2026年最佳CIAM解决方案比较：无密码与AI

关键事实

2026年，Web通行密钥就绪率在已完成的登录中约占89%，但《Corbado 2026年通行密钥基准报告》测量了四种实施方案，在相同的就绪率上限下，通行密钥登录率从5%到60%+不等。
在通用的CIAM实现中，通行密钥采用率停滞在5-10%。在50万月活跃用户(MAU)的规模下，这意味着仍有45万用户依赖密码和SMS OTP。
通过模型上下文协议(MCP)实现的AI代理身份现在是核心的CIAM需求：95%的组织提到了关于AI代理的身份安全顾虑。
大规模使用通行密钥可将SMS OTP成本降低60-90%。在50万MAU下，这相当于每年节省5万到10万美元甚至更多。
在任何CIAM平台上原生构建通行密钥都需要产品、开发和QA团队投入25-30个人月，外加每年1.5个全职员工(FTE)进行持续维护。
Firebase和Supabase完全缺乏原生的通行密钥支持，这使它们不适合需要企业级无密码身份验证或自适应MFA的大规模B2C部署。

1. 简介：面向大规模B2C的CIAM解决方案#

客户身份和访问管理(CIAM)已经从一个简单的登录门户演变为数字企业的神经中枢。对于大规模的B2C部署（例如在200万总用户基础中拥有50万月活跃用户(MAU)），CIAM的选择直接影响安全态势、身份验证成本和转化率。

获取面向企业的免费 passkey 白皮书。

组织在2026年面临着双重使命。首先，他们必须根除密码，因为密码仍然是数据泄露和账户接管的主要媒介。其次，他们必须对非人类实体进行身份验证——特别是通过模型上下文协议(MCP)等协议执行操作的AI代理。

本报告评估了2026年面向大规模B2C领先的CIAM解决方案——Auth0、Clerk、Descope、Ory、Ping Identity、IBM Verify、Stytch、Zitadel、Amazon Cognito、FusionAuth、Firebase和Supabase，并附带了在50万MAU规模下的粗略定价估算。它还解释了Corbado如何在任何CIAM平台之上解决通行密钥采用这一普遍挑战。

2. 决定2026年CIAM市场的宏观趋势#

2.1 无密码势在必行与采用谬误#

密码和SMS OTP存在根本性缺陷——容易受到网络钓鱼、凭据填充和用户体验摩擦的影响。FIDO联盟的WebAuthn标准（通行密钥）通过公钥密码学和域绑定解决了这个问题，使身份验证天生具有抗网络钓鱼能力。

到2026年，75%的消费者都知道通行密钥，前100大网站中近一半提供该功能。通行密钥在登录速度和成功率方面带来了巨大提升。对于大规模的无密码B2C部署，过渡到通行密钥可以使SMS成本降低高达90%——在50万MAU的情况下，这转化为每年数十万美元的节省。

然而，市场面临着“原生通行密钥采用谬误”。大多数身份提供商提供通行密钥/WebAuthn API，但启用它们的组织常常发现采用率停滞在5%到10%。《Corbado 2026年通行密钥基准报告》——基于对大规模B2C部署背后身份验证团队的100多次采访，加上来自Corbado咨询业务的标准化遥测数据——量化了这一差距。在固定的89%的Web就绪率上限下，仅在设置中提供通行密钥的选项会产生约5%的通行密钥登录率；一个简单的登录后提示会将其提升至约23%；而一个以通行密钥优先的返回流程（具有自动创建和标识符优先的恢复功能）则超过60%。CIAM平台很少是改变这些数字的变量——真正起作用的是位于其上层的提示逻辑、设备分类和登录入口设计。

这对CIAM评估的影响是结构性的。现代选型不能停留在“平台是否公开WebAuthn API”层面；它必须评估平台是否支持智能的通行密钥采用旅程，将准备就绪的受众转化为通行密钥优先的用户群。盲目提示用户的通用UI会导致登录中断、产生支持工单并阻碍推广。

查看实际有多少人在使用 passkeys。

查看采用数据

2.2 代理AI与模型上下文协议(MCP)#

2026年CIAM领域最具颠覆性的力量是机器身份。随着AI从聊天机器人过渡到执行工作流并访问API的自主代理，传统的以人类为中心的IAM正在崩溃。95%的组织提到了关于AI代理身份安全的顾虑。

模型上下文协议(MCP)——Anthropic提出的一项开放标准——为LLM与外部数据和工具通信提供了一种通用语言：

**MCP主机(MCP Host)：**包含LLM的环境（例如，由AI驱动的IDE）。
**MCP客户端(MCP Client)：**主机内促进通信的管道。
**MCP服务器(MCP Server)：**公开功能和数据的外部服务。
**传输层(Transport Layer)：**使用JSON-RPC 2.0消息的机制。

W3C新兴的WebMCP引入了浏览器原生API（navigator.modelContext），使网站能够将功能作为结构化工具公开给AI代理。在2026年，CIAM提供商必须支持OAuth 2.1、客户端ID元数据文档(CIMD)和工具级作用域，以便像管理人类用户一样管理AI代理。

2.3 CIAM中的AI：现实与炒作#

并非CIAM中所有的AI功能都能提供同等价值。

真正有用的：

**基于风险的自适应身份验证：**分析行为生物识别、位置、设备信誉和时间段，以动态调整登录摩擦。仅在出现异常行为时强制执行MFA。
**代理身份管理(Agentic Identity Management)：**将AI代理视为一等身份，具有细粒度授权、任务范围内的凭据，并通过MCP实现安全的M2M通信。
**AI驱动的欺诈检测：**利用机器学习在边界识别凭据填充、僵尸网络和欺诈性账户创建。

炒作和“锦上添花”：

**用于身份验证逻辑的AI编程助手：**使用LLM编写关键安全脚本，如果不进行严格审计，会引入漏洞。
**“AGI”身份治理：**承诺没有结构化数据也能实现身份管理的通用智能。没有经过整理的身份上下文，LLM会产生幻觉——真正的安全需要确定性的规则。

3. 供应商简介#

下表主要针对在50万MAU（200万总用户基础）下的大规模B2C部署，比较了所有受评估的供应商。定价估算基于公开数据的粗略近似值，并且可能会根据企业合同的谈判而有所不同。

2026年CIAM供应商概览（50万MAU / 200万用户）

供应商	通行密钥 / 无密码	50万MAU预估价格	优点	缺点
Auth0	通用登录（托管页面）+ API/SDK中的通行密钥，所有层级支持，无采用推送	1.5万-3万美元/月（企业定制）	无限的扩展性，庞大的市场，成熟的平台	在大规模时昂贵，学习曲线陡峭
Clerk	仪表板开关在预建组件中启用通行密钥	约9千美元/月（Pro计划，$0.02/MRU）或定制	一流的开发者体验(DX)，快速部署	以React为中心，自托管有限，高MAU下成本高昂
Descope	可视化拖拽通行密钥工作流	定制企业定价	无代码编排，强大的B2C用户体验	自定义前端的灵活性有限
Ping Identity	在DaVinci流程中通过WebAuthn节点实现通行密钥 + SDK支持	3.5万-5万+美元/年（企业计划）	深度合规，混合部署，与ForgeRock合并	设置复杂，传统定价，学习曲线陡峭
IBM Verify	FIDO2/通行密钥与自适应MFA	定制（资源单位）	混合云，AI驱动的ITDR	定价复杂，管理UI过时，设置繁琐
Ory	提供简单的通行密钥策略	约1万美元/年（Growth计划）+ 定制	开源，模块化，细粒度RBAC/ABAC	需要自定义UI，工程工作量大
Stytch	通过WebAuthn API/SDK实现通行密钥，需要先验证主因素	约4.9千美元/月（B2C Essentials计划）或定制	强大的防欺诈功能，面向AI代理的Web Bot Auth	需要工程工作量，B2B计划在大规模下昂贵
Zitadel	内置通行密钥	定制企业定价	开源	生态系统较小
Amazon Cognito	托管登录v2（Essentials层及以上）中原生通行密钥，API支持	约7千-1万美元/月（Essentials/Plus计划）	巨大的AWS可扩展性，基础价格低	工程开销大，UI有限，隐藏维护成本高
FusionAuth	托管登录页面中原生WebAuthn + 用于自定义流程的API	约3.3千-5千美元/月（Enterprise计划）	完全自托管，无供应商锁定	需要专门的运维人员，社区较小
Firebase Auth	无原生通行密钥支持	约2.1千美元/月（Identity Platform）	设置快速，慷慨的免费层级，Google Cloud集成	无通行密钥
Supabase Auth	无原生通行密钥支持	约599美元/月（Team计划）	原生PostgreSQL，开源，快速DX	无通行密钥

3.1 Auth0 (Okta Customer Identity Cloud)#

Auth0是占据主导地位的现任领导者。其核心优势在于可扩展性：Auth0 Actions允许架构师注入自定义的Node.js逻辑，用于声明映射、风险评分和API集成。Auth0 Marketplace增加了预先验证的身份验证、同意和欺诈检测集成。

在50万MAU时，Auth0稳固地处于企业合同领域。基于MAU的定价并带有严格的功能付费墙产生了“增长惩罚”。预计每月花费1.5万到3万美元，具体取决于功能和谈判。对于拥有复杂传统集成的大规模B2C，Auth0仍然是一个可靠但昂贵的选择。

3.2 Clerk#

Clerk主导了React和Next.js生态系统，提供了可组合、即插即用的组件（<SignIn />;, <SignUp />;），让开发人员能够在几分钟内启动身份验证。

在涉及Anthropic的Anthology Fund的5000万美元C轮融资之后，Clerk致力于发展“代理身份”——重新设计API和React钩子以优化AI工具性能，并与扩展OAuth以支持代理身份的IETF规范保持一致。在50万MAU下的Pro计划中（超过包含的5万部分后每MRU $0.02），预计约9千美元/月。带有数量折扣的企业合同可以降低这个成本。

企业 Passkey 白皮书. 面向 passkey 项目的实用指南、推广模式和 KPI。

获取白皮书

3.3 Descope#

Descope通过可视化的无代码身份编排引擎实现了差异化。产品经理可以通过拖拽设计身份验证工作流、A/B测试无密码流程并映射用户旅程——将身份逻辑从应用代码中解耦。

其Agentic Identity Hub 2.0将AI代理视为一等身份，在MCP服务器上实施企业级策略。在50万MAU时，适用企业定制价格——Growth层上每MAU $0.05的超额费率将高得令人望而却步（2.4万美元+/月），因此需要直接谈判。

3.4 Ping Identity (含ForgeRock)#

在与ForgeRock合并后，Ping Identity提供了最全面的企业身份套件之一。PingOne Advanced Identity Cloud通过DaVinci可视化流引擎中的编排节点提供通行密钥身份验证。

Ping在受监管的行业中表现出色，具有深度的合规认证、混合部署和专利的数据隔离技术。客户身份包起价为3.5万至5万美元/年，随MAU体量扩展。配置过程需要大量的专业知识。

3.5 IBM Verify#

IBM Verify面向需要跨云和本地混合身份的大型受监管企业。它支持FIDO2/通行密钥身份验证，具有自适应MFA、渐进式基于同意的注册和数百万身份的生命周期管理。

IBM Verify包括监控人类和非人类身份的AI驱动身份威胁检测和响应(ITDR)。定价使用资源单位（在较小规模时每用户/月约1.70至2.00美元），但在50万MAU下，预计需要深度协商的企业合同。

3.6 Ory#

Ory建立在开源Go基础上，提供了一个可扩展的、API优先的身份解决方案。它的模块化架构允许团队独立使用身份管理、OAuth2或权限系统。Ory Network实现了全球扩展，但团队必须构建自定义UI。

Ory使用基于aDAU（平均日活跃用户）的定价而不是MAU，声称与基于MAU的竞争对手相比可节省高达85%。Growth计划起价约1万美元/年，但50万MAU需要企业协商。

3.7 Stytch (Twilio旗下公司)#

在2025年底被Twilio收购后，Stytch充当了Twilio生态系统的身份层。Stytch最初以程序化无密码身份验证（魔法链接、生物识别、OTP）而闻名，现在则专注于防欺诈和AI安全。

它的Web Bot Auth让良性AI代理可以通过密码学对网站进行身份验证。对于50万MAU的B2C场景，Essentials计划（1万免费额度后每MAU $0.01）费用约为4.9千美元/月。面向B2B的Growth计划（每MAU$ 0.05）将花费约2.5万美元/月。在此规模下，通常需要进行企业级协商。

3.8 Zitadel#

Zitadel是Ory的一个开源替代方案——云原生、API优先且用Go编写。它原生包含了委托访问管理以及通过OAuth/OIDC进行的社交登录。按需付费的定价避免了按席位锁定的问题，并在开源版和托管版之间实现了无缝对等。在50万MAU时，适用企业定价。

3.9 Amazon Cognito#

Amazon Cognito在AWS生态系统内提供了巨大的可扩展性。自2024年底以来，Cognito在Essentials层及更高版本中通过Managed Login v2支持原生的通行密钥——较便宜的Lite层（ $0.0046-0.0055/MAU，50万MAU下约2.1千美元/月）不支持通行密钥。对于支持通行密钥的层级在50万MAU时：Essentials费用约为7,350美元/月（$ 0.015/MAU）；Plus（带威胁保护）费用约为10,000美元/月（$0.020/MAU）。虽然基础价格具有竞争力，但隐藏的成本依然可观：用于托管登录以外的自定义UI的工程开销以及有限的通行密钥采用工具。

3.10 FusionAuth#

FusionAuth提供了一个可自托管、API优先的CIAM，带有原生的WebAuthn支持——完全避免了供应商锁定。企业许可起价约为3,300美元/月，最多支持24万MAU。对于50万MAU，预计在一份多年合同上的花费为4千至5千美元/月。代价是：自托管需要专门的DevOps资源。

3.11 Firebase Auth#

Firebase Authentication为消费类应用提供了快速简单的身份验证。在Google Cloud Identity Platform上处理50万MAU时，分层定价（5万免费，之后每MAU $0.0055-$ 0.0046）导致基础验证约为2.1千美元/月。短信验证需通过SNS额外收费。然而，Firebase缺乏原生的通行密钥支持，仅提供短信MFA，也没有高级治理功能。对于需要无密码身份验证或企业级安全性的大规模B2C部署而言，这不是一个可行的CIAM选择。

3.12 Supabase Auth#

Supabase Auth对在PostgreSQL上构建应用开发人员很有吸引力。Team计划（599美元/月）包含最多50万MAU。然而，它没有原生的通行密钥支持——通行密钥需要第三方集成。它还缺乏自适应身份验证和身份验证机制。Supabase最适合作为身份验证的起点，而不是大型B2C的长期CIAM解决方案。

4. 按类别评估CIAM#

4.1 无密码与通行密钥功能#

对于大规模的B2C而言，通行密钥的执行深度决定了你可以实际削减多少短信成本。在50万MAU的规模下，即使通行密钥采用率只提升十个百分点，每月也能节省数万美元。

原生CIAM通行密钥UI以相同方式对待所有平台，但底层的通行密钥就绪情况因操作系统而异。Corbado 2026年通行密钥基准报告测量到，首次Web注册率在iOS上的范围为49-83%，Android上为41-67%，macOS上为41-65%，而在Windows上仅为25-39%。差距并非源于用户偏好——而是源于生态系统的堆栈：iOS将浏览器、身份验证器和凭据提供者紧密绑定在一起；而Windows Hello目前还不是一个条件创建（Conditional Create）路径，并且Edge的通行密钥保存功能直到2025年底才发布。如果不按堆栈对其进行细分的CIAM平台，将会把这种两倍的表现差异抹平为一个平庸的平均值。

Descope提供了最成熟的可视化通行密钥体验。组织无需更改后端代码即可进行通行密钥流程的试点。特定域的通行密钥路由可防止跨子域的身份验证失败，并内置回退到生物识别、魔法链接和OTP的功能。

Clerk将通行密钥简化为单一的仪表板开关。它的Next.js组件能够原生处理WebAuthn注册和身份验证，包括账户恢复和设备同步。

Auth0通过其Universal Login托管页面在所有计划中提供通行密钥，同时通过API/SDK支持自定义流程，以及通过可配置的依赖方（Relying Party）ID支持跨域通行密钥身份验证。然而，Auth0不提供专用的采用功能，且不能完全禁用密码，通常会导致5-10%的采用谬误。

Ping Identity在DaVinci编排引擎中通过WebAuthn节点支持通行密钥——配置起来很复杂。

IBM Verify提供通行密钥支持，具备自适应MFA和通行密钥自动填充功能。合规整合能力强，但设置复杂度高。

Stytch通过WebAuthn API/SDK和前端JS、React以及Next.js SDK提供通行密钥。它要求在注册通行密钥之前拥有已验证的主验证因素（邮箱或手机），增加了通行密钥上手流程的摩擦。

Ory提供具有条件UI（Conditional UI）和可发现凭据的专用通行密钥策略。Zitadel提供内置的通行密钥支持以及自助注册功能。Amazon Cognito现在在Managed Login v2（Essentials层级以上）中提供原生的通行密钥。FusionAuth在其托管登录页面及通过自定义API支持WebAuthn。

Firebase和Supabase完全没有原生的通行密钥支持。

无密码与通行密钥比较

提供商	通行密钥方案	通行密钥采用工具	设备感知提示
Auth0	Universal Login托管页面 + API/SDK，各层级均支持	无 - 开发者必须自行构建采用UX	否
Clerk	仪表板开关，带自动填充的预建组件	基础 - 开关启用通行密钥，无分析	否
Descope	可视化拖拽工作流，特定域路由	可视化流程A/B测试，无设备智能	部分（流程条件）
Ping Identity	DaVinci中的WebAuthn节点 + 原生应用SDK	无 - 需要自定义旅程逻辑	否
IBM Verify	FIDO2/通行密钥带自适应MFA，Flow Designer中的自动填充	无 - 管理员驱动注册	否
Stytch	WebAuthn API/SDK，要求先验证主因素	无 - 开发者必须自行构建采用UX	否
Ory	带条件UI的专用通行密钥策略	无 - 开发者必须构建一切	否
Zitadel	内置通行密钥带自助注册	无 - 基础的管理员注册	否
Cognito	Managed Login v2原生通行密钥 + API	无 - 需要自定义Lambda逻辑	否
FusionAuth	托管登录原生WebAuthn + 自定义流程API	无 - 基础的管理员注册	否
Firebase	无（仅限第三方）	不适用	不适用
Supabase	无（仅限第三方）	不适用	不适用

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

4.2 AI能力与代理身份管理#

Descope在可视化AI身份编排方面处于领先地位。它的Agentic Identity Hub 2.0将AI代理作为一等身份管理，并在MCP服务器上具有OAuth 2.1、PKCE和工具级作用域。

Clerk优化了React hooks以提高AI工具性能，并符合基于OAuth的代理身份的IETF规范。

Stytch专注于验证和欺诈防范。其Web Bot Auth允许应用程序通过密码学验证良性AI代理，同时拦截恶意代理。

IBM Verify贡献了由AI驱动的ITDR功能，监控人类和非人类身份，尽管MCP特定的工具尚不成熟。

Ping Identity通过DaVinci提供企业级M2M身份验证和OAuth 2.1支持，非常适合受监管的环境。

4.3 开发者体验(DX)与实施速度#

Clerk为现代前端生态系统提供了最顺畅的DX，具有预构建的React/Next.js组件和复制安装的模式。

Supabase和Firebase吸引了寻求快速原型的开发人员，尽管它们都缺乏用于大规模B2C的高级CIAM功能。

Auth0提供了详尽的文档，但学习曲线较陡。Actions为历史遗留应用的集成提供了强大的功能，但用于快速部署显得笨重。

Ping Identity和IBM Verify的学习曲线最陡峭——适合大型企业中的专职身份管理团队。

订阅我们的 Passkeys Substack，获取最新消息。

4.4 50万MAU的总拥有成本(TCO)#

仅关注许可费用的采购评估忽略了真正的TCO。在拥有200万用户基础的50万MAU下，真实的成本由三个因素驱动：平台费用、实施工作量和持续维护。

平台费用差异极大。Auth0位于高端（1.5万-3万美元/月）。Cognito支持通行密钥的Essentials层（约7.3千美元/月）看似处于中端，却隐藏了工程开销。Stytch的B2C Essentials计划（约4.9千美元/月）和Clerk（约9千美元/月）提供了有竞争力的费率。FusionAuth、Firebase和Supabase是成本最低的选项，但分别需要自托管或缺乏通行密钥功能。

实施工作量是被忽视的成本。在CIAM平台中从头构建通行密钥大概需要产品管理（约5.5个人月）、开发（约14个人月）和QA（约8个人月）共计25-30个人月。Cognito现在通过Managed Login v2提供原生通行密钥支持，减少了与完全自定义构建相比的工作量——但是除了托管流程以外的定制仍然需要大量工作。在一个纯API优先的平台上（如Ory），所有用户体验都必须从零开始构建。提供预建通行密钥UI的平台（Clerk、Descope）将这一工作量减少到5-10个人月，但仍需要采用优化的工作。

持续维护是隐藏的TCO乘数。实施通行密钥需要针对新操作系统版本、浏览器更新和特定厂商的漏洞进行持续测试。预算约1.5个FTE/年用于发布后的运营：推广管理、跨平台重新测试、元数据更新和支持培训。对于需要自定义UI的平台，仅仅前端的维护就要增加1-2个额外的FTE。

在50万MAU情况下的TCO对比

平台	预计每月平台成本	通行密钥开发工作量	持续维护(FTE/年)	通行密钥采用工具
Auth0	1.5万-3万美元	15-25个人月	约2 FTE	无（自行构建）
Clerk	约9千美元	5-10个人月	约1 FTE	基础（仅开关）
Descope	定制	5-10个人月	约1 FTE	可视化流A/B测试
Ping Identity	3千-4千美元+	20-30个人月	约2.5 FTE	无（自行构建）
IBM Verify	定制	20-30个人月	约2.5 FTE	无（自行构建）
Stytch	约4.9千美元(B2C)	10-15个人月	约1.5 FTE	无（自行构建）
Ory	约1万美元/年 + 定制	25-30个人月	约3 FTE	无（自行构建）
Cognito	约7.3千-1万美元	15-20个人月	约2 FTE	无（自行构建）
FusionAuth	约4千-5千美元	20-25个人月	约2.5 FTE	无（自行构建）
Firebase	约2.1千美元	不适用（无通行密钥支持）	不适用	不适用
Supabase	约599美元	不适用（无通行密钥支持）	不适用	不适用

4.5 通行密钥采用阶梯：从仅有设置项到通行密钥优先返回#

平台费用和构建投入都是输入变量。决定CIAM投资是否获得回报的产出变量是通行密钥登录率——通过通行密钥完成的每日登录占比。Corbado 2026年通行密钥基准报告将其建模为一个四级阶梯。Web就绪率上限在所有四级上都稳定在89%左右；推广的形式而非底层CIAM决定了一个部署会停在阶梯的哪一级。

通行密钥采用阶梯（Corbado 2026年通行密钥基准报告）

推广形态	注册率	使用率	最终通行密钥登录率
仅设置可用（被动）	约4%	约5%	<1%
简单的登录后提示（基线）	约25%	约20%	约4-5%
优化注册（受管）	约65%	约40%	约23%
通行密钥优先返回流程（高级）	约80%	约95%	>60%

多数原生CIAM的实施都会在基线（Baseline）这一级停下来，因为开箱即用的通行密钥UI提供的就是这样：一个简单的登录后开关，没有设备感知提示，对于新设备没有采用标识符优先恢复功能，也无法在已存密码登录后进行自动创建。想要攀登到受管（Managed）或高级（Advanced）级别，需要分群注册提示、生态系统支持条件创建（目前iOS最强，macOS也可行，Android碎片化严重，而Windows由于Windows Hello不是条件创建路径受限），以及对返回设备的一键(One-tap)识别。上面评估的12家供应商中没有一家原生将这些能力作为标准配置。

5. 缩小通行密钥编排的差距#

上方的供应商对比暴露出一种一致的模式：每款2026年的CIAM都开放了WebAuthn API，但都没有附带将部署从基线梯级提升到受管或高级梯级的编排层。他们普遍缺乏的东西——设备分类、智能提示、跨设备恢复，以及对于特定用户失败原因的可观测性——正与《Corbado 2026年通行密钥基准报告》在100多个企业采访以及从大型B2C部署的标准化遥测中记录到的差距一模一样。

专用的通行密钥层填补了这一空白，作为现有CIAM技术栈的补充而不是替代品。Corbado可以架设在Auth0、Okta、Cognito、Ping Identity、FusionAuth或任何其他IDP之上，无需迁移用户数据库或更改策略。

5.1 Corbado Connect：通行密钥智能与编排#

Corbado Connect是一个企业级的通行密钥层，拦截身份验证事件，编排优化的无密码旅程，并将会话连回到主要IDP。其设计直接遵从基准报告中所确定的模式：在发出WebAuthn提示前，对设备的硬件、操作系统、浏览器和凭据提供者堆栈进行分类；路由Windows用户（根据基准，Windows上仍有40-65%成功的标识符优先通行密钥通过跨设备验证桥接至手机）进入不同于iOS或Android用户的恢复路径（这些平台的桥接比例仅为0-10%）；将一次成功的跨设备身份验证转化为记住本地的通行密钥，使用户不必付出两次发现成本。

通行密钥智能(Passkey Intelligence)引擎仅在设备堆栈支持时提示进行通行密钥验证，从而消除了导致采用谬误的那些走不通的WebAuthn提示。在为基准报告汇总的所有部署中，这种方法将通行密钥注册率提升到了高级场景的上限（80%+），并且释放了可降低60-90%的短信OTP成本，这在大规模情况下的收益非常可观：50万MAU下每年可省下5万至10万美元甚至更多。

5.2 Corbado Observe：通行密钥分析与可观测性SDK#

即便是原生构建了通行密钥的组织，仍然会遭遇在基准报告记录的三个条件UI（Conditional UI）测量点上体现出的可观测性差距：服务端测到的通行密钥成功率近乎完美的97-99%，用户端的登录完成率有90-95%，然而首次建议交互率（用户真正离开的地方）只有55-90%。标准日志和SIEM工具并不是为依赖设备且包含多步骤的WebAuthn仪式构建的，因此那些破坏了采用率的失败情况其实落在其报告框架之外。

Corbado Observe是一款轻量的附加SDK，提供跨所有WebAuthn实现（不管何种CIAM平台）的纯原生认证可观测性：

按方法的身份验证成功率 - 在一个仪表板中比较通行密钥、短信OTP以及密码
每用户调试时间线 - 在几分钟内（而非几天）理解某个特定用户为何身份验证失败
通行密钥投资回报率(ROI)仪表板 - 向你的CFO和CISO证明节省下来的短信成本和转化率的提升
智能错误分类 - 区分用户中止还是由于设备不兼容造成的真正失败，并自动分类100多种错误类型
跨设备旅程追踪 - 可视化标准日志无法捕捉到的多设备通行密钥流程

Corbado Observe适配任何WebAuthn服务器。无需进行IDP迁移。在设计上实现了零个人身份信息（PII）架构（仅UUID追踪，符合GDPR）。在2026年基准测试评估的部署中，各大组织报告的通行密钥采用率提高了10倍（从约10%增加至80%+），调试时间从14天缩减至5分钟。

对于已经定下某个CIAM供应商的大规模B2C部署而言，Corbado Observe是在不替换当前栈内任何组件的情况下，快速掌握通行密钥性能并系统性地推动采用的最快方式。

在实时 demo 中试用 passkeys。

试用 passkeys

6. 结论#

2026年的CIAM市场以专业化为定义。对于50万及以上MAU的大规模B2C部署，平台选择直接影响着身份验证成本、安全态势和转化率。然而《Corbado 2026年通行密钥基准报告》显示，5%到60%+以上的通行密钥登录率的差异在于编排层，而不在底层CIAM。两家运行完全相同的Auth0、Cognito或Ping部署的企业，由于是否发布智能提示、标识符优先恢复和跨设备覆盖支持，可能会落在采用阶梯的完全对立面上。

对于已经运行一套CIAM的财富500强企业来说，不要去迁移——要去优化。真正的投资回报率(ROI)在于推动通行密钥的采用，而非更换提供商。Corbado架起了这座桥梁：Corbado Connect在任何IDP之上编排高转化率的通行密钥旅程，而Corbado Observe提供分析来追踪和优化通行密钥的性能。对于一个50万MAU的部署来说，这就是停滞不前的试点项目与在B2C规模上实现无密码转型的区别。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。与 Passkey 专家交谈 →