Passkeys: Satın Al & Geliştir Rehberi

Passkeys: Satın Al & Geliştir Rehberi'nin tamamını ücretsiz indirin ve tüm bilgilere erişin.

• ✅ Adidas, Woolworths ve Mitsubishi'deki ekipler tarafından talep edildi
• ✅ Satın alma ve geliştirme arasında karar vermek için yapı taşlarının ve maliyet modelinin tam listesi
• ✅ Pratik, 50 sayfalık karar verme çerçevesi

Kendi passkey uygulamanızı geliştirme fikri kulağa hoş geliyor: tam kontrol, özel entegrasyonlar ve sağlayıcıya bağımlılık yok. Sonuçta, FIDO2 açık standartlara dayanıyor ve ilk WebAuthn kod satırlarını yazmak yeterince kolay görünüyor. Gerçekten ne kadar zor olabilir ki?

Ancak karmaşıklık genellikle tam da bu noktada başlar. Özellikle de aşağıdaki gibi sektörlerde milyonlarca kullanıcısı olan büyük ölçekli bir tüketici senaryosu için bir çözüm geliştirmeyi planlıyorsanız:

• Bankacılık ve Finansal Hizmetler (ör. çevrimiçi bankacılık, ödemeler, fintech)
• Devlet ve Kamu Hizmetleri (ör. vatandaş portalları, vergi ve sosyal güvenlik platformları)
• Sigortacılık ve Sağlık (ör. hasta portalları, dijital sigorta platformları)
• E-ticaret ve Perakende (ör. pazar yerleri, sadakat programları)
• Telekom ve Kamu Hizmetleri (ör. mobil operatörler, enerji sağlayıcıları)
• Seyahat ve Konaklama (ör. havayolu hesapları, otel sadakat programları)

Asıl zorluk, ilk başarılı passkey girişinden sonra başlar ve genellikle siz passkey çözümünüzü uygularken ortaya çıkar. Aniden tuhaf uç durumlar, kafa karıştırıcı kullanıcı hataları ve passkey'lerin kullanılamaması nedeniyle olası kullanıcı kilitlenmeleri gibi sorunlar belirir. Başlangıçta basit bir entegrasyon gibi görünen şey, aylar hatta yıllar süren geliştirme çabasına, beklenmedik bakım maliyetlerine ve potansiyel olarak başarısız bir passkey projesine dönüşebilir.

Ancak, kendi çözümünüzü geliştirmek belirli kuruluşlar ve özel gereksinimler için doğru seçim de olabilir. Onlarca kuruluşla passkey uygulama planları hakkında konuştuk ve bazılarının yolculuğuna bizzat eşlik ettik. Bu rehber, Kendin Yap (DIY) bir passkey yaklaşımının ne zaman mantıklı olabileceğini ve ne zaman yerleşik bir passkey sağlayıcısı seçmenin daha akıllıca bir karar olduğunu belirlemenize yardımcı olacaktır.

Passkeys: Satın Al & Geliştir Rehberimiz ile aşağıdaki soruları yanıtlamak istiyoruz:

1. Passkey'leri uygulamak ve şifresiz bir sisteme geçmek için hangi bileşenler gereklidir?
2. Passkey'leri şirket içinde mi uygulamalıyım, yoksa harici bir passkey sağlayıcısı mı kullanmalıyım?
3. Açık kaynaklı kütüphaneler varken bir passkey sağlayıcısına sahip olmanın faydası nedir?
4. Bir passkey çözümü geliştirmenin en büyük zorlukları nelerdir?
5. Passkey'leri şirket içinde uygulamanın riskleri nelerdir?

Şifreler güncelliğini yitirmiş, güvensiz ve sinir bozucudur. Passkey'ler oltalama (phishing) risklerini ortadan kaldırır, kullanıcı deneyimini iyileştirir ve kimlik doğrulamayı basitleştirir. Bu da onları güvenli girişlerin yeni standardı haline getirir. İster şirket içinde geliştirin ister harici bir çözüm kullanın, passkey'leri entegre etmek güvenlik ve kullanılabilirlik için büyük bir adımdır.

Google, kullanım kolaylığı veya hız hikayesiyle başlamanın yankı uyandırdığını ve işe yaradığını tespit etti. İnsanlar genellikle oturum açmaktan şikayet eder, bu nedenle süreci daha kolay ve hızlı hale getiren her şey bir kazançtır.

Bu güvenlik avantajlarının yanı sıra, passkey'ler ile operasyonel maliyet tasarrufu için de büyük bir potansiyel bulunmaktadır. Geniş kullanıcı tabanları için büyük maliyetlere yol açabilen, kullanıcılara gönderilen SMS OTP sayısını azaltabilirsiniz. Ayrıca, şifre ve MFA kurtarma işlemlerinin müşteri destek ekiplerinize yüklediği maliyet de ortadan kaldırılabilecek bir faktördür.

Bunun yanı sıra, passkey'ler kullanıcılar için giriş başarı oranlarını ve giriş sürelerini iyileştirir. Bu da sonuç olarak e-ticaret, perakende veya seyahat gibi sektörlerde ciro artışı için önemli bir etken olan dönüşüm oranlarını artırır.

Passkey'leri kullanıma sunmayı düşünen birçok kuruluş için nihai hedef, tamamen şifresiz bir sisteme geçmektir. Bu hedefe ulaşmak için genellikle tamamlanması gereken dört aşama vardır. Bu aşamaların ilerleme hızı büyük ölçüde kuruluşun teknik yeteneklerine, giriş alışkanlıklarına ve kullanıcı tabanına bağlıdır. Bazı durumlarda, daha güvenli kimlik doğrulama yöntemleri sunma yönündeki kamuoyu baskısı veya finansal kısıtlamalar gibi dış faktörler de rol oynayabilir.

Bu dört aşamayı inceleyelim ve açıklayalım, çünkü passkey'leri uygulamak, bir passkey projesinin başarısını sağlamadaki adımlardan sadece biridir.

Tamamen şifresiz bir sisteme geçişteki ilk adım, passkey'leri bir giriş yöntemi olarak entegre etmektir. Bu aşamada, şifreler ve diğer kimlik doğrulama yöntemleri, henüz passkey'leri benimsememiş kullanıcıların hesaplarına erişebilmelerini sağlamak için yedek olarak kalır. Başarılı bir entegrasyon, mevcut giriş akışları ve güvenlik politikalarıyla sorunsuz uyumluluk gerektirir. Kuruluşlar, hem teknik hem de teknik olmayan kullanıcıların yeni kimlik doğrulama yöntemini sorunsuz bir şekilde benimseyebilmeleri için passkey oluşturmayı basitleştirmeye odaklanmalıdır.

Passkey'ler entegre edildikten sonraki zorluk, kullanıcıların passkey'leri benimsemesini sağlamaktır. Birçok kuruluş bu aşamanın önemini hafife alır, ancak yaygın kullanıcı benimsemesi olmadan bir passkey projesinin başarısız olması muhtemeldir. Amaç, mümkün olduğunca çok kullanıcıyı passkey oluşturmaya ve kullanmaya teşvik etmek, ideal olarak bunu varsayılan giriş yöntemi haline getirmektir.

Benimsemeyi artırmak için temel taktikler arasında proaktif kullanıcı eğitimi, passkey oluşturmayı teşvik eden kullanıcı arayüzü yönlendirmeleri ve geçiş yapan kullanıcıları ödüllendiren teşvik programları yer alır. Kuruluşlar, bir sonraki aşamaya geçmeden önce aktif kullanıcıların %50-80'inin passkey kullanması gibi kritik bir benimseme eşiği belirlemelidir. Benimsemenin neden bu kadar önemli olduğunu daha derinlemesine anlamak için, zayıf benimseme oranlarının passkey projenizi nasıl tehlikeye atabileceğine dair özel makalemize başvurabilirsiniz.

Passkey benimsenmesi kritik bir kitleye ulaştığında, kuruluşlar şifreleri aşamalı olarak kaldırmaya başlayabilir. Ancak, şifreleri çok erken veya dikkatli bir planlama yapmadan kaldırmak, kullanılabilirlik sorunlarına ve artan destek taleplerine yol açabilir. Aşamalı bir yaklaşım önerilir:

• Kullanıcıların sürekli olarak passkey'lerle kimlik doğruladığı hesaplardan şifreleri kaldırarak başlayın.
• Erken benimseyenler için hesap ayarlarında şifre kaldırma seçeneği sunun.
• Tamamen şifresiz olmaya hazır kullanıcıları belirlemek için veriye dayalı içgörüler kullanın. Örneğin, farklı cihazlarda birden fazla passkey kaydı olan kullanıcılara şifre kaldırma konusunda öncelik verilebilir.
• Kullanıcı güvenini artırmak için şifre kaldırmanın faydalarını proaktif olarak iletin.

Kuruluşlar, kullanıcıları stratejik olarak tam şifresiz kimlik doğrulamaya yönlendirerek, kullanıcı deneyimini bozmadan güvenliği en üst düzeye çıkarabilir.

Şifreler kaldırıldıktan sonra, hesap kurtarma mekanizmalarının sağlam ve güvenli olması gerekir. Geleneksel kurtarma yöntemleri genellikle destek talepleri veya e-posta sıfırlamaları gibi manuel müdahalelere dayanır, bu da güvenlik riskleri ve operasyonel maliyetler getirebilir. Kuruluşlar, kullanıcı deneyimini iyileştirirken güvenliği koruyan modern, self-servis hesap kurtarma çözümleri uygulamalıdır.

Otomatik hesap kurtarmanın temel unsurları şunlardır:

• Canlılık kontrolleri: Kullanıcının fiziksel olarak orada olduğundan emin olarak yetkisiz hesap ele geçirmelerini önleyin.
• Kimlik doğrulama: Kimliği doğrulamak için devlet tarafından verilen kimlikleri ve biyometrik doğrulamayı kullanın.
• Yedek passkey'ler: Kullanıcıların, kendilerine ait diğer cihazlarda saklanan yedek passkey'leri kullanarak hesaplarını kurtarmalarına izin verin.

Birçok kuruluş, maliyetleri düşürmek ve kullanılabilirliği artırmak için şifresiz geçişlerinden bağımsız olarak zaten otomatik kurtarma süreçlerine yatırım yapmaktadır. Ancak, passkey odaklı bir ekosistemde, bu mekanizmalar güvenliği korumak ve sorunları azaltmak için daha da kritik hale gelir.

Bu dört aşamaya dayanarak, şimdi satın alma ve geliştirme kararını değerlendirmenize yardımcı olmaya çalışacağız. Bu nedenle, passkey projenizin uzun vadeli başarısı için tüm aşamaları göz önünde bulundurmanız ve sadece passkey'leri entegre etmemeniz çok önemlidir (bu yine de bir hedef olabilir, ancak o zaman passkey'lerin tüm potansiyelini kullanmamış olursunuz).

Kendin Yap (DIY) ve harici bir passkey çözümü arasında seçim yapmak, şirketinizin teknik kaynaklarına, güvenlik önceliklerine, dağıtım boyutuna ve uzun vadeli passkey stratejisine bağlıdır. Bir sonraki bölümde, en iyi kararı vermenize yardımcı olmak için temel unsurları ayrıntılı olarak ele alacağız.

Aşağıdaki tablo, değerlendirmeniz gereken farklı kriterleri göstermektedir. Hangi ifadeye daha çok eğilimli olduğunuza bağlı olarak farklı sayıda puan verilir.

Değerlendirme matrisi nasıl kullanılır:

Her kriter için, şirketinizin daha basit mi yoksa daha ayrıntılı bir çözüme mi ihtiyacı olduğuna karar verin.

• Sizin durumunuzda karmaşıklığın en düşük olduğu ve soldaki açıklamayla daha çok örtüşen her cevap için 1 puan verin.
• Cevabınızın sağdaki en yüksek karmaşıklık tanımıyla daha çok örtüştüğü her kategori için 5 puan verin.
• Emin değilseniz, nötr bir seçenek olarak 3 puan kullanın.

Passkeys: Satın Al & Geliştir Rehberi'nin tamamını ücretsiz indirin ve tüm değerlendirme kriterlerine erişin.

Bir passkey çözümünü geliştirmeye veya satın almaya karar verirken, sadece passkey dağıtımının tek bir aşamasına değil, tüm sürece bakmak önemlidir. Yakın vadeli önceliğiniz passkey'leri bir MVP olarak sunmak olsa bile, özellikle benimsemeyi teşvik etmenin uzun vadeli sonuçlarını öngörmelisiniz. Aşağıda, bu rehberi nasıl kullanmanızı ve sonuçlarınızı nasıl yorumlamanızı önerdiğimizi, benimsemenin neden neredeyse diğer tüm faktörlerden daha önemli olduğunu vurgulayarak açıklıyoruz.

Passkey çözümünüz ne kadar gelişmiş olursa olsun, kullanıcılar passkey oluşturarak ve giriş için passkey kullanarak onu benimsemezse, tüm proje risk altındadır. Deneyimlerimize göre, kuruluşlar genellikle kullanıcıları şifrelerden uzaklaştırmak için gereken çabayı hafife alıyor. Passkey'leri teknik düzeyde sorunsuz bir şekilde uygulasanız bile, düşük benimseme şu sonuçlara yol açacaktır:

• Şifrelere sürekli bağımlılık, bu da passkey'lerin güvenlik avantajlarını ortadan kaldırır.
• Minimum yatırım getirisi (ROI), çünkü maliyet tasarrufları (daha az şifre sıfırlama, azaltılmış SMS OTP'leri) önemli ölçüde passkey kullanımına bağlıdır.
• Bölünmüş kullanıcı deneyimi, eğer çoğu oturum açma işlemi hala geleneksel yöntemlerle gerçekleşiyorsa ve yalnızca küçük bir alt küme passkey kullanıyorsa.

Şifreleri azaltma veya tamamen kaldırma yolunda anlamlı adımlar atabilmek için genellikle kullanıcı tabanınızın %50 veya hatta +%80 gibi yüksek bir benimseme oranı gerekir. Google ve Amazon gibi kuruluşlar, açık benimseme hedefleri belirler ve passkey'lerin yaygın olarak benimsenmesini sağlamak için sistematik olarak A/B testleri, kullanıcı eğitim kampanyaları ve kullanıcı arayüzü yönlendirmeleri yürütür. Benimsemeye yönelik bu yoğun çaba isteğe bağlı değildir; passkey dağıtımınızı bir özellikten somut bir rekabet avantajına dönüştüren şey budur.

Bu rehber, yolculuğun her aşamasında passkey uygulamaları hakkında bilinçli kararlar vermenize yardımcı olmak için tasarlanmıştır:

1. Aşama 1 (Passkey'leri Entegre Etme): Sadece passkey'leri benimseyip benimsememeyi ve nasıl entegre edeceğinizi düşünüyorsanız, passkey entegrasyonu için Geliştirme ve Satın Alma kriterlerine odaklanın.
2. Aşama 2 (Benimsemeyi Artırma): Passkey'lerin bir özellikten daha fazlası olmasını istiyorsanız, kullanıcı benimsemesini teşvik etmek için erken plan yapın - bu, genellikle ilk uygulamadan önemli ölçüde daha fazla ek teknoloji yatırımı gerektirdiği için bir MVP için bile geçerlidir.
3. Aşama 3 (Şifreleri Kaldırma): Şifreleri ortadan kaldırmak uzun vadeli bir stratejik hedefse, mimarinizin ve kullanıcı akışlarınızın bu nihai adımı göz önünde bulundurarak tasarlandığından emin olun.
4. Aşama 4 (Hesap Kurtarmayı Otomatikleştirme): Bugün tamamen şifresiz olmaya hazır olmasanız bile, gelecekteki engellerden kaçınmak için passkey yaklaşımınızın sağlam, sorunsuz bir kurtarmaya evrilebildiğinden emin olun.

Bunlardan Aşama 2 (Benimsemeyi Artırma) en önemlisidir. Her bölümü ayrı ayrı değerlendirebilirsiniz, ancak uzun vadeli başarınızın ve yatırım getirisinin genellikle en başından itibaren benimsemeyi ne kadar ciddiye aldığınıza bağlı olduğunu unutmayın.

Passkey'leri uygulama kararının erken aşamasındaysanız, değerlendirme matrisinin ilk bölümüyle (passkey entegrasyonu) başlayın ve bunu yönetim, BT, ürün sahipleri ve diğer kilit karar vericilerle birlikte doldurun. Kendinize sorun:

1. İstediğimiz passkey giriş oranı nedir? %5 fizibiliteyi kanıtlamak için yeterli mi, yoksa passkey'leri bir başarı olarak görmeden önce %50-80'e mi ihtiyacımız var?
2. Aylar boyunca A/B testleri yapmak, optimizasyon kampanyaları yürütmek, eğitim materyalleri oluşturmak ve kullanıcıların passkey'lere geçişi anlaması ve istemesi için kullanıcı akışlarını sürekli olarak iyileştirmek için bütçemiz ve yönetici desteğimiz var mı? Gerekli tüm raporlama, analitik ve testleri uygulamak için yeterli mühendislik kapasitesi mevcut mu? Bu hedeflere ulaşmak için yeterince sık sürüm yayınlayabilir miyiz?
3. Uzun vadeli vizyon nedir? Şifreleri kaldırmayı mı hedefliyoruz, yoksa sadece bir alternatif mi sunuyoruz?

Bu soruları önceden yanıtlamak, passkey projenizin bir çıkmaz sokağa dönüşmemesini sağlar. Benimseme için plan yapmayan kuruluşlar, genellikle yıllarca şifrelere takılıp kalarak tüm güvenlik ve kullanıcı deneyimi stratejisini baltaladıklarını görürler.

Matris boyunca, her değerlendirme kriteri sizi en düşük karmaşıklıktan (1) en yüksek karmaşıklığa (5) kadar herhangi bir yere getirebilir. Cevaplarınızın ne kadarı nötr bölgeye (3) ve ötesine kayarsa, özel bir passkey sağlayıcısı kullanma durumu o kadar güçlenir:

• Gelişmiş yedek yöntemler, katı uyumluluk, derinlemesine analitik ve çoklu cihaz kullanıcı deneyimi gibi yüksek karmaşıklık gereksinimleri, mühendislik ve bakım yükünüzü katlar.
• Benimsemeye güçlü vurgu - yüksek passkey benimsemesine hızla ulaşmak veya şifreleri kaldırmak, genellikle iyi test edilmiş kullanıcı akışları, ayrıntılı telemetri ve yapılandırılmış yönlendirmeler gerektirir.

Bu faktörler, şirket içi ekipleri hem teknik hem de organizasyonel olarak bunaltabilir. Yönetilen bir passkey çözümü, genellikle kanıtlanmış en iyi uygulamaları, hızlı güncellemeleri ve benimsemeyi bir Kendin Yap (DIY) yaklaşımından çok daha hızlı artırmak için gerçek dünya uzmanlığını sunabilir.

Bir passkey uzmanı olarak, Corbado'da bizim güçlü bir bakış açımız var. Passkey'ler yol haritanızdaysa ve benimsemeyi aktif olarak teşvik eden son teknoloji bir uygulama istiyorsanız, Corbado Connect karmaşıklıklarla büyük ölçekte başa çıkmanıza yardımcı olabilir. İşte nedeni:

Benimseme, çözümün içine yerleştirilmiştir: Platformumuz, akıllı yönlendirmeler, analitikler ve maliyet tasarruflarını da sağlayan sürekli A/B testleri yoluyla kullanıcı katılımını en üst düzeye çıkarmak üzere tasarlanmıştır.

Sonraki Adımlar:

1. Değerlendirme matrisinin her ilgili bölümünü doldurun - hem anlık hem de uzun vadeli hedefleri göz önünde bulundurarak.
2. Karar verme sürecinizde benimsemeye öncelik verin - paydaşlarla açık benimseme hedefleri ve bunlara ulaşmak için kaynaklar konusunda anlaşın.
3. Karmaşıklığınızı ve benimseme hedeflerinizi anladıktan sonra şirket içi ve sağlayıcı çözümleri için Toplam Sahip Olma Maliyetini (TCO) karşılaştırın ve geliştirme veya satın alma kararını değerlendirmek için iç sürecinizden geçin.

4. Stratejik hedefleriniz hem teknik hem de benimseme zorluklarını etkili bir şekilde yöneten tam olarak yönetilen bir platforma işaret ediyorsa passkey uzmanlarına (Corbado gibi) danışın.

Passkey'leri bütünsel bir yaklaşımla ele alarak ve benimsemeyi kilit hedeflerden biri haline getirerek en iyi sonuçları elde edersiniz. Bu, daha güçlü güvenlik, basitleştirilmiş girişler ve şifresiz bir geleceğe giden gerçek bir yol demektir. Corbado Connect hakkında daha fazla bilgi edinmek ve müşterilerimizin yüksek passkey benimsemesine nasıl ulaştıklarına yardımcı olduğumuzu öğrenmek isterseniz, konuşmak için buradayız.

"Satın Al mı, Geliştir mi?" sorusuna yanıt vermek için doğru yaklaşımı belirlemeye yardımcı olduğumuza göre, şimdi bir passkey dağıtımının başarısının nasıl değerlendirileceğini analiz ediyoruz. Bu nedenle, bir passkey projesinin girdi ve çıktı KPI'larını tanımlıyoruz.

Girdi KPI'ları, passkey'lerin erken aşama benimsenmesini ve yaygın kullanım için gerekli koşulların oluşturulup oluşturulmadığını izlemeye yardımcı olur. Bu göstergeler, gerçek giriş davranışından önce gelir ancak anlamlı benimsemeyi sağlamak ve dağıtımı optimize etmek için kritik öneme sahiptir.

Bu girdi KPI'ları, gelecekteki passkey benimsemesinin öncü göstergeleri olarak hizmet eder ve kuruluşların kullanıcı eğitimini, kullanıcı deneyimi akışlarını ve teknik uygulamayı ince ayar yapmalarına olanak tanır.

Çıktı KPI'ları (OKR'ler), kullanıcı davranışını, operasyonel iyileştirmeleri ve iş etkisini değerlendirerek passkey benimsemesinin gerçek başarısını ölçer. Bu göstergeler, bir passkey dağıtımının gerçek dünyadaki etkinliğini yansıtır. Passkey Giriş Oranı, temel bir Çıktı KPI'sıdır çünkü gerçek passkey benimsemesini ve kullanımını doğrudan yansıtır. Artan bir passkey giriş oranı, başarılı bir katılım ve kullanıcıların eski kimlik doğrulama yöntemleri yerine passkey'leri tercih etmeye devam ettiğini gösterir.

Kullanıcı hayal kırıklığı yaratmaktan kaçınmak için giriş başarı oranı yeterince yüksek olduğunda kullanıcı aktivasyon oranlarını artırmaya çalışırken, öncelikle passkey giriş başarısı ve passkey giriş oranını optimize etmek önemlidir. Ek olarak, bu KPI'ları farklı segmentlere (işletim sistemi, tarayıcı ve cihaz gibi) ve belirli kullanım durumlarına (örneğin, cihazlar arası girişler) göre izlemek, benimseme kalıpları ve potansiyel sürtünme noktaları hakkında daha derin içgörüler sağlayabilir.

Hem girdi (ör. kabul, oluşturma) hem de çıktı KPI'larını (ör. giriş oranı, yedek kullanım) doğru bir şekilde ölçmek, üç ana kaynaktan veri toplamayı gerektirir:

1. Ön uç (Frontend) olay verileri
2. Passkey / kimlik bilgisi deposu
3. Eski kimlik doğrulama ve yedek yöntem günlükleri

Passkey Kabul Oranı veya Passkey Oluşturma Başarı Oranı gibi metrikleri hesaplamak için, kaç kullanıcının oturum sonrası bir yönlendirme gördüğünü, kaçının "Evet, bir passkey oluştur" seçeneğine tıkladığını ve passkey oluşturmayı gerçekten bitirip bitirmediklerini tespit etmelisiniz. Bu, aşağıdakileri yakalamak için JavaScript (veya native mobil) olay takibi gerektirir:

• Yönlendirmenin ne zaman ve gösterilip gösterilmediği (ilk ve sonraki zamanlar)
• Yönlendirmeyi tamamlamalarının ne kadar sürdüğü
• Passkey oluşturma seremonisini bir veya birden çok kez iptal edip etmedikleri

Kabul oranlarını belirli işletim sistemi / tarayıcı sürümlerine bağlayabilmek ve belirli bozuk yolları tespit edebilmek için kullanıcı aracısı (user agent) ayrıştırma veya istemci ipuçları (client hints) da gerekecektir.

Bir kullanıcı ön uçta kaydı başlattıktan sonra, sunucunun yeni bir passkey'in gerçekten saklanıp saklanmadığını onaylaması gerekir. Her kimlik bilgisinin oluşturma olayını kaydeden veritabanına veya harici bir kimlik sağlayıcısının API'sine erişmeniz gerekecektir. Bu depo, kullanıcı başına kaç passkey olduğunu saymanıza ve nihai sonucu (başarı veya başarısızlık) izlemenize yardımcı olur, böylece hangi denemelerin tamamlanmış kayıtlarla sonuçlandığını tam olarak bilirsiniz.

Yedek Yöntem Kullanım Oranı gibi metrikler için mevcut kimlik doğrulama günlüklerinize ve süreçlerinize bakmalısınız. Bu günlükleri ön uç olaylarıyla birleştirerek, bir kullanıcının bir passkey girişi başlatıp başlatmadığını, bir hata alıp almadığını ve yedek girişe (ör. SMS veya şifre) geçip geçmediğini görürsünüz.

Son olarak, Passkey Giriş Süresi vs. Eski Giriş Süresi gibi zamana dayalı KPI'ları ölçmek hem istemci hem de sunucu zaman damgalarına dayanır. Birçok kuruluş yalnızca başarılı oturum açmaları günlüğe kaydettiğinden, sürtünmeyi ve yedek kullanımı gerçekten ölçmek için kısmi veya başarısız passkey akışları için enstrümantasyon eklemeniz gerekir. Bu üç veri kaynağını entegre etmek, gizlilik ve düzenleyici kısıtlamalara saygı gösterirken, genellikle beklenenden daha karmaşıktır ve bazı ekiplerin yerleşik analitik ve olay takibi sağlayan özel passkey platformlarını benimsemesine yol açan başka bir faktördür.

Corbado Connect bileşenleri, bir kimlik doğrulama süreci başlatan her kullanıcı için otomatik olarak benzersiz bir süreç oluşturarak açıklanan tüm veri noktalarını (yüzlerce farklı) dolaylı olarak toplar. Sorunsuz entegrasyon sayesinde, Corbado ayrıca mevcut çözümünüzden kimlik doğrulama metriklerini de toplar. Bu bütünsel görünüm, kullanıcılar için iyileştirmeleri hassas bir şekilde belirler ve sizin tarafınızdan ek bir çaba gerektirmeden tüm temel passkey KPI'larına kapsamlı içgörüler sağlar.

Ek olarak, aşağıdaki çıktı KPI etkileri de başarılı bir passkey dağıtımından sonra ortaya çıkmalı ve çoğu zaman kuruluş içinde zaten toplanmaktadır:

Operasyonel ve Maliyet Azaltma Metrikleri

• SMS OTP Kullanımında Azalma – Passkey kimlik doğrulaması sayesinde tasarruf edilen SMS OTP sayısı (doğrudan maliyet tasarrufu).
• Şifre Sıfırlama Taleplerinde Azalma – Unutulan şifrelerle ilgili yardım masası etkileşimlerinde düşüş.
• Müşteri Destek Biletlerinde Azalma – Kimlik doğrulamayla ilgili müşteri hizmetleri sorunlarının hacminde düşüş.
• Destek Çağrı Hacminde Azalma – Hesap erişim sorunlarıyla ilgili gelen çağrıların azalması.

İş ve Kullanıcı Deneyimi Etki Metrikleri

• Kullanıcıyı Elde Tutma Oranları – İlk girişten sonra kimlik doğrulamaya devam eden kullanıcıların yüzdesi.
• Dönüşüm Oranı – Kullanıcıların kimlik doğrulamasından sonra işlemleri ne sıklıkta tamamladığı.
• Giriş Hunilerinde Vazgeçme Oranı – Passkey'lerin giriş denemelerinden vazgeçen kullanıcı sayısını azaltıp azaltmadığı.

Kuruluşlar, özellikle passkey girdi ve çıktı KPI'larını izleyerek ve bunları diğer verilerle ilişkilendirerek, passkey dağıtımlarının etkisini ölçebilir ve benimsemeyi en üst düzeye çıkarmak, maliyetleri düşürmek ve güvenliği artırmak için veriye dayalı iyileştirmeler yapabilir.

Doğru passkey çözümünü seçmek, özel zorluklarınıza, güvenlik gereksinimlerinize ve maliyet değerlendirmelerinize bağlıdır. Aşağıda, farklı sektörlerde satın alma ve geliştirme kararları için temel öneriler yer almaktadır.

Temel Hususlar:

• Yasal uyumluluk (ör. PSD2, SOC 2, ISO 27001, GDPR), passkey kimlik doğrulamasında katı güvenlik önlemleri gerektirir.
• Passkey maliyet karşılaştırması çok önemlidir, çünkü bankalar genellikle şirket içi çözümlerin uzun vadeli karmaşıklığını ve bakımını hafife alır.
• Hesap ele geçirme dolandırıcılığını ve oltalama (phishing) saldırılarını azaltmak için güvenli kimlik doğrulama esastır.

Öneri: Çoğu banka ve finans kurumu, şirket içinde geliştirmek yerine bir passkey sağlayıcı çözümüne güvenmelidir, çünkü passkey altyapısını dahili olarak yönetmek, geleneksel BT uzmanlığını aşan gizli karmaşıklıklar ortaya çıkarır. Passkey kimlik doğrulamasını büyük ölçekte uygulamak, sürekli optimizasyonlar ve güncellemeler, WebAuthn uyumluluk yönetimi ve eski bankacılık sistemleriyle sorunsuz entegrasyon gerektirir - bunların hepsini passkey sağlayıcıları zaten halleder.

Ubank, Revolut ve Finom gibi bankalar, teknolojinin güvenliği artırırken kullanıcı deneyimini iyileştirme potansiyelini fark ederek passkey benimsenmesinde öncülük ediyor. Passkey ROI analizi, genellikle devam eden bakım ve güncellemelere yatırım yapmak yerine bir passkey çözümü satın almayı destekler; uygulamalar, dolandırıcılık girişimlerinde ve kimlik doğrulamayla ilgili destek maliyetlerinde önemli azalmalar göstermektedir.

Örnekler: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square

Temel Hususlar:

• HIPAA ve GDPR uyumluluğu, passkey benimsenmesinde katı kimlik doğrulama güvenliği gerektirir.
• Passkey uygulama zorlukları, hastalar, sağlık personeli ve hastane BT yöneticileri için güvenliği kullanım kolaylığı ile dengelemeyi içerir.
• Birçok sağlık kimlik doğrulama sistemi hala eski altyapıya dayanmaktadır, bu da passkey entegrasyonunu daha karmaşık hale getirir.

Öneri: Bir passkey sağlayıcı çözümü, uyumluluk gereksinimlerini karşılarken kimlik doğrulamayı basitleştirmenin en etkili yoludur. Passkey sağlayıcıları güvenlik yamalarını, uyumluluk güncellemelerini ve kimlik doğrulama güvenilirliğini yöneterek BT ekiplerinin yükünü azaltır.

Örnekler: CVS Health, Caremark, Helsana, NHS, Swica

Temel Hususlar:

• Dönüşüm Oranı Optimizasyonu (CRO) iş açısından kritiktir - kimlik doğrulama sürtünmesi doğrudan geliri etkiler.
• Çoklu cihaz senaryoları sorunsuz çalışmalıdır (kullanıcılar mobilde gezinir ancak masaüstünde ödemeyi tamamlar).
• Kimlik doğrulama hataları doğrudan sepet terk etme oranlarını artırır, bu da kullanıcı deneyimi optimize edilmiş giriş akışlarını gerekli kılar.

Öneri: E-ticaret platformları, yüksek benimseme oranları sunan bir passkey uygulama sağlayıcısından en çok fayda sağlar. Amazon ve Shopify gibi büyük platformlar, teknolojinin e-ticarette artan benimsenmesini göstererek passkey kimlik doğrulamasını uygulamıştır. Gerçek dünya verileri, ilk şifre girişlerinin %27'sinden fazlasının başarısız olduğunu, oysa passkey tabanlı kimlik doğrulamanın önceki benimsemelerde gösterildiği gibi %95-97'ye varan başarılı giriş oranları elde edebileceğini göstermektedir. Passkey ROI analizi, daha yüksek dönüşüm oranlarının ve daha düşük dolandırıcılık kayıplarının yatırımı hızla haklı çıkardığını göstermektedir.

Amazon geçtiğimiz günlerde %100 passkey benimsenmesi ve şifrelerin tamamen ortadan kaldırılması gibi iddialı bir hedef belirlediklerini söyledi.

Google ayrıca, passkey'lerle etkileşime giren deneme kullanıcılarının, etkileşime girmeyenlere göre ödeme yapan müşterilere dönüşme olasılığının %20 daha fazla olduğunu tespit etti.

Örnekler: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target

Temel Hususlar:

• Cihazlar arası kimlik doğrulama esastır, çünkü kullanıcılar bir cihazda seyahat rezervasyonu yapar ve başka bir cihazda check-in yaparlar.
• Passkey uzmanı sağlayıcılar, uygun rezervasyonlar, check-in'ler ve hesap yönetimi için hızlı ve güvenli girişler sağlamalıdır.
• Seyahat platformları yüksek değerli işlemler gerçekleştirdiğinden dolandırıcılığın önlenmesi bir önceliktir.

Öneri: Çoğu seyahat şirketi, güvenliği ve kullanıcı deneyimini geliştirmek için passkey çözümleri uygulamalıdır. Kayak gibi önde gelen şirketler ve büyük havayolları, kullanıcı deneyimlerini iyileştirmek için zaten passkey kimlik doğrulamasını kullanıyor. Hazır çözümler, daha güçlü dolandırıcılık tespiti, sorunsuz giriş deneyimleri ve anında çoklu cihaz desteği sağlar. Konaklama sektörü, özellikle passkey uygulamasıyla check-in sürelerinin kısalmasından ve güvenliğin artmasından faydalanarak tüm temas noktalarında (uygulamalar, kiosklar, web ve ortak platformlar) sorunsuz kimlik doğrulama sağlamaktadır.

Örnekler: Air New Zealand, Bolt, Grab, Uber, Hyatt

Temel Hususlar:

• Passkey uygulama maliyetleri, uyumluluk ihtiyaçları ve kullanıcı deneyimi iyileştirmeleriyle uyumlu olmalıdır.
• Birçok sigorta müşterisi teknoloji konusunda çok bilgili değildir, bu nedenle her türlü cihaz ve tarayıcıda kullanıcı deneyimi bir zorunluluktur.
• Poliçe yönetimi ve hasar işlemleri için genellikle kimlik doğrulama ile passkey entegrasyonu gereklidir.

Öneri: Hızlı dağıtım ve yasal uyumluluk için harici bir passkey çözümü en uygunudur. Sigorta sağlayıcıları, passkey'leri uyguladıktan sonra kimlik doğrulamayla ilgili destek biletlerinde önemli bir azalma bildirmektedir. Özelleştirilebilir kimlik doğrulama akışları ve entegre kimlik doğrulaması olan bir passkey uygulama sağlayıcısı, müşteri girişlerini basit tutarken güvenliği sağlar. Passkey ROI analizi, şifre sıfırlamalarını ve dolandırıcılık kayıplarını azaltmanın sağlayıcı maliyetlerini dengelediğini göstermektedir.

Örnekler: Branch

Temel Hususlar:

• En yüksek güvenlik standartları ve uyumluluk gereksinimleri (ör. NIST, Essential Eight çerçevesi oltalama saldırılarına dayanıklı MFA gerektirir).
• Farklı teknik yeterliliğe sahip çeşitli kullanıcı popülasyonları arasında büyük ölçekli dağıtım ihtiyaçları.
• Mevcut devlet kimlik doğrulama sistemleri ve eski altyapı ile entegrasyon gereksinimleri.

Öneri: Devlet kurumları için, erişilebilirliği sağlarken katı güvenlik standartlarını karşılayan özel bir passkey çözümü esastır. VicRoads'daki uygulama başarısı, devlet kuruluşlarının uyumluluk gereksinimlerini ve güvenlik güncellemelerini otomatik olarak yöneten harici passkey çözümlerinden en çok fayda sağladığını göstermektedir. Bu nedenle, kurumsal düzeyde güvenlik sunan, çoklu cihaz kimlik doğrulamasını destekleyen ve tüm vatandaşları kapsayacak şekilde uyarlanabilir kimlik doğrulama akışları sağlayan bir passkey uygulama sağlayıcısı seçin.

Örnek: VicRoads, myGov, State of Michigan

Temel Hususlar:

• Ölçeklenebilirlik ve güvenilirlik kritiktir, çünkü telekom ve kamu hizmeti sağlayıcıları genellikle çeşitli müşteri segmentlerinde milyonlarca kullanıcıyı yönetir, bu da yüksek düzeyde kullanılabilir ve hataya dayanıklı kimlik doğrulama gerektirir.
• Kullanıcılar hesaplarına mobil uygulamalar veya web portalları aracılığıyla eriştiklerinden çoklu cihaz ve platformlar arası destek esastır. Sorunsuz passkey kimlik doğrulaması tüm müşteri temas noktalarında çalışmalıdır.
• Telekom ve kamu hizmeti sağlayıcılarının passkey'leri mevcut IAM sistemlerine ve müşteri kimlik platformlarına mevcut kimlik doğrulama akışlarını bozmadan entegre etmeleri gerekebileceğinden, eski kimlik doğrulama sistemleri için destek genellikle gereklidir.
• Özellikle SIM takas dolandırıcılığı, kimlik hırsızlığı ve yetkisiz hesap erişimi için dolandırıcılığın önlenmesi ve hesap güvenliği en önemli önceliklerdir. Passkey'ler, oltalama (phishing) saldırılarını ve kimlik bilgisi doldurma (credential stuffing) risklerini önemli ölçüde azaltabilir.

Öneri: Telekom ve kamu hizmeti sağlayıcıları için harici bir passkey çözümü benimsemek önerilen yaklaşımdır. Bu endüstrilerin ölçeği, karmaşıklığı ve güvenlik talepleri göz önüne alındığında, yönetilen bir passkey sağlayıcısı uyumluluğu, yüksek kullanılabilirliği ve mevcut kimlik doğrulama altyapısıyla sorunsuz entegrasyonu sağlar. Telekom devleri ve dijital öncelikli kamu hizmeti sağlayıcıları, dolandırıcılığı azaltmak ve kullanıcı deneyimini iyileştirmek için güvenlik modernizasyon çabalarının bir parçası olarak passkey'leri zaten benimsiyor. Ek olarak, passkey uygulamasını dış kaynak olarak kullanmak, devam eden bakım, güvenlik güncellemeleri ve yasal uyumluluk sağlayıcı tarafından yönetildiği için şirket içinde geliştirmeye kıyasla Toplam Sahip Olma Maliyetini (TCO) düşürür.

Örnek: Deutsche Telekom, Telstra, SK Telecom

Temel Hususlar:

• B2B SaaS için çok kiracılı kimlik doğrulama esastır ve farklı IAM sistemleri arasında ölçeklenebilir passkey entegrasyonu gerektirir.
• İşletmeler SSO (OIDC/SAML) bekler, bu nedenle Kimlik Sağlayıcıları ile sorunsuz bir entegrasyon iş açısından kritiktir.
• Passkey uygulama maliyetleri, çok faktörlü kimlik doğrulama (MFA) ve sıfır güven güvenlik modelleri gibi diğer güvenlik yatırımlarıyla dengelenmelidir.

Öneri: Çoğu B2B SaaS sağlayıcısı için harici bir passkey uygulaması en uygun seçimdir. Uygulama genellikle şirket içi geliştirmeden daha hızlıdır. Notion, Hubspot veya Vercel gibi dijital B2B şirketleri, kimlik doğrulama güvenliklerini artırmak için passkey'leri zaten benimsemiştir. Bakım, güncellemeler ve uyumluluk gereksinimleri sağlayıcı tarafından karşılandığı için Toplam Sahip Olma Maliyeti şirket içi geliştirmeden önemli ölçüde daha düşüktür.

Örnek: Canva, DocuSign, Notion

Passkey'ler, son kullanıcılar için girişleri basitleştirirken güvenliği artıran küresel kimlik doğrulama standardı haline gelmiştir. Şirketler passkey'leri nasıl uygulayacaklarını değerlendirirken, şirket içi bir çözüm mü geliştireceklerine yoksa özel bir passkey sağlayıcısından mı yararlanacaklarına karar vermelidirler. Kendin Yap (DIY) uygulamaları tam kontrol sunsa da, önemli teknik uzmanlık, geliştirme kaynakları ve sürekli bakım gerektirir. Buna karşılık, passkey sağlayıcıları daha hızlı, ölçeklenebilir ve uygun maliyetli bir yaklaşım sunarak yüksek benimseme oranları, sorunsuz kullanıcı deneyimi ve gelişen güvenlik standartlarına uyum sağlar.

Bu rehber aşağıdaki temel soruları ele almıştır:

• Passkey'leri uygulamak ve şifresiz bir sisteme geçmek için hangi bileşenler gereklidir?

  Başarılı bir passkey dağıtımı, FIDO2/WebAuthn altyapısı, sorunsuz kullanıcı deneyimi akışları, yedek mekanizmalar ve güvenli hesap kurtarma seçenekleri gerektirir. Şirketler ayrıca platformlar arası uyumluluğu ve güvenlik uyumluluğunu da göz önünde bulundurmalıdır.

• Passkey'leri şirket içinde mi uygulamalıyım, yoksa harici bir sağlayıcı mı kullanmalıyım?

  Şirket içi geliştirme kontrol sunsa da, yüksek karmaşıklık, devam eden bakım maliyetleri ve güvenlik sorumlulukları ile birlikte gelir. Çoğu büyük ölçekli, tüketiciye yönelik kuruluş, hızlı dağıtım, daha düşük operasyonel maliyetler ve azaltılmış teknik yük sağlayan harici bir passkey çözümünden yararlanır.

• Açık kaynaklı kütüphaneler varken bir passkey sağlayıcısına sahip olmanın faydası nedir?

  Açık kaynaklı WebAuthn kütüphaneleri bir başlangıç noktası sağlar ancak kurumsal düzeyde güvenlik, passkey optimize edilmiş kullanıcı deneyimi ve benimsemeyi artıran özelliklerden yoksundur. Bir passkey sağlayıcısı, sorunsuz dağıtım, ölçeklenebilirlik ve hem kullanıcılar hem de geliştiriciler için sürtünmeyi azaltan, daha iyi yatırım getirisi sağlayan optimize edilmiş kullanıcı benimseme stratejileri sağlar.

• Bir passkey çözümü geliştirmenin en büyük zorlukları nelerdir?

  Şirket içi bir passkey sistemi geliştirmek, WebAuthn, çoklu cihaz desteği ve passkey benimsenmesi konularında derin uzmanlık gerektirir. Devam eden cihaz ve tarayıcı karmaşıklığını sürdürmek ve yüksek benimseme oranları sağlamak, karmaşıklığı daha da artırır.

• Passkey'leri şirket içinde uygulamanın riskleri nelerdir?

  Şirketler yüksek geliştirme maliyetleri, uzayan dağıtım zaman çizelgeleri ve devam eden güvenlik bakım yükleri riskiyle karşı karşıyadır. Uyumsuzluklar, güvenlik açıkları ve zayıf kullanıcı benimsemesi, bir passkey dağıtımının başarısını rayından çıkarabilir. Sağlayıcı tarafından yönetilen bir passkey çözümü, yerleşik güvenlik ve yasal uyumluluğa sahip kanıtlanmış, ölçeklenebilir bir kimlik doğrulama altyapısı sunarak bu riskleri azaltır.