Aiutare gli utenti a gestire le passkey in modo efficace

Eiji Kitamura

Data di pubblicazione: 15 maggio 2025

Le passkey stanno rapidamente diventando un'alternativa più sicura, semplice e veloce alle password, offrendo maggiore sicurezza e praticità per gli utenti. Per sfruttare appieno il potenziale delle passkey, è necessario prestare particolare attenzione all'esperienza utente relativa alla loro gestione. Questo documento delinea le linee guida e le funzionalità facoltative per la progettazione di un sistema di gestione delle passkey intuitivo, sicuro e solido.

Gestire più passkey

Consenti agli utenti di aggiungere più passkey e di utilizzare più di un provider. Ma non consentire loro di aggiungere più di una passkey per lo stesso account con lo stesso provider. Se un utente perde l'accesso a un provider, ad esempio quando la piattaforma non lo supporta o l'utente perde l'accesso, può comunque accedere con un'altra passkey di un altro provider. Questa configurazione riduce il rischio di blocco dell'account. Assicurati che il database supporti l'archiviazione di più passkey per utente.

Visualizzare un elenco di passkey registrate

Il tuo sito web o la tua app deve visualizzare le passkey registrate in un elenco con i dettagli chiave per aiutare gli utenti a gestirle in modo efficace. Questo screenshot mostra l'aspetto di una pagina di gestione delle passkey dedicata. Mostra come un utente può creare passkey su più piattaforme e fornisce un luogo centralizzato per gestirle.

Di seguito sono riportati alcuni dei dettagli e delle funzionalità comuni che i siti web e le app possono visualizzare su una passkey:

• Nome della passkey: visualizza il nome della passkey assegnato al momento della registrazione. Idealmente, questo nome corrisponde al provider di passkey su cui è stato creato in base all'AAGUID. Se non viene trovato alcun provider di passkey corrispondente, è consigliabile assegnare un nome in base alle informazioni del dispositivo in base alla stringa dello user agent.
• Logo del provider di passkey: visualizza il logo del provider di passkey. In questo modo l'utente può identificare la passkey che vuole gestire.
• Timestamp di creazione e ultimo utilizzo della passkey: la registrazione e la visualizzazione del timestamp di creazione e dell'ultimo utilizzo della passkey possono anche aiutare l'utente a identificare la passkey che vuole gestire.
• Indicatore di non sincronizzazione: le passkey vengono sincronizzate per impostazione predefinita, ma la funzionalità di sincronizzazione dei provider di passkey è ancora in fase di sviluppo. È una confusione comune quando una passkey non viene sincronizzata nonostante le aspettative dell'utente. Mostrare l'incapacità di sincronizzazione di una passkey può aiutare gli utenti a chiarire questa confusione.
• Pulsante Elimina: consente agli utenti di eliminare la passkey. Per maggiori dettagli, consulta Consentire l'eliminazione di una passkey.
• Pulsante Modifica: molti utenti apprezzano la possibilità di rinominare una passkey. Ad esempio, quando sono presenti più passkey dello stesso provider di passkey, ma con account provider diversi. Immagina di salvare più passkey in Account Google diversi. Consentendo all'utente di rinominare la passkey, può modificarla con un nome di sua scelta.
• Ultimo browser, sistema operativo o indirizzo IP di accesso: se fornisci facoltativamente i dettagli dell'ultimo accesso, l'utente può identificare gli accessi sospetti. Il browser, il sistema operativo o l'indirizzo IP (o la località) utilizzato per l'accesso possono essere informazioni utili.

Consentire l'eliminazione di una passkey

Consenti agli utenti di eliminare una passkey. In questo modo possono riordinare l'elenco, ad esempio quando un utente passa a un nuovo dispositivo, ma la passkey associata è vincolata al dispositivo precedente. È utile anche quando un pirata informatico dirotta un account utente e crea una passkey per un utilizzo futuro.

Segnalare l'elenco aggiornato delle passkey

L'eliminazione di una passkey rimuove la voce delle credenziali e la chiave pubblica dal database del server. In questo modo, la passkey scomparirà dall'elenco delle passkey registrate e l'utente vedrà che la passkey è stata eliminata. Tuttavia, in realtà, viene rimossa solo dal server e la passkey memorizzata nel provider di passkey rimane, il che può causare confusione. La prossima volta che l'utente tenta di accedere, la passkey rimossa verrà comunque visualizzata come opzione di accesso. Tuttavia, l'autenticazione non andrà a buon fine perché la chiave pubblica corrispondente è già stata eliminata dal server.

Per evitare confusione, è importante mantenere la passkey su un provider di passkey e la chiave pubblica sul server coerenti. Puoi farlo segnalando l'elenco aggiornato delle passkey al provider di passkey. Se il browser e il provider di passkey supportano l'API Signal, possono aggiornare l'elenco delle passkey ed eliminare quelle non necessarie. Se non supportano l'API, invita l'utente a eliminare manualmente la passkey.

Eliminare l'ultima passkey

Se un utente tenta di eliminare l'ultima passkey rimanente per un determinato account, assicurati che comprenda che dovrà accedere con un'altra opzione con più attrito e potenzialmente meno protezione. Se questo è l'unico metodo di accesso al tuo sito, non potrà accedere di nuovo. Informa gli utenti su come accedere la prossima volta, ad esempio utilizzando un metodo di backup, se disponibile, o chiedendo loro di registrare un'altra passkey prima di procedere. È una buona occasione per raccogliere feedback sul motivo per cui non hanno scelto di utilizzare una passkey.

Consentire la creazione di nuove passkey

Sebbene ci siano opportunità per creare passkey durante il percorso di un utente (ad esempio subito dopo l'accesso), è fondamentale avere un hub centrale in cui gli utenti possano sempre creare nuove passkey, eliminarle e gestirle. La schermata di gestione delle passkey è il posto migliore per farlo.

Per creare un flusso utente per la passkey, consulta la Guida per gli sviluppatori Creare una passkey per gli accessi senza password. Per una sicurezza avanzata, valuta la possibilità di consentire agli utenti di creare una passkey su un token di sicurezza hardware. Puoi aspettarti che gli utenti disposti a gestire le passkey siano più esperti, quindi consentire loro di creare una passkey sul proprio token di sicurezza offre una maggiore flessibilità.

Per consentire il salvataggio delle passkey su un token di sicurezza hardware, lascia authenticatorSelection.authenticatorAttachment non impostato anziché impostarlo su "platform" in una richiesta di creazione di passkey. In questo modo, il browser accetta sia gli autenticatori della piattaforma (dispositivo) sia quelli roaming (un token di sicurezza) senza che l'esperienza utente sia significativamente diversa da quella che consente solo un autenticatore della piattaforma. L'opzione per creare una passkey su un token di sicurezza viene visualizzata come opzione secondaria.

Elenco di controllo

• Consenti agli utenti di gestire le passkey in una pagina di gestione delle passkey.
• Supporta la registrazione di più passkey.
• Consenti agli utenti di aggiungere nuovi tipi di passkey flessibili nella pagina di gestione.
• Visualizza il nome della passkey.
• Indica se una passkey è sincronizzabile o meno.
• Consenti agli utenti di rimuovere una chiave pubblica dal server.
• Segnala l'elenco delle passkey quando una chiave pubblica associata viene rimossa dal server.

Altre guide all'esperienza utente

• Guide generali all'esperienza utente per le passkey
  • Percorsi utente per le passkey
  • Comunicare le passkey agli utenti
  • Progettazione dell'interfaccia utente per le passkey
• Guide per Android
  • Autenticazione utente con le passkey