Domande frequenti

Generale

Chi supporta le passkey?

Poiché le passkey si basano sugli standard FIDO, funzionano su Android e Chrome, insieme a molti altri ecosistemi e browser noti come Microsoft Windows, Microsoft Edge, macOS, iOS e Safari.

Vedi Ambienti supportati per controllare lo stato dell'assistenza su Chrome e Android.

Le passkey funzionano sui dispositivi per cui non è stato configurato un metodo di blocco schermo?

Dipende dall'implementazione del gestore delle password, se un provider di credenziali consente la creazione e l'autenticazione di una passkey senza una verifica dei fattori di conoscenza dell'utente. I provider possono chiedere agli utenti di impostare un PIN o un blocco schermo biometrico prima di creare una passkey.

Come è possibile usare le passkey registrate su una piattaforma (ad esempio Android) per accedere su altre piattaforme (come il web o iOS)?

Una passkey registrata su Android, ad esempio, può essere utilizzata per accedere su altre piattaforme collegando il telefono Android a un altro dispositivo. Per stabilire una connessione tra i due dispositivi, gli utenti devono aprire il sito a cui stanno cercando di accedere su un dispositivo su cui non è registrata una passkey, scansionare un codice QR e quindi confermare l'accesso sul dispositivo su cui hanno creato la passkey (in questo caso, il dispositivo Android). La passkey non viene mai lasciata dal dispositivo Android, quindi in genere le app suggeriscono di creare una nuova passkey sull'altro dispositivo per facilitare l'accesso la volta successiva. Questo flusso funzionerà in modo simile anche per altre piattaforme.

Posso spostare passkey sincronizzate da un provider di piattaforme a un altro?

Le passkey vengono salvate nel fornitore di credenziali definito dalla piattaforma. Alcune piattaforme, come Android, consentono agli utenti di scegliere il provider preferito (un sistema o un gestore delle password di terze parti) a partire da Android 14, che potrebbe essere in grado di sincronizzare le passkey su diverse piattaforme. Il supporto per lo spostamento diretto delle passkey da un provider di piattaforme a un altro non è al momento disponibile.

Un utente può sincronizzare le proprie passkey su dispositivi Android non Google?

Le passkey vengono sincronizzate solo all'interno dell'ecosistema del dispositivo (ovvero, da Android ad Android con Gestore delle password di Google per impostazione predefinita), ma non nell'intero ecosistema.

Android sta introducendo la piattaforma (a partire da Android 14) per consentire agli utenti di selezionare il provider di credenziali che preferiscono utilizzare, ad esempio un gestore delle password di terze parti. Ciò consentirà casi d'uso come la sincronizzazione di passkey tra diversi ecosistemi (a seconda di quanto sono aperte le altre piattaforme).

Cosa dovrebbero fare gli sviluppatori riguardo ai dispositivi e alle piattaforme che non supportano le passkey?

Per il momento consigliamo agli sviluppatori di mantenere le opzioni di accesso esistenti nella loro app, in modo che continuino a essere disponibili per i dispositivi e le piattaforme che non supportano le passkey.

Una passkey può scadere?

No. Dipende dal provider che ha archiviato le passkey e dal RP (Parte affidabile), ma non esiste una pratica comune per far scadere le passkey.

Una parte soggetta a limitazioni può specificare un account con cui l'utente può accedere?

Le parti affidabili (app di terze parti) possono compilare il campo "allowCredentials" con un elenco di ID credenziali inviati dal backend dell'app, indicando quali passkey devono essere utilizzate per autenticare l'utente.

Passkey su Android e Chrome

Le app Android possono utilizzare passkey create in Chrome per l'autenticazione?

  • Per le passkey create in Chrome su Android:

    Sì, le passkey create in Chrome vengono salvate in Gestore delle password di Google e sono disponibili su Android e viceversa quando gli utenti hanno eseguito l'accesso allo stesso Account Google.

  • Per le passkey create in Chrome su altre piattaforme:

    Se la passkey viene creata in Chrome su altre piattaforme (Mac, iOS, Windows), no. Controlla gli ambienti supportati per ulteriori informazioni. Nel frattempo, gli utenti possono usare il telefono su cui hanno creato la passkey per accedere.

Cosa succede alle credenziali create prima dell'introduzione delle passkey? Possiamo continuare a utilizzarli?

Sì, sia su Chrome sia su Android, le credenziali associate al dispositivo create prima dell'attivazione della sincronizzazione sono disponibili e possono ancora essere utilizzate per l'autenticazione.

Che cosa succede se un utente smarrisce il proprio dispositivo?

Il backup e la sincronizzazione delle passkey create su Android vengono eseguiti con i dispositivi Android su cui è stato eseguito l'accesso allo stesso Account Google, nello stesso modo in cui viene eseguito il backup delle password nel gestore delle password.

Ciò significa che le passkey dell'utente lo saranno quando sostituiscono il dispositivo. Per accedere alle app su un nuovo telefono, l'utente deve semplicemente verificare la propria identità utilizzando il blocco schermo del dispositivo esistente.

Per accedere con le passkey è necessaria la configurazione sia biometrica che del PIN o del blocco schermo con sequenza sul dispositivo o una di queste opzioni è sufficiente?

È sufficiente un solo metodo di blocco schermo.

Una passkey è associata a un metodo di blocco schermo specifico, ad esempio l'impronta, il PIN o la sequenza?

Dipende dalla piattaforma del dispositivo e da come viene eseguita la verifica dell'utente. Nel caso di Gestore delle password di Google, le passkey non sono associate a metodi di autenticazione specifici e possono essere utilizzate con qualsiasi fattore di blocco schermo disponibile (biometrico, PIN o sequenza).

Una parte soggetta a limitazioni può comunque creare credenziali associate al dispositivo che non sono sincronizzate?

Per il momento, le credenziali non rilevabili create in Chrome su Android, o in un'app Android utilizzando le API Play Services, mantengono il loro comportamento esistente e quindi continuano a essere associate al dispositivo.

Quando utilizzi le passkey, l'estensione della chiave pubblica del dispositivo, in fase di sviluppo, è una seconda chiave associata al dispositivo che non verrà sincronizzata e che può essere utilizzata per l'analisi del rischio. Tuttavia, ciò non è ancora supportato da alcun provider di credenziali.

Come funziona la sincronizzazione delle passkey su un nuovo dispositivo? Gli utenti devono avere accesso al dispositivo su cui hanno creato una passkey?

Su Android:

  • Se le passkey sono state salvate in Gestore delle password di Google, l'utente non deve fare altro che accedere al nuovo dispositivo con lo stesso Account Google e verificare la propria identità con il blocco schermo del dispositivo precedente (PIN, sequenza o passcode). L'utente non deve utilizzare il dispositivo precedente per accedere ad altri dispositivi.

  • Se le passkey sono state salvate in un provider di credenziali diverso, dipenderanno dai flussi di accesso sui nuovi dispositivi del provider di credenziali. La maggior parte dei provider di credenziali sincronizza le credenziali con il cloud e offre agli utenti modi per accedervi su nuovi dispositivi dopo l'autenticazione.

Privacy e sicurezza

Le informazioni biometriche dell'utente sono sicure?

Sì, i dati biometrici degli utenti non lasciano mai il dispositivo e non vengono mai archiviati su un server centrale in cui potrebbero essere rubati in una violazione.

Un utente può accedere al dispositivo di un amico utilizzando una passkey sul suo telefono?

Sì. Per poter accedere, gli utenti possono impostare un "collegamento una tantum" tra il loro telefono e il dispositivo di un'altra persona.

Le passkey archiviate in Gestore delle password di Google sono protette se l'Account Google di un utente viene compromesso?

Sì, i secret delle passkey sono criptati end-to-end. Un Account Google compromesso non esporrebbe le passkey, perché gli utenti devono anche sbloccare lo schermo del proprio dispositivo Android per decriptare le passkey.

Qual è la differenza tra le passkey e la federazione delle identità?

La federazione delle identità è ottima per la registrazione a un servizio, poiché restituisce le informazioni di base del profilo dell'utente, come il nome e l'indirizzo email verificato, che consentono il bootstrap di nuovi account. Le passkey sono perfette per semplificare la reauthentication degli utenti.