Le passkey sono progettate per rivoluzionare l'esperienza di accesso, offrendo un'alternativa più semplice, più rapida e più sicura alle password. Questo elenco di controllo ti guiderà negli aspetti chiave dell'implementazione delle passkey per ottenere risultati ottimali per l'esperienza utente (UX).
Come utilizzare questo elenco di controllo
Questo elenco di controllo è rivolto a sviluppatori e team di prodotto che implementano le passkey nei loro flussi di autenticazione. Utilizzalo per:
- Verifica che l'implementazione segua le best practice sull'esperienza utente delle passkey moderne descritte nei seguenti articoli.
- Identifica gli elementi obbligatori e facoltativi che migliorano l'usabilità, la sicurezza e la compatibilità.
- Controlla l'implementazione durante lo sviluppo e prima del deployment.
- Allineamento alle best practice che supportano l'adozione da parte degli utenti e l'interoperabilità del sistema.
In questo modo, puoi offrire un'esperienza fluida e sicura agli utenti finali.
Registrazione delle passkey
Per effettuare una transizione agevole dalle password alle passkey sul tuo sito web, è fondamentale disporre di una funzionalità di registrazione delle passkey sofisticata. Segui le istruzioni descritte in Creare una passkey per gli accessi senza password per creare una funzionalità di registrazione delle passkey sul tuo sito web. Ecco cosa devi controllare oltre alle funzionalità di registrazione delle passkey di base:
✅ Specifica "platform" come valore dell'attributo dell'autenticatore da passare a
navigator.credentials.create() per la creazione di una passkey promossa.
- Fornisci un flusso di creazione delle passkey ottimizzato e senza problemi per chi sta creando una passkey in modo reattivo.
✅ Verifica l'utente con il metodo di autenticazione più sicuro disponibile prima di consentirgli di creare una passkey.
- Questo è importante per impedire a un malintenzionato di creare una passkey su un account compromesso.
✅ Evita di creare passkey duplicate per lo stesso provider di passkey utilizzando
excludeCredentials.
- Molti fornitori di passkey supportano una sola passkey per account e un ID RP. Evita di creare duplicati.
✅ Utilizza l'AAGUID per identificare il provider delle passkey e per assegnare un nome alla credenziale per l'utente.
- Associare una passkey al relativo provider è un modo intuitivo per presentare una credenziale, se possibile.
✅ Segnale se un tentativo di registrazione di una passkey non va a buon fine con
PublicKeyCredential.signalUnknownCredential().
- Le passkey errate possono creare confusione. Comunica al fornitore della passkey se il server non è riuscito a registrare una passkey.
✅ Invia una notifica all'utente dopo aver creato e registrato una passkey per il suo account.
- Assicurati che l'utente sia a conoscenza della creazione di una passkey, soprattutto se viene eseguita da qualcun altro.
Autenticazione con passkey
Accontentare sia gli utenti con password sia quelli con passkey senza problemi può essere complicato. Segui le istruzioni descritte in Accedere con una passkey tramite la compilazione automatica dei moduli per creare una funzionalità di compilazione automatica dei moduli con passkey sul tuo sito web. Ecco cosa controllare oltre alle funzionalità di autenticazione delle passkey di base:
✅ Consenti agli utenti di accedere con una passkey tramite il completamento automatico dei moduli.
- Se il tuo sito web sta passando dalle password alle passkey, l'approccio migliore per accontentare entrambi gli utenti è utilizzare la funzionalità di compilazione automatica dei moduli del browser.
✅ Indica quando la credenziale corrispondente di una passkey non viene trovata nel backend con
PublicKeyCredential.signalUnknownCredential().
- Le passkey errate possono creare confusione. Comunica al provider della passkey quale passkey non è utilizzabile in modo che possa eliminarla.
✅ Chiedi agli utenti di creare manualmente una passkey se non ne hanno creata una dopo un accesso.
- Se l'utente non ha ancora creato una passkey, invitalo a farlo.
✅ Crea automaticamente una passkey (creazione obbligatoria) dopo che l'utente ha eseguito l'accesso con una password (e un secondo fattore).
- Accelerare l'adozione delle passkey da parte degli utenti.
✅ Chiedi di creare una passkey locale se l'utente ha eseguito l'accesso con una passkey cross-device.
- La creazione di una passkey locale consente all'utente di accedere senza scansionare un codice QR la volta successiva.
✅ Segnala al fornitore l'elenco delle passkey disponibili e i dettagli dell'utente aggiornati (nome utente, nome visualizzato) dopo l'accesso
- Mantenere sincronizzati l'elenco delle passkey e i dettagli utente tra il server e il fornitore di passkey migliora l'esperienza utente.
Gestione delle passkey
Fornire agli utenti una buona conoscenza delle passkey li aiuta a comprendere meglio il panorama e a controllarle. Segui le istruzioni descritte in Aiutare gli utenti a gestire efficacemente le passkey per creare una funzionalità di gestione delle passkey sul tuo sito web. Ecco cosa devi controllare:
✅ Consenti agli utenti di gestire le passkey in una pagina di gestione delle passkey.
- Creare un luogo centrale in cui gli utenti possono gestire le proprie passkey.
✅ Supporto per la registrazione di più passkey.
- La possibilità di registrare più passkey aiuta gli utenti a evitare di rimanere bloccati senza dover ricorrere a un metodo di autenticazione meno sicuro.
✅ Consenti agli utenti di aggiungere tipi nuovi e flessibili di passkey nella pagina di gestione.
✅ Mostra il nome della passkey.
- Assegna un nome alle passkey in base all'AAGUID e fornisci una visualizzazione tangibile delle passkey dell'utente.
✅ Indica se una passkey è sincronizzabile o non sincronizzabile.
- Comunicare all'utente quando una passkey non è sincronizzata.
✅ Consenti agli utenti di rimuovere una chiave pubblica dal server.
✅ Segnale l'elenco delle passkey quando una chiave pubblica associata viene rimossa dal server.
- Mantenere sincronizzato l'elenco delle passkey tra il server e il fornitore di passkey migliora l'esperienza utente.
Considerazioni aggiuntive
✅ Segnala i dettagli dell'utente aggiornati (nome utente, nome visualizzato) quando l'utente li aggiorna.
✅ Crea una passkey anziché una nuova password quando un utente "ha dimenticato la password".