---
url: 'https://www.corbado.com/it/blog/provider-passkey'
title: 'Provider di Passkey: Tipi, AAGUID e Adozione'
description: 'Scopri i diversi provider di passkey (first-/third-party e provider di autenticazione), l''AAGUID e come gestire passkey su Android, iOS e Web per migliorare sicurezza e UX.'
lang: 'it'
author: 'Vincent Delitz'
date: '2025-12-17T17:23:00.780Z'
lastModified: '2026-03-25T10:06:02.383Z'
keywords: 'provider passkey, provider passkey first-party, provider passkey terze parti, aaguid passkey, gestione passkey, autenticazione passkey, password manager passkey'
category: 'WebAuthn Know-How'
---

# Provider di Passkey: Tipi, AAGUID e Adozione

## 1. Introduzione

Quando si utilizzano le passkey o si lavora alla loro implementazione, un componente
diventa piuttosto importante: il **passkey provider**. Tuttavia, anche se è una parte
cruciale dell'ecosistema, molte persone hanno solo un'idea approssimativa di cosa siano i
[passkey provider](https://www.corbado.com/blog/passkey-providers) o non conoscono la differenza tra **passkey
provider first-party**, **passkey provider di terze parti** (third-party) e **provider di
autenticazione passkey**.

Questo articolo vuole fare chiarezza su questo punto. Che tu sia uno sviluppatore
software, un product manager o semplicemente una persona curiosa sulle ultime novità in
fatto di [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android) web, comprendere il ruolo
e le tipologie di [passkey provider](https://www.corbado.com/blog/passkey-providers) è essenziale. Demistificando
questo argomento, vogliamo fornire a tutti le conoscenze necessarie per capire le passkey
con [sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android).

## 2. Cos'è un Passkey Provider?

Un [passkey provider](https://www.corbado.com/blog/passkey-providers) gioca un ruolo fondamentale nell'ecosistema
dell'[autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless)
basata su passkey, agendo come ponte tra i dispositivi degli utenti e l'accesso sicuro e
fluido alle [relying party](https://www.corbado.com/glossary/relying-party) (i servizi online). Ma cos'è
esattamente un passkey provider, visto che non esiste una definizione ufficiale e online
si trovano interpretazioni diverse?

La seguente definizione riflette la nostra interpretazione e non pretende di essere
l'unica accurata.

Un passkey provider è essenzialmente qualsiasi entità che abilita la creazione, la
gestione e l'uso delle passkey. Attraverso la nostra ricerca, abbiamo identificato due
categorie principali sotto cui classificare i provider: **passkey provider first- /
third-party e provider di autenticazione passkey.**

### 2.1 Passkey Provider First-Party e Third-Party

Questa categoria include entità capaci di generare una passkey lato client (sul
dispositivo dell'utente). Quando una passkey viene creata attraverso queste piattaforme,
viene gestita e archiviata in modo sicuro, spesso nel cloud del produttore del sistema
operativo (es. [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain),
[Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)) o in un
[password manager](https://www.corbado.com/blog/passkeys-vs-password-managers) di terze parti (es.
[KeePassXC](https://www.corbado.com/blog/keepassxc-passkeys),
[1Password](https://www.corbado.com/blog/1password-passkeys-best-practices-analysis),
[Dashlane](https://www.corbado.com/blog/dashlane-passkeys); vedi sotto).

I sistemi operativi che abilitano la creazione e la gestione nativa delle passkey sono
considerati **passkey provider first-party**. Al contrario, i
[password manager](https://www.corbado.com/blog/passkeys-vs-password-managers) di terze parti che si integrano
con la piattaforma tramite API sono chiamati **passkey provider di terze parti
(third-party).**

Un passkey provider, sia first- che third-party, possiede gli stessi
[Authenticator](https://www.corbado.com/glossary/authenticator) [Attestation](https://www.corbado.com/glossary/attestation) Globally
Unique Identifiers (AAGUID), che aiutano a migliorare l'esperienza utente (ad esempio,
nelle impostazioni dell'account per distinguere più facilmente le passkey). A volte
potrebbero avere più [AAGUID](https://www.corbado.com/glossary/aaguid), che appartengono tutti allo stesso
provider.

![Passkey Provider iOS Overview](https://www.corbado.com/website-assets/66020491f8cbcc407a429682_passkey_provider_ios_overview_3c920aab61.jpg)

Passkey provider su un dispositivo [iOS 17](https://www.corbado.com/blog/apple-passkeys-integration).4

![Passkey Provider Android Overview](https://www.corbado.com/website-assets/660204a496780a14617298af_passkey_provider_android_overview_4ab35ad218.jpg)

Passkey provider su un dispositivo [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) 14

![Passkey Provider Credential Manager API](https://www.corbado.com/website-assets/660204bcc78ddc305c676c26_passkey_provider_android_credential_manager_api_a0cec0e7a8.jpg)

Credential Manager API di [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)

### 2.2 Provider di Autenticazione Passkey

La seconda categoria comprende i provider di
[autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless) che gli
sviluppatori possono integrare nelle loro applicazioni per gestire tutti gli aspetti delle
passkey. Si tratta quindi di provider che lavorano più lato server (rispetto al lato
client visto sopra). Questa definizione include soluzioni come Corbado, che offrono
soluzioni di
[autenticazione](https://www.corbado.com/it/blog/come-passare-autenticazione-completamente-passwordless)
incentrate sulle passkey per siti web e app. Di conseguenza, questi provider dovrebbero
essere descritti più accuratamente come **provider di autenticazione passkey**,
differenziandoli dai passkey provider first- e third-party menzionati sopra.

Nelle prossime sezioni di questo articolo, useremo il termine "passkey provider" per
riferirci ai provider first-party e third-party, in accordo con la nostra definizione.

## 3. Identificare i Passkey Provider tramite l'AAGUID

Man mano che gli utenti iniziano ad adottare le passkey per varie
[relying party](https://www.corbado.com/glossary/relying-party), gestirle in modo efficace diventa una sfida
significativa. Questo vale anche per gli utenti che utilizzano più passkey per un singolo
account, poiché differenziarle per modificarle o eliminarle può essere complesso per una
[relying party](https://www.corbado.com/glossary/relying-party). Nonostante la comodità e la
[sicurezza](https://www.corbado.com/it/blog/come-abilitare-passkey-su-android) offerte dalle passkey, c'è un
potenziale problema se un utente perde una delle sue credenziali. Fortunatamente, può
ancora accedere al proprio account sulla relying party usando
[passkey alternative](https://www.corbado.com/blog/best-ping-identity-alternatives). Per aiutare gli utenti a
identificare passkey specifiche, alcune risorse suggeriscono di aggiungere metadati, come
le date di creazione e di ultimo utilizzo, nelle impostazioni dell'account. Inoltre, si
raccomanda di utilizzare [user agent](https://www.corbado.com/blog/client-hints-user-agent-chrome-safari-firefox)
o [client hints](https://www.corbado.com/blog/client-hints-user-agent-chrome-safari-firefox) per nominare e
categorizzare automaticamente le passkey alla creazione. Tuttavia, le app native
[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) o [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios),
così come i passkey provider di terze parti, potrebbero non utilizzare gli
[user agent](https://www.corbado.com/blog/client-hints-user-agent-chrome-safari-firefox) o non aggiungere
informazioni che indichino che una passkey è stata generata da un provider terzo. Questa
limitazione evidenzia la necessità di metodi migliori per aiutare gli utenti a gestire le
proprie passkey in modo efficiente, indipendentemente dalla piattaforma o dal provider.

![Passkey Provider Public Key AAGUID Attestation](https://www.corbado.com/website-assets/660204cff8362ee32c3721b1_passkey_provider_aaguid_public_key_attestation_914fbbe16c.jpg)

Tratto dalla
[specifica WebAuthn del W3C](https://www.w3.org/TR/webauthn-2/#attestation-object)

Per facilitare questa gestione, gli sviluppatori possono utilizzare l'**Authenticator
Attestation Globally Unique Identifier (AAGUID)**. L'[AAGUID](https://www.corbado.com/glossary/aaguid) è un
identificatore univoco assegnato al modello dell'[authenticator](https://www.corbado.com/glossary/authenticator),
non alla sua specifica istanza. È incorporato nei dati
dell'[authenticator](https://www.corbado.com/glossary/authenticator) della credenziale a chiave pubblica,
offrendo alle relying party un modo per identificare il passkey provider. Questa capacità
è cruciale per aiutare utenti e servizi a navigare nel panorama delle passkey, assicurando
che ogni credenziale possa essere accuratamente associata alla sua fonte di creazione.

![Passkey Provider Account Settings](https://www.corbado.com/website-assets/6602067c72dd23f23af8230b_passkey_provider_account_settings_7d63a12f19.jpg)

Ad esempio, se una passkey viene creata usando
[Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) su un dispositivo
Android, la relying party può ricevere un [AAGUID](https://www.corbado.com/glossary/aaguid) specifico per
[Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager). Facendo riferimento a
questo AAGUID, la relying party può quindi contrassegnare la passkey di conseguenza,
semplificando la gestione e l'identificazione per l'utente. Inoltre, le relying party
possono impedire la creazione di più passkey per lo stesso provider utilizzando l'opzione
server WebAuthn [excludeCredentials](https://www.corbado.com/glossary/excludecredentials). Questo migliora
ulteriormente la UX delle passkey, poiché ogni provider avrà solo una passkey, evitando
confusione per l'utente.

```json
{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}
```

Per determinare il passkey provider usando un AAGUID, le relying party possono fare
riferimento a una
[repository di AAGUID gestita dalla community](https://github.com/passkeydeveloper/passkey-authenticator-aaguids/blob/main/aaguid.json).
Questa repository fornisce le mappature necessarie per identificare il provider per nome
e, potenzialmente, per icona, aiutando a fornire un'interfaccia utente più intuitiva.
Tuttavia, è importante notare che alcuni provider potrebbero usare intenzionalmente un
AAGUID generico ("00000000-0000-0000-0000-0000000000000"), che rappresenta un provider
sconosciuto o generico.

![Passkey Provider Windows 11 Chrome Extension](https://www.corbado.com/website-assets/6602050796780a146172f1b5_passkey_provider_windows_11_chrome_extension_ac55618f99.jpg)

Recuperare l'AAGUID è semplice con la maggior parte delle librerie WebAuthn. Ad esempio,
quando si usa SimpleWebAuthn lato server, gli sviluppatori possono estrarre l'AAGUID dalle
informazioni di registrazione per abbinarlo a un provider noto, migliorando la capacità
dell'utente di gestire le proprie passkey con maggiore facilità (tratto da
["Determine the passkey provider with AAGUID"](https://web.dev/articles/webauthn-aaguid)
di Google).

```js
// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";
```

Mentre gli AAGUID offrono un potente strumento per la gestione, dovrebbero essere usati
con cautela. L'integrità di un AAGUID dipende dal processo di
[attestation](https://www.corbado.com/glossary/attestation), che convalida l'autenticità del passkey provider.
Senza una firma di [attestation](https://www.corbado.com/glossary/attestation) valida, gli AAGUID potrebbero
potenzialmente essere manipolati. È degno di nota che, a marzo 2024, le passkey su alcune
piattaforme non supportano l'attestation, evidenziando la necessità di un'attenta
considerazione nel loro utilizzo.

Di seguito, trovate una lista non esaustiva di passkey provider first-party e di terze
parti per app Android, app [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios) e web app che
utilizzano versioni comuni di sistemi operativi e browser:

## 4. Lista di Passkey Provider per Android, iOS e Web

Ecco alcuni esempi di popup di passkey provider di terze parti per creare / salvare una
passkey:

![Passkey Provider Overview](https://www.corbado.com/website-assets/6602059469184035155c39b2_passkey_provider_overview_d3a9d2aa0d.jpg)

### 4.1 1Password

![Passkey Provider 1Password](https://www.corbado.com/website-assets/6602051872dd23f23af6efeb_passkey_provider_1password_182419eac7.jpg)

Vedi l'analisi completa di [1Password](https://www.corbado.com/blog/1password-passkeys-best-practices-analysis)
qui.

### 4.2 Bitwarden

![Passkey Provider Bitwarden](https://www.corbado.com/website-assets/66020543d45df446d808f8be_passkey_provider_bitwarden_c2ad9ace74.jpg)

### 4.3 Dashlane

![Passkey Provider Dashlane](https://www.corbado.com/website-assets/6602054e5d90ccaee46a7102_passkey_provider_dashlane_a8e2592763.jpg)

Vedi l'analisi completa di [Dashlane](https://www.corbado.com/blog/dashlane-passkeys) qui.

### 4.4 Enpass

![Passkey Provider Enpass](https://www.corbado.com/website-assets/6602055372dd23f23af729dc_passkey_provider_enpass_d2badd92a3.jpg)

### 4.5 KeePassXC

Vedi l'analisi completa di [KeePassXC](https://www.corbado.com/blog/keepassxc-passkeys) qui.

### 4.6 Keeper

![Passkey Provider Keeper](https://www.corbado.com/website-assets/660205613aec28be45cef73a_passkey_provider_keeper_64f5049903.jpg)

### 4.7 NordPass

![Passkey Provider NordPass](https://www.corbado.com/website-assets/66020569e448465f8587856b_passkey_provider_nordpass_0787926c6e.jpg)

### 4.8 Proton

![Passkey Provider Proton](https://www.corbado.com/website-assets/66020579babefde183f29464_passkey_provider_proton_5b7d529cdc.jpg)

## 5. Conclusione

Al centro dell'implementazione e della gestione delle passkey c'è il ruolo dei passkey
provider, entità che non solo facilitano la creazione e la gestione delle credenziali, ma
ne assicurano anche l'integrazione fluida su varie piattaforme e dispositivi.

L'obiettivo di questo articolo era far comprendere cosa sia un passkey provider, inclusa
la distinzione tra provider first-party e third-party, nonché il ruolo critico
dell'Authenticator Attestation Globally Unique Identifier (AAGUID). L'uso degli AAGUID,
come discusso, offre una soluzione promettente, consentendo un'identificazione e una
gestione più dirette delle passkey.

Inoltre, abbiamo analizzato quali passkey provider first- e third-party esistono
attualmente per Android, [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios) e Windows, aiutando gli
utenti a trovare un provider di terze parti adatto o a orientarsi sul proprio dispositivo
preferito.

Per gli sviluppatori e i product manager, le informazioni sui passkey provider e sulla
loro gestione non solo guidano l'implementazione tecnica dell'autenticazione tramite
passkey, ma si allineano anche con l'obiettivo più ampio di migliorare l'esperienza utente
e la sicurezza.