Passkey di Revolut: una mossa audace con margini di miglioramento

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Nel digital banking, la necessità di una sicurezza solida senza sacrificare l'esperienza utente ha portato a soluzioni innovative. Tra queste, spiccano le passkey come nuovo standard per l'autenticazione dell'utente. Revolut, una delle principali neo-banche con sede a Londra, ha recentemente e silenziosamente iniziato a implementare le passkey sia per i conti Personal che Business. Questa mossa strategica non solo si allinea con la crescente domanda di esperienze digitali più sicure e convenienti, ma posiziona anche Revolut come pioniere nell'adozione delle passkey nel settore bancario.

Get a free passkey assessment in 15 minutes.

Book free consultation

Con l'introduzione delle passkey, Revolut segue il trend dei giganti della tecnologia, con Coinbase, WhatsApp, Nintendo e Uber a guidare l'ondata delle passkey. Nel settore finanziario, Revolut è una delle prime banche, se non la più grande finora, a implementare le passkey.

Disclaimer: Ci aspettiamo che nelle prossime settimane le passkey vengano implementate gradualmente su scala più ampia e che i bug vengano corretti. Aggiorneremo questo articolo di conseguenza. La versione attuale è del 7 febbraio 2024.

Le passkey rappresentano la fase successiva dell'autenticazione passwordless, offrendo agli utenti un modo semplice ma sicuro per accedere ai propri account. A differenza delle password tradizionali, le passkey eliminano la necessità di ricordare password complesse, basandosi invece sulla crittografia asimmetrica con chiavi uniche per ogni utente e dispositivo. Questo metodo non solo migliora la sicurezza riducendo il rischio di attacchi di phishing e violazioni di dati, ma semplifica anche il processo di login, poiché gli utenti devono solo usare Face ID, Touch ID o Windows Hello, migliorando così l'esperienza utente complessiva.

Revolut sta seguendo un'introduzione graduale delle passkey e non sta implementando le funzionalità simultaneamente per i conti Business e Personal. Le principali differenze che abbiamo riscontrato durante la nostra ricerca sono riassunte nella seguente tabella:

I seguenti aspetti dell'integrazione delle passkey di Revolut meritano una menzione positiva:

• Leadership digitale sicura nel settore bancario: Facendo da apripista nell'adozione delle passkey, Revolut non solo consolida la sua posizione di leader digitale nel panorama bancario, ma incoraggia anche altre istituzioni finanziarie a seguire il suo esempio.
• Migliorare l'esperienza utente: Le passkey sono la forma più semplice di autenticazione dell'utente, poiché gli utenti non hanno bisogno di un secondo dispositivo per l'MFA e non devono nemmeno ricordare password complesse.
• Risparmiare sui costi degli SMS OTP: Una delle forze trainanti dietro le iniziative sulle passkey a livello aziendale non è spesso solo il miglioramento della UX e i benefici per la sicurezza, ma anche il risparmio di ingenti costi per gli SMS OTP, un metodo obsoleto e piuttosto insicuro (ma ancora molto diffuso tra le banche).

Sebbene il passo coraggioso di Revolut verso l'integrazione delle passkey sia lodevole, l'implementazione non è stata esente da difetti.

• Mancanza di risorse informative sulle passkey: L'assenza di FAQ o guide ufficiali sulle passkey per gli utenti (non ne abbiamo trovate) indica una lacuna nella comunicazione dell'implementazione, anche se le funzionalità vengono offerte agli utenti. Fornire una documentazione dettagliata può aiutare a demistificare le passkey, favorendo una transizione più fluida per tutti.
• UX delle passkey incoerente: Le nostre osservazioni rivelano che la disponibilità e la funzionalità delle funzionalità delle passkey variano a seconda dei dispositivi e delle piattaforme. Garantire un'esperienza utente coerente, in cui le impostazioni delle passkey siano visualizzate in modo affidabile e i popup promozionali portino a vere e proprie cerimonie di creazione della passkey (durante i nostri test ha funzionato solo su Windows 11), aumenterebbe la fiducia degli utenti.
• Mancanza della Conditional UI: L'introduzione della Conditional UI potrebbe cambiare le carte in tavola. Migliorare l'esperienza utente offrendo accessi non solo senza password ma anche senza nome utente snellirebbe ulteriormente il processo di login, rendendolo più intuitivo.
• Nessuna integrazione con le app native: Attualmente, l'approccio mobile-first di Revolut non si estende al supporto delle passkey all'interno delle sue applicazioni native per iOS e Android. Integrare le passkey con le app native sfrutterebbe l'elevata predisposizione dei dispositivi iOS e Android all'uso delle passkey.
• Nessuna autenticazione unificata tra le piattaforme: Colmare il divario tra l'autenticazione con passkey web e quella delle app native rappresenta una sfida complessa (leggi questo post del blog per maggiori dettagli tecnici su una configurazione di esempio). Tuttavia, creare un meccanismo di autenticazione unificato che consenta di condividere le passkey tra l'app web, l'app per iOS e quella per Android potrebbe migliorare la sicurezza e la comodità per l'utente.

Revolut has introduced passkeys

Join them

Di seguito, approfondiremo l'analisi dei conti Revolut Personal e Business e di come le passkey vengono implementate su dispositivi e piattaforme selezionate.

Iniziamo l'analisi delle passkey di Revolut Business esaminando da vicino l'applicazione web prima di analizzare le app native.

Per brevità, di seguito evidenzieremo solo alcune combinazioni di piattaforma, dispositivo e browser.

Nota che il popup per le passkey di Revolut viene mostrato solo una volta, dopo aver effettuato l'accesso con i metodi di autenticazione esistenti. Per attivare nuovamente il popup, è necessario eliminare i cookie di Revolut o accedere al sito in modalità Incognito/Privata.

Quando accedi alla pagina di login di Revolut Business, noterai immediatamente una nuova e ben visibile opzione di login situata sotto il campo di inserimento dell'email e sopra i social login di Google/Apple, etichettata: Continua con passkey.

Il popup promozionale per le passkey si presenta così:

È interessante notare che per Revolut Business, anche se l'identificatore utente primario è l'indirizzo email, le passkey sono legate al numero di telefono, probabilmente perché i conti Revolut Personal vengono creati prima con un numero di telefono.

Ora che hai creato con successo una passkey su Windows 11 e Chrome, puoi disconnetterti e cliccare su Continua con passkey nella pagina di login. Successivamente, apparirà l'interfaccia utente del browser per gestire l'autenticazione con passkey:

Contrariamente all'attuale procedura di login per Revolut Business, dove è necessario fornire una password e confermare la propria identità tramite una notifica push nell'app nativa o un magic link via email come secondo fattore, per i login con passkey non è necessario alcun metodo di autenticazione aggiuntivo, poiché le passkey fungono intrinsecamente da 2FA. Questo rappresenta un miglioramento significativo dell'esperienza utente, specialmente sui dispositivi desktop, poiché elimina la necessità di cambiare contesto o usare un secondo dispositivo.

Su Android 14 e in Chrome 121, il pulsante di login Continua con passkey è molto evidente.

Su iOS 17.3 e in Safari, anche il pulsante di login Continua con passkey è molto evidente.

Le app native per iOS e Android di Revolut Business non supportano ancora le passkey. Pertanto, non c'è un'opzione Passkey nella sezione Sicurezza e privacy dell'app iOS (vedi screenshot) o Android:

Una delle prime differenze da notare è che Revolut Personal utilizza il numero di telefono come identificatore utente primario. Invece di una password, l'autenticazione è gestita tramite un codice di accesso da 6 a 12 cifre, mentre Revolut Business utilizza un codice di accesso a 4 cifre e fa uso della password nel processo di login predefinito.

Per brevità, di seguito evidenzieremo solo alcune combinazioni di piattaforma, dispositivo e browser.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Il seguente popup promozionale per le passkey viene visualizzato la prima volta che si effettua il login (o dopo aver eliminato i cookie / essere in modalità di navigazione privata):

Per qualche motivo, dopo aver cliccato su Aggiungi passkey nella schermata precedente, siamo stati reindirizzati direttamente alla pagina di login, senza avere l'opportunità di avviare la cerimonia della passkey con Touch ID. Indagando sul problema, abbiamo trovato la chiamata API corrispondente (https://sso.revolut.com/api/challenges/webauthn) nella scheda di rete degli strumenti per sviluppatori di Safari. Tuttavia, questa chiamata API ha restituito un codice di stato HTTP 403, indicando che la funzione, a quanto pare, non è stata ancora completamente implementata.

Contrariamente al conto Revolut Business, le impostazioni dell'account in Revolut Personal contengono una sezione per le passkey:

Il seguente popup promozionale per le passkey viene visualizzato la prima volta che si effettua il login (o dopo aver eliminato i cookie / essere in modalità di navigazione privata):

Le app native per iOS e Android di Revolut Personal non supportano ancora le passkey. Tuttavia, sia l'app per iOS che quella per Android (vedi gli screenshot qui sotto) contengono una sezione nelle impostazioni di sicurezza per le passkey:

Di seguito, approfondiamo alcuni aspetti tecnici.

Become part of our Passkeys Community for updates & support.

Join

Abbiamo esaminato le specifiche dell'implementazione tecnica. Principalmente, ogni volta che la pagina di login viene caricata, un client_id viene inviato al backend, che restituisce diverse opzioni di autenticazione in base al tipo di account:

• Conto Business: login con Apple, Google, Passkey (WebAuthn)
• Conto Personal: login con Apple, Google

È interessante notare che l'opzione passkey per i conti Revolut Personal è stata preparata ma non è ancora attivata (vedi screenshot sotto), il che indica che un'implementazione potrebbe essere imminente e rapida, abilitando un pulsante "Continua con passkey" anche per i conti Personal.

La decisione su quali opzioni di login visualizzare si basa sul client_id. Ad esempio: https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde A scopo sperimentale, abbiamo modificato il client_id con un valore casuale, il che ha rivelato tutte le opzioni di login (inclusa la possibilità di passare dal numero di telefono all'email come identificatore di login) su Windows 11 con Chrome.

Durante la cerimonia di login, abbiamo analizzato le PublicKeyCredentialRequestOptions. In particolare, allowCredentials non era impostato, mentre il relying party ID era stabilito come "sso.revolut.com". Impostare userVerification su "preferred" è una scelta prudente dal punto di vista della sicurezza.

publicKeyCredentialRequestOptions.json
{
    "allowCredentials": [],
    "challenge": "WHAxZnJDaDB1VnNXMmlOQW1hVndqdTYzSzF3emR3b3gtRFRCWHVxRjJYRQ",
    "rpId": "sso.revolut.com",
    "userVerification": "preferred"
}

Abbiamo anche analizzato come potrebbe apparire un'implementazione sulle app native iOS e Android e quindi abbiamo usato il relying party ID di sso.revolut.com e abbiamo aggiunto i percorsi ai file assetlinks.json (Android) e apple-app-site-association (iOS) per vedere quali informazioni questi file potrebbero già contenere riguardo all'implementazione delle passkey.

Tentare di accedere a https://sso.revolut.com/.well-known/assetlinks.json restituisce un errore 404 da nginx, suggerendo l'uso di un reverse proxy per la gestione dei file. Utilizzando il dominio https://app.revolut.com, abbiamo individuato il file assetlinks.json su https://app.revolut.com/.well-known/assetlinks.json, che ha fornito informazioni interessanti per Revolut Personal:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "11:F2:5B:D6:30:60:CE:B4:EF:EC:48:7C:C8:1F:6D:3D:D0:3A:75:C3:E9:D2:C5:32:3D:69:55:9D:C1:7F:6A:23"
            ]
        }
    },
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut.test",
            "sha256_cert_fingerprints": [
                "90:EC:5D:75:11:4E:67:B7:F1:3F:C0:D0:57:85:9B:78:0D:A0:BA:49:E2:22:4C:60:42:7E:D2:EA:00:84:D1:B7"
            ]
        }
    }
]

Tramite https://well-known.dev, abbiamo anche scoperto il file di associazione per Revolut Business su https://business.revolut.com/.well-known/assetlinks.json:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.business",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "9F:07:80:54:0F:3A:C9:6F:D7:26:02:8A:37:C5:CD:48:DB:A3:67:EE:2D:93:B3:9D:DE:51:BC:F2:2E:7F:B1:88",
                "F8:F5:95:3A:C3:85:DB:0D:85:C3:56:E9:9B:37:BD:CA:4D:EE:B0:D2:52:C6:2A:36:4F:BA:C8:3B:C6:AF:3A:C2"
            ]
        }
    }
]

Poiché né il file assetlinks.json per Revolut Personal né quello per Revolut Business si trovano nel percorso designato dal relying party ID per associare l'app nativa Android con l'app web, è interessante considerare quali modifiche siano necessarie per consentire alle passkey di funzionare sia sulle app web che su quelle native Android.

Il file apple-app-site-association per Revolut Personal è accessibile su https://revolut.com/.well-known/apple-app-site-association, senza ancora dettagli aggiunti riguardo alle credenziali web:

apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            }
        ]
    }
}

Al contrario, il file apple-app-site-association di Revolut Business contiene informazioni più complete, in particolare per quanto riguarda le credenziali web. Ciò indica che l'app iOS QUZEZSEARC.com.revolut.business è configurata per condividere le credenziali con l'applicazione web di Revolut Business. È accessibile su https://business.revolut.com/.well-known/apple-app-site-association.

{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.business",
                "paths": [
                    "/",
                    "/accept-payments/in-person",
                    "/accept-payments/online-requests",
                    "/accept-payments/web-integrations",
                    "/accounts",
                    "/accounts/connect-external",
                    "/accounts/connect-external/*",
                    "/accounts/new",
                    "/accounts/transactions",
                    "/account-transactions/*",
                    "/action/confirm",
                    "/add-card-to-wallet",
                    "/advances",
                    "/advances/manual-repayment",
                    "/app/*",
                    "/application",
                    "/approvals/requests",
                    "/article/*",
                    "/articles/*",
                    "/bug-report",
                    "/card-reader/order",
                    "/cards",
                    "/cards/*",
                    "/cards/*/sca-counters-exceed",
                    "/cards/*/sca-counters-warn",
                    "/cards/*/security",
                    "/cards/*/settings",
                    "/cards/*/transactions",
                    "/cashback",
                    "/catalogue/manage",
                    "/challenges/*",
                    "/consumer-tickets/*",
                    "/crypto",
                    "/e-commerce",
                    "/exchange",
                    "/expense-documents/*",
                    "/expenses",
                    "/expenses/*",
                    "/faq",
                    "/faq/*",
                    "/favourites",
                    "/form",
                    "/form/*",
                    "/help-centre",
                    "/help-centre/topic/*",
                    "/hub/integrations",
                    "/insurance",
                    "/invoices",
                    "/invoices/*",
                    "/marketplace",
                    "/merchant",
                    "/merchant/*",
                    "/new-card-acceptance-pricing",
                    "/offboarding",
                    "/open-onboarding-application-next-step",
                    "/orders",
                    "/pay-in-store/order/*",
                    "/payments",
                    "/payments/scheduled",
                    "/payments/transfers",
                    "/plan/subscriptions",
                    "/points",
                    "/pricing-plans",
                    "/qr-code-sign-in/*",
                    "/referrals",
                    "/referrals/invite-contacts",
                    "/referrals/invitee-details/*",
                    "/request-info",
                    "/request-info/merchant",
                    "/requests",
                    "/requests/request",
                    "/reset-password",
                    "/rewards",
                    "/sales/revolut-me",
                    "/statements",
                    "/savings",
                    "/send",
                    "/settings/accounts-and-documents",
                    "/settings/business-profile",
                    "/settings/manage-devices",
                    "/settings/merchant-profile",
                    "/settings/merchant-profile/branding",
                    "/settings/notifications",
                    "/settings/personal-profile",
                    "/settings/trusted-merchants",
                    "/settings/vat-number",
                    "/signup/invite",
                    "/stories/*",
                    "/story/*",
                    "/subscriptions",
                    "/team",
                    "/team/approvals",
                    "/team/member/add",
                    "/team/roles",
                    "/tip/settings",
                    "/topup",
                    "/transactions",
                    "/transactions/*/add-expense-info",
                    "/transactions/*/add-info-flow",
                    "/transactions/*/chargeback-status",
                    "/transfers",
                    "/treasury",
                    "/upgrade",
                    "/vouchers"
                ]
            }
        ]
    },
    "webcredentials": {
        "apps": ["QUZEZSEARC.com.revolut.business"]
    }
}

Proprio come con Android, rimane interessante capire come possa essere implementata la condivisione multipiattaforma delle passkey tra le app native e web, dato che il relying party ID per l'app web (sso.revolut.com) non ha i file di associazione nelle posizioni previste.

In conclusione, l'introduzione delle passkey da parte di Revolut è un passo significativo verso la rivoluzione dell'autenticazione utente nel settore bancario. Adottando le passkey, Revolut non solo migliora la sicurezza abbandonando le password tradizionali, ma migliora anche significativamente la UX attraverso un processo di login più semplice. Nonostante le sfide incontrate nell'implementazione iniziale, tra cui incoerenze tra i dispositivi e l'assenza del supporto delle app native, gli sforzi di Revolut sottolineano un impegno verso l'innovazione digitale e un design incentrato sull'utente.

L'analisi tecnica rivela che, sebbene le basi per un'integrazione fluida delle passkey siano state gettate, ci sono aree pronte per essere migliorate. Migliorare la comunicazione, garantire la coerenza tra le piattaforme ed estendere il supporto per includere le applicazioni mobili native sono i prossimi passi critici. Affrontare queste aree non solo affinerà l'implementazione di Revolut, ma stabilirà anche un punto di riferimento per il settore, incoraggiando altre istituzioni finanziarie ad adottare presto le passkey (vedi anche il nostro post sul blog sulla conformità delle passkey alla PSD2).