为什么 Passkey 身份验证提供商能为您节省超过 10 万美元

在本文中，我们将探讨在（现有）身份验证流程中实施 Passkey 时最常见的 5 个误区，并通过一个示例计算来展示为什么寻找一个真正精通 Passkey 的专业提供商是明智之举。

Passkey 是个好东西。在身份验证的历史上，它首次不仅极大地提升了用户的安全性，还改善了便利性。如今，大多数人已经习惯用面部或指纹解锁手机。将这种用户友好的未来体验带到 Web 端，是合乎逻辑的下一步。再加上其底层利用非对称加密技术的公钥基础设施，Passkey 似乎是完美的解决方案。从最终用户的角度来看确实如此，但对于企业来说，内部实施这一新的身份验证标准是一项艰巨的任务，伴随着高风险和高成本。本文将解释关于 Passkey 的最常见误区以及如何规避它们。

首先，Passkey 基于 FIDO（线上快速身份验证）联盟定义的开放标准，所有主流科技巨头，如微软、苹果、谷歌，以及像 PayPal、eBay 或 Visa 这样的公司都属于该联盟。

然而，这些开放标准的文档记录很差，导致在实践中将其集成到现有系统和用户流程中变得充满挑战。这需要从零开始定义用户流程和技术集成。如果你已经为现有用户提供了身份验证功能，那么仅仅依靠基础文档和实现是远远不够的。

此外，真正的挑战在于，当你的用户来自不同平台（iOS、Android、Windows）并且使用多种设备时，因为 Passkey 在某种程度上是与设备绑定的。实施方式和用户体验因平台而异，这使得将 Passkey 作为首选登录方式提供给所有用户成为一项复杂的任务。尤其是在今天，许多用户拥有不止一台设备，因此妥善支持所有设备和操作系统至关重要。

理论上没错，但其中存在隐性成本，尤其是在集成和维护方面。首先，你需要为流程和用户体验制定一个概念方案，这通常需要 1-2 名产品经理来执行。这个过程可能长达 2 个月，根据产品经理的经验，仅此一项成本就可能高达 30,000 美元。方案确定后，还需要系统架构师、产品经理和开发人员来集成这个解决方案。然后，还有维护工作，例如运行 FIDO2 服务器。此外，你还需要确保平滑的用户过渡，以免让用户感到不知所措，而这在内部设计和实施起来非常复杂，因此成本高昂。

此外，你还需要运行基础设施：服务器和数据库如今都不是免费的。尤其是在应用程序如此关键的节点，你需要它们安全、可靠地运行，并具有高可用性。这些都需要大量资金，而你可能更愿意将这些钱花在核心功能上。

再者，还需要选择、管理和监控其他外部服务商，以提供配套的（备用）系统，如电子邮件或短信服务。当然，你也可以自己做，但你的用户期望的是闪电般的过渡邮件送达速度和高可用性。相信我们，你绝对不想自己去优化邮件的送达率。这些服务不是免费的，也会增加成本。

在与客户交流时，这可能是最常见的误解，也是身份验证的真正难点所在。为一个全新的绿地应用提供 Passkey 可以做得很直接。棘手的部分在于如何将现有用户过渡到 Passkey。大多数情况下，用户群体非常多样化，既有早期采用者，他们恨不得昨天就抛弃密码，尽快使用 Passkey；也有人喜欢继续使用他们的密码。真正的挑战在于，如何设计出不同的个性化流程，同时平滑、智能地引导所有用户转向 Passkey。

许多人认为，在初次集成后，Passkey 就能自行运作，采用率也会自然而然地增长。这是另一个常见的误解，因为 Passkey 是一项安全关键型功能，会带来许多风险。这意味着它们需要被监控，而负责监控的团队需要是经验丰富的安全专家。

此外，需要持续监控 Passkey 的采用情况，以发现过渡阶段中可能存在的问题，这些问题可能需要对实施方案进行调整。

在考虑技术实现和开始编码之前，必须先完成大量的概念性工作。特别是当要集成像 Passkey 这样的新技术时，现有最佳实践和文档的质量和数量都很有限，因此需要考虑许多概念性流程。其中最重要的包括：

1. 勾画完整的注册和登录流程： 在设计从注册或登录开始到成功验证的整个流程时，后台会运行无数个处理步骤。这些步骤需要被建模并构建成复杂的逻辑树。仅仅是设计标准情况下的流程就是一项复杂的任务，而覆盖所有可能的边缘情况所需的工作量则要大得多。最终，必须有一个能在任何潜在场景下都有效并能验证用户身份的身份验证流程。
2. 处理跨平台使用问题： 确保用户可以在不同设备和不同平台之间使用 Passkey，并在 Passkey 尚不可用时平滑地引导他们完成身份验证过程，这一点至关重要。
3. 确保向后兼容性： 为了推广 Passkey 的使用，有必要开发一种机制，不仅能自动检测用户希望用于验证的所有设备的 Passkey 就绪状态，还要能识别用户是否首先就想用 Passkey 登录。如果用户倾向于继续使用当前的登录选项，如密码、社交登录或 SSO，则需要并行运行混合身份验证。
4. 提供恢复服务： 这听起来可能理所当然，但设计一个用于自助密码重置和错误情况下备用选项的流程是最具挑战性的任务之一，因为你需要保证用户在忘记密码或从未设置密码的情况下也能完成身份验证。
5. 设计出色的用户体验 (UX)： UX 远不止是创建一个用户友好的界面。对于软件而言，设备和用户偏好管理、用户沟通以及符合公司品牌形象 (CI) 的可定制设计都扮演着重要角色。由于 Passkey 是与设备绑定的，公司需要主要关注设备管理，以确保 Passkey 能在所有用户的设备上完美运行。在用户沟通方面，有必要通过预定义且经过测试的用户消息来教育用户。

所有这些步骤都需要产品经理和开发人员投入大量时间，而在软件开发中，这些工作常常被忽视。

关于软件是自建还是购买的争论由来已久。在做决定时，必须考虑许多因素。对任何公司来说，关键因素都是开发或购买软件所带来的成本。当购买软件解决方案（例如用于 Passkey 身份验证）时，人们常常认为前期成本非常高。然而，公司通常忘记了自研开发的成本至少同样昂贵，因为其成本取决于软件本身的复杂性、产品管理、UX/UI 设计、开发团队以及许多通常隐藏的成本（尤其是维护和更新）。

为了让你对开发身份验证软件的成本有所了解，这里为一个拥有内部身份验证团队的公司提供一个基本计算，该公司为桌面、移动和原生应用用户提供服务。除了邮箱/手机号和密码验证外，他们还提供社交登录：

• 2 名后端开发人员：126,000 美元
• 1 名前端开发人员：60,000 美元
• 1 名 iOS 开发人员：60,000 美元
• 1 名 Android 开发人员：68,000 美元
• 2 名产品经理：170,000 美元
• 1 名项目经理：85,000 美元

请注意，这些是年度总薪资，基于 Glassdoor 的行业标准平均薪资，不包括非工资性劳动力成本。

• 持续时间：1.5 个月
• 软件开发团队的利益相关者：2 名产品经理，1 名项目经理
• 总成本（薪资）：31,875 美元

• 持续时间：3.0 个月
• 软件开发团队的利益相关者：2 名产品经理，1 名项目经理，2 名后端开发人员，1 名前端开发人员，1 名 iOS 开发人员，1 名 Android 开发人员
• 总成本（薪资）：143,750 美元

软件开发总成本：175,625 美元

当然，这是一个简化计算，没有考虑许多成本，例如过渡或培训成本。如果你需要额外的基础设施，如服务器和数据库或云服务，你将面临额外的成本。特别是对于需要最大限度保护个人数据的身份验证软件，成本可能会高得多，因此使用像 Corbado 这样的专用 Passkey 提供商是值得的。

总而言之：Passkey 是一个任何人都可以免费集成的开放标准。但这种看法非常短视。当我们仔细审视使用 Passkey 的深层影响时，就会发现使用像 Corbado 这样的 Passkey 提供商是更明智、更节省成本的方式。特别是，身份验证很少是产品的核心功能，它更像是一个现代产品中必须具备的基础设施，因此利用外部专家的知识和能力无疑是明智之举。

还没信服吗？ 立即免费试用 Corbado 的解决方案，无任何风险。