Questa pagina è stata tradotta automaticamente. Leggi la versione originale in inglese qui.
brave/brave-core contiene esattamente una personalizzazione visibile relativa a WebAuthn: una modifica testuale che rinomina l'etichetta "Incognito" di Chrome in "Privata" nella finestra di dialogo per il salvataggio delle passkey. Nessuna patch C++ tocca il percorso del codice WebAuthn.brave/brave-browser ad aprile 2026, in base alle ricerche dei problemi su GitHub per passkey e WebAuthn. I problemi aperti taggati con passkey sono cresciuti da ~2/anno nel 2022-2023 a 6 aperti nel 2025.brave://password-manager/settings non impedisce a Windows di offrire Hello come autenticatore di piattaforma WebAuthn. Tracciato nel problema #51858 (aperto a gennaio 2026).web-authentication-new-passkey-ui non è più presente nella versione 146 (Chromium 146), secondo la segnalazione di un utente sul problema brave/brave-browser #37762 datata 25-03-2026.Il supporto delle passkey in Brave è vicino a Chromium a livello di codice, ma l'esperienza utente diverge in alcuni punti importanti. Ad aprile 2026, il repository più ampio brave/brave-browser aveva ancora 24 problemi aperti che corrispondevano a passkey o WebAuthn, mentre brave/brave-core mostrava una personalizzazione visibile specifica per WebAuthn. I principali punti di rottura sono l'intercettazione delle estensioni, i prompt di Windows Hello e i flussi Android su dispositivi de-Googleizzati.
Brave implementa le passkey attraverso lo stesso percorso del codice WebAuthn di Chromium a monte e delega la memorizzazione delle credenziali al sistema operativo. Quell'architettura fa sembrare Brave standard sulla carta, ma il comportamento reale dipende ancora dai sistemi circostanti come le estensioni dei gestori di password, Windows Hello e Google Play Services. Le sezioni seguenti mantengono separate quelle modalità di errore in modo che ogni comportamento specifico della piattaforma possa essere compreso da solo.
L'implementazione WebAuthn di Brave è di fatto l'implementazione di Chromium con una modifica visibile al testo dell'interfaccia utente. Il repository brave/brave-core contiene una singola personalizzazione relativa a WebAuthn - una modifica testuale che rinomina "Incognito" in "Privata" nella finestra di dialogo di salvataggio - e nessuna patch C++ che tocchi la logica centrale di WebAuthn. Ciò significa che Brave eredita lo stack per passkey di Chromium che Google ha distribuito da Chromium 115 a giugno 2023 in poi.
Questo è importante per due motivi. Primo, le normali fusioni a monte significano che le correzioni e le aggiunte di funzionalità per WebAuthn arrivano generalmente senza che Brave debba mantenere un'implementazione per passkey profondamente divisa. È possibile esaminare l'unica modifica testuale direttamente in brave/brave-core. Nelle mappature AAGUID, il percorso dell'autenticatore del browser Chromium viene comunemente identificato come b5397666-4885-aa6b-cebf-e52262a439a2, etichettato come "Chromium Browser" nel nostro elenco di riferimento. Secondo, la maggior parte dei guasti segnalati - intercettazione delle estensioni, conflitti di riempimento automatico e dipendenza dai Google Play Services di Android - compaiono in sistemi adiacenti come il riempimento automatico, le autorizzazioni, gli Scudi o l'integrazione del Portafoglio. Circondano il flusso WebAuthn piuttosto che sostituirlo.
Sì, ma solo se la passkey viene salvata nel Portachiavi iCloud. Su macOS, Brave utilizza lo stack WebAuthn di Chromium e può memorizzare una nuova passkey nell'autenticatore di piattaforma Apple o in un'altra destinazione di archiviazione presentata nel prompt di creazione. Una passkey salvata nel Portachiavi iCloud si sincronizza tramite l'ID Apple e diventa disponibile in Safari, Chrome e altri browser compatibili con WebAuthn su dispositivi Apple che condividono quell'ID Apple.
Una volta che macOS conferma che Brave è autorizzato ad accedere al Portachiavi iCloud, il browser può utilizzare le stesse passkey sincronizzate che vede Safari. Quel prompt di autorizzazione è il momento pratico in cui la portabilità cross-browser sui dispositivi Apple diventa reale anziché teorica.
Brave su macOS può anche partecipare ai flussi di autenticazione cross-device. Se l'utente consente l'accesso al Bluetooth, Brave può scoprire e comunicare con i dispositivi vicini durante il CDA, il che rende l'approvazione delle passkey basata sul telefono ampiamente fluida dal browser desktop.
Una passkey salvata in un archivio del profilo del browser o in un archivio solo locale non diventa automaticamente disponibile in Safari su un altro dispositivo Apple. Questa differenza è importante perché la sincronizzazione dell'autenticatore di piattaforma a livello di sistema operativo e la sincronizzazione del profilo del browser seguono regole diverse. Brave non include la sincronizzazione delle passkey di Chrome tramite il Gestore delle password di Google, quindi solo il percorso del Portachiavi iCloud fornisce la portabilità cross-browser in stile Apple sui dispositivi Apple.
Il Gestore delle credenziali di Android non fa parte esso stesso dei Google Play Services. Su Android 14 e versioni successive, Chromium può utilizzare il percorso del Gestore delle credenziali di sistema, mentre le versioni precedenti di Android dipendono maggiormente dal livello FIDO2 basato sui Google Play Services. In pratica, Brave eredita comunque il problema documentato nel problema #45415: su GrapheneOS, CalyxOS, /e/OS e altre build Android de-Googleizzate senza il necessario percorso dei Play Services, la registrazione e l'autenticazione delle passkey possono andare in timeout. Ad aprile 2026, questa rimaneva una lacuna di compatibilità aperta per gli utenti Android attenti alla privacy.
Questo comportamento è documentato in brave/brave-browser issue #45415, aperto ad aprile 2025 e ancora aperto un anno dopo. La documentazione sul Gestore delle credenziali di Google distingue l'API del Gestore delle credenziali dalla dipendenza di autenticazione facoltativa dei Play Services utilizzata sulle versioni precedenti di Android, e la guida più ampia di Android nota che Android 14+ può funzionare con i gestori di password abilitati. Il thread fa anche notare che la stessa modalità di errore riguarda i browser basati su Chromium in senso più ampio, mentre i browser basati su Firefox non ne sono colpiti allo stesso modo. L'utente che ha fatto la segnalazione originale ha sottolineato che GrapheneOS ha corretto la dipendenza nel suo fork di Chromium, Vanadium, quindi una correzione a valle sembra tecnicamente possibile: semplicemente non è avvenuta.
Diversi utenti hanno confermato indipendentemente il comportamento in quel thread. Un test particolarmente pulito nel dicembre 2025 ha utilizzato lo stesso dispositivo con due profili: le passkey funzionavano in Brave solo sul profilo con i Play Services abilitati, mentre Vanadium e Cromite funzionavano su entrambi. Ad aprile 2026, nessun manutentore di Brave aveva risposto nel thread. Per il pubblico Android di Brave attento alla privacy - che include un numero sproporzionato di utenti de-Googleizzati - ciò lascia un divario molto visibile. Firefox su Android utilizza il proprio stack WebAuthn e non dipende dai Play Services allo stesso modo. Oggi, la soluzione pratica è utilizzare Firefox per i flussi di passkey su Android senza Play Services, oppure ripiegare su una chiave di sicurezza hardware con un client compatibile.
Disabilitare l'impostazione "offri di salvare le passkey" di Brave non impedisce la visualizzazione di Windows Hello durante i flussi WebAuthn. Una volta che un sito chiama WebAuthn e Windows Hello è registrato, Windows pubblicizza Hello come autenticatore di piattaforma e Brave non espone un controllo rivolto all'utente che lo blocchi. A gennaio 2026, la soppressione di Windows Hello è rimasta irrisolta per gli utenti che desideravano Hello per sbloccare il dispositivo ma non per le passkey.
Il problema #51858, aperto a gennaio 2026, e il più lungo thread della community 646042 descrivono la stessa cosa. L'autore originale della segnalazione ha provato modifiche al registro, criteri di gruppo, flag e installazioni pulite: nulla ha cambiato il comportamento.
Il motivo tecnico descritto nel thread 646042 è semplice: le impostazioni del gestore delle password del browser controllano il comportamento di riempimento automatico del browser, non il limite WebAuthn tra la pagina e il sistema operativo. Windows espone Hello in modo indipendente e la discussione non identifica una configurazione documentata e supportata che preservi Windows Hello per lo sblocco del dispositivo bloccandolo completamente come autenticatore di piattaforma WebAuthn.
Oggi, l'unico modo affidabile per sopprimere quei prompt è disabilitare completamente la registrazione di Windows Hello, il che ovviamente si scontra con il modo in cui la maggior parte delle persone desidera sbloccare il proprio dispositivo. Edge si comporta diversamente perché è integrato più strettamente con il livello di gestione delle credenziali di Windows ed espone controlli che i fork di Chromium attualmente non hanno.
L'archiviazione nativa delle passkey è l'opzione più semplice all'interno di un singolo ecosistema, mentre le estensioni di gestione delle password rimangono l'unico livello di sincronizzazione multipiattaforma ampiamente praticabile. Il Portachiavi iCloud funziona bene su tutti i dispositivi Apple, Windows Hello funziona su Windows e le casseforti basate su estensioni come 1Password o Bitwarden sono ancora l'unica opzione realistica per gli utenti che desiderano che le passkey siano disponibili in modo nativo e coerente su Windows, macOS, Linux e Android. L'autenticazione cross-device (CDA, o trasporto ibrido tramite codice QR e Bluetooth) può ancora collegare i dispositivi al momento dell'accesso, ma non sincronizza la credenziale né la rende disponibile localmente ovunque per impostazione predefinita. Il compromesso è l'affidabilità: i flussi nativi sono più semplici, i flussi delle estensioni sono più portatili e il CDA è meglio compreso come percorso di fallback piuttosto che come strategia di archiviazione.
La decisione si riduce principalmente a tre cose: quante piattaforme utilizzi, quanta fiducia hai nei flussi delle estensioni e dove conservi già le tue credenziali. Se rimani per lo più all'interno di un unico ecosistema OS - tutto Apple o tutto Windows - il percorso dell'autenticatore di piattaforma nativo è l'opzione più pulita. In quella configurazione, Brave si comporta in modo molto simile a Chrome o Safari. Se hai bisogno che le passkey ti seguano su Windows, macOS, Linux e Android, un'estensione per la gestione delle password di terze parti come 1Password, Bitwarden, Dashlane o Proton Pass è ancora l'unico livello di sincronizzazione ampiamente funzionante.
La complicazione è che, da aprile 2024, hanno continuato ad arrivare segnalazioni che l'interfaccia utente nativa per le passkey dirotta in modo intermittente i flussi guidati dalle estensioni. Gli utenti nel problema #37762 descrivono finestre di dialogo di autenticazione del sistema operativo che appaiono anche se Bitwarden o 1Password dovrebbero possedere la credenziale. A marzo 2026, il vecchio workaround - la disabilitazione di brave://flags/#web-authentication-new-passkey-ui - non era più disponibile perché il flag era stato rimosso nella versione 146.
| Posizione di archiviazione | Sincronizzazione multi-OS | Uso cross-browser | Posizione di ripristino | Rischio noto |
|---|---|---|---|---|
| Portachiavi iCloud | Solo Apple | Browser Apple | ID Apple | Nessuno |
| Windows Hello | No (legato al dispositivo) | Stesso dispositivo Windows | Sblocco / PIN | Impossibile disattivare la finestra Hello |
| Gestore delle password Google | Dove GPM è disponibile | Chrome + superfici Android | Account Google | Non esposto nei profili Brave qui |
| 1Password / Bitwarden | Completa | Completa (estensione) | Account della cassaforte | Intercettazione nativa intermittente |
| Chiave di sicurezza hardware | Legata al dispositivo | Qualsiasi browser | Possesso fisico | Nessuno |
In pratica, il modello in cui finiscono molti utenti attenti alla privacy nel 2026 è ibrido: usa l'autenticatore di piattaforma del sistema operativo per gli accessi quotidiani all'interno di un ecosistema, usa un'estensione per la gestione delle password dove conta la portabilità multipiattaforma e tieni a portata di mano una chiave di sicurezza hardware per gli account di alto valore.
I problemi aperti relativi alle passkey di Brave nel 2026 si raggruppano attorno a tre temi ricorrenti: intercettazione delle estensioni, guasti su Android su dispositivi de-Googleizzati e problemi con le chiavi di sicurezza desktop. Ad aprile 2026, il repository più ampio mostrava ancora 24 problemi aperti che corrispondevano a webauthn o passkey, il che suggerisce che l'attrito è concentrato, non casuale.
Il gruppo più attivo è l'intercettazione delle estensioni, in cui l'interfaccia utente nativa della passkey può sovrascrivere i prompt di 1Password, Bitwarden o Dashlane. La compatibilità con Android senza i Google Play Services è il secondo problema ricorrente e il rilevamento della chiave di sicurezza desktop è il terzo. I thread dei problemi più spesso citati qui sono #37762, #50561, #45415, #15650, #43043, #34441, #33237 e #51858. I thread attivi puntano nella stessa direzione senza bisogno di molte citazioni dirette.
Molti di questi problemi hanno ricevuto nuovi commenti negli ultimi 90 giorni, il che li rende regressioni attive anziché curiosità storiche. Per gli sviluppatori che creano flussi per le passkey, la conclusione è chiara: testate in modo esplicito i flussi guidati dalle estensioni in Brave e offrite soluzioni di ripiego ragionevoli quando le chiamate WebAuthn falliscono. Per gli utenti, la lezione è altrettanto pratica: mantenete una chiave di sicurezza hardware o un altro fattore di recupero configurato sugli account di alto valore.
La storia delle passkey in Brave è pulita a livello di codice e disordinata a livello di esperienza utente. Il percorso WebAuthn è di fatto quello di Chromium, con solo una singola modifica testuale che conferma quanto l'implementazione resti vicina all'origine a monte. Sulle piattaforme Apple, la portabilità delle passkey funziona esattamente come si aspettano gli utenti perché il Portachiavi iCloud possiede la credenziale. I veri ostacoli risiedono altrove: l'intercettazione delle estensioni (#37762), l'impossibilità di sopprimere Windows Hello (#51858) e la dipendenza di Android dai Google Play Services (#45415). Finché tali problemi non verranno risolti, gli sviluppatori dovrebbero testare Brave separatamente invece di dare per scontata la parità con Chrome e gli utenti dovrebbero mantenere una solida alternativa - idealmente una chiave di sicurezza hardware - per gli account importanti.
Corbado crea l'infrastruttura per le passkey per l'accesso dei consumatori e fornisce una piattaforma di intelligence per passkey per i team che necessitano di operare passkey e sistemi di autenticazione su larga scala. Pubblichiamo analisi tecniche del comportamento di WebAuthn e delle passkey nei browser e nei sistemi operativi in base a implementazioni reali, all'ispezione diretta del codice sorgente e alla lettura ravvicinata delle specifiche sottostanti. Domande o correzioni sono sempre benvenute.
Sì, ma solo se Brave salva la passkey nel Portachiavi iCloud. Su macOS, Brave utilizza lo stack WebAuthn di Chromium e può archiviare una nuova passkey nel Portachiavi iCloud o in un'altra destinazione di archiviazione mostrata nel prompt di creazione. Una passkey salvata nel Portachiavi iCloud si sincronizza tramite l'ID Apple e diventa disponibile in Safari, Chrome e altri browser sui dispositivi Apple che condividono quell'ID Apple. Una passkey salvata nell'archivio di un profilo del browser o in un archivio solo locale non diventa automaticamente disponibile in Safari su un altro dispositivo Apple.
Brave su Android può fallire senza i Google Play Services, ma il motivo è più specifico di "il Gestore delle credenziali fa parte dei Play Services". Il Gestore delle credenziali di Android è un'API di sistema e Jetpack, mentre le versioni precedenti di Android si basano maggiormente sul livello FIDO2 supportato dai Google Play Services. In pratica, Brave eredita comunque il problema documentato nel problema #45415 di brave/brave-browser: su GrapheneOS, CalyxOS o altre build Android de-Googleizzate senza il necessario percorso per i Play Services, la finestra di dialogo della passkey non si apre mai e la registrazione o l'autenticazione va in timeout.
No. Brave non fornisce un equivalente della sincronizzazione delle passkey per il profilo del browser di Chrome tramite il Gestore delle password di Google. Le passkey create in Brave vengono archiviate nell'autenticatore di piattaforma del sistema operativo sottostante - il Portachiavi iCloud su Apple, Windows Hello su Windows e il Gestore delle credenziali su Android - e si sincronizzano solo tramite quell'account OS. Se desideri una sincronizzazione coerente su più dispositivi, ti affidi al fornitore del sistema operativo o a un'estensione per la gestione delle password di terze parti.
Il toggle brave://password-manager/settings di Brave controlla solo se Brave si offre di salvare le passkey autonomamente. Non impedisce a Windows di pubblicizzare Windows Hello come autenticatore di piattaforma WebAuthn alla pagina. Il sito richiama WebAuthn, Windows presenta Hello e Brave non ha alcun interruttore all'interno del browser per sopprimere la finestra di dialogo del sistema operativo. Il comportamento è tracciato nel problema #51858 di brave/brave-browser.
Usa il flusso del sistema operativo nativo di Brave (il Portachiavi iCloud o il Gestore delle password di Google tramite la piattaforma) se rimani all'interno di un unico ecosistema e vuoi il minor numero possibile di componenti mobili. Usa un'estensione per la gestione delle password di terze parti come 1Password o Bitwarden se hai bisogno che le passkey ti seguano in modo coerente su Windows, macOS, Linux e Android, o se gestisci già lì i tuoi segreti. Dal 2024, l'interfaccia utente nativa di Brave ha ripetutamente intercettato i flussi delle passkey delle estensioni, quindi vale la pena verificare che l'estensione gestisca ancora il prompt.
Ad aprile 2026, brave/brave-browser aveva 24 problemi aperti che corrispondevano alle ricerche passkey o WebAuthn. I problemi aperti taggati con passkey sono passati da circa 2 all'anno nel 2022-2023 a 6 aperti nel 2025. Per Brave, i temi dominanti sono l'intercettazione delle estensioni su desktop, la soppressione di Windows Hello e la dipendenza di Android dai Google Play Services.
Corbado è la Authentication Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →
Scopri come Corbado si integra con la tua distribuzione di passkey e con lo stack di autenticazione esistente.
Esplora la Console
Articoli correlati
Indice