Informazioni sulle passkey

Le passkey offrono un'alternativa più sicura e facile da usare rispetto alle password. Consentono agli utenti di accedere a siti web e applicazioni utilizzando i meccanismi di sblocco integrati del dispositivo, come sequenza, PIN, password o dati biometrici come impronta o riconoscimento facciale. L'API Credential Manager si basa sullo standard di autenticazione web per facilitare l'integrazione dei flussi di autenticazione con passkey.

Vantaggi delle passkey

Le passkey offrono molti vantaggi rispetto ad altri meccanismi di autenticazione.

  • Esperienza di accesso migliorata: gli utenti possono autenticarsi utilizzando metodi come il riconoscimento dell'impronta o del volto anziché digitare le password, il che si traduce in un'esperienza di accesso più fluida e rapida.
  • Maggiore sicurezza: le passkey utilizzano la crittografia a chiave pubblica, in modo che le violazioni dei dati dei fornitori di servizi non compromettano gli account. Le passkey si basano su API e protocolli standard di settore che non sono soggetti ad attacchi di phishing.
  • Esperienza unificata su dispositivi e piattaforme: grazie alla possibilità di sincronizzare le passkey su tutti i dispositivi, gli utenti usufruiscono di un'autenticazione semplificata indipendentemente dal dispositivo o dalla piattaforma che utilizzano, inclusi Windows, iOS e Linux.
  • Autenticazione senza interruzioni su nuovi dispositivi: le passkey supportano il ripristino delle credenziali per consentire agli utenti di accedere senza problemi ai nuovi dispositivi.
  • Minore attrito durante l'accesso: le passkey non richiedono agli utenti di memorizzare le password, riducendo l'attrito delle password dimenticate.

Per vedere esempi che illustrano questi vantaggi, consulta gli studi di caso di app che hanno adottato le passkey.

Come funzionano le passkey in Gestore delle credenziali

Utilizza l'API Credential Manager nell'app client relying party e nel server dell'app relying party per creare soluzioni di autenticazione con passkey.

I passaggi per creare una passkey possono essere riassunti come segue:

  1. L'app client richiede le opzioni necessarie per creare le credenziali dal server delle app.
  2. La tua app client utilizza queste opzioni per inviare una richiesta all'API Credential Manager per generare una coppia di chiavi pubblica/privata.
  3. La chiave pubblica è memorizzata sul server dell'app e la chiave privata è memorizzata in modo sicuro sul dispositivo dell'utente in un provider di credenziali come Gestore delle password di Google.

I passaggi per accedere con una passkey sono i seguenti:

  1. L'app client richiede le opzioni di richiesta delle credenziali dal server dell'app, che invia una sfida con la sua risposta. Il server dell'app archivia in modo sicuro questa sfida per la verifica successiva.
  2. Dopo che l'utente acconsente all'utilizzo della passkey sbloccando lo schermo del dispositivo, il provider di credenziali utilizza la chiave privata archiviata per firmare la challenge, creando un'asserzione firmata.

  3. Invia l'asserzione firmata al server dell'app ed esegue i seguenti controlli:

    • Se la sfida corrisponde a quella memorizzata.
    • Se la firma nell'asserzione può essere verificata con la chiave pubblica.

    Se il server dell'app verifica correttamente l'asserzione, l'utente esegue l'accesso.

Con le passkey, le chiavi pubbliche vengono memorizzate sul server dell'app e le chiavi private sul dispositivo dell'utente.
Figura 1. Le chiavi pubbliche sono archiviate sul server delle app e le chiavi private sul dispositivo dell'utente. Entrambe le chiavi vengono utilizzate per autenticare un utente.

Compatibilità con la versione di Android

L'implementazione delle passkey di Credential Manager funziona sui dispositivi con Android 9 (livello API 28) e versioni successive.

Supporto multipiattaforma

Le passkey sono compatibili con diversi sistemi operativi, tra cui Android, Microsoft Windows, macOS e iOS. Funzionano anche con una serie di browser popolari, come Chrome, Microsoft Edge e Safari.

Consulta la sezione Ambienti supportati per verificare lo stato del supporto su Chrome e Android. Per scoprire di più sull'aggiunta di passkey al tuo sito web, consulta Passkey sul web.

Supporto su diversi fattori di forma

Le passkey funzionano su altri fattori di forma sviluppati da Google, tra cui Android, Wear OS e Android XR. Per saperne di più, consulta Formati.

Passaggi successivi