Bir Passkey Kimlik Doğrulama Sağlayıcısı Size Neden 100 Bin Dolardan Fazla Tasarruf Sağlar?

Bu yazıda, passkey'leri mevcut kimlik doğrulama sürecine dahil etme konusunda sürekli karşılaştığımız en yaygın 5 yanılgıyı ele alacağız. Ayrıca, passkey'ler konusunda gerçekten uzmanlaşmış bir sağlayıcı aramanın neden mantıklı olduğunu göstermek için örnek bir hesaplama yapacağız.

Passkey'ler harika bir teknoloji. Kimlik doğrulama tarihinde ilk kez, sadece kullanıcıların güvenliği değil, aynı zamanda kullanım kolaylığı da büyük ölçüde artırılıyor. Günümüzde çoğu insan telefonlarının kilidini yüzüyle veya parmak iziyle açmaya alışkın. Bu kullanıcı dostu geleceği web'e taşımak, atılması gereken mantıklı bir sonraki adım. Asimetrik kriptografiden yararlanan temelindeki açık anahtar altyapısı ile birlikte passkey'ler mükemmel bir çözüm gibi görünüyor. Bu, son kullanıcı açısından doğru. Ancak kurumlar için bu yeni kimlik doğrulama standardını şirket içinde uygulamak, yüksek riskler ve maliyetler içeren devasa bir çaba gerektiriyor. Bu makale, passkey'ler hakkındaki en yaygın yanılgıları ve bunları nasıl azaltabileceğimizi açıklıyor.

Öncelikle, passkey'ler Microsoft, Apple, Google gibi tüm büyük teknoloji oyuncularının ve PayPal, eBay veya Visa gibi diğer şirketlerin de dahil olduğu FIDO (Fast Identity Online) ittifakı tarafından tanımlanan açık standartlara dayanmaktadır.

Ancak bu açık standartlar yeterince belgelenmemiştir. Bu durum, mevcut sistemlere uygulanmasını ve kullanıcı akışlarına entegre edilmesini pratikte zorlaştırır. Kullanıcı akışlarını ve teknik entegrasyonları sıfırdan tasarlamayı gerektirir. Mevcut kullanıcılarınız için zaten bir kimlik doğrulama sisteminiz varsa, passkey'leri mevcut sisteminize eklemek için temel belgeler ve uygulama tek başına yeterli olmaz.

Üstelik, passkey'ler (kısmen) cihaza bağlı olduğu için farklı platformlardan (iOS, Android, Windows) gelen ve birden fazla cihaz kullanan kullanıcılarınız varsa asıl zorluk o zaman başlar. Uygulama ve kullanıcı deneyimi platforma göre değişiklik gösterir. Bu da passkey'leri tüm kullanıcılarınıza tercih edilen giriş yöntemi olarak sunmayı karmaşık bir çabaya dönüştürür. Özellikle günümüzde birçok kullanıcının birden fazla cihaza sahip olduğu düşünüldüğünde, tüm cihazları ve işletim sistemlerini düzgün bir şekilde desteklemek çok önemlidir.

Teorik olarak bu doğru, ancak özellikle entegrasyon ve bakım için bazı doğal maliyetler var. Başlangıçta, genellikle 1-2 ürün yöneticisi tarafından yürütülen süreç akışları ve kullanıcı deneyimi (UX) için bir konsept üzerinde çalışmanız gerekir. Bu, 2 aya kadar sürebilir ve ürün yöneticilerinin deneyimine bağlı olarak tek başına 30.000 dolara kadar mal olabilir. Bu tamamlandıktan sonra, sistem mimarlarına, ürün yöneticilerine ve bu çözümü entegre edecek geliştiricilere ihtiyaç duyulur. Ardından, örneğin FIDO2 sunucusunu çalıştırmak gibi bakım çabaları ortaya çıkar. Ayrıca, kullanıcılarınızı bunaltmamak için sorunsuz bir kullanıcı geçişi sağlamanız gerekir ki bu, şirket içinde tasarlanması ve uygulanması çok karmaşık ve dolayısıyla maliyetlidir.

Ayrıca, altyapıyı da çalıştırmanız gerekir: sunucular ve veritabanları günümüzde bedava değil. Özellikle uygulamanızın bu kadar kritik bir noktasında, yüksek kullanılabilirlikle güvenli ve güvenilir bir şekilde çalışmalarına ihtiyacınız varsa. Tüm bunlar, temel özelliklerinize harcamayı tercih edeceğiniz çok paraya mal olur.

Dahası, e-posta veya SMS hizmetleri gibi çevre (yedek) sistemleri sağlamak için diğer dış oyuncuların seçilmesi, yönetilmesi ve izlenmesi gerekir. Elbette bunu kendi başınıza da yapabilirsiniz, ancak kullanıcılarınız geçiş e-postalarının ışık hızında teslim edilmesini ve yüksek kullanılabilirlik bekler. Bize güvenin, e-posta teslimatını kendi başınıza optimize etmek istemezsiniz. Bu hizmetler ücretsiz değildir ve maliyetlere eklenir.

Müşterilerle konuştuğumuzda, bu muhtemelen en yaygın yanılgı ve kimlik doğrulamanın gerçek mücadelesidir. Sıfırdan geliştirilen yeni bir uygulama için passkey sunmak oldukça basit bir şekilde yapılabilir. Zor olan kısım, mevcut kullanıcıları passkey'lere geçirmektir. Çoğu zaman, kullanıcı tabanı oldukça heterojendir. Bir yanda şifrelerini dünden bugüne bırakıp bir an önce passkey'lere geçmek isteyen erken benimseyenler vardır. Diğer yanda ise şifrelerine bağlı kalmayı seven insanlar bulunur. Şimdi, tüm kullanıcıları sorunsuz ve akıllı bir şekilde passkey'lere yönlendirirken farklı bireysel akışlar oluşturmak asıl zorluktur.

İlk entegrasyondan sonra birçok kişi passkey'lerin kendi başlarına çalışacağını ve benimsenmenin kendiliğinden geleceğini düşünür. Bu da başka bir yaygın yanılgıdır, çünkü passkey'ler birçok risk taşıyan, güvenlik açısından kritik bir özelliktir. Bu, izlenmeleri gerektiği ve onları izleyen ekibin çok deneyimli güvenlik uzmanları olması gerektiği anlamına gelir.

Dahası, geçiş aşamasında uygulamada değişiklik gerektiren potansiyel sorunları tespit etmek için passkey'lerin benimsenmesi sürekli olarak izlenmelidir.

Passkey'lerin teknik uygulamasını düşünmeden ve kodlamaya başlamadan önce, birçok kavramsal çalışma yapılması gerekir. Özellikle, mevcut en iyi uygulamaların ve belgelerin kalitesinin ve miktarının düşük olduğu passkey'ler gibi yeni bir teknolojiyi entegre ederken, birçok kavramsal sürecin dikkate alınması gerekir. En önemlileri arasında şunlar yer alır:

1. Tüm kayıt ve giriş sürecini baştan sona tasarlamak: Kayıt veya girişin başlangıcından başarılı kimlik doğrulamaya kadar olan akışı tasarlarken, arka planda sayısız süreç adımı çalışır. Bunların modellenmesi ve karmaşık mantık ağaçlarında yapılandırılması gerekir. Sadece standart durumların tasarımı bile karmaşık bir iştir ve olası tüm istisnai durumları kapsamak için gereken çok daha büyük çabayla kesinlikle karşılaştırılamaz. Sonuç olarak, her potansiyel senaryoda çalışan ve kullanıcıyı doğrulayan bir kimlik doğrulama süreci olmalıdır.
2. Platformlar arası kullanıma özen göstermek: Kullanıcıların passkey'leri hem cihazlar arası hem de platformlar arası kullanabilmelerini sağlamak ve passkey'lerin henüz mevcut olmadığı durumlarda bile onları kimlik doğrulama süreçlerinde sorunsuz bir şekilde yönlendirmek çok önemlidir.
3. Geriye dönük uyumluluğu sağlamak: Passkey kullanımını teşvik etmek için, yalnızca kullanıcının kimlik doğrulamak istediği tüm cihazların passkey'e hazır olup olmadığını otomatik olarak algılayan bir mekanizma geliştirmek değil, aynı zamanda kullanıcıların ilk etapta passkey ile giriş yapmak isteyip istemediklerini de fark etmek gerekir. Kullanıcılar bunun yerine şifreler, sosyal girişler veya SSO gibi mevcut giriş seçenekleriyle devam etmeyi tercih ederse, hibrit kimlik doğrulamanın paralel olarak çalıştırılması gerekir.
4. Kurtarma hizmetleri sunmak: Kulağa bariz gelebilir, ancak kullanıcıların kendi kendine yapabileceği şifre sıfırlama işlemleri ve hata durumunda olası yedek seçenekler için bir akış oluşturmak en zorlu görevlerden biridir. Çünkü kullanıcıların şifrelerini unuttukları veya hiç şifre belirlemedikleri durumlarda kimliklerini doğrulayabilmelerini garanti etmeniz gerekir.
5. Harika bir kullanıcı deneyimi (UX) tasarlamak: UX, sadece kullanıcı dostu bir arayüz oluşturmaktan çok daha fazlasıdır. Genel olarak yazılım için cihaz ve kullanıcı tercihi yönetimi, kullanıcı iletişimi ve kurumsal kimliğinize uygun özelleştirilebilir tasarım büyük bir rol oynar. Passkey'ler cihaza bağlı olduğundan, şirketlerin passkey kullanımının tüm kullanıcılarının cihazlarında kusursuz çalışmasını sağlamak için öncelikle cihaz yönetimine odaklanması gerekir. Kullanıcı iletişimi söz konusu olduğunda, kullanıcılarınızı önceden tanımlanmış ve test edilmiş kullanıcı mesajlarıyla eğitmek gerekir.

Tüm bu adımlar, ürün yöneticileri ve geliştiriciler için saatler süren bir çalışma gerektirir ve genellikle yazılım geliştirmede göz ardı edilir.

Satın al ya da kendin yap yazılım tartışması hiç de yeni değil. Bu kararı verirken birçok faktörü göz önünde bulundurmalısınız. Her şirket için kilit faktör, yazılımı geliştirmekten veya satın almaktan kaynaklanan maliyet bloğudur. Örneğin passkey kimlik doğrulaması için yazılım çözümleri satın alındığında, genellikle başlangıç maliyetlerinin çok yüksek olduğu argümanı öne sürülür. Ancak şirketler genellikle kendi geliştirdikleri çözümün en az o kadar pahalı olduğunu unuturlar. Çünkü maliyetleri, yazılımın karmaşıklığına, ürün yönetimine, UX/UI tasarımına, geliştirme ekibine ve genellikle birçok gizli maliyete (özellikle bakım ve güncellemeler) bağlıdır.

Kimlik doğrulama yazılımı geliştirmenin maliyetine ışık tutmak için, masaüstü, mobil ve yerel uygulama kullanıcıları için hizmet sunan şirket içi bir kimlik doğrulama ekibine sahip bir şirket için temel bir hesaplama aşağıda verilmiştir. E-posta/telefon numarası ve şifre kimlik doğrulamasının yanı sıra sosyal girişleri de bulunmaktadır:

• 2 backend geliştirici: 126.000 $
• 1 frontend geliştirici: 60.000 $
• 1 iOS geliştirici: 60.000 $
• 1 Android geliştirici: 68.000 $
• 2 ürün yöneticisi: 170.000 $
• 1 proje yöneticisi: 85.000 $

Lütfen bunların toplam yıllık maaşlar olduğunu ve Glassdoor'a göre sektör standartlarına dayalı ortalama maaşlar olduğunu, ücret dışı işçilik maliyetlerini içermediğini unutmayın.

• Süre: 1,5 ay
• Yazılım geliştirme ekibindeki sorumlular: 2 ürün yöneticisi, 1 proje yöneticisi
• Toplam maliyet (maaş): 31.875 $

• Süre: 3,0 ay
• Yazılım geliştirme ekibindeki sorumlular: 2 ürün yöneticisi, 1 proje yöneticisi, 2 backend geliştirici, 1 frontend geliştirici, 1 iOS geliştirici, 1 Android geliştirici
• Toplam maliyet (maaş): 143.750 $

Toplam yazılım geliştirme maliyeti: 175.625 $

Elbette bu, geçiş veya eğitim maliyetleri gibi birçok maliyeti hesaba katmayan bir basitleştirmedir. Sunucular ve veritabanları gibi ekstra altyapıya veya bulut hizmetlerine ihtiyacınız olması durumunda ek maliyetlerle karşılaşırsınız. Özellikle kişisel verileri en üst düzeyde koruması gereken kimlik doğrulama yazılımları için maliyetler muhtemelen önemli ölçüde daha yüksektir, bu nedenle Corbado gibi özel passkey sağlayıcılarını kullanmaya değer.

Özetlemek gerekirse: passkey'ler herkesin ücretsiz olarak entegre edebileceği açık bir standarttır. Ancak bu çok dar bir bakış açısıdır. Passkey kullanımının sonuçlarına daha yakından bakıldığında, Corbado gibi bir passkey sağlayıcısı kullanmanın çok daha akıllıca ve maliyet tasarrufu sağlayan bir yol olduğu ortaya çıkıyor. Özellikle kimlik doğrulama nadiren temel bir özellik olup daha çok modern bir üründe yapılması gereken standart bir ihtiyaç olduğundan, harici bir uzmanın bilgi birikiminden ve yeteneklerinden yararlanmak akıllıca bir harekettir.

Hala ikna olmadınız mı? Corbado'nun çözümünü bugün ücretsiz ve hiçbir risk almadan deneyin.