Domande frequenti

Generale

Chi supporta le passkey?

Poiché le passkey si basano sugli standard FIDO, funzionano su Android e Chrome, insieme a molti altri ecosistemi e browser popolari come Microsoft Windows, Microsoft Edge, macOS, iOS e Safari.

Vedi Ambienti supportati per controllare lo stato dell'assistenza su Chrome e Android.

Le passkey funzionano su dispositivi su cui non è configurato un metodo di blocco schermo?

Dipende dall'implementazione del gestore delle password: se un provider di credenziali consente la creazione e l'autenticazione di una passkey senza compromettere la conoscenza degli utenti. I provider possono chiedere agli utenti di impostare un PIN o un blocco schermo biometrico prima di creare una passkey.

Come si possono utilizzare le passkey registrate su una piattaforma (come Android) per accedere su altre piattaforme (come web o iOS)?

Una passkey registrata su Android, ad esempio, può essere usata per accedere su altre piattaforme connettendo il telefono Android a un altro dispositivo. Per stabilire una connessione tra i due dispositivi che gli utenti devono aprire il sito su cui stanno tentando di accedere su un dispositivo che non ha una passkey registrata, scansiona un codice QR e conferma l'accesso sul dispositivo su cui ha creato la passkey (in questo caso il dispositivo Android). La passkey non lascia mai il dispositivo Android, quindi in genere le app suggeriranno di crearne una nuova sull'altro dispositivo per facilitare l'accesso la prossima volta. Questo flusso funziona in modo simile anche per altre piattaforme.

Posso spostare le passkey sincronizzate da un provider di piattaforma a un altro?

Le passkey vengono salvate nel provider di credenziali definito dalla piattaforma. Alcune piattaforme, come Android, consentono agli utenti di scegliere il provider di loro scelta (un sistema o un gestore delle password di terze parti) a partire da Android 14, che potrebbe essere in grado di sincronizzare le passkey su diverse piattaforme. Il supporto per lo spostamento di passkey direttamente da un provider di piattaforme a un'altra non è al momento disponibile.

Un utente può sincronizzare le proprie passkey su dispositivi diversi da Google Android?

Le passkey vengono sincronizzate solo all'interno dell'ecosistema del dispositivo (ovvero, da Android ad Android con Gestore delle password di Google per impostazione predefinita), ma non in tutto l'ecosistema.

Android sta aprendo la piattaforma (a partire da Android 14) per consentire agli utenti di selezionare il provider di credenziali che vogliono utilizzare (ad esempio un gestore delle password di terze parti). In questo modo, potrai utilizzare casi d'uso come la sincronizzazione delle passkey tra ecosistemi diversi (a seconda del livello di apertura di altre piattaforme).

Cosa dovrebbero fare gli sviluppatori per i dispositivi e le piattaforme che non supportano le passkey?

Per il momento consigliamo agli sviluppatori di mantenere le opzioni di accesso esistenti nella loro app, in modo che continuino a essere disponibili per i dispositivi e le piattaforme che non supportano le passkey.

Una passkey può scadere?

No. Questo dipende dal provider che archivia le passkey e l'RP (Relying Party), ma non esiste una pratica comune per far scadere le passkey.

Un RP può specificare un account con cui l'utente può accedere?

Le parti attendibili (app di terze parti) possono completare "allowCredentials" con un elenco di ID credenziali inviati dal backend dell'app che indica quali passkey devono essere utilizzate per autenticare l'utente.

Passkey su Android e Chrome

Le app Android possono usare le passkey create in Chrome per l'autenticazione?

  • Per le passkey create in Chrome su Android:

    Sì, le passkey create in Chrome vengono salvate in Gestore delle password di Google e sono disponibili su Android e viceversa quando gli utenti accedono allo stesso Account Google.

  • Per le passkey create in Chrome su altre piattaforme:

    Se la passkey viene creata in Chrome su altre piattaforme (Mac, iOS, Windows), allora no. Controlla gli ambienti supportati per maggiori informazioni. Nel frattempo, gli utenti possono utilizzare il telefono su cui hanno creato la passkey per accedere.

Cosa succede alle credenziali create prima dell'introduzione delle passkey? Possiamo continuare a utilizzarli?

Sì, sia su Chrome che su Android, sono disponibili credenziali associate ai dispositivi create prima dell'attivazione della sincronizzazione, che possono essere ancora utilizzate per l'autenticazione.

Cosa succede se un utente perde il proprio dispositivo?

Le passkey create su Android vengono sottoposte a backup e sincronizzate con dispositivi Android su cui è stato eseguito l'accesso allo stesso Account Google, come avviene per il backup delle password nel Gestore delle password.

Ciò significa che le passkey dell'utente saranno disponibili anche quando sostituiscono i suoi dispositivi. Per accedere alle app su un nuovo telefono, l'utente deve soltanto eseguire la verifica con il blocco schermo del suo dispositivo esistente.

Sia il dispositivo sia il blocco schermo tramite PIN o sequenza devono essere configurati sul dispositivo per accedere con le passkey o è uno di questi?

È sufficiente un solo metodo di blocco schermo.

Una passkey è associata a un metodo di blocco schermo specifico come l'impronta, il PIN o la sequenza?

Dipende dalla piattaforma del dispositivo e dal modo in cui viene eseguita la verifica dell'utente. Nel caso di Gestore delle password di Google, le passkey non sono associate a metodi di autenticazione specifici e possono essere utilizzate con qualsiasi fattore di blocco schermo disponibile (dati biometrici, PIN o pattern).

Un RP può ancora creare credenziali associate al dispositivo che non siano sincronizzate?

Per il momento, le credenziali non rilevabili create in Chrome su Android o in un'app per Android utilizzando le API Play Services mantengono il comportamento esistente e continuano a essere vincolate al dispositivo.

Quando utilizzi le passkey, l'estensione della chiave pubblica del dispositivo in fase di sviluppo è una seconda chiave associata al dispositivo che non verrà sincronizzata e che potrà essere utilizzata per l'analisi dei rischi. Tuttavia, questo non è ancora supportato da nessun fornitore di credenziali.

Come funziona la sincronizzazione delle passkey su un nuovo dispositivo? Gli utenti devono avere accesso al dispositivo su cui hanno creato una passkey?

Su Android:

  • Se le passkey sono state salvate in Gestore delle password di Google, tutto ciò che l'utente deve fare è accedere sul nuovo dispositivo con lo stesso Account Google e verificare se stessi con il blocco schermo del dispositivo precedente (PIN, sequenza o passcode). Il dispositivo precedente non è richiesto all'utente di accedere ad altri dispositivi.

  • Se le passkey sono state salvate in un provider di credenziali diverso, dipenderanno dai flussi di accesso sui nuovi dispositivi del provider di credenziali. La maggior parte dei provider di credenziali sincronizza le credenziali nel cloud e offre agli utenti alcuni modi per accedervi su nuovi dispositivi dopo l'autenticazione.

Privacy e sicurezza

Le informazioni biometriche dell'utente sono sicure?

Sì, i dati biometrici degli utenti non lasciano mai il dispositivo e non vengono mai archiviati su un server centrale in cui potrebbero essere rubati in caso di violazione.

Un utente può accedere al dispositivo di un amico utilizzando una passkey sul suo telefono?

Sì, Gli utenti possono configurare un "link unico" tra il loro telefono e il dispositivo di qualcun altro per consentire l'accesso.

Le passkey archiviate in Gestore delle password di Google sono protette se l'Account Google di un utente è stato compromesso?

Sì, i passkey sono protetti con crittografia end-to-end. Un Account Google compromesso non esporrebbe le passkey, in quanto gli utenti devono anche sbloccare lo schermo del proprio dispositivo Android per decriptare le passkey.

Qual è la differenza tra le passkey e la federazione delle identità?

La federazione delle identità è ideale per la registrazione a un servizio, in quanto restituisce le informazioni di base del profilo dell'utente, come il nome e l'indirizzo email verificato, che aiutano a eseguire il bootstrap dei nuovi account. Le passkey sono ottime per semplificare la riautenticazione degli utenti.