Le passkey funzionano in modalità di navigazione in incognito?

Sempre più aziende stanno implementando le passkey nei loro siti web e app. Nel farlo, molti sviluppatori software e product manager si chiedono se le passkey funzionino nelle modalità di navigazione in incognito o privata, poiché questo ha un'influenza notevole sull'esperienza utente complessiva.

Con questo post cerchiamo di rispondere alle seguenti domande:

1. Le passkey funzionano in modalità di navigazione in incognito / privata?
2. Qual è il comportamento dell'autenticazione con passkey in modalità in incognito / privata su Chrome, Safari, Edge e Firefox?

Questa conoscenza garantisce un'esperienza utente fluida su diversi browser e sistemi operativi, posizionando la tua applicazione all'avanguardia in termini di sicurezza e praticità.

Le passkey sono essenzialmente chiavi crittografiche utilizzate per autenticare gli utenti senza la necessità di password tradizionali. Offrono una sicurezza maggiore eliminando i rischi associati al furto di password e agli attacchi di phishing.

Generalmente, le passkey sono archiviate in modo sicuro all'interno del dispositivo e la loro funzionalità rimane costante anche nelle modalità di navigazione in incognito o privata per la maggior parte dei sistemi operativi, ad eccezione di Windows 10 (vedi sotto), a condizione che il dispositivo sia compatibile con le passkey.

Le modalità di navigazione in incognito o privata sono comunemente utilizzate per navigare in internet senza lasciare tracce. Questa funzionalità è preziosa per gli utenti che danno priorità alla privacy, ed è essenziale che i metodi di autenticazione, come le passkey, funzionino senza problemi all'interno di queste modalità.

Tuttavia, nella storia dello sviluppo di WebAuthn, ci sono state discussioni e miglioramenti continui, poiché il comportamento tendeva a essere piuttosto confuso e incoerente tra i vari sistemi operativi e browser (per riferimento, si vedano queste vecchie discussioni e segnalazioni di bug qui, qui e qui).

Comprendere il comportamento delle passkey nei vari browser e sistemi operativi aiuta a garantire la compatibilità e un'esperienza utente fluida.

Le passkey funzionano in modalità di navigazione in incognito / privata?

Su Windows 10 (22H2), abbiamo scoperto l'unica eccezione in cui le passkey non funzionano in modo affidabile e abbiamo ottenuto le due schermate seguenti provando a utilizzare un autenticatore di piattaforma (Windows Hello):

Messaggio di errore della passkey in modalità di navigazione in incognito di Chrome su Windows 10

Messaggio di errore della passkey in modalità inPrivate di Edge su Windows 10

Quando siamo passati alla modalità di navigazione normale, tutto ha funzionato come previsto, quindi il messaggio di errore nel popup è fuorviante.

Inoltre, se provavamo a utilizzare un autenticatore multipiattaforma (ad esempio, una chiave di sicurezza hardware, come una YubiKey, o l'autenticazione tra dispositivi tramite codice QR / Bluetooth), questo funzionava.

Approfondendo il problema ed eseguendo i seguenti due comandi nella console del browser per determinare se l'autenticatore di piattaforma (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()) e l'interfaccia utente condizionale (PublicKeyCredential.isConditionalMediationAvailable()) fossero disponibili, abbiamo fatto una scoperta interessante: la prima promise restituiva false, mentre la seconda restituiva true, il che non aveva alcun senso, poiché gli autenticatori di piattaforma sono necessari per il funzionamento dell'interfaccia utente condizionale.

A partire da Chrome 129 (e similmente in Edge, che è basato su Chromium), PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() restituisce true anche in modalità di navigazione in incognito / InPrivate su Windows 10. In precedenza, questo valore era false in incognito. Nonostante ora restituisca true, l'autenticatore di piattaforma rimane non disponibile per la creazione di nuove passkey, causando un'interruzione del flusso utente.

Di seguito è riportata una tabella che mostra i valori restituiti da PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() su Windows 10 in diverse versioni e modalità di Chrome/Edge:

Comportamento osservato:

• In modalità di navigazione in incognito di Chrome/Edge su Windows 10, nonostante la promise restituisca true, l'autenticatore di piattaforma non viene visualizzato per la creazione della passkey.
• Agli utenti viene invece richiesto di aggiungere una chiave di sicurezza (ad esempio, una YubiKey).
• Sebbene le chiavi di sicurezza hardware funzionino ancora per la creazione di passkey, questo non è il flusso previsto quando si utilizzano autenticatori di piattaforma come Windows Hello.

Impatto della modifica: Questo interrompe di fatto il flusso per l'aggiunta di passkey all'autenticatore di piattaforma in modalità di navigazione in incognito/InPrivate. La modifica in Chrome 129+ è stata apportata principalmente per abilitare la funzionalità di login con le passkey in modalità di navigazione in incognito. I flussi di login utilizzano lo stesso meccanismo di rilevamento per verificare il supporto delle passkey (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()), e questa modifica garantisce che i login possano procedere senza problemi. Tuttavia, la conseguenza non intenzionale è l'esperienza interrotta per la creazione di passkey con l'autenticatore di piattaforma nelle modalità di navigazione privata.

Ulteriori dettagli su questa modifica sono disponibili nella revisione del codice sorgente di Chromium e nella discussione associata sul tracker dei problemi. Per i siti web che mirano a fornire un supporto ottimale per le passkey, rilevare la modalità di navigazione in incognito è attualmente l'unico modo per mitigare questo problema. Identificando quando un utente si trova in modalità di navigazione in incognito/InPrivate su Windows 10 con Chrome/Edge, i siti web possono evitare preventivamente di offrire opzioni di autenticatore di piattaforma per la creazione di passkey.

Quando si utilizza Windows Hello come autenticatore di piattaforma, durante la creazione di una passkey in modalità di navigazione in incognito (su Chrome) / in modalità inPrivate (su Edge) appare un pop-up di sicurezza che avvisa gli utenti che la passkey verrà salvata e potrà essere utilizzata in seguito in modalità di navigazione non in incognito (questo comportamento è stato testato su Windows 11 22H2). Considerando che uno dei casi d'uso della modalità di navigazione in incognito è la creazione di un account senza lasciare traccia di alcuna informazione, questo avviso ha senso.

Su Android e utilizzando la modalità di navigazione in incognito (su Chrome) / in modalità inPrivate (su Edge), il comportamento è simile a quello di Windows 11, poiché viene mostrato un pop-up informativo che comunica all'utente che la passkey verrà salvata nel gestore di password e chiunque abbia accesso al gestore di password avrà accesso anche alla passkey.

In sintesi, le passkey funzionano in modo affidabile nelle modalità di navigazione in incognito e privata sulla maggior parte dei browser e sistemi operativi, con alcune eccezioni specifiche su Windows 10 per la creazione di passkey. Sfruttando le soluzioni di Corbado, gli sviluppatori possono implementare le passkey in modo efficiente e i product manager possono migliorare l'esperienza utente senza compromettere la sicurezza.