivenin iki ucundan birine inebilir. Benimseme yanılgısı tam olarak budur: "Platform geçiş anahtarlarını destekliyor" demek, "platform büyük ölçekte geçiş anahtarı benimseme hedefine ulaşıyor" anlamına gelmez.

### 2.2 Cihaz Yığını Parçalanması

Geleneksel bir B2C tüketici tabanında 500 bin MAU'da cihaz popülasyonu hiç de tekdüze değildir. Corbado Passkey Benchmark 2026 ilk denemede web kaydını iOS cihazlarda %49-83, Android cihazlarda %41-67, macOS'ta %41-65 ve Windows'ta yalnızca %25-39 olarak ölçüyor.

Bu uçurum sadece kullanıcı tercihi değildir. Ekosistem yığınını izler. iOS; tarayıcıyı, kimlik doğrulayıcıyı (authenticator) ve kimlik bilgisi sağlayıcısını sıkı bir şekilde birleştirir. Windows Hello henüz bir Conditional Create yolu değildir ve Edge geçiş anahtarı kaydetme özelliği ancak 2025'in sonlarında gelmiştir. Gerçekçi bir hesaplama, akıllı yönlendirme ve mobil ile masaüstü arasındaki çapraz cihaz kullanımını da içerecek şekilde bu yönleri hesaba katmalıdır.

### 2.3 Tanımlayıcı Öncesi Körlük

Tüketici kimlik doğrulamasında, kullanıcı bir e-posta veya kullanıcı adı yazana kadar anonimdir. Eğer parolasız bir yönlendirme kafalarını karıştırırsa veya bir parola yöneticisi arayüzü bu noktaya ulaşmadan önce otomatik doldurmayı engellerse, arka uç hiçbir şey kaydetmez. Standart CIAM günlükleri istemci tarafı telemetri için tasarlanmamıştır, bu nedenle büyük ölçekte benimsemeyi engelleyen hatalar arka uç günlüğü dahil IDP'nin raporlama çerçevesinin dışında kalır.

## 3. 500 Bin MAU'da Geçiş Anahtarı Benimseme Merdiveni

2 milyon kullanıcı tabanında 500 bin MAU'ya sahip bir B2C dağıtımı için operasyonel hedef, CIAM'i yeniden platformlandırmak yerine benimseme merdivenini tırmanmaktır. Her seviye farklı bir satıcıya değil, belirli bir sunum modeline karşılık gelir.

**Geçiş Anahtarı Benimseme Merdiveni (Corbado Passkey Benchmark 2026)**

| **Sunum Modeli** | **Kayıt** | **Kullanım** | **Geçiş Anahtarı Giriş Oranı** |
| --- | --- | --- | --- |
| **Yalnızca ayarlarda bulunabilirlik** (Pasif) | ~%4 | ~%5 | &lt;%1 |
| **Basit giriş sonrası yönlendirme** (Temel) | ~%25 | ~%20 | ~%4-5 |
| **Optimize edilmiş kayıt** (Yönetilen) | ~%65 | ~%40 | ~%23 |
| **Geçiş anahtarı öncelikli dönüş akışı** (Gelişmiş) | ~%80 | ~%95 | &gt;%60 |

Aynı hazırlık tavanı dört sunum modeline karşı grafiğe döküldüğünde doğrusal olmayan sıçrama belirgin hale gelir:

Yerleşik CIAM dağıtımlarının çoğu Temel (Baseline) seviyelerinde sona erer çünkü kutudan çıktığı haliyle parolasız arayüzlerin sunduğu şey budur: giriş sonrası tek bir buton, cihaza duyarlı yönlendirmenin olmaması, yeni cihazlar için önce tanımlayıcı kurtarmanın bulunmaması ve kayıtlı parolayla oturum açtıktan sonra otomatik oluşturmanın yapılmaması. Yönetilen (Managed) ve Gelişmiş (Advanced) seviyelere tırmanmak, bölümlere ayrılmış kayıt yönlendirmeleri, ekosistemin desteklediği yerlerde Conditional Create (şu anda en güçlü iOS'ta, macOS'ta uygulanabilir, Android'de parçalı, Windows'ta kısıtlıdır) ve destekli girişleri artırmak için geri dönen cihazların [tek dokunuşla (one-tap)](https://docs.corbado.com/corbado-connect/features/one-tap-login) tanınmasını gerektirir.

## 4. Büyük Ölçekte B2C Parolasız Doğrulama İçin Referans Mimarisi

Büyük ölçekte parolasız doğrulama, temeli CIAM olan dört katmanlı bir yapıdır. Her katman mimari olarak bir altındakine bağlıdır - aşağıdaki diyagram piramidi ve her bir bileşenin ne katkı sağladığını gösterir:

Her katman farklı bir rol oynar. CIAM kayıt sistemi olarak kalır. Geçiş anahtarı orkestrasyon katmanı akıllı yönlendirmeyi yönetir. Gözlem katmanı istemci tarafındaki süreci yakalar. Geri dönüş katmanı ise bugün geçiş anahtarı akışlarını tamamlayamayan ortamları üstlenir. Aşağıdaki bölümler her bir katmanı sırasıyla incelemektedir.

### 4.1 Kimlik Katmanı: Kayıt Sistemi Olarak CIAM

CIAM kullanıcı kaydını, oturumu, OAuth/OIDC belirteçlerini, sosyal giriş bilgilerini, MFA politikasını ve onayı barındırır. 500 bin MAU'luk B2C dağıtımları için baskın seçenekler hala Auth0, Amazon Cognito, Ping Identity, Ory, FusionAuth ve Keycloak üzerine inşa edilmiş kendi IDP'leridir. Buradaki seçim, lisanslama ve ekosistem entegrasyonu açısından sonuç doğurur, ancak geçiş anahtarı benimseme sürecinin kendisi için değil. Fiyatlandırma katmanları, AI aracı kimlik desteği ve 500 bin MAU'da TCO için 2026 CIAM satıcı değerlendirmesi raporunun tamamına bakın.

### 4.2 Geçiş Anahtarı Orkestrasyon Katmanı

Orkestrasyon katmanı, büyük ölçekte parolasız deneyimin kazanıldığı veya kaybedildiği yerdir. WebAuthn istemi tetiklenmeden önce kimlik doğrulama olayını keser, cihazın donanımını, işletim sistemini, tarayıcısını ve kimlik bilgisi sağlayıcı yığınını sınıflandırır ve kullanıcıyı o ortama göre şekillendirilmiş bir yolculuğa yönlendirir.

Uygulamada, 500 bin MAU'daki orkestrasyon katmanı neredeyse her zaman CIAM'in önünde oturan ve özel bir giriş arayüzü sunan **özel bir önyüz uygulamasıdır**. Altta yatan CIAM kimlik bilgisi depolamayı, oturumu ve OAuth/OIDC'yi yönetmeye devam eder, ancak ekip giriş noktasının, cihaza duyarlı yönlendirme mantığının ve kurtarma akışının sahibidir. Bunun nedeni yapısaldır: kurumsal B2C ekiplerinin markalama, dönüşüm açısından kritik metinler, A/B testleri ve hangi kullanıcının hangi istemi göreceğini belirleyen cihaz segmentasyon kuralları üzerinde tam kontrole sahip olması gerekir. Satıcı tarafından oluşturulan bir giriş sayfası büyük ölçekte bu düzeyde özelleştirmeyi nadiren tolere eder.

Özel orkestrasyon katmanının uygulaması gereken somut modeller şunlardır:

- **Cihaz ve yetenek sınıflandırması**: Bir WebAuthn istemi yayınlamadan önce cihaz donanımını, işletim sistemini, tarayıcıyı ve kimlik bilgisi sağlayıcısını araştırın, böylece benchmark'ın başarısız olacağını söylediği ortamlardaki kullanıcılar çıkmaz yollardan uzaklaştırılır.
- **Conditional create**: Desteklenen yığınlarda parola yöneticisi destekli başarılı bir oturum açma işleminden sonra bir geçiş anahtarını otomatik olarak kaydedin ve iOS ve geçerli macOS yapılandırmalarında açık kayıt istemini tamamen ortadan kaldırın.
- **Tek dokunuşla dönüş akışı**: Geri dönen cihazları gizliliğe saygılı cihaz güven sinyalleri aracılığıyla tanıyın ve bir sonraki ziyarette tek dokunuşla geçiş anahtarı ile kimlik doğrulama sunun.
- **Önce tanımlayıcı (identifier-first) kurtarma**: Benchmark'ın Windows'ta %40-65'lik önce tanımlayıcı geçiş anahtarı başarı oranının hala Çapraz Cihaz Doğrulaması aracılığıyla bir telefona köprü kurduğunu ölçtüğü Windows kullanıcılarını, yalnızca %0-10'unun köprü kurduğu iOS veya Android kullanıcılarından farklı kurtarma yollarına yönlendirin.
- **Kademeli sunum**: İşletim sistemi sürümüne, coğrafyaya veya kullanıcı segmentine göre hedefleme yapın ve uygulama sürümleri yayınlamadan akıllı geri dönüşleri devreye alın.

Bu katmanı şirket içinde oluşturmak 500 bin MAU'da en yaygın modeldir çünkü büyük B2C dağıtımlarının çoğu zaten karmaşık bir önyüz yığını ve giriş akışının devralması gereken şirket içi bir tasarım sistemi işletmektedir. Buradaki takas, tarayıcı, işletim sistemi ve kimlik bilgisi sağlayıcı güncellemelerine ayak uydurmanın getirdiği devam eden mühendislik maliyetidir. Bu katmanı oluşturmak yerine satın almayı tercih eden ekipler için Corbado Connect, aynı orkestrasyon modellerini kullanıcı veritabanı geçişi olmadan herhangi bir CIAM'in üzerine bir katman olarak ürünleştirir. Her iki yol da geçiş anahtarı kaydı oranını %80+ olan Gelişmiş senaryo tavanına doğru yükseltir ve büyük ölçekte katlanan %60-90 SMS OTP maliyet indirimlerinin kilidini açar.

### 4.3 Kimlik Doğrulama Gözlemlenebilirlik Katmanı

500 bin MAU'da parolasız sistemleri yöneten her CISO, CTO ve ürün sahibinin aldığı soru açıktır: "Uçtan uca oturum açma başarı oranımız nedir? Kullanıcılar neden kayıt sırasında ayrılıyor? %10'dan %50'ye çıkmalı mıyız? Liderliğe etkiyi gösterebilir misiniz?" Bugün çoğu büyük B2C dağıtımındaki dürüst cevap "bilmiyoruz"dur - veriler var olmadığı için değil, geçiş anahtarı işlemi etrafında birleştirilmek üzere hiç tasarlanmamış beş ayrı sistemde yaşadığı için.

Tipik kurumsal teknoloji yığını her parçayı ayrı ayrı ele alır:

- **Önyüz içerik ve deneyim platformu** pazarlama katmanındaki sayfa görüntülemelerini, içerik varyantlarını ve huni olaylarını görür, ancak WebAuthn işleminin kendisini göremez.
- **FIDO veya WebAuthn sunucusu** kimlik bilgisi kaydını ve assertion sonucunu görür, ancak kullanıcının cihazında öncesinde veya sonrasında ne olduğunu göremez.
- **Arka uç APM** API gecikmesini ve izlemelerini görür, ancak kullanıcı iptali ile biyometrik zaman aşımını birbirinden ayıramaz.
- **Kimlik sağlayıcının orkestrasyon günlükleri** hangi politikanın tetiklendiğini ve kullanıcının hangi akış adımına ulaştığını görür, ancak tarayıcı arayüzünün neden hiç görünmediğini bilemez.
- **SIEM** arka uç güvenlik olaylarını görür, ancak geçiş anahtarı benimsenmesini yok eden hatalar herhangi bir arka uç isteği yayınlanmadan önce istemcide gerçekleşir.

Aşağıdaki diyagram, yanıtlanmamış sorulara ve geçiş anahtarıyla oturum açmanın fiilen gerçekleştiği yüzeye karşı bu siloları haritalandırır:

Bu araçların her biri kendi kategorisinde sınıfının en iyisidir, ancak hiçbiri yukarıdaki soruları kendi başına yanıtlayamaz. Sorular aralarındaki boşlukta yer alır. Üç Conditional UI ölçüm noktası bu boşluğun ölçeğini göstermektedir: sunucu tarafı geçiş anahtarı başarısı %97-99 ile mükemmele yakın görünür, kullanıcıya dönük giriş tamamlama oranı %90-95'tir ve kullanıcıların fiilen ayrıldığı ilk öneri etkileşim oranı yalnızca %55-90 arasındadır. Standart arka uç araçları birinci ve son ölçüm noktası arasındaki 35 puanlık farkı göremez.

Corbado Observe, yukarıdaki kategorilerin her birinin ayrı ayrı görebildiği şeyleri birleştiren tek üründür. Önyüz platformunun sahip olduğu cihaz bağlamıyla istemci tarafındaki tam işlemi yakalar, bunu FIDO sunucusunun kaydettiği kimlik bilgisi sonucuna bağlar, APM yığınının yorumlayamadığı hata modunu sınıflandırır ve bunu tek bir huni ve kullanıcı bazlı zaman çizelgesi aracılığıyla sunar. Katman, IDP geçişi gerektirmeden CIAM'den bağımsız olarak herhangi bir WebAuthn sunucusu üzerinde oturan hafif bir SDK olarak teslim edilir:

- **Huni ve yolculuk analitiği**: Kayıt, oturum açma, geri dönüş ve ekleme akışlarında, cihaz, işletim sistemi ve tarayıcı kohortlarına göre bölünmüş bırakma oranı ile karar noktası görünürlüğü - "kullanıcılar kayıt sırasında neden ayrılıyor" sorusunun cevabı
- **Kullanıcı bazlı hata ayıklama zaman çizelgesi**: Bir kullanıcıyı arayın, işlemi tekrarlayın, bir hatanın arkasındaki tam dal geçişlerini görün - hata ayıklama süresi ~14 günden ~5 dakikaya düşer
- **Hazırlık içgörüleri**: Kohort ve sunum aşamasına göre bölünmüş tarayıcı, işletim sistemi, OEM ve kimlik doğrulayıcı hazırlığı, böylece baskılama ve artırma kararları reaktif olmak yerine verilere dayalı olur
- **Akıllı hata sınıflandırması**: Kullanıcı iptallerini biyometrik zaman aşımlarından, parola yöneticisi müdahalesinden, tekrarlayan iptallerden ve gerçek cihaz uyumsuzluklarından ayırt eder; 100'den fazla WebAuthn hata türünü otomatik sınıflandırır
- **Paydaş raporlaması**: CFO'ya SMS OTP maliyet tasarruflarını ve dönüşüm iyileştirmelerini kanıtlayan panolar, sunum modellerinin ve sonraki düzeltmelerin yapay zeka destekli analizi - "liderliğe etkiyi gösterebilir misiniz" sorusunun cevabı

Corbado Observe yalnızca UUID içeren, sıfır PII (GDPR uyumlu) mimarisiyle sunulur ve yukarıdaki dört yönetim kurulu sorusunu ölçülebilir KPI'lara dönüştüren katmandır.

### 4.4 Geri Dönüş ve Kurtarma Katmanı

Gelişmiş seviyede bile denemelerin yaklaşık %11'i ilk denemede geçiş anahtarı akışını tamamlayamayacaktır. Geri dönüş katmanı, varsayılan olarak bir parolaya geri dönmeden bu gerçeği kabul etmelidir. 500 bin MAU'da çalışan modeller:

- **QR aracılığıyla Çapraz Cihaz Kimlik Doğrulaması (Cross-Device Authentication)**: Windows boşluğunu kapatır ve masaüstünden zaten bir geçiş anahtarı barındıran bir telefona köprü kurar
- **Sihirli bağlantı veya e-posta OTP**: Bilinçli bir sürtünme bütçesi ile ikincil bir faktör olarak tutulur, böylece kullanımı aylık girişlerin %5'inin altında kalır
- **Kademeli iptal yolu olarak SMS OTP**: Büyük ölçekte %60-90 maliyet tasarrufunu yakalamak için birincil parolasız doğrulama yedeği olarak değil, yalnızca işaretlenmiş risk olaylarında zorunlu kılınır
- **Doğrulanmış ikincil e-posta veya kimlik doğrulama kanıtı aracılığıyla hesap kurtarma**: Destek üretkenliğini yok eden güvenlik anahtarı sıfırlama döngülerini önler

## 5. Büyük Ölçekte Parolasız Doğrulamanın Toplam Sahip Olma Maliyeti (TCO)

Lisans ücretlerine odaklanan satın alma değerlendirmeleri, büyük ölçekte parolasız sistemlerin gerçek maliyetini kabaca bir büyüklük sırasına göre hafife almaktadır. 500 bin MAU'da üç temel etken platform ücretleri, uygulama çabası ve devam eden bakımdır.

Platform ücretleri büyük ölçüde değişir. Sektör tarafından rapor edilen kurumsal sözleşmelere göre Auth0, 500 bin MAU'da ayda 15.000-30.000 USD seviyesindedir. Amazon Cognito'nun geçiş anahtarı destekli Essentials katmanı ayda yaklaşık 7.300 USD civarındadır ancak mühendislik yükünü gizler. Stytch'in B2C Essentials'ı ve Clerk sırasıyla yaklaşık 4.900 USD ve 9.000 USD civarında yer alıyor.

Uygulama çabası, gözden kaçan bir maliyettir. Bir CIAM platformunda 500 bin MAU'da yerel olarak geçiş anahtarları oluşturmak kabaca 25-30 FTE-ay sürer: üründe yaklaşık 5,5 FTE-ay, geliştirmede 14 FTE-ay ve QA'da 8 FTE-ay. Önceden oluşturulmuş geçiş anahtarı arayüzüne sahip platformlar bunu 5-10 FTE-aya sıkıştırır ancak yine de benimseme optimizasyonu çalışması gerektirir. Ory gibi API öncelikli platformlar tüm UX'in sıfırdan oluşturulmasını gerektirir.

Devam eden bakım ise gizli TCO çarpanıdır. Geçiş anahtarı işlemlerinin yeni işletim sistemi sürümleri, tarayıcı güncellemeleri ve OEM'e özgü hatalara karşı sürekli olarak yeniden test edilmesi gerekir. Lansman sonrası operasyonlar için yılda yaklaşık 1,5 FTE bütçe ayırın: sunum yönetimi, platformlar arası yeniden test etme, meta veri güncellemeleri ve destek eğitimi. Özel arayüz gerektiren platformlarda, yalnızca önyüz bakımı için 1-2 ek FTE daha ekleyin.

## 6. Büyük Ölçekte Parolasız İçin Satın Al veya İnşa Et Kararı

500 bin MAU ve üzerindeki kuruluşlar için tercih nadiren "yeni bir CIAM satın almak"tır. Mevcut CIAM zaten faturalandırma, dolandırıcılık, pazarlama ve analitik ile entegredir. Asıl tercih bir üst katmanda yatar: orkestrasyon ve gözlemlenebilirliği kurum içinde oluşturmak veya özel bir kaplama katmanı benimsemek.

500 bin MAU'daki orkestrasyon katmanı için satın al veya inşa et ekonomisi tutarlı bir şekilde benimseme yönündedir. Şirket içi oluşturma yolu 25-30 FTE-ayını, ardından operasyonlarda yılda 1,5-3 FTE'yi emer; geçiş anahtarı giriş oranı genellikle Temel veya Yönetilen seviyelerinde sınırlı kalır çünkü ekip tarayıcı ve işletim sistemi sürüm hızına ayak uyduramaz. Kaplama katmanı yolu, haftalarla ölçülen bir entegrasyon projesini emer, ardından ekosistem geliştikçe platform iyileştirmelerini sürekli olarak devralır.

Geçiş anahtarlarını zaten yerleşik olarak sunmuş ve Temel seviyede sıkışmış kuruluşlar için satın alma-inşa etme matematiği yine değişir. Orada, daha yüksek kaldıraçlı hamle, yalnızca gözlemlenebilirlik katmanını eklemek, bırakma noktalarını yüzeye çıkarmak ve kalan boşluğun şirket içinde mi yoksa bir orkestrasyon kaplamasıyla mı kapatılacağına karar vermektir.

## 7. Büyük Ölçekte B2C Parolasız Doğrulama İçin Sunum Başucu Kitabı

500 bin MAU'da Gelişmiş seviyesine sürekli olarak ulaşan dağıtım modeli dört aşamalı bir şekil izler:

1. **Önce enstrümante edin**: İstemleri değiştirmeden önce kimlik doğrulama gözlemlenebilirliği uygulamasını devreye alın. İşletim sistemi, tarayıcı ve kimlik bilgisi sağlayıcısına göre bölümlere ayrılmış mevcut Temel seviyeyi yakalayın; böylece sonraki her değişiklik bir yönetici tahmini yerine gerçek bir eğriye göre ölçülebilir.
2. **Cihaz popülasyonunu segmentlere ayırın**: İstemci yetenekleri sorgulamasını kullanarak kohortu sınıflandırın. Windows, Android ve iOS alt popülasyonlarını ve bunlara özgü hata modlarını belirleyin.
3. **Akıllı yönlendirme ve conditional create sunun**: Her bir kohortu en yüksek verimli kayıt yoluna yönlendirin. Benchmark'ın ve kendi telemetrinizin başarısız olacağını söylediği ortamlarda istemleri bastırın. Yığının desteklediği yerlerde, parola yöneticisi destekli oturum açma işlemlerini otomatik geçiş anahtarı oluşturmalarına dönüştürün.
4. **Geçiş anahtarı öncelikli dönüşe geçin**: Kayıt %65'in üzerine çıktığında ve kullanım tırmanışa geçtiğinde, geri dönen kullanıcılar için varsayılanı, yeni cihazlar için önce tanımlayıcı kurtarma ile [tek dokunuşla (one-tap)](https://docs.corbado.com/corbado-connect/features/one-tap-login) geçiş anahtarı doğrulamasına çevirin. Bu, SMS OTP maliyet eğrisinin büküldüğü aşamadır.

## 8. Sonuç

Büyük ölçekte B2C için parolasız kimlik doğrulama, bir CIAM seçimi sorunu değil, bir orkestrasyon sorunudur. 2026 satıcı ortamı WebAuthn desteği için boşlukları kapattı, ancak %5 ile %60+ geçiş anahtarı giriş oranı arasındaki fark, IDP'nin üzerinde sunulan orkestrasyon ve gözlemlenebilirlik katmanlarında yatıyor. 500 bin MAU'da bu, duraksayan bir pilot uygulama ile yıllık 50 bin-100 bin USD veya daha fazla SMS tasarrufu sağlayan, ödeme dönüşümünü artıran ve geriye kalan en büyük hesap ele geçirme vektörünü ortadan kaldıran parolasız bir dönüşüm arasındaki farktır.

Halihazırda bir CIAM çalıştıran Fortune 500 alıcıları için en yüksek ROI (yatırım getirisi) hamlesi geçiş yapmak değil, donatmak, segmentlere ayırmak ve orkestre etmektir. Corbado Observe mevcut seviyeyi görünür kılar. Corbado Connect ise mevcut CIAM'in üzerindeki Gelişmiş seviyeye olan boşluğu kapatır. Birlikte, büyük ölçekte parolasız kimlik doğrulamayı bir satın alma vaadinden sahada çalışan bir KPI'a dönüştürürler.

## Sıkça Sorulan Sorular

### Büyük ölçekte B2C için parolasız kimlik doğrulama gerçekte ne gerektirir?

Büyük ölçekte B2C için parolasız kimlik doğrulama dört yığılı katman gerektirir: kayıt sistemi olarak bir CIAM, WebAuthn'u başlatmadan önce cihaz, işletim sistemi, tarayıcı ve kimlik bilgisi sağlayıcısını sınıflandıran bir geçiş anahtarı orkestrasyon katmanı, istemci tarafındaki süreci yakalayan bir gözlemlenebilirlik katmanı ve geçiş anahtarı akışlarını tamamlayamayan ortamlardaki kullanıcılar için bir geri dönüş katmanı. Çoğu CIAM platformu yalnızca ilk katmanı sunar, bu nedenle yerel kullanıma sunumlar yüzde 5 ila 10'luk bir benimseme oranında duraksar.

### Neden 500 bin MAU'daki parolasız B2C sunumları düşük benimseme oranlarında takılı kalıyor?

Genel CIAM parolasız arayüzleri tüm kullanıcıları aynı şekilde yönlendirir ancak Corbado Passkey Benchmark 2026'ya göre ilk denemede web geçiş anahtarı kaydı iOS'ta %49-83'ten Windows'ta %25-39'a kadar düşer. Cihaz yığını segmentasyonu, akıllı yönlendirme ve önce tanımlayıcı kurtarma olmadan platform teknik olarak WebAuthn'u desteklese bile dağıtımlar ortalama yüzde 5 ila 10 geçiş anahtarı giriş oranında kalır.

### 500 bin MAU'da parolasız B2C'yi sıfırdan oluşturmanın TCO'su nedir?

500 bin MAU'da bir CIAM platformunda doğrudan geçiş anahtarları oluşturmak, ürün, geliştirme ve QA genelinde tipik olarak 25-30 FTE-ay ve ayrıca devam eden bakım için yılda 1,5 FTE gerektirir. Bu ölçekteki platform ücretleri, Stytch B2C Essentials için ayda kabaca 4.900 USD'den başlar ve Auth0 kurumsal sözleşmeleri için ayda 15.000-30.000 USD'ye kadar çıkar; Cognito'nun geçiş anahtarı yeteneğine sahip Essentials paketi 7.300 USD civarında ve Clerk ise yaklaşık 9.000 USD'dir. Gizli maliyet, iOS, Android, Windows ve macOS güncellemeler yayınladıkça ortaya çıkan çapraz platform yeniden test etme gereksinimidir.

### 1 Milyondan fazla kullanıcıda parolasız kimlik doğrulama için en iyi hangi mimari modeli çalışır?

1 Milyondan fazla kullanıcıda baskın model, CIAM'in kayıt sistemi olarak kalması ve orkestrasyon katmanının cihaz sınıflandırması, conditional create, önce tanımlayıcı kurtarma ve benimseme analitiğini yönetmesiyle oluşan bir CIAM artı geçiş anahtarı orkestrasyon kaplamasıdır. Bu, kullanıcı veritabanı geçişini önler, mevcut SIEM ve APM yatırımlarını korur ve büyük ölçekte katlanan yüzde 60-90'lık SMS maliyet düşüşünün kilidini açar.