Questa pagina è stata tradotta dall'API Cloud Translation.

Domande frequenti

Generale

Chi supporta le passkey?

Poiché le passkey si basano sugli standard FIDO, funzionano su Android e Chrome, oltre che su molti altri ecosistemi e browser popolari come Microsoft Windows, Microsoft Edge, macOS, iOS e Safari.

Consulta Ambienti supportati per verificare lo stato del supporto su Chrome e Android.

Le passkey funzionano sui dispositivi su cui non è configurato un metodo di blocco schermo?

Dipende dall'implementazione del gestore delle password, se un fornitore di credenziali consente la creazione e l'autenticazione di una passkey senza una verifica del fattore di conoscenza dell'utente. I fornitori possono chiedere agli utenti di configurare un PIN o un blocco schermo biometrico prima di creare una passkey.

In che modo le passkey registrate su una piattaforma (ad esempio Android) possono essere utilizzate per accedere ad altre piattaforme (ad esempio web o iOS)?

Una passkey registrata su Android, ad esempio, può essere utilizzata per accedere ad altre piattaforme collegando lo smartphone Android a un altro dispositivo. Per stabilire una connessione tra i due dispositivi, gli utenti devono aprire il sito a cui stanno tentando di accedere su un dispositivo su cui non è registrata una passkey, scansionare un codice QR e poi confermare l'accesso sul dispositivo su cui avevano creato la passkey (in questo caso, il dispositivo Android). La passkey non lascia mai il dispositivo Android, quindi in genere le app suggeriscono di creare una nuova passkey sull'altro dispositivo per facilitare l'accesso la volta successiva. Questo flusso funzionerà in modo simile anche per altre piattaforme.

Posso spostare le passkey sincronizzate da un fornitore di piattaforma a un altro?

Le passkey vengono salvate nel provider di credenziali definito dalla piattaforma. Alcune piattaforme, come Android, consentono agli utenti di scegliere il provider che preferiscono (un gestore delle password di sistema o di terze parti) a partire da Android 14, che potrebbe essere in grado di sincronizzare le passkey su piattaforme diverse. Al momento non è disponibile il supporto per lo spostamento delle passkey direttamente da un fornitore di piattaforma a un altro.

Un utente può sincronizzare le proprie passkey su dispositivi Android non Google?

Le passkey vengono sincronizzate solo all'interno dell'ecosistema del dispositivo (ovvero da Android ad Android con Gestore delle password di Google per impostazione predefinita), ma non tra gli ecosistemi.

Android sta aprendo la piattaforma (a partire da Android 14) per consentire agli utenti di selezionare il provider di credenziali che vogliono utilizzare (ad esempio un gestore delle password di terze parti). Ciò consentirà casi d'uso come la sincronizzazione delle passkey tra diversi ecosistemi (a seconda del livello di apertura delle altre piattaforme).

Cosa devono fare gli sviluppatori in merito a dispositivi e piattaforme che non supportano le passkey?

Per il momento, agli sviluppatori viene consigliato di mantenere le opzioni di accesso esistenti nella propria app in modo che continuino a essere disponibili per dispositivi e piattaforme che non supportano le passkey.

Una passkey può scadere?

No. Dipende dal fornitore che memorizza le passkey e dalla RP (Relying party), ma non esiste una prassi comune per la scadenza delle passkey.

Un RP può specificare un account con cui l'utente deve accedere?

Le relying party (app di terze parti) possono compilare <0x0A;>'allowCredentials' <0x0A;>con un elenco di ID credenziali inviati dal backend dell'app che indica quali <0x0A;>passkey devono essere utilizzate per autenticare l'utente.

Passkey su Android e Chrome

Le app per Android possono utilizzare le passkey create in Chrome per l'autenticazione?

Per le passkey create in Chrome su Android:

Sì, le passkey create in Chrome vengono salvate in Gestore delle password di Google e sono disponibili su Android e viceversa quando gli utenti hanno eseguito l'accesso allo stesso Account Google.

Nota: il primo passaggio per attivare il supporto delle passkey per la tua app per Android è associare l'app e il sito web. A questo scopo, ospita un file JSON Digital Asset Links sul tuo sito web e aggiungi un link al file Digital Asset Links al manifest della tua app. Ciò dimostra che sei proprietario sia del sito web che dell'app. Per saperne di più, consulta la documentazione su Digital Asset Links.
Per le passkey create in Chrome su altre piattaforme:

Se la passkey viene creata in Chrome su altre piattaforme (Mac, iOS, Windows), la risposta è no. Per ulteriori informazioni, consulta la sezione Ambienti supportati. Nel frattempo, gli utenti possono utilizzare lo smartphone su cui hanno creato la passkey per accedere.

Che cosa succede alle credenziali create prima dell'introduzione delle passkey? Possiamo continuare a utilizzarli?

Sì, sia su Chrome che su Android, le credenziali associate al dispositivo create prima dell'attivazione della sincronizzazione sono disponibili e possono ancora essere utilizzate per l'autenticazione.

Cosa succede se un utente perde il proprio dispositivo?

Le passkey create su Android vengono sottoposte a backup e sincronizzate con i dispositivi Android che hanno eseguito l'accesso allo stesso Account Google, nello stesso modo in cui le password vengono sottoposte a backup nel gestore delle password.

Ciò significa che le passkey dell'utente vengono trasferite quando sostituisce i dispositivi. Per accedere alle app su un nuovo smartphone, l'utente deve solo verificare la propria identità con il blocco schermo del dispositivo esistente.

Per accedere con le passkey è necessario configurare sia il blocco schermo biometrico sia quello con PIN o sequenza sul dispositivo o è sufficiente uno dei due?

È sufficiente un solo metodo di blocco schermo.

Una passkey è associata a un metodo di blocco schermo specifico, come impronta, PIN o sequenza?

Dipende dalla piattaforma del dispositivo e da come viene eseguita la verifica dell'utente. Nel caso di Gestore delle password di Google, le passkey non sono associate a metodi di autenticazione specifici e possono essere utilizzate con qualsiasi fattore di blocco schermo disponibile (biometrico, PIN o sequenza).

Un RP può comunque creare credenziali associate al dispositivo che non vengono sincronizzate?

Per il momento, le credenziali non rilevabili create in Chrome su Android o in un'app per Android che utilizza le API Play Services mantengono il comportamento esistente e continuano quindi a essere associate al dispositivo.

Quando si utilizzano le passkey, l'estensione della chiave pubblica del dispositivo in fase di sviluppo è una seconda chiave associata al dispositivo che non verrà sincronizzata e che può essere utilizzata per l'analisi del rischio. Tuttavia, questa funzionalità non è ancora supportata da alcun fornitore di credenziali.

Come funziona la sincronizzazione delle passkey con un nuovo dispositivo? Gli utenti devono avere accesso al dispositivo su cui hanno creato una passkey?

Su Android:

Se le passkey sono state salvate in Gestore delle password di Google, l'utente deve solo accedere al nuovo dispositivo con lo stesso Account Google e verificare la propria identità con il blocco schermo (PIN, sequenza o passcode) del dispositivo precedente. Il dispositivo precedente non è necessario per l'accesso dell'utente ad altri dispositivi.
Se le passkey sono state salvate in un altro provider di credenziali, dipenderà dai flussi di accesso sui nuovi dispositivi di quel provider di credenziali. La maggior parte dei fornitori di credenziali sincronizza le credenziali con il cloud e offre agli utenti modi per accedervi su nuovi dispositivi dopo l'autenticazione.

Privacy e sicurezza

I dati biometrici dell'utente sono al sicuro?

Sì, i dati biometrici dell'utente non vengono mai trasferiti dal dispositivo e non vengono mai archiviati su un server centrale dove potrebbero essere rubati in caso di violazione.

Un utente può accedere al dispositivo di un amico utilizzando una passkey sul proprio smartphone?

Sì. Gli utenti possono configurare un "link temporaneo" tra il proprio smartphone e il dispositivo di un'altra persona per accedere.

Le passkey memorizzate nel Gestore delle password di Google sono protette se l'Account Google di un utente viene compromesso?

Sì, i segreti delle passkey sono criptati end-to-end. Un Account Google compromesso non esporrebbe le passkey, perché gli utenti devono anche sbloccare lo schermo del proprio dispositivo Android per decriptarle.

Argomenti correlati

Quali sono le differenze tra le passkey e la federazione delle identità?

La federazione delle identità è un'ottima soluzione per i servizi che si integrano con uno o più provider OpenID. Restituisce le informazioni di base del profilo dell'utente, come nome e indirizzo email verificato, e, come le passkey, fornisce un meccanismo di accesso sicuro e pratico. Le passkey, invece, non richiedono l'integrazione con un provider OpenID, ma non dispongono di informazioni di base del profilo. Gli sviluppatori devono consigliare le passkey agli utenti che utilizzano le password. Gli sviluppatori devono valutare in modo indipendente l'integrazione con uno o più provider OpenID per offrire agli utenti una scelta.