Grazie per aver seguito Google I/O. Guarda i contenuti on demand.

Passkey sicure e semplici: un elenco di controllo per il deployment

Eiji Kitamura

Pubblicato il 5 giugno 2025

Le passkey sono progettate per rivoluzionare l'esperienza di accesso, offrendo un'alternativa più semplice, veloce e sicura alle password. Questo elenco di controllo ti guiderà attraverso gli aspetti chiave dell'implementazione delle passkey per ottenere risultati ottimali in termini di esperienza utente (UX).

Come utilizzare questo elenco di controllo

Questo elenco di controllo è destinato agli sviluppatori e ai team di prodotto che implementano le passkey nei flussi di autenticazione. Puoi usarlo per:

Verificare che l'implementazione segua le best practice moderne per l'UX delle passkey descritte nei seguenti articoli.
Identificare gli elementi obbligatori e facoltativi che migliorano l'usabilità, la sicurezza e la compatibilità.
Controllare l'implementazione durante lo sviluppo e prima del deployment.
Allinearsi alle best practice che supportano l'adozione da parte degli utenti e l'interoperabilità del sistema.

In questo modo, gli utenti finali potranno usufruire di un'esperienza fluida e sicura.

Registrazione delle passkey

Per una transizione senza problemi dalle password alle passkey sul tuo sito web, è fondamentale disporre di una funzionalità di registrazione delle passkey sofisticata. Segui le istruzioni descritte in Creare una passkey per gli accessi senza password per creare una funzionalità di registrazione delle passkey sul tuo sito web. Oltre alle funzionalità di base per la registrazione delle passkey, ecco alcuni aspetti da controllare:

✅ Specifica "platform" come valore di collegamento dell'autenticatore da passare a navigator.credentials.create() per la creazione di una passkey promossa.

Fornisci un flusso di creazione delle passkey ottimizzato e senza problemi per gli utenti che creano una passkey in modo reattivo.

✅ Verifica l'identità dell'utente con il metodo di autenticazione più efficace disponibile prima di consentirgli di creare una passkey.

Questo passaggio è importante per impedire a un malintenzionato di creare una passkey su un account compromesso.

✅ Impedisci la creazione di passkey duplicate per lo stesso fornitore di passkey utilizzando excludeCredentials.

Molti fornitori di passkey accettano una sola passkey per account e ID RP. Evita di creare duplicati.

✅ Utilizza l'AAGUID per identificare il provider di passkey e per assegnare un nome alla credenziale per l'utente.

Associare una passkey al relativo provider è un modo intuitivo per presentare una credenziale, ove possibile.

✅ Indica se un tentativo di registrare una passkey non è riuscito con PublicKeyCredential.signalUnknownCredential().

Le passkey non associate possono causare confusione. Comunica al fornitore di passkey se il server non è riuscito a registrare una passkey.

✅ Invia una notifica all' utente dopo aver creato e registrato una passkey per il suo account.

Assicurati che l'utente sia a conoscenza della creazione di una passkey, soprattutto se è stata creata da un'altra persona.

Autenticazione con le passkey

Può essere difficile ospitare sia gli utenti che utilizzano le password sia quelli che utilizzano le passkey senza causare problemi. Segui le istruzioni descritte in Accedere con una passkey tramite il completamento automatico dei moduli per creare una funzionalità di completamento automatico dei moduli con le passkey sul tuo sito web. Oltre alle funzionalità di base per l'autenticazione con le passkey, ecco alcuni aspetti da controllare:

✅ Consenti agli utenti di accedere con una passkey tramite il completamento automatico dei moduli.

Se il tuo sito web sta passando dalle password alle passkey, l'approccio migliore per ospitare entrambi i tipi di utenti è utilizzare la funzionalità di completamento automatico dei moduli del browser.

✅ Indica quando non viene trovata una credenziale corrispondente a una passkey nel backend con PublicKeyCredential.signalUnknownCredential().

Le passkey non associate possono causare confusione. Comunica al fornitore di passkey quale passkey non è utilizzabile in modo che possa eliminarla.

✅ Chiedi agli utenti di creare manualmente una passkey se non ne hanno creata una dopo l'accesso.

Se l'utente non ha ancora creato una passkey, incoraggialo a farlo.

✅ Crea automaticamente una passkey (creazione condizionale) dopo che l'utente ha eseguito l'accesso con una password (e un secondo fattore).

Accelera l'adozione delle passkey da parte degli utenti.

✅ Chiedi la creazione di una passkey locale se l'utente ha eseguito l'accesso con una passkey cross-device.

La creazione di una passkey locale consente all'utente di accedere senza dover scansionare un codice QR la volta successiva.

✅ Comunica al provider l'elenco delle passkey disponibili e i dettagli utente aggiornati (nome utente, nome visualizzato) dopo l'accesso.

Mantenere sincronizzati l'elenco delle passkey e i dettagli utente tra il server e il fornitore di passkey migliora l'esperienza utente.

Gestione delle passkey

Fornire agli utenti una buona conoscenza delle passkey li aiuta a comprendere meglio il panorama e a controllare le passkey. Segui le istruzioni descritte in Aiutare gli utenti a gestire le passkey in modo efficace per creare una funzionalità di gestione delle passkey sul tuo sito web. Ecco alcuni aspetti da controllare:

✅ Consenti agli utenti di gestire le passkey in una pagina di gestione delle passkey.

Crea un luogo centralizzato in cui gli utenti possano gestire le proprie passkey.

✅ Supporta la registrazione di più passkey.

La possibilità di registrare più passkey aiuta gli utenti a evitare di rimanere bloccati senza dover ricorrere a un metodo di autenticazione più debole.

✅ Consenti agli utenti di aggiungere nuovi tipi di passkey flessibili nella pagina di gestione.

✅ Mostra il nome della passkey.

Assegna un nome alle passkey in base all'AAGUID e fornisci una rappresentazione visiva tangibile delle passkey dell'utente.

✅ Indica se una passkey è sincronizzabile o meno.

Informa l'utente quando una passkey non è sincronizzata.

✅ Consenti agli utenti di rimuovere una chiave pubblica dal server.

✅ Comunica l'elenco delle passkey quando una chiave pubblica associata viene rimossa dal server.

Mantenere sincronizzato l'elenco delle passkey tra il server e il fornitore di passkey migliora l'esperienza utente.

Esempio di una pagina di gestione delle passkey che mostra le best practice.

Considerazioni aggiuntive

✅ Comunica i dettagli utente aggiornati (nome utente, nome visualizzato) quando l'utente li aggiorna.

✅ Crea una passkey anziché una nuova password quando un utente fa clic su "Password dimenticata".

Passkey sicure e semplici: un elenco di controllo per il deployment Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.