Nuova forma di autenticazione utente e verifica dell'identità

Ashima Arora
Ashima Arora
LinkedIn
Chirag Desai
Chirag Desai
X LinkedIn
Eiji Kitamura

Quest'anno, in occasione della conferenza Google I/O, abbiamo spiegato in che modo Chrome sta rivoluzionando l'autenticazione e la verifica dell'identità degli utenti sul web con la potenza dell'API del browser. Che tu utilizzi password, passkey o federazione, Chrome offrirà un'esperienza di accesso e registrazione unificata, più semplice, sicura e intuitiva.

Scopri gli strumenti e le best practice più recenti per migliorare la registrazione e l'accesso sul tuo sito web.

Visita la pagina della sessione o continua a leggere per scoprire di più sui punti salienti principali.

Il browser come alleato per accedere

L'autenticazione sul web è in continua evoluzione. Con le crescenti aspettative degli utenti, le nuove normative e un ecosistema in crescita di strumenti per l'identità digitale, gli sviluppatori devono offrire flussi di accesso e registrazione sicuri, semplici e che tutelano la privacy. Chrome è a tua disposizione.

Esistono tre aree di interesse principali:

  • Autenticazione utente: consente di supportare flussi di accesso efficaci con una gestione delle password migliore, un'adozione più facile delle passkey e il supporto integrato per la federazione delle identità tramite la gestione delle credenziali federate (FedCM).
  • Verifica dell'identità: ti consente di richiedere i dettagli dell'utente verificati, come l'età o la proprietà del documento di identità, utilizzando le credenziali digitali dei portafogli mobili.
  • Gestione delle sessioni: ti aiuta a proteggere gli utenti dopo l'accesso associando le sessioni al loro dispositivo con le credenziali di sessione associate al dispositivo.

Scopri gli strumenti e le API che rendono tutto questo possibile.

Gestore delle credenziali per il web: un'interfaccia utente di accesso per tutte le tue credenziali

L'accesso deve essere pratico. Tuttavia, con password, passkey e opzioni federate, gli utenti si trovano spesso di fronte a una combinazione confusa di scelte.

Chrome sta estendendo l'API Gestore delle credenziali, consentendoti di richiedere le credenziali dal browser, indipendentemente dal tipo, utilizzando un'interfaccia coerente. Se le credenziali sono disponibili in un gestore delle password, Chrome le mostrerà all'utente in un'unica finestra di dialogo, semplificando la procedura.

Se Chrome non trova le credenziali, te lo comunicheremo e potrai utilizzare il tuo flusso di accesso.

Flusso di accesso unificato con la nuova API Credential Manager.

Questa nuova esperienza riduce le difficoltà e semplifica l'accesso.

Questa funzionalità è in versione di prova per gli sviluppatori. Puoi iniziare a utilizzarlo a livello locale attivando il flag chrome://flags#enable-experimental-web-platform-features, includendo sia la credenziale password sia la credenziale publicKey e utilizzando mediation: "immediate" per attivare la mediazione immediata.

Il seguente snippet di codice mostra come dovrebbe apparire:

const cred = await navigator.credentials.get({
  password: true,
  publicKey: {
    challenge,
    rpId: 'example.com'
  },
  mediation: 'immediate',
});

Scopri di più nel nostro documento su come testare la mediazione immediata su Chrome.

Password: più smart e sicure

Le password sono ancora il metodo di autenticazione più comune al mondo. I browser e i gestori delle password offrono strumenti per migliorare l'esperienza di accesso con le password, ma i siti non li adottano sempre.

Chrome supporta pratiche più sicure con funzionalità tramite il Gestore delle password di Google, come la generazione di password nei moduli di registrazione o i controlli delle violazioni delle password per avvisare gli utenti delle credenziali compromesse.

Ecco alcuni strumenti per migliorare l'esperienza di utilizzo delle password sul tuo sito.

Modifica automatica delle password: correggi le password compromesse con un solo clic

La funzionalità Modifica automatica della password, che verrà lanciata entro la fine dell'anno per alcuni siti web, consente agli utenti di rispondere più facilmente quando le loro credenziali sono a rischio.

Quando Chrome rileva una password compromessa durante l'accesso, il Gestore delle password di Google offre all'utente la possibilità di correggerla automaticamente.

Sui siti web supportati, Chrome può generare una password sicura sostitutiva e aggiornarla automaticamente per l'utente.

In questo modo, si riducono le difficoltà e gli utenti possono mantenere il proprio account al sicuro, senza dover cercare tra le impostazioni dell'account o abbandonare il processo a metà.

La modifica automatica delle password è in uso.

Esistono alcune azioni che puoi intraprendere per ottimizzare il tuo sito web in modo che funzioni al meglio con browser e gestori delle password.

  • Ottimizzazione della compilazione automatica: utilizza autocomplete="current-password" e autocomplete="new-password" per attivare la compilazione automatica e lo spazio di archiviazione. Consulta le nostre guide su come accedere e registrarti.
  • URL per la modifica della password: esegui un reindirizzamento da <your-website-domain>/.well-known/change-password al modulo per la modifica della password sul tuo sito web (URL per la modifica della password ben noto). Quando viene rilevata una password vulnerabile, i gestori delle password possono indirizzare l'utente alla pagina di modifica della password.

Condivisione delle credenziali senza problemi: un unico accesso su app e web

I gestori delle password non si limitano a memorizzare le password. Aiutano a prevenire il phishing offrendo le credenziali solo quando il dominio corrisponde. Tuttavia, gli utenti possono comunque riscontrare problemi quando il servizio si estende su più domini e piattaforme.

Ad esempio:

  • Un utente si registra nella tua app per Android e in un secondo momento visita il tuo sito web su un laptop
  • In alternativa, offri più domini o app che accettano lo stesso accesso

Senza una credenziale condivisa, non offriremo una password salvata, pertanto gli utenti potrebbero avere difficoltà ad accedere.

La condivisione delle credenziali senza problemi aiuta a risolvere il problema. Se associ le tue app e i tuoi siti, il Gestore delle password di Google può condividere facilmente la password tra queste risorse, in modo da semplificare e velocizzare l'esperienza di accesso.

eBay ha aumentato il tasso di accesso riuscito del 10%. Scopri di più da un caso di studio: In che modo eBay ha migliorato i tassi di successo degli accessi del 10% con la condivisione delle credenziali senza problemi.

Passkey: un metodo di accesso più semplice e sicuro

Le passkey sono un'alternativa più sicura alle password che aiutano gli utenti ad accedere in sicurezza a siti web e app con il meccanismo di sblocco del dispositivo, ad esempio i dati biometrici (ad esempio le impronte o il volto), un PIN o una sequenza. Sono resistenti al phishing, facili da usare e sono uno standard ampiamente adottato su browser e sistemi operativi.

Sincronizzare le passkey tra piattaforme

Gli utenti memorizzano le passkey nel Gestore delle password, ma alcuni gestori non le sincronizzano. Ciò può causare problemi se un utente tenta di accedere da un dispositivo su cui la passkey non è disponibile. In questo caso, Chrome mostra un codice QR in modo che l'utente possa completare l'accesso da un altro dispositivo che contiene le credenziali.

Per ridurre questo problema, Chrome ha aggiunto il supporto della sincronizzazione delle passkey in Gestore delle password di Google.

Ora che il supporto è stato esteso a iOS, le passkey su Gestore delle password di Google possono essere sincronizzate su tutte le principali piattaforme, tra cui Android, Windows, macOS, ChromeOS e Linux. Scopri di più nell'articolo Ambienti supportati.

Mediazione immediata: richiedi solo le credenziali disponibili

Alcuni utenti non hanno sincronizzato le passkey su tutti i dispositivi. Se non viene trovata una passkey localmente, Chrome potrebbe mostrare un codice QR in modo che l'utente possa utilizzare un altro dispositivo che contiene la credenziale. Funziona, ma può creare difficoltà.

Per ridurre le difficoltà, Chrome supporta una nuova opzione: mediation: 'immediate'. In questo modo, il tuo sito potrà richiedere solo le credenziali già disponibili sul dispositivo corrente. Se non ne vengono trovati, l'utente non vede nulla. Nessun prompt, nessun codice QR, nessuna interruzione. Chrome ti avvisa in modo da poter mostrare la normale UI di accesso.

In questo modo, l'esperienza viene migliorata evitando i flussi con codice QR per gli utenti senza credenziali.

Utilizza questo approccio quando un utente esegue un'azione significativa, ad esempio fa clic su un pulsante di accesso o di pagamento. Quando utilizzi navigator.credentials.get() con mediation: 'immediate', se sul dispositivo corrente è disponibile una passkey, Chrome lo chiede immediatamente all'utente. In caso contrario, l'utente continua senza interruzione e puoi mostrare un campo della password, un codice monouso o un altro metodo.

Puoi anche aumentare le probabilità di aiutare l'utente ad accedere impostando password: true. In questo modo, Chrome può restituire le password salvate insieme alle passkey, se disponibili.

L'esempio seguente mostra come richiedere una passkey con mediazione immediata:

navigator.credentials.get({
  publicKey: {
    challenge: new Uint8Array([/* your challenge here */]),
    rpId: 'example.com'
  },
  mediation: 'immediate',
  //< password: true == enable this to request passwords alongside passkeys
}).t>hen(credential = {
  // Use the credential for sign in
>}).catch(error = {
  if (error.name === 'NotAllowedError') {
    // No credential found on this device, fall back to another method
  } else {
    console.error('Error during sign-in', error);
  }
});

Questa funzionalità è disponibile nei trail per sviluppatori e puoi scoprire di più nella spiegazione della mediazione immediata WebAuthn.

Creazione automatica delle passkey

Molti utenti continuano ad accedere con le password. Per aiutarli ad adottare le passkey, Chrome introduce un'API che ti consente di creare automaticamente una passkey per i tuoi utenti dopo un accesso con password andato a buon fine.

Devi solo richiedere la creazione della passkey. Se l'utente ha una password salvata che è stata utilizzata di recente, il Gestore delle password crea una passkey e ti comunica se l'operazione è andata a buon fine. L'utente potrebbe ricevere una notifica non appena la passkey sarà disponibile. La password dell'utente non viene eliminata.

Se la passkey non viene creata, il browser non interrompe l'utente né mostra alcuna UI.

In questo modo, gli utenti possono adottare le passkey gradualmente, senza interrompere il flusso di accesso.

Questa funzionalità è disponibile a partire da Chrome 136 e puoi scoprire di più nell'articolo Aiutare gli utenti ad adottare le passkey più facilmente.

Ripulire le passkey con l'API Signal

Se un utente elimina una passkey dal tuo sito o dalla tua app, il suo gestore delle password potrebbe offrirla comunque durante l'accesso, causando errori e confusione. L'API Signal consente alla tua app di inviare una notifica al gestore delle password quando una passkey è stata rimossa, mantenendo gli elenchi delle credenziali puliti e precisi.

Puoi anche contribuire a mantenere aggiornate le passkey inviando un elenco di passkey conosciute al gestore delle password. In questo modo, è possibile eliminare le passkey non utilizzate per l'utente.

L'API Signal è disponibile a partire da Chrome 132. Scopri di più in Mantenere le passkey coerenti con le credenziali sul server con l'API Signal.

Importazione ed esportazione: porta con te le tue credenziali

Gli utenti che passano da un gestore delle password all'altro spesso hanno difficoltà a trasferire le proprie credenziali. Chrome aggiunge il supporto per l'importazione e l'esportazione di passkey e password, in base agli standard FIDO. Non è richiesta alcuna gestione dei file da parte dell'utente.

Miglioramenti alla compilazione automatica

Per mostrare le credenziali memorizzate in modo intuitivo, Chrome può mostrare automaticamente il menu a discesa della compilazione automatica quando il modulo di accesso è pronto. Basta supportare sia le password sia le passkey nel modulo e applicare lo stato attivo automatico al campo di immissione.

Questo è utile perché le credenziali vengono mostrate senza che l'utente debba fare clic su un campo. L'utente può invece semplicemente toccare le credenziali che vuole utilizzare, riducendo gli ostacoli.

Scopri di più nell'articolo Accedere con una passkey tramite la compilazione automatica dei moduli.

Risorse per l'apprendimento aggiornate

Abbiamo rivisto le nostre risorse di apprendimento sulle passkey per assicurarci che tu possa offrire ai tuoi utenti la migliore esperienza possibile con le passkey.

FedCM: miglioramento dell'identità federata

L'API Federated Credential Management (FedCM) consente agli utenti di accedere con fornitori di identità attendibili utilizzando un flusso mediato dal browser che dà la priorità alla privacy e all'esperienza utente. FedCM semplifica le esperienze di registrazione e accesso sul web, in modo che gli sviluppatori possano supportare l'autenticazione senza problemi con meno sforzo.

Interfaccia utente più intelligente

FedCM ora ti offre un maggiore controllo su come e quando viene visualizzata la richiesta di accesso. Supporta due modalità:

  • Modalità passiva: il browser mostra automaticamente la richiesta di accesso per gli identity provider noti quando gli utenti tornano sul tuo sito. Questo approccio è adatto per gli utenti esperti, ma può risultare invadente se mostrato troppo presto.
  • Modalità attiva: la richiesta viene visualizzata solo dopo che l'utente fa clic su un pulsante di accesso, creando un'esperienza più deliberata.

Questo è importante perché riduce la confusione ed evita di sorprendere gli utenti. Con la modalità attiva, gli utenti possono rimanere sul tuo sito e non vedere mai un reindirizzamento o altre finestre di dialogo.

Ma Chrome si sta adoperando anche per rendere più intelligente la modalità passiva. Gli aggiornamenti futuri faranno esperimenti con tecniche di machine learning che incorporano indicatori del sito e degli utenti per determinare quando e come mostrare l'interfaccia utente al fine di offrire un'esperienza utente ottimale.

API più flessibili

FedCM ti offre maggiore flessibilità e controllo sul modo in cui gli utenti accedono con l'identità federata.

Ad esempio, il supporto di più provider di identità consente di mostrare agli utenti un elenco di provider anziché uno solo. Ciò significa che gli utenti possono scegliere l'account più adatto alle loro esigenze e migliorare i tassi di accesso, mantenendo al contempo una solida privacy.

Il browser continua a mediare ogni passaggio. I fornitori di servizi di identità vedono solo ciò che gli utenti consentono esplicitamente e la privacy rimane protetta durante tutto il flusso.

Documenti digitali: verifica dell'identità online rapida e privata

Le credenziali digitali stanno diventando sempre più comuni in tutto il mondo. Consentono agli utenti di verificare attributi come età, stato di studente o identità tramite un portafoglio digitale. L'API Digital Credentials consente agli utenti di condividere dichiarazioni verificate, come l'età o lo stato della patente, dal loro portafoglio mobile direttamente con i siti web.

Stiamo collaborando con il W3C e i leader del settore per fare in modo che questo diventi uno standard. Il nostro obiettivo è offrire un'esperienza facile da usare, sicura, privata e coerente su tutte le piattaforme.

Alcune funzionalità interessanti:

Credenziali di sessione associate al dispositivo: mantieni l'accesso e la protezione

Le sessioni utente vengono spesso identificate dai cookie, che i malware potrebbero rubare dal dispositivo di un utente.

Le credenziali di sessione associate al dispositivo collegano una sessione a un dispositivo specifico. In questo modo riduci il rischio di compromissione della sessione e migliori la protezione quando accedi ai tuoi account email o social media o quando accedi ai servizi governativi.

Le credenziali di sessione associate al dispositivo aiutano gli sviluppatori a creare sessioni più sicure e stabili associando l'autenticazione al dispositivo utilizzato durante l'accesso.

Feedback

Ci farebbe piacere ricevere il tuo feedback su tutto ciò che abbiamo condiviso. Prova le funzionalità, esplora i link in questo documento e facci sapere cosa ne pensi.

Fornire feedback