Data di pubblicazione: 21 maggio 2026
Durante Google I/O 2026, abbiamo parlato di un web in cui l'accesso non è un compito arduo. Dovrebbe essere un punto di accesso sicuro e semplificato che faccia sentire gli utenti al sicuro. Questo post riassume come puoi correggere i flussi degli account, ridurre le difficoltà e proteggere le persone fin dall'inizio.
Accesso rapido
- Perché la modernizzazione è importante
- Semplificare la creazione di account
- Verifica degli attributi senza problemi
- Implementare le passkey per un accesso senza problemi
- Adozione strategica delle passkey
- Gestione delle passkey e recupero resiliente
Perché la modernizzazione è importante
I flussi con difficoltà elevate (come i moduli di registrazione disordinati, l'annoying loop "Password dimenticata" o una serie di pulsanti di accesso) rovinano l'esperienza. Sono "killer del cambio di contesto" che allontanano gli utenti. Le password tradizionali e le password monouso (OTP) lasciano inoltre le persone vulnerabili al phishing.
Ogni secondo di difficoltà è un'opportunità per un utente di abbandonare il sito. La modernizzazione dell'autenticazione protegge i tuoi sistemi e i tuoi utenti. Semplificando ogni punto di contatto nel percorso dell'identità, aumenti naturalmente i tassi di conversione. Ad esempio, pixiv ha raggiunto un incredibile tasso di successo di accesso del 99% (un miglioramento del 29% rispetto alle password) dopo aver implementato le passkey. L'abbandono delle credenziali deboli rende le operazioni più rapide e sicure.
Semplificare la creazione di account
La prima interazione di un utente con la tua app crea l'atmosfera. La semplificazione della creazione di account è il primo passo verso il miglioramento dell'adozione e della sicurezza.
Federazione delle identità come metodo principale di creazione dell'account
Puoi consentire agli utenti di saltare i noiosi moduli di creazione dell'account utilizzando la federazione delle identità, che consente agli utenti di registrarsi con un provider attendibile come Google. In questo modo si offre un'esperienza di registrazione solida e semplificata che consente agli utenti di accedere alla tua app senza la "difficoltà" della registrazione tipica.
La federazione significa che gli utenti non devono digitare manualmente il proprio nome o indirizzo email. Poiché il provider li ha già verificati, puoi saltare i passaggi ridondanti per verificarli in modo indipendente e far accedere più persone.
Inoltre, l'adozione di una soluzione di identità federata ti consente di ereditare il livello di sicurezza di un IdP (provider di identità) dedicato. Poiché gli IdP sono specializzati in identità e sicurezza, affidarsi alla loro infrastruttura elimina il rischio di creare l'autenticazione da zero.
Adottare l'API Federated Credential Management (FedCM)
Se agisci come IdP, ti consigliamo di adottare l'API FedCM. Gestisce l'interazione tramite l' UI del browser, che protegge la privacy impedendo il monitoraggio e offrendo agli utenti un accesso con un solo tocco, e semplifica l' UI visualizzando solo gli account pertinenti.
Il pattern "Federate-then-upgrade"
Federate-then-upgrade combina la velocità della federazione con la sicurezza a lungo termine delle passkey. Se chiedi una passkey subito dopo una registrazione federata, l'accesso successivo dell'utente è resistente al phishing fin dal primo giorno.
Ottimizzare i moduli per la compilazione automatica
Se sono necessari moduli manuali, utilizza attributi name e id descrittivi e valori autocomplete corretti per consentire al browser di compilare i campi per l'utente. In questo modo si riduce il carico cognitivo e la possibilità di errori di battitura durante la procedura di registrazione. Per maggiori dettagli sull'ottimizzazione dei moduli, consulta le nostre best practice per i moduli di registrazione.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
Verifica degli attributi senza problemi
Se gli utenti devono uscire dalla tua app per controllare un codice nella loro email, i tassi di conversione diminuiscono. Questo cambio di contesto è il punto in cui le persone si distraggono e non tornano più.
Scopri l'Email Verification Protocol (EVP)
L'Email Verification Protocol (EVP), una funzionalità emergente, consente alla tua applicazione di ottenere un indirizzo email verificato direttamente tramite il browser.
Per attivare questa funzionalità, aggiungi un campo di immissione nascosto con l'
autocomplete="email-verification-token" e con una challenge. Il browser analizza il dominio email dall'input e richiede al mittente dell'email di verificare che l'utente abbia il controllo di questa email. Una volta completata la verifica, il browser presenta un'attestazione dell'email verificata che il tuo backend può verificare immediatamente. Per l'utente, questo flusso avviene senza problemi; vede solo una notifica al momento della verifica dell'email.
L'EVP elimina la necessità di attrito che allontana le persone (come i link magici o le OTP via email) per l'accesso, la registrazione e la reimpostazione della password.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
Tieni presente che il supporto dell'EVP dipende dai singoli provider di servizi email. Contatta il tuo provider specifico per verificare se prevede di supportare l'EVP. Se possiedi un dominio personalizzato, puoi collegarlo a un provider di servizi email che supporta l'EVP.
Poiché questa funzionalità è ancora in fase sperimentale, ti ringraziamo per il tuo feedback su questa funzionalità nel repository GitHub.
API Digital Credentials
Per i dettagli sensibili come il nome legale o l'età, l'API Digital Credentials fornisce un modo per richiedere dati verificati dal wallet di un utente tramite la mediazione del browser utilizzando la divulgazione selettiva. Ciò significa che puoi verificare se un utente ha superato una determinata età senza ricevere la sua data di nascita completa o il suo nome legale, preservando la sua privacy.
Consulta API Digital Credentials: identità sicura e privata sul web.
Implementare le passkey per un accesso senza problemi
Le passkey sono molto più di una semplice sostituzione delle password. Rappresentano un cambiamento fondamentale verso un'autenticazione senza problemi e resistente al phishing.
Modalità UI immediata
A partire da Chrome 149, è disponibile la modalità UI immediata. Consente al sito web di verificare la presenza di credenziali nel momento in cui un utente visita il tuo sito. Se nel gestore delle password è disponibile una passkey o una password, il browser media immediatamente il flusso con un elenco di account disponibili in una finestra di dialogo di accesso.
In questo modo, l'utente non deve selezionare un metodo di accesso. Offrendo in modo proattivo la credenziale per l'account selezionato, crei un'esperienza "One Tap" senza problemi che sembra magica per l'utente.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
Consulta Modalità UI immediata per gli accessi.
Compilazione automatica dei moduli con passkey: utilizzare la compilazione automatica dei moduli durante la transizione alle passkey
Per gli utenti di un sito web in transizione dalle password alle passkey, la compilazione automatica dei moduli con passkey consente di visualizzare le passkey nei suggerimenti di compilazione automatica quando il campo di immissione è attivo. Ciò significa che se un utente ha già una passkey, nel momento in cui attiva il campo del nome utente in un modulo di accesso. In caso contrario, può comunque utilizzare la password salvata.
Per attivare questa funzionalità, annota il campo del nome utente con autocomplete="username webauthn"
e imposta il valore mediation su 'conditional' quando chiami
navigator.credentials.get().
Si tratta di un ponte fondamentale durante la transizione a un futuro senza password, in quanto familiarizza gli utenti con le passkey in un'interfaccia familiare.
Consulta l'elenco di controllo per l'autenticazione con passkey .
Adozione strategica delle passkey
L'adozione è spesso una questione di tempistica. Chiedere a un utente al momento giusto può aumentare notevolmente la probabilità che registri una passkey.
Creazione automatica delle passkey
Nessuno vuole cercare nelle impostazioni di sicurezza solo per configurare un nuovo metodo di accesso. Per gli utenti che utilizzano già le password, come e quando dovresti chiedere agli utenti di eseguire l'upgrade alle passkey?
È qui che entra in gioco la creazione automatica delle passkey . Con la creazione condizionale, il browser può eseguire automaticamente l'upgrade degli utenti che utilizzano le password alle passkey nel momento esatto in cui un utente accede con il proprio gestore delle password.
Passando mediation: 'conditional' all'navigator.credentials.create()
API, attivata dall'accesso recente dell'utente con la password salvata
nel gestore delle password, il browser genera una nuova passkey in modo nativo senza
costringere l'utente a passare attraverso schermate di configurazione aggiuntive.
La registrazione senza problemi significa che gli utenti non devono prendere una decisione consapevole per migliorare la propria sicurezza. Avviene automaticamente, proteggendoli senza richiedere alcuno sforzo aggiuntivo. Ad esempio, adidas ha registrato un aumento dell'8% delle creazioni di passkey utilizzando questa strategia senza prompt .
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
Consulta l'elenco di controllo per la registrazione delle passkey.
Gestione delle passkey e recupero resiliente
È importante che gli utenti abbiano le proprie credenziali facilmente disponibili su dispositivi, siti web e servizi. Oltre a gestirle e assicurarsi di poter recuperare i propri account in caso di smarrimento o furto di un dispositivo.
Coerenza multipiattaforma
Se hai più proprietà (ad esempio un'app per Android e un sito web o più siti web) che condividono un sistema di accesso, puoi migliorare l'esperienza dei tuoi utenti. Con la condivisione fluida delle credenziali, i gestori delle password possono suggerire la credenziale giusta all'utente in tutte le tue proprietà.
La condivisione delle credenziali senza problemi è costituita da due tecnologie: Digital Asset Links per le password e Richieste di origine correlate per le passkey.
L'utilizzo di Digital Asset Links garantisce che le password create sul web siano disponibili nella tua app per Android e viceversa. Consente inoltre ai gestori delle password di suggerire una credenziale già salvata in diversi domini di tua proprietà che condividono lo stesso backend di autenticazione.
Utilizza le richieste di origine correlate per rendere disponibili le passkey in diversi domini e app tramite il gestore delle credenziali dell'utente.
Questo è solo un altro modo per semplificare l'esperienza di accesso per i tuoi utenti.
Offrire agli utenti una pagina di gestione delle passkey
Per un'esperienza sofisticata con le passkey, ti consigliamo di creare una pagina di gestione delle passkey dedicata con supporto per nomi di provider chiari, tempi di utilizzo e controlli. In questo modo gli utenti possono gestire le proprie impostazioni con sicurezza. La trasparenza crea fiducia.
Consulta l'elesso di controllo per la gestione delle Passkey .
Recupero dell'account resiliente
I dispositivi possono essere smarriti o sottoposti a upgrade. Le passkey sono intrinsecamente resilienti perché utilizzano la protezione a livello hardware e in genere vengono sincronizzate nel cloud, consentendo agli utenti di ripristinarle su un nuovo dispositivo. Tuttavia, avere un fallback come un indirizzo email verificato garantisce che gli utenti non perdano mai l'accesso alla propria vita digitale.
Anziché far attendere una persona per una chiamata all'assistenza, puoi dimostrare che è il proprietario utilizzando indicatori di cui ti fidi già, come la federazione delle identità o la verifica dell'indirizzo email.
La combinazione di questi indicatori in una strategia di recupero consente di ripristinare l'accesso immediatamente. Una volta ripristinato l'accesso, registra immediatamente una nuova passkey in modo che sia di nuovo protetta dal phishing.
Proteggere le sessioni con le credenziali di sessione associate al dispositivo
Per proteggere gli utenti dal furto dell'account, un altro livello di difesa importante è mantenere al sicuro i cookie di sessione. Le credenziali di sessione associate al dispositivo (DBSC) consentono di associare una sessione all'hardware. In questo modo si riduce il furto della sessione perché, anche se un cookie viene rubato, solo lo stesso dispositivo può richiedere una riemissione del cookie, aggiungendo di fatto un altro livello di sicurezza alla sessione.
Le credenziali di sessione associate al dispositivo sono una funzionalità sperimentale, ora disponibile su Windows. Puoi scoprire di più su questo aggiornamento nell'annuncio Credenziali di sessione associate al dispositivo su Windows. Stiamo anche lavorando per estendere il supporto delle credenziali di sessione associate al dispositivo a macOS.
Skill dell'agente per le passkey
Abbiamo incluso le skill per le passkey che coprono molti aspetti descritti in questo post in il nostro progetto Modern Web Guidance. A breve pubblicheremo un post del blog specifico sulle skill per le passkey.
Vuoi costruire il futuro dell'autenticazione?
Esplora le nostre guide approfondite e inizia subito la modernizzazione: