Provider di passkey: tipi diversi, AAGUID e adozione

Cheatsheet Passkeys. Guide pratiche, pattern di distribuzione e KPI per programmi passkey.

Ottieni la cheatsheet

Quando si utilizzano le passkey o si lavora nel campo della loro implementazione, un componente diventa piuttosto importante: il provider di passkey. Tuttavia, anche se è una parte cruciale nell'ecosistema delle passkey, molte persone hanno solo una comprensione sommaria dei provider di passkey o non conoscono la differenza tra un provider di passkey di prima parte, un provider di passkey di terza parte e un provider di autenticazione passkey.

Ottieni una valutazione passkey gratuita in 15 minuti.

Prenota consulenza gratuita

Questo post del blog si propone di fare luce sull'argomento. Che tu sia uno sviluppatore di software, un product manager o semplicemente un curioso delle ultime novità in materia di sicurezza web, è essenziale comprendere il ruolo e i tipi di provider di passkey. Demistificando questo argomento, cerchiamo di fornire alle persone le conoscenze per comprendere le passkey con sicurezza.

Un provider di passkey svolge un ruolo fondamentale nell'ecosistema dell'autenticazione basata su passkey, fungendo da ponte tra i dispositivi degli utenti e l'accesso sicuro e continuo alle parti soggette a limitazioni (relying party o servizi online). Ma cos'è esattamente un provider di passkey, soprattutto dal momento che non esiste una definizione ufficiale e si trovano diverse interpretazioni online?

La seguente definizione riflette la nostra comprensione e non ha la pretesa di essere l'unica definizione accurata.

Un provider di passkey è essenzialmente un'entità che consente la creazione, la gestione e l'uso delle passkey. Attraverso la nostra ricerca, abbiamo identificato due categorie principali sotto le quali possono essere classificati i provider di passkey: provider di passkey di prima/terza parte e provider di autenticazione passkey.

Questa categoria include entità in grado di generare una passkey sul lato client (sul dispositivo dell'utente). Quando viene creata una passkey tramite queste piattaforme, essa viene gestita e memorizzata in modo sicuro, spesso nel cloud del produttore di un sistema operativo (ad es., Portachiavi di iCloud, Google Password Manager) o in un gestore di password di terza parte (ad es., KeePassXC, 1Password, Dashlane – vedi sotto per maggiori dettagli).

I sistemi operativi che consentono la creazione e la gestione nativa delle passkey sono considerati provider di passkey di prima parte. Al contrario, i gestori di password di terza parte che si integrano con la piattaforma tramite le API sono definiti provider di passkey di terza parte.

Un provider di passkey di prima o terza parte possiede gli stessi AAGUID (Authenticator Attestation Globally Unique Identifiers), che aiutano a migliorare l'esperienza utente (ad es. nelle impostazioni dell'account per distinguere più facilmente le passkey). A volte potrebbero avere AAGUID multipli, che appartengono tutti allo stesso provider di passkey di prima o terza parte.

Provider di passkey su un dispositivo iOS 17.4

Provider di passkey su un dispositivo Android 14

L'API Credential Manager di Android

La seconda categoria comprende i provider di autenticazione che gli sviluppatori possono integrare nelle loro applicazioni per gestire tutti gli aspetti della gestione delle passkey. Si tratta quindi di provider che operano maggiormente sul lato server (rispetto al lato client menzionato sopra). Questa definizione includerebbe anche soluzioni come Corbado, che offrono soluzioni di autenticazione incentrate sulle passkey a siti web e app. Di conseguenza, questi provider di passkey dovrebbero essere descritti più accuratamente come provider di autenticazione passkey, differenziandoli dai suddetti provider di passkey di prima e terza parte.

Nelle prossime sezioni di questo post del blog, utilizzeremo il termine "provider di passkey" per riferirci ai provider di passkey di prima e terza parte, in conformità con la nostra definizione.

Mentre gli utenti iniziano ad adottare le passkey per varie relying party, gestirle in modo efficace emerge come una sfida significativa. Questo vale anche per gli utenti che utilizzano più passkey per un singolo account, poiché differenziare queste passkey a scopo di modifica o eliminazione può essere complesso per una relying party. Nonostante la convenienza e la sicurezza che le passkey offrono, c'è un potenziale problema se un utente perde una delle sue passkey. Fortunatamente, può comunque accedere al proprio account sulla relying party utilizzando passkey alternative. Per aiutare gli utenti a identificare passkey specifiche, alcune risorse suggeriscono di associare metadati, come le date di creazione e di ultimo utilizzo, a una passkey nelle impostazioni dell'account. Inoltre, si consiglia di utilizzare user agent o client hint per nominare e categorizzare automaticamente le passkey al momento della creazione. Tuttavia, le app native Android o iOS, così come i provider di passkey di terza parte, potrebbero non utilizzare user agent o non aggiungere informazioni che indichino che una passkey è stata generata da un provider di passkey di terza parte. Questa limitazione evidenzia la necessità di metodi migliorati per aiutare gli utenti a gestire le loro passkey in modo efficiente, indipendentemente dalla piattaforma o dal provider.

Tratto dalle specifiche WebAuthn del W3C

Per facilitare questa gestione delle passkey, gli sviluppatori possono usufruire dell'AAGUID (Authenticator Attestation Globally Unique Identifier). L'AAGUID è un identificatore univoco assegnato al modello dell'autenticatore, non alla sua istanza specifica. È incorporato nei dati dell'autenticatore delle credenziali a chiave pubblica, offrendo alle relying party un modo per identificare il provider di passkey. Questa funzionalità è cruciale per aiutare gli utenti e le relying party a orientarsi nel panorama delle passkey, garantendo che ogni passkey possa essere associata in modo accurato alla sua fonte di creazione.

Ad esempio, se una passkey viene creata utilizzando Google Password Manager su un dispositivo Android, la relying party può ricevere un AAGUID specifico per Google Password Manager. Facendo riferimento a questo AAGUID, la relying party può quindi etichettare la passkey di conseguenza, semplificando la gestione e l'identificazione per l'utente. Inoltre, le relying party possono impedire la creazione di più passkey per lo stesso provider di passkey utilizzando l'opzione server WebAuthn excludeCredentials. Questo migliora ulteriormente la UX delle passkey poiché ogni provider di passkey avrà solo una passkey, evitando così la confusione dell'utente.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

Per determinare il provider di passkey utilizzando un AAGUID, le relying party possono fare riferimento a un repository di AAGUID basato sulla community. Questo repository fornisce le mappature necessarie per identificare il provider di passkey tramite il nome e, potenzialmente, tramite un'icona, contribuendo a fornire un'interfaccia utente più intuitiva per la gestione delle passkey. Tuttavia, è importante notare che alcuni provider di passkey potrebbero utilizzare intenzionalmente un AAGUID generico ("00000000-0000-0000-0000-0000000000000"), che rappresenta un provider sconosciuto o generico.

Il recupero dell'AAGUID è semplice con la maggior parte delle librerie WebAuthn. Per esempio, quando si utilizza SimpleWebAuthn sul lato server, gli sviluppatori possono estrarre l'AAGUID dalle informazioni di registrazione per abbinarlo a un provider noto, migliorando la capacità dell'utente di gestire le proprie passkey con maggiore facilità (tratto dall'articolo di Google "Determinare il provider di passkey con AAGUID").

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

Sebbene gli AAGUID offrano un potente strumento per la gestione delle passkey, dovrebbero essere usati con cautela. L'integrità di un AAGUID dipende dal processo di attestation, che convalida l'autenticità del provider di passkey. Senza una firma di attestation valida, gli AAGUID potrebbero potenzialmente essere manipolati. A partire da marzo 2024, vale la pena notare che le passkey su alcune piattaforme non supportano l'attestation, evidenziando la necessità di un'attenta considerazione nel loro utilizzo.

Di seguito, trovi un elenco non esaustivo di provider di passkey di prima e terza parte per app Android, app iOS e app web che utilizzano versioni del sistema operativo e browser molto comuni:

Di seguito, trovi alcuni dei popup dei provider di passkey di terza parte per creare/salvare una passkey:

Vedi l'analisi completa di 1Password qui.

Vedi l'analisi completa di Dashlane qui.

Vedi l'analisi completa di KeePassXC qui.

Fondamentale per la distribuzione e la gestione delle passkey è il ruolo dei provider di passkey, entità che non solo facilitano la creazione e la gestione delle passkey, ma ne garantiscono anche la perfetta integrazione su diverse piattaforme e dispositivi.

L'obiettivo di questo post del blog era comprendere cos'è un provider di passkey, inclusa la distinzione tra provider di prima e terza parte, nonché il ruolo fondamentale dell'AAGUID (Authenticator Attestation Globally Unique Identifier). L'uso degli AAGUID, come discusso, offre una soluzione promettente, consentendo un'identificazione e una gestione più semplice delle passkey.

Inoltre, abbiamo analizzato quali provider di passkey di prima e terza parte esistono attualmente per Android, iOS e Windows, aiutando anche gli utenti a trovare un provider di passkey di terza parte adatto o il loro dispositivo preferito.

Per sviluppatori e product manager, le informazioni sui provider di passkey e sulla loro gestione non solo guidano l'implementazione tecnica dell'autenticazione passkey, ma si allineano anche all'obiettivo più ampio di migliorare l'esperienza e la sicurezza dell'utente.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →