Tại sao Nhà cung cấp Xác thực Passkey giúp bạn tiết kiệm hơn 100.000 USD

Trong bài viết này, chúng ta sẽ làm sáng tỏ 5 ngộ nhận phổ biến nhất mà chúng tôi thường gặp khi nói về việc triển khai passkey vào quy trình xác thực (hiện có), và sử dụng một phép tính mẫu để cho thấy tại sao việc tìm kiếm một nhà cung cấp chuyên biệt, thực sự am hiểu về passkey, lại là một quyết định hợp lý.

Passkey thật tuyệt vời. Lần đầu tiên trong lịch sử xác thực, không chỉ tính bảo mật cho người dùng được cải thiện đáng kể mà cả sự tiện lợi cũng vậy. Ngày nay, hầu hết mọi người đã quen với việc mở khóa điện thoại bằng khuôn mặt hoặc vân tay. Mang tương lai thân thiện với người dùng này lên web chỉ là bước đi hợp lý tiếp theo. Cùng với cơ sở hạ tầng khóa công khai nền tảng, tận dụng mật mã hóa bất đối xứng, passkey có vẻ là giải pháp hoàn hảo. Điều đó đúng từ góc nhìn của người dùng cuối, nhưng đối với các tổ chức, việc tự triển khai tiêu chuẩn xác thực mới này trong nội bộ là một nỗ lực khổng lồ, đi kèm với nhiều rủi ro và chi phí cao. Bài viết này giải thích những ngộ nhận phổ biến nhất về passkey và cách để giảm thiểu chúng.

Trước hết, passkey dựa trên các tiêu chuẩn mở được định nghĩa bởi liên minh FIDO (Fast Identity Online), nơi có sự tham gia của tất cả các ông lớn công nghệ như Microsoft, Apple, Google và những công ty khác như PayPal, eBay hay Visa.

Tuy nhiên, các tiêu chuẩn mở này lại có tài liệu hướng dẫn khá sơ sài, khiến việc triển khai vào các hệ thống hiện có và tích hợp vào luồng người dùng trở nên thách thức trong thực tế. Điều này đòi hỏi phải tự xây dựng các luồng người dùng cũng như các tích hợp kỹ thuật từ đầu. Để thêm passkey vào hệ thống hiện tại của bạn, tài liệu và việc triển khai cơ bản là không đủ nếu bạn đã có sẵn hệ thống xác thực cho người dùng hiện tại.

Hơn nữa, khó khăn thực sự bắt đầu khi bạn có người dùng từ các nền tảng khác nhau (iOS, Android, Windows) sử dụng nhiều thiết bị, vì passkey (một phần) gắn liền với thiết bị. Việc triển khai cũng như trải nghiệm người dùng thay đổi tùy thuộc vào nền tảng, biến nó thành một nỗ lực phức tạp để cung cấp passkey làm phương thức đăng nhập ưu tiên cho tất cả người dùng của bạn. Đặc biệt ngày nay, khi nhiều người dùng có nhiều hơn một thiết bị, việc hỗ trợ đúng cách tất cả các thiết bị và hệ điều hành là điều cần thiết.

Về lý thuyết, điều này đúng nhưng có những chi phí ngầm, đặc biệt là cho việc tích hợp và bảo trì. Ban đầu, bạn cần xây dựng một ý tưởng cho các luồng quy trình và UX, thường được thực hiện bởi 1-2 quản lý sản phẩm. Việc này có thể mất đến 2 tháng và, tùy thuộc vào kinh nghiệm của các quản lý sản phẩm, có thể tốn tới 30.000 USD. Sau khi hoàn thành, cần có các kiến trúc sư hệ thống, quản lý sản phẩm và nhà phát triển để tích hợp giải pháp này. Sau đó, bạn phải tốn công sức bảo trì, ví dụ như vận hành máy chủ FIDO2. Hơn nữa, bạn cần đảm bảo một quá trình chuyển đổi người dùng mượt mà để không làm người dùng của bạn choáng ngợp, điều này rất phức tạp để thiết kế và triển khai nội bộ, và do đó rất tốn kém.

Ngoài ra, bạn cần vận hành cơ sở hạ tầng: máy chủ và cơ sở dữ liệu ngày nay không miễn phí. Đặc biệt, nếu bạn cần chúng hoạt động an toàn và đáng tin cậy với tính sẵn sàng cao tại một điểm quan trọng như vậy trong ứng dụng của mình. Tất cả những điều này tốn rất nhiều tiền mà bạn nên dành cho các tính năng cốt lõi của mình thì hơn.

Hơn nữa, các bên ngoài khác để cung cấp các hệ thống dự phòng xung quanh như dịch vụ email hoặc SMS cần được lựa chọn, quản lý và giám sát. Tất nhiên, bạn cũng có thể tự làm điều đó, nhưng người dùng của bạn mong đợi việc gửi email giao dịch nhanh như chớp và tính sẵn sàng cao. Tin chúng tôi đi, bạn không muốn tự mình tối ưu hóa việc gửi email đâu. Các dịch vụ này không miễn phí và làm tăng thêm chi phí.

Khi nói chuyện với khách hàng, đây có lẽ là quan niệm sai lầm phổ biến nhất và là khó khăn thực sự của việc xác thực. Cung cấp passkey cho một ứng dụng hoàn toàn mới có thể được thực hiện khá đơn giản. Phần khó khăn là chuyển đổi người dùng hiện tại sang passkey. Hầu hết thời gian, cơ sở người dùng khá không đồng nhất vì có những người dùng tiên phong muốn bỏ mật khẩu của họ ngay lập tức và chuyển sang passkey càng sớm càng tốt. Mặt khác, bạn có những người thích gắn bó với mật khẩu của họ. Việc đưa ra các luồng cá nhân khác nhau trong khi vẫn khéo léo và thông minh hướng tất cả người dùng đến với passkey chính là thách thức thực sự.

Sau khi tích hợp ban đầu, nhiều người nghĩ rằng passkey sẽ tự hoạt động và việc áp dụng sẽ tự đến. Đó là một quan niệm sai lầm phổ biến khác vì passkey là một tính năng quan trọng về mặt bảo mật, mang lại nhiều rủi ro. Điều này có nghĩa là chúng cần được giám sát và đội ngũ giám sát chúng cần phải là chuyên gia về bảo mật với nhiều kinh nghiệm.

Hơn nữa, việc áp dụng passkey cần được theo dõi liên tục để phát hiện các vấn đề tiềm ẩn trong giai đoạn chuyển đổi, đòi hỏi phải có những thay đổi trong việc triển khai.

Trước cả khi nghĩ đến việc triển khai kỹ thuật của passkey và bắt tay vào viết mã, rất nhiều công việc về mặt ý tưởng phải được thực hiện trước. Đặc biệt, khi tích hợp một công nghệ mới như passkey, nơi chất lượng và số lượng các phương pháp hay nhất và tài liệu hiện có còn thấp, nhiều quy trình về mặt ý tưởng cần được xem xét. Trong số những điều quan trọng nhất là:

1. Phác thảo toàn bộ quy trình đăng ký và đăng nhập: Khi thiết kế luồng từ lúc bắt đầu đăng ký hoặc đăng nhập đến khi xác thực thành công, vô số bước quy trình chạy ngầm. Chúng cần được mô hình hóa và cấu trúc trong các cây logic phức tạp. Việc thiết kế riêng các trường hợp tiêu chuẩn đã là một nhiệm vụ phức tạp, hoàn toàn không thể so sánh với nỗ lực lớn hơn nhiều cần thiết để bao quát tất cả các trường hợp ngoại lệ có thể xảy ra. Cuối cùng, phải có một quy trình xác thực hoạt động trong mọi tình huống tiềm năng và xác thực được người dùng.
2. Quan tâm đến việc sử dụng đa nền tảng: Điều quan trọng là phải đảm bảo rằng người dùng có thể sử dụng passkey trên cả nhiều thiết bị và nhiều nền tảng, đồng thời hướng dẫn họ một cách mượt mà qua các quy trình xác thực ngay cả khi passkey chưa có sẵn.
3. Đảm bảo khả năng tương thích ngược: Để thúc đẩy việc sử dụng passkey, cần phải phát triển một cơ chế không chỉ tự động phát hiện sự sẵn sàng của passkey trên tất cả các thiết bị mà người dùng muốn xác thực, mà còn nhận biết liệu người dùng có muốn đăng nhập bằng passkey ngay từ đầu hay không. Nếu người dùng thay vào đó, thích tiếp tục với các tùy chọn đăng nhập hiện tại như mật khẩu, đăng nhập mạng xã hội hoặc SSO, thì cần phải chạy song song xác thực kết hợp.
4. Cung cấp dịch vụ khôi phục: Nghe có vẻ hiển nhiên, nhưng việc đưa ra một luồng cho việc tự đặt lại mật khẩu và các tùy chọn dự phòng có thể xảy ra trong trường hợp có lỗi là một trong những nhiệm vụ khó khăn nhất, vì bạn cần đảm bảo rằng người dùng có thể xác thực trong trường hợp họ quên mật khẩu hoặc chưa bao giờ đặt mật khẩu.
5. Thiết kế một trải nghiệm người dùng (UX) tuyệt vời: UX không chỉ đơn thuần là tạo ra một giao diện thân thiện với người dùng. Đối với phần mềm nói chung, quản lý thiết bị và sở thích người dùng, giao tiếp với người dùng và thiết kế tùy chỉnh cho nhận diện thương hiệu (CI) của bạn đóng một vai trò quan trọng. Vì passkey gắn liền với thiết bị, các công ty cần tập trung chủ yếu vào quản lý thiết bị để đảm bảo rằng việc sử dụng passkey hoạt động hoàn hảo cho tất cả các thiết bị của người dùng. Khi nói đến giao tiếp với người dùng, cần phải giáo dục người dùng của bạn bằng các thông điệp người dùng được xác định trước và đã được kiểm thử.

Tất cả các bước này đòi hỏi các quản lý sản phẩm và nhà phát triển phải mất nhiều giờ và thường bị xem nhẹ trong quá trình phát triển phần mềm.

Cuộc tranh luận về việc tự xây dựng hay mua sẵn phần mềm không có gì mới. Khi quyết định về vấn đề này, bạn phải tính đến nhiều yếu tố. Yếu tố chính đối với bất kỳ công ty nào là khối chi phí đến từ việc phát triển hoặc mua phần mềm. Khi mua các giải pháp phần mềm, ví dụ như cho xác thực passkey, người ta thường cho rằng chi phí ban đầu rất cao. Tuy nhiên, các công ty thường quên rằng việc phát triển nội bộ cũng tốn kém không kém, vì chi phí của nó phụ thuộc, ví dụ, vào độ phức tạp của chính phần mềm, quản lý sản phẩm, thiết kế UX/UI, đội ngũ phát triển và thường có nhiều chi phí ẩn (đặc biệt là bảo trì và cập nhật).

Để làm sáng tỏ chi phí phát triển phần mềm xác thực, đây là một phép tính cơ bản cho một công ty có đội ngũ xác thực nội bộ cung cấp dịch vụ cho người dùng máy tính để bàn, di động và ứng dụng gốc. Bên cạnh xác thực bằng email/số điện thoại và mật khẩu, họ cũng có đăng nhập mạng xã hội:

• 2 nhà phát triển backend: 126.000 USD
• 1 nhà phát triển frontend: 60.000 USD
• 1 nhà phát triển iOS: 60.000 USD
• 1 nhà phát triển Android: 68.000 USD
• 2 quản lý sản phẩm: 170.000 USD
• 1 quản lý dự án: 85.000 USD

Xin lưu ý rằng đây là tổng lương hàng năm và dựa trên mức lương trung bình theo tiêu chuẩn ngành theo Glassdoor, không bao gồm các chi phí lao động ngoài lương.

• Thời gian: 1,5 tháng
• Stakeholder của đội ngũ phát triển phần mềm: 2 quản lý sản phẩm, 1 quản lý dự án
• Tổng chi phí (lương): 31.875 USD

• Thời gian: 3,0 tháng
• Stakeholder của đội ngũ phát triển phần mềm: 2 quản lý sản phẩm, 1 quản lý dự án, 2 nhà phát triển backend, 1 nhà phát triển frontend, 1 nhà phát triển iOS, 1 nhà phát triển Android
• Tổng chi phí (lương): 143.750 USD

Tổng chi phí phát triển phần mềm: 175.625 USD

Tất nhiên, đây là một sự đơn giản hóa không tính đến nhiều chi phí, chẳng hạn như chi phí chuyển đổi hoặc đào tạo. Trong trường hợp bạn cần thêm cơ sở hạ tầng như máy chủ và cơ sở dữ liệu hoặc dịch vụ đám mây, bạn sẽ phải chịu thêm chi phí. Đặc biệt đối với phần mềm xác thực cần bảo vệ dữ liệu cá nhân ở mức tối đa, chi phí có thể cao hơn đáng kể, vì vậy việc sử dụng các nhà cung cấp passkey chuyên dụng như Corbado là rất đáng giá.

Tóm lại: passkey là một tiêu chuẩn mở mà bất kỳ ai cũng có thể tích hợp miễn phí. Nhưng đây là một cái nhìn rất thiển cận. Khi xem xét kỹ hơn các tác động của việc sử dụng passkey, rõ ràng việc sử dụng một nhà cung cấp passkey như Corbado là cách thông minh và tiết kiệm chi phí hơn nhiều. Đặc biệt, vì xác thực hiếm khi là một tính năng cốt lõi mà更像是 một tiện ích cần có trong một sản phẩm hiện đại, việc tận dụng kiến thức và khả năng của một chuyên gia bên ngoài là một lựa chọn khôn ngoan.

Bạn vẫn chưa bị thuyết phục? Hãy thử giải pháp của Corbado miễn phí và không có rủi ro ngay hôm nay.