Modernizzare l'autenticazione con passkey, credenziali digitali e altro ancora

Eiji Kitamura
Natalia Markoborodova

Pubblicato: 21 maggio 2026

A Google I/O 2026, abbiamo parlato di un web in cui l'accesso non è un compito ingrato. Deve essere un punto di accesso sicuro e semplificato che faccia sentire gli utenti al sicuro. Questo post riassume come correggere i flussi dell'account, ridurre l'attrito e proteggere le persone fin dall'inizio.

Accesso rapido

Perché la modernizzazione è importante

I flussi con attrito elevato (come moduli di registrazione disordinati, l'annoso problema del "recupero password" o una serie di pulsanti di accesso) rovinano l'atmosfera. Sono "interruttori di contesto" che allontanano gli utenti. Anche le password tradizionali e le password monouso (OTP) espongono le persone al phishing.

Ogni secondo di attrito è un'opportunità per un utente di abbandonare. La modernizzazione dell'autenticazione protegge i tuoi sistemi e i tuoi utenti. Ottimizzando ogni punto di contatto nel percorso dell'identità, aumenti naturalmente i tassi di conversione. Ad esempio, pixiv ha raggiunto un incredibile tasso di successo di accesso del 99% (un miglioramento del 29% rispetto alle password) dopo l'implementazione delle passkey. L'abbandono delle credenziali deboli rende le cose più veloci e sicure.

Semplificare la creazione dell'account

La prima interazione di un utente con la tua app crea l'atmosfera. La semplificazione della creazione dell'account è il primo passo per migliorare l'adozione e la sicurezza.

Federazione delle identità come metodo principale di creazione dell'account

Puoi consentire agli utenti di saltare i noiosi moduli di creazione dell'account utilizzando la federazione dell'identità, che consente agli utenti di registrarsi con un provider attendibile come Google. In questo modo, l'esperienza di registrazione è solida e semplificata e gli utenti possono accedere alla tua app senza la "seccatura" della registrazione tipica.

La federazione consente agli utenti di non dover digitare manualmente il proprio nome o indirizzo email. Poiché il fornitore li ha già verificati, puoi saltare i passaggi ridondanti per verificarli in modo indipendente e far entrare più persone.

Inoltre, l'adozione di una soluzione di identità federata ti consente di ereditare il livello di sicurezza di un IdP (Identity Provider) dedicato. Poiché gli IdP sono specializzati in identità e sicurezza, affidarsi alla loro infrastruttura elimina il rischio di creare l'autenticazione da zero.

Adottare l'API Federated Credential Management (FedCM)

Se agisci come IdP, ti consigliamo di adottare l'API FedCM. Gestisce l'interazione tramite l'interfaccia utente del browser, che protegge la privacy impedendo il monitoraggio e offrendo agli utenti un accesso con un solo tocco. Inoltre, semplifica l'interfaccia utente visualizzando solo gli account pertinenti.

Una finestra di dialogo della modalità attiva di accesso FedCM sul computer che richiede a un utente di accedere con il proprio account. La finestra di dialogo contiene un'icona del brand e opzioni per accedere al RP con l'account corrente fornito dal IdP, scegliere un altro account o annullare. La finestra di dialogo è centrata ed è più grande di quella della modalità passiva.
FedCM: finestra di dialogo della UI in modalità attiva. Scopri di più sulle modalità UI disponibili fornite da FedCM.

Il pattern "Federate-then-upgrade"

Federate-then-upgrade combina la velocità della federazione con la sicurezza a lungo termine delle passkey. Se chiedi una passkey subito dopo una registrazione federata, il successivo accesso dell'utente è resistente al phishing fin dal primo giorno.

Ottimizzare i moduli per la compilazione automatica

Se sono necessari moduli manuali, utilizza attributi name e id descrittivi e valori autocomplete corretti per consentire al browser di compilare i campi per l'utente. In questo modo si riduce il carico cognitivo e il potenziale di errori di battitura durante la procedura di registrazione. Per ulteriori dettagli sull'ottimizzazione dei moduli, consulta le nostre best practice per i moduli di registrazione.

<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">

<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">

Verifica degli attributi senza problemi

Se gli utenti devono uscire dalla tua app per controllare un codice nella loro email, i tassi di conversione diminuiscono. È in questo cambio di contesto che le persone si distraggono e non tornano più.

Requisiti del protocollo di verifica email (EVP)

Il protocollo di verifica email (EVP), una funzionalità emergente, consente alla tua applicazione di ottenere un indirizzo email verificato direttamente tramite il browser.

Per attivare questa funzionalità, aggiungi un campo di immissione nascosto con l'attributo autocomplete="email-verification-token" e con un challenge. Il browser analizza il dominio email dall'input e richiede all'emittente dell'email di verificare che l'utente abbia il controllo di questa email. Una volta completata la verifica, il browser presenta un'attestazione dell'email verificata che il backend può verificare istantaneamente. Per l'utente, questo flusso avviene senza problemi; visualizza solo una notifica al momento della verifica dell'email.

EVP elimina la necessità di attriti che allontanano le persone (come i link magici o gli OTP via email) per l'accesso, la registrazione e la reimpostazione della password.

<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">

Tieni presente che spetta ai singoli fornitori di servizi email supportare la verifica del provider email. Verifica con il tuo fornitore specifico se prevede di supportare EVP. Se possiedi un dominio personalizzato, puoi collegarlo a un provider email supportato per supportare anche la verifica del mittente.

Poiché questa funzionalità è ancora in fase sperimentale, ti ringraziamo per il tuo feedback nel repository GitHub.

Esempio del flusso del protocollo di verifica email (EVP).

API Digital Credentials

Per i dettagli sensibili come il nome legale o l'età, l'API Digital Credentials fornisce un modo per richiedere dati verificati dal wallet di un utente tramite l'intermediazione del browser utilizzando la divulgazione selettiva. Ciò significa che puoi verificare che un utente abbia superato una determinata età senza ricevere la sua data di nascita completa o il suo nome legale, preservando la sua privacy.

Consulta API Digital Credentials: identità sicura e privata sul web.

Implementare le passkey per un accesso senza problemi

Le passkey sono molto più di una semplice alternativa alle password. Rappresentano un cambiamento fondamentale verso un'autenticazione anti-phishing senza interruzioni.

Modalità UI immediata

A partire da Chrome 149, è disponibile la modalità UI immediata. Consente al sito web di verificare le credenziali nel momento in cui un utente accede al tuo sito. Se una passkey o una password è disponibile nel gestore delle password, il browser gestisce immediatamente il flusso con un elenco di account disponibili in una finestra di dialogo di accesso.

In questo modo, l'utente non deve selezionare un metodo di accesso. Offrendo in modo proattivo le credenziali per l'account selezionato, crei un'esperienza "One Tap" senza problemi che l'utente percepisce come magica.

const credential = await navigator.credentials.get({
  password: true,
  uiMode: 'immediate',
  publicKey: publicKeyObject,
});

Vedi Modalità UI immediata per gli accessi.

Compilazione automatica dei moduli con passkey: utilizza la compilazione automatica dei moduli durante la transizione alle passkey

Per gli utenti di un sito web in fase di transizione dalle password alle passkey, la compilazione automatica dei moduli con passkey consente alle passkey di essere visualizzate nei suggerimenti della compilazione automatica quando il campo di immissione è selezionato. Ciò significa che se un utente ha già una passkey, nel momento in cui si concentra sul campo del nome utente in un modulo di accesso. In caso contrario, possono comunque utilizzare la password salvata.

Esempio di selezione della passkey tramite la compilazione automatica dei moduli.

Per attivare questa opzione, annota il campo del nome utente con autocomplete="username webauthn" e imposta il valore mediation su 'conditional' quando chiami navigator.credentials.get().

Si tratta di un ponte fondamentale durante la transizione verso un futuro senza password, in quanto consente agli utenti di familiarizzare con le passkey in un'interfaccia familiare.

Consulta l'elenco di controllo per l'autenticazione con passkey.

Adozione strategica delle passkey

L'adozione è spesso una questione di tempistiche. Richiedere a un utente di creare una passkey al momento giusto può aumentare notevolmente la probabilità che lo faccia.

Creazione automatica delle passkey

Nessuno vuole esaminare le impostazioni di sicurezza solo per configurare un nuovo metodo di accesso. Per gli utenti con password esistenti, come e quando devi chiedere agli utenti di eseguire l'upgrade alle passkey?

È qui che entra in gioco la creazione automatica delle passkey. Con la creazione condizionale, il browser può eseguire automaticamente l'upgrade delle password degli utenti a passkey nel momento esatto in cui un utente accede con il proprio gestore delle password.

Flusso di richiesta della passkey con creazione condizionale.

Passando mediation: 'conditional' all'API navigator.credentials.create(), attivata dall'accesso recente riuscito dell'utente utilizzando la password salvata nel gestore delle password, il browser genera una nuova passkey in modo nativo senza costringere l'utente a passare attraverso schermate di configurazione aggiuntive.

La registrazione senza attrito significa che gli utenti non devono prendere una decisione consapevole per migliorare la propria sicurezza. Avviene automaticamente, proteggendoli senza richiedere alcuno sforzo aggiuntivo. Ad esempio, adidas ha registrato un aumento dell'8% nella creazione di passkey utilizzando questa strategia senza prompt.

await navigator.credentials.create({
  mediation: 'conditional',
  publicKey: { ... },
});

Consulta l'elenco di controllo per la registrazione delle passkey

Gestione delle passkey e recupero resiliente

È importante che gli utenti abbiano le proprie credenziali facilmente disponibili su dispositivi, siti web e servizi. Oltre a gestirli e assicurarsi che possano recuperare i propri account in caso di smarrimento o furto di un dispositivo.

Coerenza multipiattaforma

Se hai più proprietà (ad esempio un'app per Android e un sito web o più siti web) che condividono un sistema di accesso, puoi migliorare l'esperienza dei tuoi utenti. Con la condivisione fluida delle credenziali, i gestori di password possono suggerire le credenziali giuste per l'utente in tutte le tue proprietà.

La condivisione semplice delle credenziali è costituita da due tecnologie: Digital Asset Links per le password e Related Origin Requests per le passkey.

L'utilizzo di Digital Asset Links garantisce che le password create sul web siano disponibili nella tua app per Android e viceversa. Consente inoltre ai gestori di password di suggerire una credenziale già salvata in diversi domini di tua proprietà che condividono lo stesso backend di autenticazione.

Utilizza le richieste di origine correlata per rendere disponibili le passkey in diversi domini e app tramite il gestore delle credenziali dell'utente.

Questo è solo un altro modo per semplificare l'esperienza di accesso per i tuoi utenti.

Offrire agli utenti una pagina di gestione delle passkey

Esempio di una pagina di gestione delle passkey che mostra le best practice.

Per un'esperienza sofisticata con le passkey, ti suggeriamo di creare una pagina di gestione delle passkey dedicata con supporto per nomi dei provider, tempi di utilizzo e controlli chiari. In questo modo, gli utenti possono gestire le proprie impostazioni con sicurezza. La trasparenza crea fiducia.

Consulta l'elenco di controllo per la gestione delle passkey.

Recupero dell'account resiliente

I dispositivi possono essere persi o aggiornati. Le passkey sono intrinsecamente resilienti perché utilizzano la protezione a livello hardware e in genere vengono sincronizzate anche nel cloud, consentendo agli utenti di ripristinarle su un nuovo dispositivo. Tuttavia, avere un fallback come un indirizzo email verificato garantisce che i tuoi utenti non perdano mai l'accesso alla loro vita digitale.

Invece di far attendere una persona per una chiamata al servizio assistenza, puoi dimostrare che è il proprietario utilizzando segnali di cui ti fidi già, come la federazione delle identità o la verifica via email.

La combinazione di questi indicatori in una strategia di recupero ti consente di ripristinare l'accesso immediatamente. Una volta tornato, registra immediatamente una nuova passkey in modo che sia di nuovo protetto dal phishing.

Protezione delle sessioni con DBSC

Per proteggere gli utenti dal furto di account, un altro importante livello di difesa è mantenere al sicuro i cookie di sessione. Le credenziali di sessione associate al dispositivo (DBSC) ti consentono di associare una sessione all'hardware. In questo modo si riduce il rischio di session hijacking perché, anche se un cookie viene rubato, solo lo stesso dispositivo può richiedere una nuova emissione del cookie, aggiungendo di fatto un altro livello di sicurezza alla sessione.

Le credenziali di sessione associate al dispositivo sono una funzionalità sperimentale, ora disponibile su Windows. Puoi scoprire di più su questo aggiornamento nell'annuncio relativo alle credenziali di sessione associate al dispositivo su Windows. Stiamo inoltre lavorando per estendere il supporto di DBSC a macOS.

Skill dell'agente per le passkey

Abbiamo incluso le competenze relative alle passkey che coprono molti aspetti descritti in questo post nel nostro progetto Modern Web Guidance. A breve pubblicheremo un post del blog dedicato alle competenze delle passkey.

Vuoi contribuire a creare il futuro dell'autenticazione?

Esplora le nostre guide approfondite e inizia subito la modernizzazione: