--- url: 'https://www.corbado.com/zh/blog/passkeys-goumai-vs-zijian-zhinan' title: 'Passkey 购买与自建指南' description: '是自建还是购买 Passkey 解决方案?了解 DIY Passkey 与 Passkey 供应商解决方案(SaaS 和本地部署)的优缺点、挑战、成本和最佳实践。' lang: 'zh' author: 'Vincent Delitz' date: '2025-07-15T09:19:14.760Z' lastModified: '2026-04-17T06:02:59.034Z' keywords: 'DIY Passkey, 购买与自建 Passkey, Passkey 外包, Passkey 实施成本, Passkey 成本比较, Passkey SaaS vs 自托管, Passkey 供应商 vs 内部开发, Passkey ROI 分析, Passkey 实施挑战, Passkey 实施最佳实践' category: 'Passkeys Strategy' --- # Passkey 购买与自建指南 ### 下载完整的 Passkey 购买与自建指南 **免费下载完整的 Passkey 购买与自建指南**,获取所有深度见解。 - ✅ Adidas、Woolworths 和 Mitsubishi 等团队已索取 - ✅ 包含完整的构建模块和成本模型,助您在购买与自建之间做出决策 - ✅ 实用的 50 页决策框架 ## 1. 动机:我们应该购买还是自建 Passkey 认证解决方案? 自建 Passkey 听起来很吸引人:完全控制、定制集成、没有供应商锁定。毕竟,[FIDO2](https://www.corbado.com/glossary/fido2) 基于开放标准,编写最初几行 WebAuthn 代码似乎也相当容易。这到底能有多难呢? 但这往往是复杂性的开始,尤其是当您计划为拥有数百万用户的大规模消费者场景构建解决方案时,例如以下行业: - **银行与金融服务**(例如在线银行、[银行业](https://www.corbado.com/passkeys-for-banking)、支付、金融科技) - **政府与公共服务**(例如公民门户网站、税务和社保平台) - **保险与医疗保健**(例如患者门户网站、数字[保险](https://www.corbado.com/passkeys-for-insurance)平台) - **电子商务与零售**(例如[市场](https://www.corbado.com/passkeys-for-e-commerce)、忠诚度计划) - **电信与公用事业**(例如移动运营商、[能源](https://www.corbado.com/passkeys-for-energy)供应商) - **旅游与酒店**(例如[航空公司](https://www.corbado.com/passkeys-for-airlines)账户、酒店忠诚度计划) 真正的挑战始于第一次成功的 Passkey 登录之后,并且常常在您已经开始实施 Passkey 解决方案时才显现出来。突然之间,各种奇怪的边缘情况、令用户困惑的错误以及因 Passkey 不可用而可能导致的用户锁定等问题接踵而至。一个看似简单的集成,最终可能演变成数月甚至数年的开发工作、意料之外的维护成本,以及一个可能失败的 Passkey 项目。 然而,对于某些组织和特定需求,自建解决方案也可能是正确的选择。我们与数十家组织讨论了他们的 Passkey 实施计划,并亲身参与了其中一些组织的实施过程。本指南将帮助您确定何时采用 DIY (Do-It-Yourself) Passkey 方法是合理的,以及何时选择成熟的 Passkey 供应商是更明智的决定。 通过我们的**Passkey 购买与自建指南**,我们希望回答以下问题: 1. **实施 Passkey 并实现无密码登录需要哪些组件?** 2. **我们应该在内部实施 Passkey 还是使用外部 Passkey 供应商?** 3. **既然有开源库,使用 Passkey 供应商有什么好处?** 4. **构建 Passkey 解决方案最大的挑战是什么?** 5. **在内部实施 Passkey 有哪些风险?** ## 2. 前提:为什么 Passkey 是新的登录标准 密码已经过时、不安全且令人沮丧。Passkey 消除了网络钓鱼风险,改善了用户体验,并简化了身份验证——使其成为安全登录的新标准。无论您是内部构建还是使用外部解决方案,集成 Passkey 都是对安全性和可用性的一次重大升级。 Google 发现,强调易用性或速度的故事更能引起共鸣并奏效。人们通常对登录过程感到不满,因此任何能让过程更简单、更快捷的方法都是一种胜利。 除了这些安全优势外,Passkey 在节约运营成本方面也具有巨大潜力。您可以减少发送给用户的 SMS OTP 数量,对于庞大的用户群来说,这可以节省大量成本。此外,密码和多因素认证 (MFA) 恢复给客户支持团队带来的负担也是一个可以消除的成本因素。 此外,Passkey 提高了用户的登录成功率和缩短了登录时间,最终带来了更高的转化率,这是[电子商务](https://www.corbado.com/passkeys-for-e-commerce)、[零售](https://www.corbado.com/passkeys-for-e-commerce)或[旅游](https://www.corbado.com/passkeys-for-travel)等行业实现营收增长的主要驱动力。 ![introducing passkeys table](https://www.corbado.com/website-assets/introducing_passkeys_table_b5fd537984.jpg) ## 3. 无密码之旅:Passkey 如何发挥作用? ![passwordless-journey-passkeys.png](https://www.corbado.com/website-assets/passwordless_journey_passkeys_af666bc198.png) 对于许多考虑引入 Passkey 的组织来说,最终目标是完全实现无密码化。要实现这一目标,通常需要完成四个阶段。这些阶段的进展速度在很大程度上取决于组织的技术能力、登录模式和用户基础。在某些情况下,外部因素如引入更安全认证的公众压力或财务限制也可能发挥作用。 让我们逐一了解这四个阶段,因为仅仅实施 Passkey 只是确保 Passkey 项目成功的一步。 ### 3.1 阶段 1:集成 Passkey 向完全无密码系统过渡的第一步是**将 Passkey 集成为一种登录方式**。在此阶段,密码和其他认证方式仍作为备用方案保留,以确保尚未采用 Passkey 的用户仍能访问其账户。成功的集成需要与现有登录流程和安全策略无缝兼容。组织应专注于使Passkey 创建过程简单明了,确保技术和非技术用户都能无障碍地采用新的认证方法。 ### 3.2 阶段 2:提高 Passkey 采用率 一旦集成了 Passkey,下一个挑战就是**推动用户采用 Passkey**。许多组织低估了这一阶段的重要性,但如果没有广泛的用户采用,Passkey 项目很可能会失败。目标是鼓励尽可能多的用户创建和使用 Passkey,理想情况下使其成为默认的登录方式。 提高采用率的关键策略包括积极的用户教育、鼓励创建 Passkey 的 UI 提示,以及奖励用户转换的激励计划。组织应设定一个关键的采用率阈值,例如 50-80% 的活跃用户使用 Passkey,然后再进入下一阶段。要深入了解为什么采用率至关重要,请参阅我们关于[低采用率如何危及您的 Passkey 项目的专题文章](https://corbado.com/blog/why-passkey-implementations-fail)。 ### 3.3 阶段 3:移除密码 随着 Passkey 采用率达到临界点,组织可以**开始逐步淘汰密码**。然而,过早或未经周密计划地移除密码可能导致可用性问题和支持请求增加。建议采用分阶段的方法: - 首先从用户持续使用 Passkey 进行身份验证的账户中移除密码。 - 在账户设置中为早期采用者提供移除密码的选项。 - 利用数据驱动的洞察来识别准备好完全无密码化的用户。例如,可以优先为在不同设备上注册了多个 Passkey 的用户移除密码。 - 积极宣传移除密码的好处,以建立用户信心。 通过有策略地引导用户走向完全的无密码认证,组织可以在不影响用户体验的情况下最大化安全性。 ### 3.4 阶段 4:自动化账户恢复 一旦移除了密码,账户恢复机制必须既稳健又安全。传统的恢复方法通常依赖于人工干预,如支持工单或电子邮件重置,这可能引入安全风险和运营成本。组织必须实施**现代化的自助式账户恢复**解决方案,以在维护安全的同时改善用户体验。 自动化账户恢复的关键要素包括: - **活体检测**:通过确保用户本人在场来防止未经授权的账户接管。 - **身份验证**:利用[政府](https://www.corbado.com/passkeys-for-public-sector)颁发的身份证件和生物特征验证来确认身份。 - **备用 Passkey**:允许用户使用存储在他们其他设备上的备用 Passkey 来恢复账户。 许多组织为了降低成本和提高可用性,已经独立于其无密码转型过程投资于自动化恢复流程。然而,在以 Passkey 驱动的生态系统中,这些机制对于维护安全和减少摩擦变得更加关键。 基于这四个阶段,我们现在将尝试帮助您评估购买与自建的决策。因此,**为了您的 Passkey 项目的长期成功,将所有阶段都考虑在内非常重要**,而不仅仅是集成 Passkey(这仍然可以是一个目标,但那样您就无法充分发挥 Passkey 的潜力)。 ![account recovery](https://www.corbado.com/website-assets/account_recovery_45773684fd.png) ## 4. 如何确定正确的 Passkey 方法 选择 DIY 还是外部 Passkey 解决方案取决于您公司的技术资源、安全优先级、部署规模和长期的 Passkey 策略。在下一节中,我们将分解关键方面,帮助您做出最佳决策。 下表显示了您需要评估的不同标准。根据您更倾向的陈述,会给出不同的分数。 **如何使用评估矩阵:** 对于每个标准,选择您的公司需要更简单的解决方案还是更复杂的解决方案。 - 对于每个答案,如果您的复杂度最低,更符合左侧的描述,则记 **1 分**。 - 对于每个**类别**,如果您的答案更符合右侧最高复杂度的描述,则记 **5 分**。 - 如果您不确定,可以使用 **3 分**作为中立选项。 ### 下载完整的 Passkey 购买与自建指南 **免费下载完整的 Passkey 购买与自建指南**,获取所有评估标准。 ## 5. 如何有效使用本指南 在决定是自建还是购买 Passkey 解决方案时,重要的是要着眼于整个过程,而不仅仅是 Passkey 推出的某个单一阶段。即使您近期的优先事项是提供 Passkey 作为 MVP,您也应该预见到长期的影响,尤其是**推动采用率**。以下是我们建议如何使用本指南和解读您的结果,并强调为什么采用率比几乎任何其他因素都更重要。 ### 5.1 将采用率作为第一成功要素 无论您的 Passkey 解决方案多么先进,**如果用户不通过创建和使用 Passkey 登录来采用它,整个项目都将面临风险**。根据我们的经验,组织常常低估了让用户摆脱密码所需的努力。即使您在技术层面上无缝地实施了 Passkey,低采用率也会导致: - **持续依赖密码**,从而抵消了 Passkey 的安全优势。 - **ROI 微乎其微**,因为成本节约(更少的密码重置、减少的 SMS OTP)取决于 Passkey 在登录中的大量使用。 - **用户体验碎片化**,如果大多数登录仍然通过传统方法进行,只有一小部分用户使用 Passkey。 通常需要**高采用率**——**有时是 50% 甚至超过 80%** 的用户基础——才能在减少或完全移除密码方面取得有意义的进展。像 Google 和 Amazon 这样的组织会设定明确的采用目标,并系统地进行 A/B 测试、用户教育活动和 UI 提示,以确保 Passkey 被广泛接受。这种对采用率的集中努力不是可有可无的;它将您的 Passkey 推广从一个功能转变为一个切实的竞争优势。 ### 5.2 整体或分阶段使用本指南 本指南旨在帮助您在旅程的每个阶段就 Passkey 实施做出明智的决策: 1. **阶段 1(集成 Passkey):** 如果您只是在考虑是否采用 Passkey 以及如何集成它们,请关注 Passkey 集成的\_自建与购买\_标准。 2. **阶段 2(提高采用率):** 如果您希望 Passkey 不仅仅是一个功能,请尽早计划推动用户采用——即使是对于 MVP,因为这需要额外的技术投资,通常远超初始实施的投入。 3. **阶段 3(移除密码):** 如果消除密码是一个长期的战略目标,请确保您的架构和用户流程在设计时就考虑到了最终的这一步。 4. **阶段 4(自动化账户恢复):** 即使您今天还没准备好完全无密码化,也要确保您的 Passkey 方法可以演进到稳健、无缝的恢复方式,以避免未来的障碍。 其中,**阶段 2(提高采用率)最为重要**。您可以单独评估每个部分,但请记住,您的长期成功和 ROI 通常取决于您从一开始就对采用率的重视程度。 ### 5.3 让关键利益相关者参与并就采用目标达成一致 如果您正处于决定实施 Passkey 的早期阶段,请从评估矩阵的第一部分(Passkey 集成)开始,并与管理层、IT、产品负责人和其他关键决策者一起填写。问问自己: 1. **我们期望的 Passkey 登录率是多少?** 5% 是否足以证明可行性,还是我们需要达到 50-80% 才认为 Passkey 成功? 2. **我们是否有预算和高层支持**来在数月内进行 A/B 测试、开展优化活动、创建教育材料并持续改进用户流程,以便用户理解并愿意转向 Passkey?是否有足够的工程能力来实施所有必要的报告、分析和测试?我们能否足够频繁地发布版本以实现这些目标? 3. **长期愿景是什么?** 我们的目标是移除密码还是仅仅提供一个替代方案? 预先回答这些问题可以确保您的 Passkey 项目不会走入死胡同。那些未能为采用率做计划的组织常常发现自己多年来仍被密码困扰,从而削弱了整个安全和用户体验战略。 ### 5.4 越偏离“中立”,供应商就越有意义 在整个矩阵中,每个评估标准都可能让您处于从**最低复杂度 (1)** 到**最高复杂度 (5)** 的任何位置。您的答案越是转向并超越中立区 **(3)**,使用专业 Passkey 供应商的理由就越充分: - **高复杂度需求**——例如高级备用方法、严格的合规性、深度分析和多设备用户体验——会成倍增加您的工程和维护负担。 - **高度重视采用率**——快速实现高Passkey 采用率或移除密码通常需要经过充分测试的用户流程、详细的遥测数据和结构化的提示。 这些因素可能会在技术上和组织上压垮内部团队。一个托管的 Passkey 解决方案通常可以提供经过验证的最佳实践、快速更新和实际专业知识,从而比 DIY 方法更快地提高采用率。 ### 5.5. Corbado 的观点:何时供应商是更好的选择 作为 Passkey 专家,我们 **Corbado** 有一个坚定的观点。如果 Passkey 在您的路线图上,并且您想要一个**能够积极推动采用率的先进实施方案**,Corbado Connect 可以帮助您大规模应对复杂性。原因如下: ![product related outcome](https://www.corbado.com/website-assets/product_related_outcome_23dde860af.jpg) **采用率内置于解决方案中:** 我们的平台围绕通过智能提示、分析和持续的 A/B 测试来最大化用户选择加入而设计,这也能推动成本节约。 后续步骤: 1. **填写评估矩阵的每个相关部分**——同时考虑近期和长期目标。 2. **在决策中优先考虑采用率**——与利益相关者就明确的采用目标和实现这些目标的资源达成一致。 3. **在了解您的复杂性和采用雄心后,比较内部与供应商解决方案的总拥有成本 (TCO)**,并完成内部评估自建或购买的流程。 ![internal stakeholder goals](https://www.corbado.com/website-assets/internal_stakeholder_goals_6c4e605c9d.jpg) 4. **咨询 Passkey 专家**(如 Corbado),如果您的战略目标指向一个能够有效处理技术和采用挑战的完全托管平台。 通过全面地处理 Passkey 并将采用率作为关键目标之一,您将取得最佳成果。这意味着更强的安全性、简化的登录和通往无密码未来的真正路径。如果您有兴趣了解更多关于 **Corbado Connect** 以及我们如何帮助客户实现高Passkey 采用率的信息,我们随时乐意与您交谈。 ## 6. 如何衡量 Passkey 部署的成功? 现在我们已经帮助确定了回答“购买与自建?”问题的正确方法,接下来我们分析如何评估 Passkey 部署的成功。为此,我们定义了 Passkey 项目的输入和输出 KPI。 ![why passkey adoption matters](https://www.corbado.com/website-assets/why_passkey_adoption_matters_7f0a3b0413.png) ### 6.1 重要的 Passkey 输入 KPI 有哪些? 输入 KPI 有助于跟踪 Passkey 的**早期采用情况**,以及是否为广泛使用创造了必要条件。这些指标先于实际的登录行为,但对于实现有意义的采用和优化部署至关重要。 | **KPI** | **定义** | **重要性** | **如何衡量** | **基准** | | ----------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------- | | **Passkey 接受率** | 在成功登录后(登录后),收到“提示”(鼓励设置 Passkey 的提示或建议)并选择创建 Passkey 的用户百分比。此 KPI 专门衡量用户对这些登录后提示的响应度,突显了提示信息在推动 Passkey 创建方面的有效性。这种方法被认为是先进的,因为用户通常不会通过账户或凭证管理设置主动创建 Passkey。相反,当用户在登录后直接被提示时,Passkey 的采用最为成功,使得提示成为 Passkey 创建的主要驱动力。请务必区分第一次提示和后续提示,因为接受率会下降。 | 高接受率表明用户说服和提示设计成功。低接受率则表明存在摩擦、信息不明确或用户犹豫。 | **公式**:(提示后完成 Passkey 创建的用户数)÷(接触到提示的用户数)。按操作系统/浏览器/设备进行细分。 | 首次提示为 50%-75%,在移动设备上经过多次提示可达 85%。桌面端较低。很大程度上取决于措辞和实施方式。 | | **Passkey 创建成功率** | 开始 Passkey 注册流程但**成功完成**(即未放弃)的用户比例。 | 显示有多少用户因用户体验混乱、技术问题或用户改变主意而在创建过程中\_退出\_。 | **公式**:(完成的 Passkey 注册数)÷(注册尝试次数)。按操作系统/浏览器/设备分析失败点。 | 接近 100%。 | | **创建的 Passkey 数量** | 在给定时期内(每日、每周、每月)新创建的 Passkey 的累计数量。 | 一个原始的采用率衡量标准,通常被视为半输出 KPI。反映了 Passkey 使用的**数量**和未来从密码转向的潜在登录转变。 | **公式**:跨操作系统、浏览器、设备类别所有新注册 Passkey 的总和。监控随时间变化的增长趋势。绝对数字没有意义,它取决于用户群的规模。 | 一旦完全推出,每天应有可观的数量。 | 这些**输入 KPI** 作为未来 Passkey 采用率的领先指标,使组织能够微调用户教育、用户体验流程和技术实施。 ### 6.2 重要的 Passkey 输出 KPI / OKR 有哪些? 输出 KPI (OKR) 通过评估用户行为、运营改进和业务影响来衡量 Passkey 采用的实际成功。这些指标反映了 Passkey 部署的真实效果。Passkey 登录率是一个核心的输出 KPI,因为它直接反映了实际的 Passkey 采用和使用情况。不断上升的Passkey 登录率表明成功的用户引导和用户对 Passkey 的持续偏好超过了传统的认证方法。 | **KPI** | **定义** | **重要性** | **如何衡量** | **基准** | | ------------------------------------- | ----------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------- | | **用户激活率** | 在所有至少看到过\_一次\_提示(可能是在不同时间多次提示)的用户中,最终创建了**至少一个 Passkey** 的百分比。 | 衡量跨多次提示的\_整体\_ Passkey 引导成功率。用户可能拒绝第一次提示,但稍后会转化。 | **公式**:(创建了≥1个 Passkey 的独立用户数)÷(曾被展示过至少一次提示的独立用户数)。按操作系统、浏览器、设备进行细分,以了解谁最终采用了 Passkey。随着部署规模的增长,此处还必须反映已删除的 Passkey。 | 12 个月内超过 50%。Passkey 登录率会趋近于用户激活率。这将取决于您的用户构成。 | | **Passkey 登录率** | 在\_所有\_登录事件中,使用 Passkey 而不是传统方法(密码、SMS OTP 等)完成的百分比。 | 展示了 Passkey 在现实世界中的使用频率。持续较低的登录率表明,尽管用户最初创建了 Passkey,但他们要么更喜欢要么又回到了密码,这反映了较低的激活率(因为只有在激活率本身很高的情况下,登录率才可能高),或者是由于登录实施不佳,没有自动利用现有的 Passkey。 | **公式**:(Passkey 登录次数)÷(总登录次数)。按操作系统/浏览器/设备或用户组进行细分。这有助于定位问题平台或 Passkey 使用率低的人群。 | 数周内超过 20%,12 个月内超过 50%。(很大程度上取决于您的实施方式) | | **Passkey 登录成功率** | Passkey 登录尝试中成功完成且未回退到备用方案的比例。 | 揭示了 Passkey 流程中的摩擦。较低的成功率可能表明用户困惑、环境限制或设备兼容性问题导致回退。非 100% 是正常的,因为用户会切换设备或尝试从未连接的设备登录。高度依赖于用户模式和使用的设备。 | **公式**:(成功的 Passkey 登录次数)÷(尝试的 Passkey 登录次数)。跟踪部分尝试,即用户中途放弃 Passkey 并切换到密码。 | 移动网页上超过 95%。原生应用上超过 99%。桌面登录率取决于您有多少用户拥有多个设备以及他们首先在哪里注册。 | | **Passkey 登录时间 vs. 传统登录时间** | 从用户发起登录到成功完成,通过 Passkey 与通过密码(或其他传统方法)进行身份验证的平均时间比较。 | 更快的 Passkey 登录与更高的用户满意度和持续使用相关。 | 记录每次登录尝试的开始和成功时间戳。计算平均 Passkey 登录时间与平均传统登录时间。按操作系统/浏览器/设备进行细分以获得更深入的见解。 | 速度提升 3-5 倍。与现有的 MFA (PW+SMS) 相比。 | | **回退率** | 在最初以 Passkey 开始的登录尝试中,用户转而使用密码或其他非 Passkey 方法的频率。 | 显示了对传统流程的持续依赖,可能是由于 Passkey 可靠性差或用户不习惯。 | **公式**:(回退事件数)÷(Passkey 登录尝试次数)。将回退数据与用户调查或支持工单相关联,以确定根本原因。 | 这个 KPI 基本上是 Passkey 登录率的反向指标,取决于您的实施方式。 | 重要的是要主要优化 Passkey 登录成功率和Passkey 登录率,以确保无摩擦的用户体验,同时努力提高用户激活率——但前提是登录成功率足够高,以避免给用户带来挫败感。此外,按不同细分(如操作系统、浏览器和设备)和特定用例(如跨设备登录)跟踪这些 KPI,可以提供对采用模式和潜在摩擦点的更深入见解。 ### 6.3 如何为 Passkey 指标记录必要的事件 要准确衡量输入(如接受率、创建率)和输出 KPI(如登录率、回退使用率),需要从三个主要来源收集数据: 1. **前端事件数据** 2. **Passkey / 凭证存储** 3. **传统认证和回退日志** #### 6.3.1 前端事件数据 要计算像**Passkey 接受率**或**Passkey 创建成功率**这样的指标,您必须检测有多少用户看到了登录后的提示,有多少人点击了“是,创建 Passkey”,以及他们是否真的完成了Passkey 创建。这需要使用 JavaScript(或原生移动)事件跟踪来捕获: - 提示何时以及是否显示(第一次与后续次数) - 他们完成提示所花费的时间 - 他们是否一次或多次中止了 Passkey 创建仪式 您还需要**用户代理 (user agent) 解析**或**客户端提示 (client hints)**,将接受率与特定的操作系统/浏览器版本关联起来,以便能够检测到特定的中断路径。 #### 6.3.2 Passkey / 凭证存储 用户在前端发起注册后,服务器必须确认是否真的存储了新的 Passkey。您需要访问数据库或外部身份提供商的 API,该 API 记录每个凭证的创建事件。这个存储库可以帮助您计算每个用户拥有多少个 Passkey,并跟踪最终结果(成功或失败),确保您精确地知道哪些尝试最终完成了注册。 #### 6.3.3 传统认证和回退日志 对于像**回退率**这样的指标,您必须查看当前的认证日志和流程。通过将这些日志与前端事件统一起来,您可以看到用户是否开始了 Passkey 登录,遇到了错误,然后切换到回退登录(例如 SMS 或密码)。 最后,衡量基于时间的 KPI,如**Passkey 登录时间** **vs. 传统登录时间**,依赖于客户端和服务器的时间戳。因为许多组织只记录成功的登录,您必须为部分或失败的 Passkey 流程添加检测工具,才能真正衡量摩擦和回退情况。整合这三个数据源,同时遵守隐私和法规限制,通常比预期的要复杂,这也是导致一些团队采用提供内置分析和事件跟踪的专业 Passkey 平台的另一个因素。 #### 6.3.4 Corbado 的集成方法:认证过程挖掘 Corbado Connect 组件通过为每个开始认证过程的用户自动生成一个独特的流程,隐式地收集所有描述的数据点(数百个不同的数据点)。通过无缝集成,**Corbado 还会从您现有的解决方案中收集认证指标**。这种整体视图精确地指出了用户的改进点,为您提供了对所有基本 Passkey KPI 的全面洞察,而无需您付出额外的努力。 ### 6.4 其他重要的输出 KPI / OKR 会受到什么影响? 此外,在成功的 Passkey 部署后,以下输出 KPI 效应也应该出现,并且大多数时候企业内部已经收集了这些数据: **运营与成本削减指标** - **减少 SMS OTP 使用量** – 因Passkey 认证而节省的 SMS OTP 数量(直接成本节约)。 - **减少密码重置请求** – 与忘记密码相关的帮助台互动减少。 - **减少客户支持工单** – 与认证相关的客户服务问题数量减少。 - **减少支持电话量** – 与账户访问问题相关的呼入电话减少。 **业务与用户体验影响指标** - **用户留存率** – 首次登录后继续进行认证的用户百分比。 - **转化率** – 用户在认证后完成交易的频率。 - **登录漏斗中的流失率** – Passkey 是否减少了放弃登录尝试的用户数量。 通过专门跟踪 Passkey 的输入和输出 KPI,并将其与其他数据相关联,组织可以量化其 Passkey 部署的影响,并进行数据驱动的改进,以最大化采用率、降低成本并增强安全性。 ## 7. 建议 选择正确的 **Passkey 解决方案**取决于**您的具体挑战、安全要求和成本考虑**。以下是针对不同行业**购买与自建决策**的关键建议。 ### 7.1 银行与金融服务领域的 Passkey 建议 **关键考量:** - 法规遵从性(例如 [PSD2](https://www.corbado.com/blog/psd2-passkeys)、[SOC 2](https://www.corbado.com/blog/cybersecurity-frameworks)、[ISO 27001](https://www.corbado.com/blog/cybersecurity-frameworks)、GDPR)要求在 Passkey 认证中采取严格的安全措施。 - Passkey 成本比较至关重要,因为银行常常低估内部解决方案的长期复杂性和维护成本。 - 安全认证对于减少账户接管欺诈和网络钓鱼至关重要。 **建议:** 大多数银行和金融机构应依赖 Passkey 供应商解决方案,而不是内部构建,因为在内部管理 Passkey [基础设施](https://www.corbado.com/passkeys-for-critical-infrastructure)会带来超出传统 IT 专业知识的隐藏复杂性。大规模实施Passkey 认证需要持续的优化和更新、WebAuthn 兼容性管理以及与传统[银行](https://www.corbado.com/passkeys-for-banking)系统的无缝集成——所有这些 Passkey 供应商都已经处理好了。 像 Ubank、[Revolut](https://www.corbado.com/blog/revolut-passkeys) 和 [Finom](https://www.corbado.com/blog/finom-passkeys) 这样的银行在 Passkey 采用方面处于领先地位,认识到该技术在增强安全性的同时改善用户体验的潜力。Passkey ROI 分析通常倾向于购买 Passkey 解决方案,而不是投资于持续的维护和更新,实施后显示欺诈尝试和与认证相关的支持成本显著减少。 **示例:** Armstrong Bank、First Financial Bank、Ubank、[Revolut](https://www.corbado.com/blog/revolut-passkeys)、[Finom](https://www.corbado.com/blog/finom-passkeys)、Neobank、Cathay Financial Holdings、Stripe、[PayPal](https://www.corbado.com/blog/paypal-passkeys)、Square ### 7.2 医疗保健领域的 Passkey 建议 **关键考量:** - HIPAA 和 GDPR 合规性要求在 Passkey 采用中实施严格的认证安全。 - Passkey 实施挑战包括在安全性与患者、医务人员和医院 IT 管理员的易用性之间取得平衡。 - 许多[医疗保健](https://www.corbado.com/passkeys-for-healthcare)认证系统仍依赖于传统[基础设施](https://www.corbado.com/passkeys-for-critical-infrastructure),使得 Passkey 集成更加复杂。 **建议:** Passkey 供应商解决方案是满足合规要求同时简化认证的最有效方式。Passkey 供应商处理安全补丁、合规更新和认证可靠性,减轻了 IT 团队的负担。 **示例:** CVS Health、Caremark、Helsana、NHS、Swica ### 7.3 电子商务与零售领域的 Passkey 建议 **关键考量:** - 转化率优化 (CRO) 对业务至关重要——认证摩擦直接影响收入。 - 多设备场景必须无缝工作(用户在移动设备上浏览,但在桌面上完成结账)。 - 认证错误直接增加购物车放弃率,使得优化用户体验的登录流程至关重要。 **建议:** [电子商务](https://www.corbado.com/passkeys-for-e-commerce)平台从提供高采用率的 Passkey 实施提供商中获益最多。像 Amazon 和 [Shopify](https://www.corbado.com/blog/shopify-passkeys) 这样的主要平台已经实施了 Passkey 认证,展示了该技术在[电子商务](https://www.corbado.com/passkeys-for-e-commerce)中日益增长的采用率。真实数据显示,超过 27% 的初始密码登录失败,而基于 Passkey 的认证可以实现高达 95-97% 的成功登录率,如[之前的采用案例](https://fidoalliance.org/case-study-intuits-roi-from-passwordless-customer-authentication/)所示。Passkey ROI 分析表明,更高的转化率和更低的欺诈损失很快就能证明投资的合理性。 Amazon 最近表示,他们设定了 100% Passkey 采用和完全消除密码的宏伟目标。 Google 还发现,与 Passkey 互动的试用用户转化为付费客户的可能性比不互动的用户高 20%。 **示例:** [KAYAK](https://www.corbado.com/blog/kayak-passkeys)、Amazon、Mercari、Best Buy、[eBay](https://www.corbado.com/blog/ebay-passkeys)、Home Depot、[Shopify](https://www.corbado.com/blog/shopify-passkeys)、Target ### 7.4 旅游与酒店领域的 Passkey 建议 **关键考量:** - 跨设备认证至关重要,因为用户在一台设备上预订行程,在另一台设备上办理登机手续。 - Passkey 专业供应商必须确保快速安全的登录,以方便预订、办理登机手续和账户管理。 - 欺诈预防是优先事项,因为[旅游](https://www.corbado.com/passkeys-for-travel)平台处理高价值交易。 **建议:** 大多数[旅游](https://www.corbado.com/passkeys-for-travel)公司应实施 Passkey 解决方案以增强安全性和用户体验。像 [Kayak](https://www.corbado.com/blog/kayak-passkeys) 和主要[航空公司](https://www.corbado.com/passkeys-for-airlines)等领先公司已经在使用 Passkey 认证来改善其用户体验。预构建的解决方案提供更强的欺诈检测、无缝的登录体验和即时的多设备支持。酒店业尤其受益于通过 Passkey 实施减少的入住时间和提高的安全性,确保在所有接触点(应用程序、自助服务亭、网站和合作伙伴平台)上的顺畅认证。 **示例:** Air New Zealand、Bolt、Grab、[Uber](https://www.corbado.com/blog/uber-passkeys)、Hyatt ### 7.5 保险领域的 Passkey 建议 **关键考量:** - Passkey 实施成本必须与合规需求和用户体验改进保持一致。 - 许多[保险](https://www.corbado.com/passkeys-for-insurance)客户对技术不太精通,因此在各种设备和浏览器上的用户体验是必须的。 - 保单管理和理赔处理通常需要将 Passkey 与身份验证集成。 **建议:** 外部 Passkey 解决方案最适合快速部署和法规遵从性。[保险](https://www.corbado.com/passkeys-for-insurance)提供商报告称,在实施 Passkey 后,与认证相关的支持工单显著减少。具有可定制认证流程和集成身份验证的 Passkey 实施提供商可确保安全性,同时保持客户登录简单。Passkey ROI 分析表明,减少密码重置和欺诈损失可以抵消供应商成本。 **示例:** Branch ### 7.6 政府与公共服务领域的 Passkey 建议 **关键考量:** - 最高的安全标准和合规要求(例如,[NIST](https://www.corbado.com/blog/nist-passkeys)、Essential Eight 框架要求抗网络钓鱼的 MFA)。 - 需要在技术水平各异的多元化用户群体中进行大规模部署。 - 与现有[政府](https://www.corbado.com/passkeys-for-public-sector)身份验证系统和传统[基础设施](https://www.corbado.com/passkeys-for-critical-infrastructure)的集成要求。 **建议:** 对于[政府](https://www.corbado.com/passkeys-for-public-sector)机构而言,一个既能满足严格安全标准又能确保可访问性的专业 Passkey 解决方案至关重要。[VicRoads](https://www.corbado.com/blog/vicroads-passkeys) 的成功实施表明,政府组织从能够自动处理合规要求和安全更新的外部 Passkey 解决方案中获益最多。因此,选择一个提供企业级安全性、支持多设备认证并提供自适应认证流程以适应所有公民的 Passkey 实施提供商。 **示例:** [VicRoads](https://www.corbado.com/blog/vicroads-passkeys)、myGov、State of Michigan ### 7.7 电信与公用事业领域的 Passkey 建议 **关键考量:** - 可扩展性和可靠性至关重要,因为[电信](https://www.corbado.com/passkeys-for-telecom)和公用事业提供商通常管理着数百万跨不同客户群体的用户,需要高可用性和容错的认证。 - 多设备和跨平台支持至关重要,因为用户通过移动应用或门户网站访问账户。无缝的 Passkey 认证必须在所有客户接触点上工作。 - 通常需要支持传统认证系统,因为[电信](https://www.corbado.com/passkeys-for-telecom)和公用事业提供商可能需要将 Passkey 集成到现有的 IAM 系统和客户身份平台中,而不中断当前的认证流程。 - 欺诈预防和账户安全是首要任务,特别是对于 SIM 卡交换欺诈、身份盗窃和未经授权的账户访问。Passkey 可以显著减少网络钓鱼攻击和凭证填充风险。 **建议:** 对于[电信](https://www.corbado.com/passkeys-for-telecom)和公用事业提供商,采用外部 Passkey 解决方案是推荐的方法。鉴于这些行业的规模、复杂性和安全要求,托管的 Passkey 供应商可确保合规性、高可用性以及与现有认证基础设施的无缝集成。电信巨头和数字优先的公用事业提供商已经将 Passkey 作为其安全现代化努力的一部分,以减少欺诈和改善用户体验。此外,外包 Passkey 实施比内部构建降低了总拥有成本 (TCO),因为持续的维护、安全更新和法规遵从性都由供应商处理。 **示例:** Deutsche Telekom、[Telstra](https://www.corbado.com/blog/telstra-passkeys)、SK [Telecom](https://www.corbado.com/passkeys-for-telecom) ### 7.8 B2B SaaS 领域的 Passkey 建议 **关键考量:** - 多租户认证对于 B2B SaaS 至关重要,需要在不同的 IAM 系统中进行可扩展的 Passkey 集成。 - 企业期望 [SSO](https://www.corbado.com/blog/passkeys-single-sign-on-sso) (OIDC/SAML),因此与身份提供商的无缝集成对业务至关重要。 - Passkey 实施成本必须与其他安全投资相平衡,例如多因素认证 (MFA) 和零信任安全模型。 **建议:** 对于大多数 B2B SaaS 提供商而言,外部 Passkey 实施是最佳选择。实施通常比内部开发更快。像 Notion、Hubspot 或 [Vercel](https://www.corbado.com/blog/vercel-passkeys) 这样的数字 B2B 公司已经采用 Passkey 来增强其认证安全性。总拥有成本显著低于内部开发,因为维护、更新和合规要求都由供应商承担。 **示例:** Canva、DocuSign、Notion ## 8. 结论 Passkey 已成为全球认证标准,为最终用户简化了登录过程,同时增强了安全性。在公司评估如何实施 Passkey 时,他们必须决定是构建内部解决方案还是利用专业的 Passkey 供应商。虽然 DIY 实施提供了完全的控制权,但它们需要大量的技术专长、开发资源和持续的维护。相比之下,Passkey 供应商提供了一种更快、可扩展且成本效益高的方法,确保高采用率、无缝的用户体验以及对不断变化的安全标准的合规性。 本指南解决了以下关键问题: - **实施 Passkey 并实现无密码登录需要哪些组件?** 成功的 Passkey 部署需要 [FIDO2](https://www.corbado.com/glossary/fido2)/WebAuthn 基础设施、无缝的用户体验流程、备用机制和安全的账户恢复选项。公司还必须考虑跨平台兼容性和安全合规性。 - **我们应该在内部实施 Passkey 还是使用外部供应商?** 虽然内部开发提供了控制权,但它伴随着高复杂性、持续的维护成本和安全责任。大多数面向消费者的大规模组织都从外部 Passkey 解决方案中受益,该方案提供快速部署、较低的运营成本和减少的技术开销。 - **既然有开源库,使用 Passkey 供应商有什么好处?** 开源 WebAuthn 库提供了一个起点,但缺乏企业级的安全性、针对 Passkey 优化的用户体验和提升采用率的功能。Passkey 供应商确保无缝部署、可扩展性和优化的用户采用策略,从而带来更好的 ROI,为用户和开发人员减少了摩擦。 - **构建 Passkey 解决方案最大的挑战是什么?** 开发内部 Passkey 系统需要在 WebAuthn、多设备支持和 Passkey 采用方面拥有深厚的专业知识。持续维护设备和浏览器的复杂性以及确保高采用率进一步增加了复杂性。 - **在内部实施 Passkey 有哪些风险?** 公司面临高昂的开发成本、延长的部署时间表和持续的安全维护负担。合规失败、安全漏洞和糟糕的用户采用率可能会使 Passkey 的推广功亏一篑。供应商管理的 Passkey 解决方案通过提供经过验证、可扩展的认证基础设施以及内置的安全性和法规遵从性来降低这些风险。