Strategia Passkey: Perché la Tua Implementazione Passkey Fallirà

Questa pagina è stata tradotta automaticamente. Leggi la versione originale in inglese qui.

Whitepaper Passkey enterprise. Guide pratiche, pattern di distribuzione e KPI per programmi passkey.

Fatti chiave

Le implementazioni passkey falliscono non a causa della complessità tecnica, ma perché le aziende trascurano la gestione dell'adozione, lasciando le password predominanti e i benefici in termini di sicurezza non realizzati.
Un framework in quattro fasi struttura il successo delle passkey: Implementazione, Adozione, Transizione Passwordless e Recupero, con l'adozione che rappresenta il punto di svolta critico per i risultati del progetto.
Tassi di accesso passkey bassi significano che i costi degli OTP via SMS rimangono elevati, i rischi di phishing restano invariati e i costi dell'helpdesk IT non diminuiscono nemmeno dopo l'implementazione.
I settori della finanza e del fintech richiedono l'immediata rimozione delle password piuttosto che una transizione graduale, poiché la resistenza al phishing non può attendere il raggiungimento delle soglie di adozione.
Le passkey sincronizzate tramite account cloud come Apple iCloud Keychain e Google Password Manager rendono gli eventi di recupero dei consumatori significativamente meno frequenti rispetto ai reset di password o numeri di telefono.

1. Introduzione#

Le passkey stanno emergendo come il nuovo standard di accesso, offrendo un'esperienza utente senza attriti e una sicurezza maggiore rispetto alle password. Le aziende adottano le passkey per tre motivi principali:

Migliorare UX e ricavi (aziende e-commerce e orientate alle transazioni): Le passkey creano un'esperienza di accesso fluida, riducendo al minimo l'attrito al checkout, aumentando i tassi di conversione, potenziando la fidelizzazione dei clienti e riducendo i reset delle password. Per le piattaforme e-commerce e i marketplace, l'autenticazione è direttamente legata alle entrate: ogni barriera di accesso rimossa si traduce in una maggiore fidelizzazione dei clienti e in più transazioni completate.
Migliorare la sicurezza tagliando i costi (grandi imprese e settori focalizzati sulla 2FA): Le passkey aiutano a ridurre la dipendenza dai costosi OTP via SMS, tagliando significativamente le spese di autenticazione. Grandi imprese, agenzie governative e settori con forti obblighi di conformità che attualmente utilizzano la tradizionale autenticazione a due fattori (2FA) si stanno rivolgendo alle passkey come alternativa sicura ed economica.
Passare a una soluzione completamente passwordless (istituti finanziari e aziende a rischio di frode): Le banche, le piattaforme fintech e le aziende ad alto rischio stanno adottando le passkey per eliminare del tutto le password e passare a un modello di autenticazione resistente al phishing. Le passkey sono immuni al credential stuffing, agli attacchi replay e alle tattiche di ingegneria sociale: vantaggi critici per i settori frequentemente presi di mira dalle frodi.

Tuttavia, il semplice fatto di implementare e abilitare le passkey non garantisce il successo delle implementazioni su larga scala: i progetti spesso falliscono. L'adozione, il rollout strategico, l'allineamento degli stakeholder, i test approfonditi e l'integrazione dello stack a livello aziendale sono fondamentali per il successo del progetto. La sfida non è solo offrire le passkey, ma guidare l'adozione delle passkey. Questo articolo delinea una strategia in quattro fasi per implementare le passkey, guidarne l'adozione, passare a un'autenticazione passwordless e automatizzare il recupero:

Esplora inoltre come Corbado sfrutti gli insight basati sui dati per massimizzare il ROI, tagliare i costi di autenticazione, ridurre significativamente la spesa per gli SMS, passare al passwordless e rafforzare la sicurezza.

Articoli recenti

2. Fase I: Aggiunta delle passkey – Fase di implementazione#

L'introduzione delle passkey come opzione di accesso è il primo passo verso un sistema di autenticazione più sicuro e facile da usare. Tuttavia, l'implementazione delle passkey non è un processo valido per tutti: il modo in cui si aggiungono le passkey dipende dalla configurazione di autenticazione esistente. Abbiamo già affrontato ampiamente la complessità dell'implementazione nel nostro blog e spiegato come realizzarla nel modo giusto.

2.1 I CIAM esistenti e il loro impatto sull'implementazione delle passkey#

Quando iniziano l'implementazione, le aziende rientrano tipicamente in una di tre categorie riguardo alla loro configurazione di autenticazione esistente:

Configurazione di Autenticazione	Descrizione	Sfide con le Passkey
Sistemi di Autenticazione Personalizzati (Backend & Frontend Fai-da-te)	Aziende con pieno controllo sui propri flussi di autenticazione, inclusi backend e frontend.	Richiede competenze approfondite su WebAuthn, compatibilità dei dispositivi e gestione dei fallback. È necessario un notevole sforzo ingegneristico per garantire che il supporto passkey funzioni su tutti i dispositivi e browser.
Backend IDP/CIAM Esistente con Frontend Personalizzato	Utilizza un identity provider (IDP) esterno o una soluzione CIAM per l'autenticazione backend, ma mantiene un'implementazione frontend personalizzata.	Le passkey devono essere implementate a livello di frontend, richiedendo la gestione di complesse variazioni tra browser e dispositivi. La maggior parte della logica passkey avviene nel frontend, aumentando la complessità dell'implementazione.
IDP/CIAM Controlla Entrambi Backend & Frontend	Stack di autenticazione completamente gestito con un IDP come Okta o Auth0 che gestisce sia l'autenticazione backend che frontend.	Capacità limitata di implementare le passkey senza il supporto diretto del fornitore. Richiede di lavorare con uno specialista come Corbado per estendere le funzionalità passkey laddove il supporto nativo è carente.

L'implementazione delle passkey richiede di navigare in un ecosistema altamente complesso. La sfida non è solo aggiungere il supporto per WebAuthn, ma garantire una compatibilità fluida tra migliaia di combinazioni di sistemi operativi, browser e provider di passkey:

2.1.1 Adozione da parte degli Utenti e Barriere Comportamentali#

Le passkey rappresentano un cambiamento importante nell'esperienza utente, causando una confusione iniziale a causa della scarsa familiarità e dei comportamenti incoerenti tra browser e dispositivi.
Gli utenti spesso faticano con messaggi poco chiari e casi limite sconosciuti, riducendo significativamente la fiducia e i tassi di adozione.
Le aziende sottovalutano quanto siano radicate le abitudini legate alle password, rendendo cruciali l'educazione proattiva degli utenti, una chiara guida UX e un onboarding senza attriti.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

2.1.2 Complessità Tecnica dell'Implementazione#

Le implementazioni passkey richiedono notevoli sforzi ingegneristici iniziali a causa della complessità dei protocolli WebAuthn e della diversità delle interazioni dispositivo/browser.
L'integrazione con gli identity provider (IdP) esistenti o con i sistemi CIAM (Customer Identity and Access Management) introduce ulteriori sfide tecniche, spesso sottovalutate finché l'implementazione non è in corso.
Gli aggiornamenti continui nelle specifiche WebAuthn richiedono manutenzione continua e competenze specialistiche degli sviluppatori, aumentando i costi e la complessità a lungo termine.

2.1.3 Incertezza sul ROI e Gestione dei Costi#

Le aziende spesso faticano a giustificare gli investimenti nelle passkey senza prove evidenti di risparmi operativi immediati, come la riduzione della spesa per gli OTP via SMS e la diminuzione dei ticket di supporto.
L'attrito iniziale nell'UX può inavvertitamente aumentare le richieste di supporto clienti, compensando i risparmi previsti a meno che non sia gestito attentamente attraverso una guida proattiva agli utenti e processi di fallback ben progettati.
Senza un approccio strategico per guidare l'adozione, le aziende rischiano di non realizzare la riduzione anticipata delle frodi, degli attacchi di phishing e delle relative perdite finanziarie.

2.1.4 Conformità e Rischi di Sicurezza#

L'incertezza normativa (es. PSD2 e altri framework di conformità) aggiunge complessità, con le aziende spesso non chiare su come le passkey si inseriscano nei panorami normativi esistenti.
Emergono nuovi rischi per la sicurezza relativi alla condivisione dei dispositivi e alla sincronizzazione delle passkey, creando potenziali vulnerabilità se non gestite correttamente.
Le aziende devono stabilire in modo proattivo solide capacità di monitoraggio e auditing per rilevare e mitigare le minacce alla sicurezza emergenti, sottolineando il ruolo critico dell'osservabilità in tempo reale e della gestione della conformità.

Per superare con successo queste complessità, le aziende devono andare oltre la semplice implementazione, sfruttando soluzioni complete come quelle di Corbado, che combinano un'integrazione fluida, una guida strategica all'adozione, insight basati sull'analisi e una gestione proattiva della conformità di sicurezza.

2.2 Come Corbado aiuta a implementare le passkey in tutti i casi#

Corbado fornisce una soluzione passkey completa che elimina la complessità dell'implementazione di WebAuthn attraverso diverse configurazioni di autenticazione. Che tu possieda il tuo sistema di autenticazione, gestisca un frontend personalizzato con un backend IDP o ti affidi a una soluzione IDP completamente gestita, Corbado assicura un'integrazione passkey, un deployment e un tracciamento dell'adozione fluidi.

2.2.1 Integrazione e Implementazione Passkey Senza Attriti#

SDK Backend e Server WebAuthn: Gestisce tutti i flussi di registrazione, autenticazione e crittografia di WebAuthn, eliminando la necessità di creare un'infrastruttura WebAuthn interna.
SDK Frontend e Componenti UI: Fornisce elementi UI predefiniti e personalizzabili per il login, la registrazione e la gestione delle passkey, semplificando l'implementazione cross-browser e cross-device.
Compatibilità IDP e Vendor Agnostic: Funziona insieme a IDP esistenti come Okta, Auth0, IBM, Cognito e altri, estendendo il supporto passkey anche quando il supporto nativo del fornitore è assente.

2.2.2 Esperienza Utente Ottimizzata e Adozione#

Compatibilità Cross-Browser e Cross-OS: Pre-testata e validata su migliaia di combinazioni di browser, sistemi operativi e provider di passkey, riducendo i costi di test.
Gestione dei Fallback e Flussi di Accesso Fluidi: Assicura transizioni fluide dai login basati su password alle passkey, prevenendo blocchi e attriti nell'adozione. Inoltre, i dispositivi vengono rilevati automaticamente e le passkey offerte in base al dispositivo rilevato.
UX Passkey-First e Accelerazione dell'Iscrizione: Indirizza gli utenti verso l'adozione delle passkey guidandoli attraverso la creazione automatizzata di passkey e flussi di fallback sicuri. Inoltre, i componenti dell'interfaccia utente sono ottimizzati per le passkey.

2.2.3 Trascurati ma Essenziali: Monitoraggio, Conformità e Aggiornamenti#

Le implementazioni fai-da-te spesso trascurano il monitoraggio in tempo reale e la conformità di sicurezza, che diventano critici su larga scala. Senza di essi, le implementazioni passkey affrontano rischi di sicurezza, punti ciechi operativi e costi di manutenzione elevati. Corbado elimina questi problemi fornendo:

2.2.4 Monitoraggio Automatizzato e Osservabilità#

Logging dell'Autenticazione e Debugging: Traccia ogni evento passkey per insight sulla sicurezza e risoluzione dei problemi.
Analisi dell'Adozione e delle Prestazioni: Monitora l'utilizzo delle passkey, i tassi di fallback e i colli di bottiglia dell'UX per l'ottimizzazione.
Rollout Graduale: Consente il deployment scaglionato per un'adozione controllata per browser o su diverse applicazioni.

2.2.5 Sicurezza e Conformità Continua#

Automazione della Sicurezza WebAuthn: Scarica l'applicazione crittografica e la gestione del rischio.
SDK e API Sempre Aggiornati: Mantiene la compatibilità cross-browser e cross-device.

2.2.6 La parte più importante viene dopo l'Implementazione#

La maggior parte delle aziende si concentra esclusivamente sul rollout iniziale, trascurando scalabilità, sicurezza, osservabilità e adozione finché non sorgono problemi. Corbado garantisce che l'implementazione passkey rimanga sicura, ottimizzata e costruita per scalare. Ma, aspetto più critico, l'adozione delle passkey viene spesso trascurata, lasciata non misurata e non gestita. In Corbado, l'adozione è l'unica metrica che definisce il successo. Tutto ciò che facciamo è progettato per garantire un'alta adozione e, di conseguenza, un alto tasso di accessi con passkey.

Iscriviti al nostro Substack sulle passkey per le ultime novità.

3. Fase II: Dall'implementazione all'adozione: la sfida chiave per le imprese#

Come abbiamo delineato in precedenza, la maggior parte delle aziende si concentra sull'implementazione delle passkey su larga scala, ma la vera sfida non è il deployment: è l'adozione. In questa sezione, vedremo perché una bassa adozione uccide il tuo progetto passkey.

3.1 Fallimento del progetto: Come una bassa adozione uccide il tuo progetto passkey#

Se gli utenti non passano alle passkey e il tasso di accesso con passkey non aumenta, il progetto è già fallito: gli utenti non si abituano alle passkey, i rischi di sicurezza rimangono, i costi non diminuiscono e le password continuano a dominare. Gestire questa transizione è la parte più critica del viaggio. La seguente tabella riassume perché questo è così importante.

Metrica Chiave	Bassa Adozione Passkey	Alta Adozione Passkey
Miglioramento della Sicurezza	❌ Primo passo, ma le password sono ancora maggioritarie	✅ Primo passo, gli utenti si abituano alle passkey, preparandosi al passwordless
Transizione Passwordless	❌ Solitamente no – Le passkey rimangono opzionali, le password dominano	✅ Passkey come impostazione predefinita, password eliminate (trattato nella Fase III)
Riduzione Costi SMS	❌ Gli utenti richiedono ancora OTP, mantenendo alti i costi SMS	✅ Riduzione drastica dei costi OTP via SMS
Esperienza Utente (UX)	❌ Rimane l'attrito – i login richiedono ancora password o ritardi SMS	✅ Accessi più veloci e senza attriti tra i dispositivi
Costi IT e Helpdesk	❌ Alti reset delle password e frequenti richieste di supporto MFA	✅ Meno ticket di supporto, minore carico IT
Conformità e Rischio	❌ Ancora dipendenti da credenziali deboli e condivise	✅ Soddisfa le aspettative normative per l'introduzione dell'autenticazione resistente al phishing

3.2 Come Corbado Connect garantisce l'adozione delle passkey#

Questa fase è quella in cui il software di Corbado aiuta in ogni passaggio della transizione. Abbiamo delineato le strategie esatte nella nostra Guida Enterprise e costruito il nostro software su di esse. Aumentare l'adozione delle passkey su larga scala e creare analisi per garantire che gli utenti facciano il passaggio è al centro della nostra soluzione.

Per sottolineare l'importanza dell'adozione, dedicheremo a essa un intero articolo, perché senza adozione, l'intero progetto passkey fallisce.

Gestire il comportamento degli utenti, misurare i progressi e guidare gli utenti al passaggio è dove avviene il vero successo. L'adozione delle passkey è il punto di svolta: senza di essa, le aziende non riducono i costi, non migliorano la sicurezza e non eliminano le password. Ecco perché la gestione della transizione è la fase più importante di qualsiasi progetto passkey.

Scopri quante persone usano davvero le passkey.

Vedi dati di adozione

4. Fase III: Disattivare le password – il prossimo passo critico#

Diventare passwordless e lasciare solo le passkey come autenticazione resistente al phishing è l'obiettivo finale di una strategia passkey. Questo passaggio comporta la disattivazione delle password.

4.1 Come disattivare le password e proteggere i clienti#

Le tempistiche e la strategia dipendono dal settore, dalle esigenze di sicurezza e dalla prontezza degli utenti. Questa fase è solitamente il passo successivo dopo che l'adozione delle passkey raggiunge un tasso di accesso critico, ma in alcuni casi, in particolare nei settori ad alta sicurezza come la finanza, le organizzazioni devono passare immediatamente al passwordless per eliminare i rischi di phishing.

Come passare al passwordless con le passkey?

Strategia	Transizione Graduale (Approccio Predefinito)	Rimozione Immediata della Password (Casi d'Uso ad Alta Sicurezza)
Quando Usarla	Una volta che gli utenti sono a proprio agio con le passkey e l'adozione raggiunge una soglia critica	Immediatamente per settori come la finanza in cui la resistenza al phishing è critica
Focus sull'Esperienza Utente	Minimizzare l'attrito: gli utenti vengono spinti gradualmente a rimuovere le password	Priorità alla sicurezza sulla comodità, con un'applicazione più severa
Requisiti Tecnici	Le passkey devono essere consolidate su tutti i dispositivi prima di disattivare le password	Elevata garanzia che le passkey funzionino in tutti gli scenari di accesso
Settori Comuni	SaaS, e-commerce, piattaforme B2C con elevata variabilità degli utenti	Settore bancario, fintech, ambienti di sicurezza aziendale ad alto rischio

Poiché questa transizione è cruciale e richiede una strategia basata sui dati, le dedicheremo un intero articolo, delineando le migliori pratiche e le strategie di rollout quando si punta tutto sulle passkey.

4.2 Come Corbado abilita una strategia e un rollout passwordless basati sui dati#

Il sistema di analisi di Corbado svolge un ruolo chiave nel determinare quando un utente è pronto a disattivare la propria password. Tracciando importanti touchpoint nel viaggio di login e post-login, il nostro sistema trasferisce gradualmente per primi i clienti esperti di passkey verso un futuro senza password.

Questa transizione non è quasi mai parte dell'implementazione iniziale delle passkey; richiede dati reali di adozione e un tracciamento progressivo della prontezza dell'utente. Con Corbado Connect, la rimozione della password è un livello aggiuntivo che può essere attivato in una fase successiva, garantendo una transizione fluida e controllata verso un modello di autenticazione completamente passwordless all'interno dello stesso Enterprise Passkey Framework.

Entra nella nostra community passkeys per aggiornamenti e supporto.

Unisciti

5. Fase IV: Automatizzare il Recupero#

Anche con un'adozione massiccia delle passkey e un ambiente quasi o completamente passwordless, agli utenti capiterà occasionalmente di perdere l'accesso alle proprie passkey o ai dispositivi principali, anche se questo accade molto meno frequentemente rispetto alle password o ai numeri di cellulare. Ciò rende essenziali metodi di fallback e recupero ben progettati.

5.1 Perché un recupero semplificato è essenziale per una strategia passwordless con le passkey?#

Un processo di recupero strategico e automatizzato non solo preserva i miglioramenti di sicurezza faticosamente guadagnati, ma previene anche costosi colli di bottiglia nel supporto. L'obiettivo è garantire che anche negli scenari peggiori, come un dispositivo smarrito o una passkey revocata, gli utenti possano riottenere l'accesso in modo affidabile senza compromettere il livello di sicurezza generale del sistema.

5.1.1 Smart MFA Recovery: Digitalizzare i Costi di Recupero MFA#

Per casi d'uso ad alta sicurezza o regolamentati, soluzioni di recupero avanzate ("smart") vanno oltre i semplici OTP via email o telefono. Spesso comportano la verifica dell'identità digitale (IDV), controlli di documenti d'identità con foto e liveness check. Ecco come questi metodi migliorano sia la sicurezza che l'esperienza utente:

Selfie + Liveness Verification: Gli utenti possono recuperare in modo sicuro il proprio account scattandosi un selfie dal vivo insieme al proprio documento d'identità con foto. I moderni provider di verifica dell'identità eseguono controlli biometrici in tempo reale per confermare che (1) l'ID sia valido e (2) il selfie appartenga a una persona reale in vita che corrisponde a quell'ID. Ciò aiuta a prevenire frodi e scenari di furto di identità, rendendolo una potente alternativa ai processi KYC manuali.
Cross-Device & Known Environment Fallback: Se un utente ha ancora accesso a un altro dispositivo fidato con una passkey valida, può effettuare il recupero scansionando un QR sicuro. Questo fallback semplificato sfrutta le passkey esistenti dell'utente e l'attendibilità del dispositivo per ripristinare istantaneamente l'accesso.
Supporto Manuale Ridotto: Digitalizzando la verifica, le aziende possono ridurre drasticamente i costi del supporto manuale, il che è particolarmente costoso per grandi implementazioni MFA. I flussi automatizzati guidano gli utenti passo dopo passo, riducendo il volume dei ticket e delle chiamate all'help desk.

Inoltre, è importante monitorare gli sviluppi attorno alla Digital Credentials API, poiché questa diventerà probabilmente un metodo importante per l'impostazione dell'account e il recupero in futuro, in particolare con il rollout di iniziative come l'EU Digital Identity Wallet e altre implementazioni simili.

5.1.2 Considerazioni sulla Frequenza di Recupero#

Gli eventi di recupero delle passkey avvengono meno spesso, in particolare per i consumatori, perché la maggior parte delle passkey è ora sincronizzata sugli account cloud (es., Apple iCloud Keychain, Google Password Manager). Un utente che cambia dispositivo all'interno dello stesso ecosistema ha automaticamente accesso alle proprie passkey sincronizzate. Tuttavia, nei passaggi cross-ecosistema (come da iOS ad Android) o se un utente perde l'accesso a un numero di telefono utilizzato per il fallback, diventa critico un flusso di recupero robusto e automatizzato. Si raccomanda di stabilire almeno una passkey sincronizzata prima di disattivare le password.

5.2 Come Corbado abilita il recupero automatizzato#

Proprio come Corbado aiuta nelle fasi precedenti con l'implementazione delle passkey, le metriche di adozione in tempo reale e la graduale rimozione delle password, fornisce anche flussi di recupero pronti all'uso e analisi per mantenere l'accesso dell'utente in modo sicuro con un flusso di recupero adattivo. Inoltre, Corbado prevede di supportare il recupero tramite la Digital Credentials API non appena la sua adozione sarà sufficientemente alta.

Identifier Verification: Corbado conferma prima l'email o il numero di telefono verificato dell'utente per stabilire un canale di contatto sicuro.
Opzioni Smart MFA: Se i requisiti di sicurezza lo richiedono, Corbado può avviare un liveness check automatizzato o la verifica dell'ID, assicurando che l'utente sia veramente chi afferma di essere.
Known Session Environment: I sistemi possono prendere in considerazione la posizione, il fingerprint del dispositivo o i precedenti accessi riusciti per semplificare un recupero a basso attrito se il livello di rischio è basso.

L'automazione del recupero è l'ultimo pezzo che completa il puzzle passwordless. Assicurando metodi di fallback ad alta sicurezza, siano essi semplici o "smart", si preservano i vantaggi delle passkey e si mantiene un'esperienza utente priva di attriti. Un recupero ben pianificato è essenziale per costruire fiducia in un mondo senza password. Assicura che i vasti miglioramenti della sicurezza e dell'esperienza utente coltivati nelle Fasi da I a III rimangano intatti anche quando gli utenti perdono la loro passkey principale.

6. Conclusione#

Le passkey sono un forte cambiamento nell'autenticazione, promettendo una migliore sicurezza, un'esperienza utente senza attriti e risparmi sui costi. Tuttavia, come abbiamo delineato, non basta abilitare le passkey. L'adozione, il rollout strategico e l'integrazione a livello aziendale sono le chiavi del successo. Nell'introduzione, abbiamo identificato tre motivazioni fondamentali per cui le aziende adottano le passkey, ciascuna delle quali è direttamente influenzata dalle sfide e dalle strategie trattate nelle quattro fasi dell'implementazione delle passkey.

Come migliorare la UX e i ricavi con le passkey? Le passkey migliorano significativamente l'esperienza utente eliminando l'attrito delle password, portando a tassi di fidelizzazione e conversione più elevati. Tuttavia, come visto nella Fase II (Adozione), non è sufficiente rendere semplicemente disponibili le passkey; gli utenti devono essere attivamente guidati a fare il passaggio. La sfida dell'adozione è particolarmente pronunciata nelle aziende con sistemi di autenticazione personalizzati o backend IDP/CIAM con un frontend personalizzato, dove le decisioni sull'UX influenzano pesantemente la propensione degli utenti ad abbracciare le passkey. Messaggi chiari, un'iscrizione passkey progressiva e stimoli strategici sono fondamentali per garantire che le passkey non siano solo un'opzione, ma il metodo di autenticazione preferito. Le aziende devono anche monitorare i tassi di adozione, perfezionare i flussi di onboarding e fornire meccanismi di fallback fluidi per rimuovere l'attrito.
Come migliorare la sicurezza e tagliare i costi con le passkey? Le passkey eliminano i rischi di phishing e riducono la dipendenza dai costosi OTP via SMS, ma questi benefici si concretizzano solo quando l'adozione è alta. Come trattato nella Fase III (Transizione Passwordless), ridurre i costi di autenticazione richiede un approccio strutturato e basato sui dati che vada oltre la semplice abilitazione delle passkey, per renderle attivamente il metodo di autenticazione dominante. Le aziende con soluzioni IDP/CIAM completamente gestite affrontano una sfida particolare in questo ambito, poiché hanno un controllo limitato. Tuttavia, Corbado fornisce strumenti per tracciare l'utilizzo delle passkey, imporre accessi passkey-first ed eliminare gradualmente le password in linea con gli obiettivi di sicurezza e conformità. Inoltre, le organizzazioni con sistemi di autenticazione personalizzati devono assicurarsi che le loro policy di sicurezza e opzioni di fallback non mantengano inavvertitamente in uso le password.
Come passare al passwordless con le passkey?: Un ecosistema di autenticazione veramente sicuro e privo di password è l'obiettivo finale, ma per raggiungerlo serve un'attenta pianificazione. Un'adozione ben ponderata e una strategia di recupero automatizzata garantiscono che la rimozione delle password non porti a costi di supporto più elevati o a vulnerabilità di sicurezza. Le aziende devono implementare soluzioni di fallback che non reintroducano metodi di autenticazione deboli, come i reset basati su email o i flussi di recupero non sicuri dei dispositivi. I sistemi di autenticazione personalizzati devono costruire e mantenere i propri meccanismi di recupero, mentre le imprese che utilizzano backend IDP/CIAM devono integrare opzioni di fallback allineate con le capacità del fornitore. Corbado automatizza questo processo con recupero smart MFA, autenticazione cross-device e strategie di fallback adattive, assicurando che gli utenti rimangano sicuri e operativi anche negli scenari peggiori.

Indipendentemente dall'architettura di autenticazione di un'azienda, il successo delle passkey dipende non solo dall'implementazione, ma anche dalla gestione dell'adozione, della transizione e della sicurezza. Le imprese che non riescono a guidare l'adozione rischiano di mantenere le stesse vulnerabilità di sicurezza e gli stessi costi, anche dopo l'implementazione delle passkey. Corbado assicura che le aziende non solo possano implementare le passkey, ma anche guidare l'adozione da parte degli utenti, applicare policy passwordless e gestire un recupero sicuro senza compromettere l'esperienza utente.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Domande Frequenti#

Come fanno le aziende a guidare effettivamente l'adozione delle passkey dopo il completamento del rollout tecnico?#

Guidare l'adozione richiede di indirizzare attivamente gli utenti attraverso un'iscrizione progressiva, flussi automatizzati di creazione delle passkey e messaggi UX chiari, non solo rendendo le passkey disponibili come opzione. Le analisi che tracciano i tassi di accesso con passkey, i tassi di fallback e i colli di bottiglia della UX sono essenziali per identificare gli attriti. Senza questo livello di gestione dell'adozione, le aziende non possono ridurre i costi degli OTP via SMS, eliminare il rischio di phishing o abbandonare gradualmente le password.

Qual è il momento giusto per disattivare le password dopo aver introdotto le passkey?#

Per la maggior parte dei settori, come SaaS ed e-commerce, le password dovrebbero essere rimosse gradualmente una volta che l'adozione delle passkey raggiunge una soglia critica del tasso di accesso, confermata tramite analisi in tempo reale sulla preparazione degli utenti. La finanza e le imprese ad alto rischio dovrebbero rimuovere le password immediatamente, poiché la resistenza al phishing non può essere ritardata dalle tempistiche di adozione. Si raccomanda di stabilire almeno una passkey sincronizzata per utente prima di disabilitare le password.

In che modo l'attuale configurazione CIAM o IDP di un'azienda influisce sulla complessità dell'implementazione delle passkey?#

Le aziende si dividono in tre categorie: sistemi di autenticazione completamente personalizzati, frontend personalizzati con backend IDP e stack completamente gestiti come Okta o Auth0. Le configurazioni IDP completamente gestite hanno la minima flessibilità e richiedono un supporto specialistico per estendere le funzionalità passkey native. I sistemi di autenticazione personalizzati comportano il carico ingegneristico più elevato a causa della complessità del protocollo WebAuthn e di migliaia di combinazioni tra sistemi operativi, browser e provider di passkey.

Quali opzioni di recupero account funzionano in un ambiente passkey completamente senza password?#

Le opzioni di recupero includono la verifica tramite selfie e liveness abbinata a un documento d'identità con foto, il recupero cross-device basato su QR utilizzando una passkey esistente fidata e il fallback adattivo della sessione basato su fingerprint del dispositivo e posizione. La Digital Credentials API è un canale di recupero emergente allineato con iniziative come l'EU Digital Identity Wallet. Automatizzare questi flussi riduce il sovraccarico manuale dell'helpdesk, che è particolarmente costoso per le implementazioni su larga scala.