Test delle implementazioni passkey (Guida alle passkey per le aziende 5)

Panoramica: guida aziendale#

• Introduzione
• Parte 1: valutazione iniziale e pianificazione
• Parte 2: coinvolgimento degli stakeholder
• Parte 3: sviluppo del prodotto, design e strategia
• Parte 4: integrare le passkey in uno stack aziendale

1. Introduzione#

Dopo aver integrato le passkey nello stack aziendale e aver completato l'implementazione, la successiva fase critica è garantire che il sistema funzioni perfettamente e soddisfi tutti gli standard interni. Questo comporta test completi e una strategia di rilascio attentamente pianificata. Nel contesto aziendale, dove i sistemi sono complessi e le basi di utenti sono ampie, test e monitoraggio rigorosi sono essenziali per mitigare i rischi e assicurare un'implementazione senza problemi.

In questo articolo, ci concentreremo su:

• Test funzionali: quali sono i test funzionali essenziali richiesti per convalidare l'implementazione delle passkey?

• Test non funzionali: come possiamo garantire che il sistema soddisfi gli standard di performance, sicurezza e affidabilità?

Affrontando queste domande critiche, miriamo a fornire una guida completa per testare la tua implementazione delle passkey. Questo aiuterà a garantire che la tua implementazione sia solida, sicura e offra un'esperienza fluida ai tuoi utenti. Entriamo nei dettagli dei test in un contesto aziendale ed elenchiamo i passaggi necessari per un'implementazione di successo delle passkey.

2. Come testare le implementazioni passkey#

I test e il controllo qualità sono componenti critiche nel deployment di successo delle passkey all'interno di un ambiente aziendale. Data la complessità dei grandi sistemi aziendali e l'ampio numero di utenti che servono, è importante garantire che ogni aspetto dell'implementazione delle passkey funzioni correttamente e soddisfi gli standard interni prima di un lancio su larga scala. Questo richiede un approccio completo ai test che affronti sia gli aspetti funzionali che quelli non funzionali del sistema. Poiché i test e il controllo qualità vengono gestiti in modo molto diverso da un'azienda all'altra, vogliamo riassumere brevemente quelli che riteniamo essere i punti chiave:

1. Test di accettazione utente (UAT) / Test manuali: permettono ai tester di sperimentare il sistema come farebbero gli utenti reali, scoprendo problemi di usabilità e assicurandosi che i flussi di lavoro siano logici.

   • Registrazione e autenticazione passkey: assicurarsi che gli utenti possano creare passkey con successo e autenticarsi utilizzando dispositivi e piattaforme differenti.

   • Interfaccia ed esperienza utente: convalidare che l'interfaccia utente sia intuitiva, reattiva e offra un'esperienza fluida.

   • Gestione degli errori: testare come il sistema gestisce input errati, autenticazioni fallite e casi limite, assicurando che all'utente vengano forniti un feedback appropriato e opzioni di ripristino.

   • Valutazione dell'usabilità: valutare la facilità d'uso e l'intuitività dell'implementazione delle passkey dal punto di vista dell'utente finale.

   • Conformità all'accessibilità: verificare che il sistema soddisfi gli standard di accessibilità per adattarsi a tutti gli utenti.

   • Scenari multi-dispositivo: testare manualmente su una varietà di dispositivi per identificare eventuali incongruenze o problemi specifici del dispositivo.

2. Test automatizzati: completano i test manuali di accettazione utente permettendo di condurre compiti ripetitivi e test di regressione in modo efficiente.

   • Test di regressione: ritestare automaticamente le funzionalità esistenti per assicurarsi che le nuove modifiche al codice non introducano difetti.

   • Script di performance: usare strumenti automatizzati per simulare le azioni degli utenti in varie condizioni e carichi.

   • Integrazione continua: integrare test automatizzati nella pipeline di sviluppo per individuare tempestivamente i problemi.

3. Test della Passkey Intelligence: critici a causa della diversità di dispositivi, sistemi operativi e browser utilizzati dagli utenti aziendali.

   • Test di compatibilità: assicurarsi che il sistema basato su passkey funzioni in modo trasparente su tutte le piattaforme e i browser supportati.

   • Matrice dei dispositivi: sviluppare una matrice di test che copra diverse combinazioni di dispositivi, versioni di sistemi operativi e browser.

   • Emulatori e dispositivi reali: utilizzare sia emulatori per una copertura ampia sia dispositivi reali per risultati accurati.

4. Test non funzionali: affrontano gli aspetti di performance, sicurezza e affidabilità del sistema di passkey.

   • Test di performance e di carico: convalidare che il sistema sia in grado di gestire i volumi di autenticazione previsti senza degradi.

   • Test di sicurezza: condurre penetration test e valutazioni delle vulnerabilità per identificare e mitigare potenziali rischi per la sicurezza.

Integrando queste considerazioni nel processo di test e controllo qualità, si riducono i rischi associati alla distribuzione di un nuovo metodo di autenticazione come le passkey. Nelle sezioni seguenti esamineremo ogni singolo passaggio e illustreremo anche come Corbado e il Corbado Connect System possono aiutare in queste situazioni.

3. Test funzionali per le passkey#

I test funzionali sono una fase critica nel deployment delle passkey all'interno di un ambiente aziendale. Si concentrano sulla verifica che tutte le funzionalità e caratteristiche dell'implementazione passkey funzionino come previsto. Questo tipo di test garantisce che il sistema soddisfi i requisiti specificati e offra un'esperienza utente fluida. I test funzionali servono come base per il controllo qualità, poiché convalidano le operazioni principali del sistema di autenticazione prima di passare agli aspetti non funzionali come la performance e la sicurezza.

Obiettivi chiave dei test funzionali:

• Verifica delle funzionalità: assicurarsi che tutte le funzioni relative alle passkey, come la registrazione, l'autenticazione e la gestione, operino correttamente.

• Convalida dell'esperienza utente: valutare l'usabilità e l'intuitività dell'implementazione passkey dal punto di vista dell'utente finale.

• Gestione degli errori: confermare che il sistema gestisca in modo elegante gli errori e fornisca feedback informativi agli utenti.

• Compatibilità: testare su diversi dispositivi, sistemi operativi e browser per garantire un'esperienza coerente a tutti gli utenti.

Nel contesto delle passkey, i test funzionali comportano un esame completo di tutte le interazioni degli utenti, dei flussi di autenticazione e delle risposte del sistema. È essenziale testare sia gli scenari utente tipici sia i casi limite per garantire che il sistema si comporti in modo corretto in tutte le condizioni. Validando a fondo ogni funzione, le aziende possono identificare e correggere tempestivamente i problemi nel processo di deployment, riducendo il rischio di anomalie durante il lancio live.

3.1 User Acceptance Testing (UAT): come testare un'implementazione passkey?#

Lo User Acceptance Testing (UAT) prevede che tester umani interagiscano manualmente con il sistema di passkey per convalidarne la funzionalità e l'esperienza utente. Questo approccio pratico è vitale per scoprire problemi che i test automatizzati potrebbero non cogliere, come problemi di usabilità, incoerenze dell'interfaccia e comportamenti specifici del dispositivo. Nel contesto dell'implementazione delle passkey, il test manuale consente ai tester di sperimentare i flussi di autenticazione come farebbero gli utenti reali, fornendo preziose indicazioni sull'efficacia e sull'intuitività del sistema.

Considerazioni chiave per l'User Acceptance Testing sulle passkey:

• Account utente diversificati: creare account di test che rappresentino diversi ruoli utente, tipi di stato o tipi di account all'interno della propria applicazione. Ciò assicura che l'implementazione delle passkey funzioni correttamente in tutti i segmenti di utenti.

• Mappatura dispositivo-account: mantenere una rigorosa mappatura tra account di test e dispositivi. Assegnare account specifici a dispositivi specifici per supportare i test di autenticazione multi-dispositivo. Questo approccio aiuta a testare accuratamente gli scenari in cui un utente potrebbe autenticarsi su un dispositivo utilizzando una passkey creata su un altro (utilizzare il pattern + mail per identificarli).

• Dispositivi abilitati e non abilitati alle passkey: includere sia dispositivi abilitati alle passkey (quelli che le supportano) sia dispositivi non abilitati (quelli che non le supportano) nella matrice dei test. Ciò consente di verificare che il sistema fornisca metodi di autenticazione di fallback appropriati sui dispositivi che non supportano le passkey.

• Test di autenticazione multi-dispositivo: testare gli scenari di autenticazione multi-dispositivo in cui una passkey creata su un dispositivo viene utilizzata per l'autenticazione su un altro. Ciò include testare la scansione dei codici QR che abilitano l'autenticazione passkey multi-dispositivo.

• Coerenza tra piattaforme: assicurarsi che l'esperienza utente e le funzionalità siano coerenti su diverse piattaforme, sistemi operativi e browser. Prestare particolare attenzione ai comportamenti specifici del dispositivo e alle differenze di interfaccia.

Quali funzionalità dovrebbero essere testate?

1. Registrazione e autenticazione passkey:

   • Creazione di una passkey: testare il processo di registrazione di una nuova passkey, assicurandosi che gli utenti possano configurare con successo le passkey su vari dispositivi.

   • Accesso con passkey: verificare che gli utenti possano autenticarsi utilizzando le loro passkey registrate su diverse piattaforme e che il processo di login sia fluido e privo di errori.

   • Accesso con passkey tramite Conditional UI: verificare che gli utenti possano autenticarsi utilizzando la Conditional UI sulle piattaforme che la supportano e che l'interfaccia risponda adeguatamente.

   • Accesso con una passkey eliminata: testare che le passkey eliminate vengano gestite correttamente. I browser moderni (Chrome 132+, Safari 26+) ora supportano la WebAuthn Signal API che permette ai server di segnalare le eliminazioni delle credenziali al client. Testare sia i flussi della Signal API (quando supportata) sia i messaggi di errore di fallback (per i browser senza il supporto della Signal API). Verificare che le eliminazioni segnalate rimuovano le passkey dal selettore delle credenziali e che vengano visualizzati messaggi di errore appropriati quando la Signal API non è disponibile.

   • Autenticazione multi-dispositivo: controllare che le passkey create su un dispositivo possano essere utilizzate su altri se supportato, e che il sistema gestisca tali scenari in modo appropriato.

2. Gestione delle passkey:

   • Aggiunta di passkey: assicurarsi che gli utenti possano aggiungere più passkey ai propri account, assecondando gli scenari in cui gli utenti possiedono dispositivi multipli.

   • Eliminazione di passkey: testare la capacità di rimuovere passkey, confermando che il sistema aggiorni correttamente lo stato dell'account dell'utente.

   • Elenco delle passkey: verificare che gli utenti possano visualizzare tutte le passkey registrate associate al loro account, con informazioni chiare e opzioni di gestione.

   • Notifiche email: confermare che le notifiche email (es. quando viene aggiunta o eliminata una passkey) vengano attivate correttamente e inviate agli indirizzi email giusti dei clienti. Queste notifiche dovrebbero essere adeguatamente localizzate, contenere istruzioni chiare, descrizioni delle passkey e seguire le linee guida del brand.

3. Interazione con la logica MFA esistente:

   • Modifiche allo stato MFA: testare come l'attivazione o la disattivazione delle passkey influenzi lo stato dell'autenticazione a più fattori (MFA) dell'utente. Inclusa la rimozione di tutte le passkey dall'account.

   • Meccanismi di fallback: assicurarsi che, quando l'autenticazione passkey non è disponibile (es. su dispositivi non supportati), agli utenti vengano presentati metodi di autenticazione alternativi come password o OTP.

   • Conversione MFA: convalidare il processo di transizione dai metodi MFA tradizionali alle passkey, assicurando che le misure di sicurezza esistenti rimangano intatte.

4. Interfaccia ed esperienza utente:

   • Valutazione dell'usabilità: valutare se i flussi di lavoro delle passkey siano intuitivi e di facile utilizzo, minimizzando confusione ed errori.

   • Conformità all'accessibilità: confermare che l'interfaccia soddisfi gli standard di accessibilità (es. le linee guida WCAG) per supportare gli utenti con disabilità, se richiesto.

   • Localizzazione e supporto linguistico: verificare che le funzionalità passkey siano localizzate correttamente per diverse regioni e lingue, ove applicabile.

5. Gestione degli errori e casi limite:

   • Dispositivi senza platform authenticator: testare il comportamento quando il dispositivo non supporta le passkey (cioè, quando isUserVerifyingPlatformAuthenticatorAvailable() restituisce false o non è definito). Confermare che il sistema nasconda le opzioni passkey, fornisca appropriati metodi di autenticazione alternativi o esegua un fallback gestito.

   • Cerimonie passkey interrotte: testare come il sistema gestisce le situazioni in cui gli utenti interrompono il processo di autenticazione passkey, per esempio annullando o uscendo durante la cerimonia. Assicurarsi che, alla prima interruzione, il sistema lo tratti come un evento normale, fornisca messaggi chiari e rassicuranti e incoraggi l'utente a riprovare. Se l'utente interrompe una seconda volta, verificare che il sistema offra metodi di autenticazione alternativi e guidi l'utente in modo appropriato. Ciò garantisce un'esperienza utente fluida anche quando l'autenticazione tramite passkey viene interrotta.

   • Input errati: testare come il sistema risponde a dati o azioni non validi, come input biometrici errati, tentativi di autenticazione annullati o OTP non validi. Assicurarsi che i messaggi di errore siano chiari e guidino l'utente su come procedere.

   • Problemi specifici dei dispositivi: identificare e documentare eventuali incongruenze o problemi che si verificano su dispositivi, sistemi operativi o browser specifici. Questo include problemi di rendering dell'interfaccia utente, discrepanze funzionali o problemi di performance.

   • Condizioni di rete: simulare diverse condizioni di rete (es. offline, connessioni lente, connettività intermittente, blocco delle connessioni di rete tramite estensioni per sviluppatori) per vedere come il sistema gestisce i problemi di connettività durante l'autenticazione. Assicurarsi che il sistema fornisca feedback e opzioni di ripristino appropriati.

6. Scenari del ciclo di vita dell'account:

   • Creazione dell'account e onboarding: testare il flusso di onboarding completo per i nuovi utenti, inclusa la configurazione della passkey durante la creazione dell'account o dopo la prima registrazione (a seconda del caso d'uso). Verificare che gli utenti possano configurare le passkey come parte del setup MFA iniziale.

   • Recupero dell'account: testare gli scenari in cui gli utenti devono ripristinare l'accesso al proprio account, come quando perdono l'accesso al loro dispositivo abilitato per le passkey. Assicurarsi che il processo di recupero sia sicuro e facile da usare.

   • Modifiche al numero di cellulare: testare il processo di aggiornamento dei numeri di cellulare, in particolare quando i numeri di cellulare vengono utilizzati per l'MFA o per il recupero dell'account. Verificare che le modifiche si riflettano correttamente nel sistema e che i metodi di autenticazione vengano aggiornati di conseguenza.

7. Funzionalità aggiuntive in base alla propria implementazione: gestione delle notifiche dell'assistenza clienti e altro.

   • Testare l'intero stack aziendale: in questo articolo ci concentriamo principalmente sulle modifiche al sito web e al sistema di autenticazione, poiché queste rappresentano le funzionalità più critiche. Tuttavia, come discusso nel nostro articolo precedente, ci sono componenti aggiuntivi coinvolti nell'implementazione complessiva. Ricorda di testare a fondo anche tutti gli elementi dello stack aziendale.

• Assistenza clienti: sebbene il focus principale sia sulle funzionalità rivolte al consumatore, testare che la funzionalità di assistenza clienti sia integrata correttamente. Verificare che gli agenti di supporto possano visualizzare i dati relativi alle passkey ed eliminare una o più passkey per conto dell'utente. Assicurarsi che l'interfaccia utente fornisca informazioni sufficienti affinché l'agente di supporto possa identificare e gestire le passkey in modo accurato.

• Sicurezza, logging e audit: convalidare che tutte le azioni sulle passkey eseguite dagli agenti di supporto si riflettano correttamente nei registri dell'account utente e nelle interfacce rivolte al cliente. Controllare la coerenza e l'integrità dei dati visualizzati attraverso le diverse interfacce, garantendo un'esperienza utente unificata e affidabile.

Quale dispositivo dovrebbe essere utilizzato per i test?

I test su un set diversificato di dispositivi sono essenziali per garantire che l'implementazione delle passkey funzioni in modo coerente per tutti gli utenti. Questo include sia dispositivi moderni che supportano le passkey, sia dispositivi meno recenti che non lo fanno. Ecco una matrice di dispositivi di esempio che è possibile arricchire con ulteriori browser in base alla propria base utenti:

Dispositivi abilitati alle passkey:

Dispositivi non abilitati alle passkey:

Integrando queste strategie di test mirate con una matrice completa di test sui dispositivi, si stabilisce una buona base per garantire la qualità dell'implementazione passkey. I test approfonditi su dispositivi diversi, sia abilitati sia non abilitati alle passkey, consentono di identificare e affrontare potenziali problemi, garantendo un'esperienza utente coerente e fluida per tutti. Insieme, questi sforzi contribuiscono a fornire un sistema di autenticazione passkey sicuro e intuitivo, che soddisfi gli elevati standard richiesti in un ambiente aziendale. Nel caso in cui non si disponga di sufficiente accesso a vecchi dispositivi, è possibile utilizzare servizi come Browserstack per testare i dispositivi senza supporto passkey. Se si lavora su un Mac è inoltre possibile usare Parallels per un Windows Virtual Desktop.

3.2 Test automatizzati: come implementare i test automatizzati per le passkey?#

I test automatizzati completano i test manuali consentendo di eseguire attività ripetitive e test di regressione in modo efficiente. Tuttavia, testare le funzionalità passkey presenta delle sfide uniche, principalmente perché le reali autorizzazioni passkey tramite platform authenticator non possono essere testate direttamente in un ambiente automatizzato. Questo è dovuto alla dipendenza da input biometrici o interazioni hardware, che non sono riproducibili nei framework di test standard.

Per superare questa limitazione, i test automatizzati per le passkey si basano sull'utilizzo di un autenticatore virtuale. L'autenticatore virtuale è una rappresentazione basata su software di un autenticatore, disponibile come parte di Chromium e accessibile tramite framework di automazione. Consente agli sviluppatori di simulare i processi di registrazione e autenticazione passkey senza la necessità di dispositivi fisici o input biometrici.

3.2.1 Attivazione dell'autenticatore virtuale#

Prima di poter utilizzare l'autenticatore virtuale all'interno dei test automatizzati, esso deve essere attivato nell'ambiente di test. Questo comporta solitamente l'avvio di una sessione con il protocollo di debugging del browser (es. Chrome DevTools Protocol) e l'abilitazione del dominio WebAuthn. È importante notare che lo stato dell'autenticatore virtuale può essere resettato in certe condizioni, come i riavvii del browser o i cambiamenti di contesto. Pertanto, i test devono essere sviluppati con attenzione per garantire che l'autenticatore virtuale sia inizializzato e mantenuto coerentemente durante l'intero processo di test. L'autenticatore supporta CTAP2 e deve essere configurato con supporto per la verifica utente e le resident key per funzionare con le passkey.

3.2.2 Selenium 3 supporta i test di automazione per le passkey?#

Implementazioni di successo per i test passkey automatizzati sono state ottenute utilizzando framework come Selenium e Playwright, o altri che forniscono accesso ai protocolli di automazione del browser necessari. Per Selenium 4 e Playwright, è disponibile il supporto nativo per l'autenticatore virtuale, offrendo API per gestire il ciclo di vita dell'autenticatore virtuale e simulare le interazioni dell'utente. Eseguire test passkey con Selenium 3 è possibile, ma richiede un'implementazione diretta della funzionalità (contattaci se ti serve aiuto).

3.2.3 Ambito dei test#

I test automatizzati dovrebbero coprire le funzionalità più importanti dell'implementazione passkey, tra cui:

• Creazione di passkey: simulare il processo di registrazione di una nuova passkey da parte di un utente, assicurando che il flusso di registrazione funzioni correttamente.

• Accesso con una passkey: verificare che gli utenti possano autenticarsi utilizzando le loro passkey registrate, e che il processo di accesso sia fluido e senza errori.

• Funzionalità di gestione dell'account: testare l'aggiunta, l'elencazione e l'eliminazione di passkey associate ad un account utente per garantire che le funzioni di gestione delle passkey operino come previsto.

• Stati di errore e fallimenti di rete: simulare che il backend non risponda; questo è particolarmente importante per le operazioni su mobile, dato che la rete non è sempre affidabile.

Incorporando questi test nella tua suite di test automatizzati, puoi convalidare costantemente funzionalità passkey critiche, ridurre il rischio di regressioni e migliorare la qualità complessiva del tuo sistema di autenticazione.

3.2.4 Considerazioni aggiuntive#

• Simulazione della verifica utente: poiché l'autenticatore virtuale non coinvolge reali input biometrici, puoi configurarlo per simulare il successo o il fallimento della verifica utente. Questo permette di testare come il sistema gestisce sia le autenticazioni riuscite sia gli scenari in cui la verifica utente fallisce o viene annullata.

• Gestione dello stato dell'autenticatore virtuale: fai attenzione al fatto che lo stato dell'autenticatore virtuale potrebbe reimpostarsi in alcune situazioni (soprattutto in Selenium 3). Assicurati che i tuoi test reinizializzino l'autenticatore virtuale se necessario e considera di incapsularne la configurazione in funzioni riutilizzabili o test hook per mantenere la coerenza.

3.2.5 Consigli per l'implementazione#

• Selezione del framework: sebbene Selenium e Playwright siano i più comuni, possono essere utilizzati per testare le passkey anche altri framework di automazione che forniscono accesso ai protocolli di debug del browser. Scegli un framework che si adatti alle esigenze del tuo progetto e che offra un supporto adeguato per i test WebAuthn.

• Affidabilità dei test: poiché l'autenticazione passkey comporta operazioni asincrone e interazioni con le API del browser, assicurati che i test includano meccanismi di attesa per gestire questi eventi asincroni. Questo aiuta a prevenire test inaffidabili e ne migliora la stabilità.

• Documentazione ed esempi: fai riferimento a guide dettagliate ed esempi per configurare l'autenticatore virtuale nel framework prescelto. Ad esempio, Playwright fornisce una documentazione esaustiva su come utilizzare l'autenticatore virtuale, inclusi frammenti di codice e best practice.

I test automatizzati per la funzionalità passkey richiedono una configurazione accurata a causa delle sfide uniche coinvolte. Sfruttando l'autenticatore virtuale e utilizzando framework che lo supportano, è possibile automatizzare in modo efficace aspetti chiave della registrazione, autenticazione e gestione delle passkey. Questo potenzia la strategia di test, assicurando che l'implementazione delle passkey sia robusta, affidabile e pronta per il deployment in ambiente aziendale.

3.3 Test della Passkey Intelligence#

La Passkey Intelligence è una componente critica nel fornire un'esperienza di autenticazione fluida e intuitiva, specialmente quando si implementano passkey utilizzando l'Approccio Identifier-First con login automatico. Questo approccio si basa su decisioni intelligenti per stabilire quando proporre agli utenti l'autenticazione tramite passkey basandosi sulla disponibilità di quest'ultime e sulla probabilità di un'autenticazione riuscita. Testare la Passkey Intelligence assicura che il sistema rilevi in modo accurato la disponibilità delle passkey e fornisca il metodo di autenticazione ottimale per ogni scenario utente.

3.3.1 Cos'è la Passkey Intelligence#

Passkey Intelligence si riferisce alla capacità del sistema di analizzare vari segnali e metadati per decidere quando offrire l'autenticazione con passkey e quando ripiegare su metodi alternativi come le password o i codici usa e getta (OTP). Migliora l'esperienza utente in vari modi:

• Massimizza gli accessi riusciti: offrendo l'autenticazione passkey quando è più probabile che abbia successo.

• Minimizza i tentativi falliti: evitando richieste inutili di passkey quando il fallimento è probabile, riducendo così la frustrazione degli utenti.

• Ottimizza il flusso utente: fornendo un processo di autenticazione fluido su misura per l'ambiente e la cronologia di ciascun utente.

Questa intelligenza è particolarmente importante nell'approccio Identifier-First, in cui, dopo aver inserito l'username o l'email, agli utenti può essere richiesta automaticamente l'autenticazione passkey senza alcun input aggiuntivo. Il rilevamento accurato della disponibilità della passkey è fondamentale per evitare richieste non necessarie e per fornire opzioni di fallback appropriate.

Al contrario, l'approccio con pulsante passkey implica che gli utenti scelgano esplicitamente di autenticarsi con una passkey cliccando su un pulsante. Anche se la Passkey Intelligence migliora comunque l'esperienza determinando la visibilità e la disponibilità del pulsante, risulta meno critica rispetto all'approccio Identifier-First, poiché gli utenti stanno effettuando una scelta attiva.

3.3.2 Considerazioni chiave per i test della Passkey Intelligence#

Testare la Passkey Intelligence implica convalidare che il sistema interpreti correttamente i vari segnali e fornisca il metodo di autenticazione appropriato. Ecco le aree chiave su cui concentrarsi:

3.3.2.1 Rilevamento della disponibilità della passkey#

Per garantire che l'accesso automatico funzioni correttamente, il sistema deve rilevare con precisione se per un utente sono disponibili delle passkey. I test dovrebbero coprire diversi scenari per validare questo rilevamento:

• Utenti senza passkey registrate: verificare che il sistema non proponga l'autenticazione tramite passkey e fornisca invece metodi alternativi.

• Utenti con passkey registrate: confermare che il sistema riconosca quando un utente ha una passkey registrata e richieda l'autenticazione con essa.

• Utenti con passkey registrate ma non accessibili: confermare che il sistema riconosca quando un utente possiede una passkey registrata (es. su Windows) ma sta provando ad accedere dal proprio iPhone e, di conseguenza, non proceda offrendo un login con passkey.

• Capacità dei dispositivi: testare su dispositivi che supportano le passkey e su quelli che non le supportano per assicurarsi che il sistema si adatti appropriatamente al dispositivo indipendentemente dall'account.

• Sincronizzazione passkey: controllare se le passkey salvate in Cloud (es. Portachiavi iCloud, Google Password Manager) vengono rilevate sui dispositivi corretti tra i vari device.

3.3.2.2 Test con diversi fornitori di passkey#

La Passkey Intelligence deve funzionare efficacemente con vari fornitori di passkey, sia di prime parti sia di terze parti. Ogni fornitore può presentare comportamenti e capacità differenti che influenzano il modo in cui le passkey vengono rilevate e utilizzate.

Fornitori di prime parti:

• Windows Hello: il sistema di autenticazione biometrica di Microsoft integrato nei dispositivi Windows. Bisogna ricordare che le chiavi Windows Hello non sono sincronizzate, ma Microsoft ha annunciato che questo cambierà presto.

• Google Password Manager: la soluzione di Google per l'archiviazione e la sincronizzazione delle passkey tra dispositivi e browser. Da notare che GPM non è disponibile solo su Chrome ma anche su altre piattaforme.

• Portachiavi iCloud: il servizio di Apple per archiviare le passkey e sincronizzarle tra i dispositivi Apple.

Fornitori di terze parti:

• 1Password: un noto gestore di password che supporta le passkey e può sincronizzarle su tutte le piattaforme.

• Dashlane: un altro diffuso gestore di password con supporto per le passkey.

• Altri: a seconda della base di utenti e del focus geografico, potrebbero essere più rilevanti altri fornitori di terze parti.

Fasi dei test:

• Registrazione e autenticazione: assicurarsi che gli utenti possano registrarsi e autenticarsi utilizzando le passkey di ogni fornitore.

• Comportamento multipiattaforma: verificare che le passkey si sincronizzino in modo corretto tra dispositivi e browser quando si utilizzano fornitori basati su cloud.

• Gestione degli errori: testare in che modo il sistema affronta i fallimenti o l'indisponibilità delle passkey da parte di fornitori specifici.

3.3.2.3 Scenari di autenticazione multi-dispositivo#

L'autenticazione multi-dispositivo permette agli utenti di autenticarsi su un dispositivo utilizzando una passkey archiviata su un altro device. Testare questi scenari è fondamentale per assicurare un'esperienza fluida.

Scenari chiave da testare:

• Da iPhone a PC Windows: gli utenti provano ad accedere su un PC Windows utilizzando una passkey memorizzata sul loro iPhone.

• Da telefono Android a Safari su Mac: gli utenti si autenticano su un Mac tramite Safari sfruttando una passkey salvata sul loro dispositivo Android.

• Da Android a PC Windows: test dell'autenticazione da un dispositivo Android a un PC Windows. È utile ricordare che, a partire da Chrome 130, gli utenti potrebbero non aver più bisogno di eseguire un'autenticazione multi-dispositivo.

Fasi dei test:

• Controlli di compatibilità: assicurarsi che l'autenticazione multi-dispositivo operi trasversalmente a diversi sistemi operativi e browser.

• Prompt e istruzioni utente: verificare che gli utenti ricevano istruzioni chiare durante il processo di autenticazione.

• Convalida della sicurezza: confermare che il processo di autenticazione sia sicuro e resistente ad attacchi di tipo man-in-the-middle.

3.3.2.4 Gestione di casi limite e fallimenti#

I test dovrebbero coprire anche quegli scenari in cui la Passkey Intelligence potrebbe incontrare difficoltà:

• Passkey non disponibili: situazioni in cui le passkey sono previste ma non disponibili a causa di ritardi nella sincronizzazione o di problemi di rete.

• Annullamenti utente: gli utenti annullano il prompt della passkey; il sistema dovrebbe ripiegare elegantemente su metodi alternativi. Durante la convalida, confermare che tali percorsi di annullamento previsti siano tracciati separatamente dai veri e propri difetti (vedi errori WebAuthn).

• Estensioni di terze parti: interazioni con estensioni del browser o plugin che potrebbero interferire con il rilevamento delle passkey o con la Conditional UI.

3.3.2.5 Valutazione della logica della Passkey Intelligence#

Valutare il processo decisionale del proprio sistema di Passkey Intelligence:

• Precisione dei dati: assicurarsi che i metadati e i segnali usati per le decisioni siano accurati, aggiornati e archiviati correttamente nel database (flag BS).

• Risposte adattive: convalidare che il sistema si adatti alle nuove informazioni, come per esempio le passkey appena registrate o le variazioni nelle funzionalità del dispositivo.

• Impatto sulle performance: verificare che la logica di intelligenza non introduca ritardi significativi nel flusso di autenticazione.

3.3.2.6 Metodologia di test#

Per testare a fondo la Passkey Intelligence, si consiglia la seguente metodologia:

1. Creare account di test con varie configurazioni: impostare account utente che rappresentino stati diversi, per esempio con o senza passkey registrate, e con differenti fornitori di passkey.

2. Utilizzare una matrice dispositivi completa: includere una varietà di dispositivi, sistemi operativi e browser nei test per coprire il maggior numero possibile di scenari utente.

3. Simulare condizioni di rete differenti: testare in varie condizioni di rete per valutare l'impatto dei ritardi di sincronizzazione o dei problemi di connettività sul rilevamento delle passkey.

4. Test per scenari complessi: per l'autenticazione multi-dispositivo e i casi limite, sarà necessario un test manuale per cogliere appieno le sfumature dell'esperienza utente.

5. Analizzare registri e metriche: raccogliere e analizzare log per comprendere come avvengono le decisioni della Passkey Intelligence e individuare eventuali discrepanze o anomalie.

3.3.2.7 Best practice#

• Mantenere l'esperienza utente in primo piano: assicurarsi che il flusso di autenticazione rimanga sempre fluido e intuitivo, anche quando la Passkey Intelligence decide di ripiegare su metodi alternativi.

• Rimanere aggiornati con i cambiamenti dei fornitori: i fornitori di passkey potrebbero aggiornare i propri servizi, incidendo sul modo in cui le passkey vengono archiviate o sincronizzate. Aggiornare regolarmente gli scenari di test per rispecchiare tali cambiamenti. Iscriviti al nostro Substack e unisciti alla nostra community su Slack.

• Documentare i risultati: tenere un registro dettagliato dei casi di test, dei risultati e di qualsiasi problema riscontrato, al fine di semplificare la risoluzione dei problemi e i cicli di test futuri.

Testare la Passkey Intelligence è vitale per garantire che il tuo sistema di autenticazione fornisca la migliore esperienza possibile agli utenti, in modo particolare se impiega l'approccio Identifier-First con login automatico. Validando a fondo il rilevamento della disponibilità delle passkey, le interazioni con vari fornitori, gli scenari di autenticazione multi-dispositivo e la logica di intelligenza in sé, puoi ottimizzare il sistema per offrire un'autenticazione sicura e senza interruzioni per ogni scenario.

3.4 Come Corbado può aiutare nei test aziendali#

Implementare e testare la funzionalità passkey, inclusa la Passkey Intelligence, può rivelarsi complesso e dispendioso in termini di risorse. Corbado offre soluzioni complete che semplificano questo processo, assicurando un'esperienza di autenticazione solida e user-friendly per la tua azienda.

3.4.1 Componenti ben collaudati su browser e dispositivi#

Corbado fornisce componenti UI e SDK pre-costruiti che vengono testati a fondo su un'ampia gamma di dispositivi, sistemi operativi e browser, sia in versioni recenti sia in quelle più obsolete che supportano JavaScript. Questi test rigorosi assicurano che la tua implementazione passkey funzioni in maniera coerente per tutti gli utenti, attenuando il rischio di malfunzionamenti legati ai dispositivi e aumentando la soddisfazione dell'utente.

• Compatibilità cross-browser: i nostri componenti operano perfettamente sui principali browser come Chrome, Safari, Firefox ed Edge, offrendo un'esperienza uniforme a prescindere dal browser preferito dall'utente.

• Versatilità dei dispositivi: supportiamo sia i dispositivi abilitati sia quelli non abilitati alle passkey, consentendo agili meccanismi di fallback ove necessario.

• Design reattivo: i componenti sono progettati per adattarsi a differenti dimensioni dello schermo e risoluzioni, garantendo un'usabilità ottimale su desktop, tablet e dispositivi mobili.

• Stati di errore: tutti i componenti sono stati ampiamente testati per funzionare in ogni condizione di rete e presentano messaggi di errore precisi e soluzioni di fallback per gestire le cerimonie interrotte dagli utenti.

3.4.2 Integrazione dei test automatizzati#

Conoscendo le difficoltà relative all'automazione dei test sulle passkey, Corbado ha sviluppato soluzioni di test automatizzati integrate nello sviluppo dei nostri componenti e nelle pipeline CI/CD. I nostri componenti non solo vengono validati scrupolosamente a livello interno, ma sono corredati da suite di test automatizzati che possiamo applicare alle installazioni aziendali.

• Suite di test automatizzate: disponiamo di test automatizzati esaustivi che coprono funzionalità chiave come la registrazione, l'autenticazione e la gestione delle passkey. Tali test sono stati sviluppati per validare completamente i nostri componenti.

• Servizi di test automatizzati gestiti: per i clienti aziendali, Corbado offre test automatizzati gestiti come parte del nostro pacchetto Enterprise. Gestiamo noi la complessità legata alla configurazione e al mantenimento dei test automatizzati per le passkey, inclusivo dell'uso di autenticatori virtuali, permettendo al tuo sistema di autenticazione di restare solido nel tempo.

Una panoramica dettagliata di come testiamo i nostri componenti è disponibile in un articolo del blog dedicato.

3.4.3 Passkey Intelligence completa#

Il motore di Passkey Intelligence di Corbado è una soluzione testata estensivamente che ottimizza l'esperienza di autenticazione. Sfruttando algoritmi avanzati e dati in tempo reale, la nostra Passkey Intelligence rileva in modo preciso la disponibilità della passkey e individua il metodo di autenticazione ideale per ogni casistica utente.

• Nessun test aggiuntivo richiesto: dato che la Passkey Intelligence è completamente gestita, testata e arricchita da Corbado, puoi affidarti alla sua efficacia senza doverti preoccupare di test interni approfonditi.

• Processo decisionale adattivo: il nostro motore si adatta alle variazioni nelle capacità dei dispositivi, nei comportamenti degli utenti e agli aggiornamenti dei fornitori di passkey, garantendo che le richieste di autenticazione siano rapide e pertinenti.

• Massimizzazione del tasso di successo: decidendo in modo intelligente quando proporre l'autenticazione con passkey, contribuiamo a massimizzare i tentativi di accesso completati e a ridurre la frustrazione causata dai fallimenti.

• Personalizzazione: in caso si desideri configurare la Passkey Intelligence in maniera più proattiva o difensiva, è possibile adattare e personalizzare i set di regole in qualunque momento.

3.4.4 Supporto e servizi di livello aziendale#

Ai clienti di livello enterprise, Corbado fornisce supporto supplementare finalizzato a ottimizzare il processo di implementazione e collaudo delle passkey.

• Test automatizzati gestiti: forniamo servizi di collaudo completi che comprendono la creazione dei test automatizzati, il monitoraggio della loro performance e il relativo aggiornamento. Questo servizio libera il tuo team dall'onere di mantenere ambienti di test laboriosi.

• Consulenza di esperti in loco: il nostro team di professionisti è pronto ad aiutarti per qualsiasi ostacolo si presenti durante l'implementazione o i test, mettendo a disposizione consigli e soluzioni progettate per i tuoi bisogni specifici. I grandi deployment beneficiano della consulenza in loco, con l'assistenza per i test dalla tua parte.

• Soluzioni personalizzate: siamo in grado di calibrare e adattare i nostri componenti e servizi per rispettare i requisiti specifici della tua impresa, l'identità aziendale (CI) e altre normative.

• Riduzione dell'impegno di sviluppo: usando i nostri componenti già collaudati e pronti all'uso, otterrai un forte risparmio di tempo e risorse destinati allo sviluppo.

• Affidabilità superiore: le nostre prassi di collaudo molto rigide garantiscono un'implementazione passkey sicura ed efficace in molteplici condizioni.

• Esperienza utente ottimizzata: con Passkey Intelligence, gli utenti beneficiano di una fase di autenticazione intuitiva, migliorando i tassi di soddisfazione e l'adozione.

• Soluzioni a prova di futuro: rinnoviamo costantemente i nostri componenti in sintonia con le conquiste e le direttive più attuali in campo passkey, per una lunga validità e conformità nel tempo.

Grazie alla partnership con Corbado, ricevi l'accesso a una gamma di componenti, strumenti e servizi per agevolare il collaudo e la creazione delle passkey. I nostri componenti già verificati, un'avanzata Passkey Intelligence e l'assistenza al livello enterprise consentono al tuo sistema di essere forte, affidabile e pronto al dispiegamento nei sistemi della tua impresa. Attraverso questa collaborazione, il team interno ha la possibilità di occuparsi dell'erogazione di valore per il cliente, mentre i nostri esperti governano gli aspetti complessi della tecnologia passkey.

4. Test non funzionali delle implementazioni passkey#

Mentre i test funzionali assicurano che l'implementazione passkey soddisfi tutte le caratteristiche richieste e fornisca un'esperienza utente coerente, non affrontano le performance del sistema in condizioni reali o la sua resilienza a varie forme di stress. I test non funzionali si concentrano su questi aspetti. Valutano come si comporta il sistema quando gestisce carichi elevati, quanto rapidamente risponde alle richieste degli utenti, quanto rimane stabile durante i picchi di utilizzo e quanto è sicuro contro potenziali attacchi. Per le implementazioni aziendali di passkey, i test non funzionali sono essenziali perché:

• Elevati volumi di utenti: ampie basi di utenti e flussi di autenticazione ad alta frequenza implicano che anche lievi problemi di performance possano ripercuotersi pesantemente sulla soddisfazione degli utenti e sui risultati aziendali.

• Affidabilità sotto stress: i sistemi aziendali devono rimanere stabili e performanti durante i periodi di picco degli accessi, le campagne di registrazione dei dispositivi e le ondate di adozione su larga scala.

• Garanzia di sicurezza: oltre alla funzionalità, garantire l'assenza di vulnerabilità all'interno dei flussi WebAuthn e passkey è fondamentale per mantenere la fiducia e la conformità.

• Altri test non funzionali: altri test non funzionali sono ugualmente importanti a seconda dell'azienda, ma per mantenere il focus, ci concentreremo su quelli più critici per le grandi imprese, specialmente in settori sensibili alla sicurezza come quelli governativi, regolamentati o sanitari.

Svolgendo rigorosi test non funzionali, le aziende possono distribuire in sicurezza soluzioni passkey solide e protette, assicurando un'esperienza fluida a tutti gli utenti in qualsiasi condizione.

4.1 Come eseguire i test di performance sulle implementazioni passkey#

I test di performance e di carico mirano a verificare che l'implementazione passkey possa gestire i volumi di autenticazione previsti (e talvolta imprevisti) senza degradi. Sebbene le operazioni passkey, come la generazione e la verifica delle challenge WebAuthn, non siano generalmente molto dispendiose in termini di risorse, test di performance approfonditi rimangono cruciali per le implementazioni su scala aziendale.

Considerazioni principali sui test di performance e di carico:

1. Stabilire una baseline realistica:
   Inizia analizzando i dati storici di autenticazione per identificare i tuoi pattern di picco d'uso. Ad esempio, analizza le statistiche di login degli ultimi 12 mesi e individua l'ora con il maggior carico di autenticazione. Usa quest'ora di punta come base per calcolare le autenticazioni completate con successo al secondo e moltiplica il volume per un fattore di tre (3x). Questo approccio:

   • Tiene conto della crescita e dei picchi: triplicando il carico storico più elevato, costruisci un margine di performance salutare che accoglie ondate impreviste (es., onboarding su larga scala, login simultanei durante il lancio di prodotti o reset di sicurezza).

   • Fissa obiettivi chiari: questa baseline realistica ma prudente garantisce che il tuo sistema possa soddisfare agevolmente la domanda attuale rimanendo stabile in condizioni superiori alle aspettative.

2. Comprendere la complessità del flusso di autenticazione:
   Con le passkey, il flusso di autenticazione può comportare la generazione on-demand delle challenge, la gestione dei prompt della Conditional UI e l'interazione con servizi backend per convalidare le credenziali o gestire gli stati MFA. Questi passaggi possono introdurre pattern di carico unici, specialmente se i prompt di login o le challenge vengono generati frequentemente.

3. Bilanciamento del carico e scalabilità:
   Man mano che si passa dalle password alle passkey, il numero di operazioni potrebbe aumentare. Impiega strategie di bilanciamento del carico, caching e ottimizzazione del database per gestire tassi di richiesta potenzialmente più elevati e mantenere tempi di risposta coerenti.

4. Impatto della Conditional UI:
   La Conditional UI potrebbe attivare la generazione continua di challenge se i campi di login sono visibili o renderizzati nella parte superiore della pagina, il che potrebbe comportare carichi inaspettati. Testa questi pattern per assicurarti che le challenge possano essere servite rapidamente e in modo affidabile senza causare ritardi o timeout.

5. Autorizzazioni e creazioni di passkey simultanee:
   Considera gli scenari in cui molti utenti creano simultaneamente passkey o tentano di autenticarsi. Questo può verificarsi durante le sessioni di onboarding o dopo ampie campagne di comunicazione. I tuoi test dovrebbero simulare questi picchi di concorrenza per confermare che il sistema rimanga robusto.

6. Strumenti e approcci di test:
   I tradizionali strumenti di load testing potrebbero non replicare appieno la complessità dei flussi WebAuthn o non essere in grado di completare una cerimonia WebAuthn. Cerca plugin per i più diffusi framework di misurazione delle performance come Jmeter o K6 (utilizzato da Corbado).

7. Monitoraggio e metriche:
   Traccia metriche chiave come tempi di risposta, throughput, chiamate API al secondo, transazioni/autenticazioni completate al secondo, tassi di errore e utilizzo delle risorse. Usa queste informazioni per identificare i colli di bottiglia e guidare gli sforzi di ottimizzazione.

8. Test e ottimizzazione iterativi:
   I test di performance sono un processo iterativo. Identifica i problemi, implementa i miglioramenti e ritesta per convalidare che le modifiche aumentino capacità e affidabilità. Integra questi test nella tua pipeline CI/CD per garantire che le performance rimangano stabili nel tempo.

Stabilendo una baseline realistica dai dati storici, triplicando quella capacità per sicurezza e testando in modo esaustivo vari scenari, le aziende possono garantire che la loro implementazione passkey rimanga efficiente, stabile e reattiva, anche in condizioni impegnative.

4.2 Come eseguire penetration test sulle implementazioni passkey#

I test di sicurezza sono una componente critica per assicurare che la tua implementazione di passkey non solo funzioni correttamente ma preservi pure il massimo standard legato a integrità dei processi e affidabilità. Anche se la passkey facilita e rafforza l'esperienza di autenticazione, è importante convalidare che i tuoi flussi WebAuthn e passkey siano protetti dai più comuni vettori d'attacco, da difetti di configurazione e vulnerabilità specifiche dell'autenticazione basata su hardware.

Obiettivi chiave:

• Convalidare che tutte le operazioni WebAuthn (generazione di challenge, attestation, assertion) siano implementate in modo corretto e sicuro.

• Assicurare che le passkey compromesse, manomesse o eliminate non possano essere utilizzate per l'autenticazione.

• Confermare che la verifica utente, se richiesta, sia rigorosamente applicata e controllata ad ogni login.

• Convalidare l'integrazione con la logica MFA esistente, confermando che le passkey mantengano o migliorino la postura di sicurezza complessiva anziché indebolirla.

Aree di test e approcci suggeriti:

1. Consumo delle challenge WebAuthn:

   • Unicità e validità delle challenge: verificare che ogni challenge sia unica e valida per un solo tentativo di autenticazione. Questo garantisce che le challenge riprodotte (replay) non possano tradursi in un'autenticazione riuscita.

   • Protezioni dal doppio utilizzo: tentare di riutilizzare challenge o risposte di attestation provenienti da precedenti cerimonie di append (registrazione) o di login (assertion). Confermare che il sistema rifiuti questi tentativi gestendo opportunamente gli errori.

2. Passkey eliminate, sconosciute o manomesse:

   • Passkey eliminate: tentare il login utilizzando credenziali associate a passkey che sono state rimosse. Il sistema dovrebbe rifiutare questi tentativi e restituire un errore.

   • Credenziali sconosciute: presentare credenziali mai registrate con il sistema (es. una chiave privata diversa o un ID credenziale sconosciuto). Assicurarsi che il sistema non possa essere ingannato convalidando queste credenziali.

   • Firme manomesse: modificare la firma crittografica o i dati dell'authenticator nell'asserzione WebAuthn. Il sistema dovrebbe fallire la fase di verifica e rispondere con un errore, impedendo accessi non autorizzati.

3. Applicazione della verifica utente (User Verification - UV):

   • Verifica utente obbligatoria: se la verifica utente è impostata come richiesta (indicando uno scenario equivalente al 2FA), confermare che tutti i tentativi di autenticazione senza un flag UV vengano negati. Un controllo di verifica biometrico o tramite PIN non deve essere aggirabile (sola presenza dell'utente).

   • Manomissione dei flag UV: tentare di forzare uno scenario in cui l'authenticator affermi che l'utente è stato verificato, ma non ha avuto luogo alcuna effettiva verifica utente. Confermare che il sistema respinga tali tentativi.

4. Integrazione con controlli MFA o di sicurezza esistenti:

   • Allineamento dello stato MFA: controllare che l'aggiunta o la rimozione di passkey non eluda le policy MFA esistenti. Ad esempio, se le passkey sono intese per sostituire le password o fungere da secondo fattore, il sistema non dovrebbe permettere a un utente con una passkey compromessa di aggirare controlli MFA di livello superiore.

   • Meccanismi di fallback: convalidare che i metodi di fallback (es. password, OTP) vengano richiamati solo quando le passkey sono legittimamente non disponibili o non supportate. Gli aggressori non devono poter degradare un flusso sicuro verso uno più debole.

5. Garantire implementazioni aggiornate e conformi agli standard:

   • Ultime specifiche WebAuthn: confermare che il server e i componenti WebAuthn siano aggiornati agli ultimi standard, correggendo eventuali vulnerabilità note. Esaminare regolarmente gli avvisi dei fornitori e applicare gli aggiornamenti di sicurezza.

   • OWASP Top 10: allineare i test agli standard di sicurezza riconosciuti. Le aree tipiche includono la convalida degli input, la gestione delle sessioni e l'uso di canali di comunicazione sicuri (TLS). Controllare che tutti gli endpoint che gestiscono dati WebAuthn siano protetti, non facciano trapelare informazioni sensibili e applichino le corrette intestazioni di sicurezza.

6. Penetration test contro i comuni vettori d'attacco:

   • Attacchi di replay: tentare di riutilizzare firme valide note o challenge vecchie. Confermare che il server le rifiuti.

   • Attacchi Man-in-the-Middle (MitM): testare se un aggressore che intercetti le richieste WebAuthn possa alterare la challenge o le firme. Assicurarsi che il processo di autenticazione si basi su verifiche crittografiche legate alla chiave privata del client, rendendo irrealizzabili gli attacchi MitM.

   • Fuzzing e test negativi: introdurre dati malformati, mancanti o casuali per le richieste di attestation e assertion. Il server dovrebbe gestire correttamente questi input non validi senza subire crash o divulgare dati sensibili.

7. Considerazioni aggiuntive per minacce specifiche alle passkey:

   • Autenticazione multi-dispositivo: testare scenari di autenticazione multi-dispositivo per garantire che una passkey archiviata su un altro dispositivo non possa essere abusata. Il server deve verificare l'autenticità delle richieste cross-device, garantendo che non avvengano scambi di identità.

   • Revoca e recupero: assicurarsi che se un utente o un operatore del supporto clienti recupera l'account o revoca una passkey, questa venga invalidata istantaneamente e non possa essere usata per successivi tentativi di login.

Esempi pratici e test:

• Test di manomissione della verifica utente: tentare di autenticarsi con una passkey quando user verification=required ma forzando l'authenticator a presentare uv=false. Confermare che il server rifiuti la richiesta.

• Test di replay della challenge: riutilizzare una challenge già usata in precedenza per il login. Il server deve respingere il tentativo, prevenendo attacchi di replay.

• Test di firma non valida: sostituire la firma valida con una errata o casuale. Assicurarsi che il server restituisca un errore.

Mantenere una garanzia di sicurezza continuativa:

• Condurre periodicamente penetration test di terze parti per identificare vulnerabilità nuove o precedentemente trascurate.

• Tenersi informati sulle minacce emergenti, sugli aggiornamenti delle specifiche WebAuthn e sulle patch rilasciate dai vendor per gli autenticatori hardware e per il software lato client.

Incorporando le tecniche di test descritte e concentrandosi sugli aspetti specifici dell'autenticazione basata su passkey, puoi assicurare che l'implementazione aziendale delle passkey rimanga sicura, robusta e affidabile. Verifiche regolari, aggiornamenti e penetration test ti aiuteranno a mantenere una forte postura di sicurezza e una conformità continua agli standard del settore.

4.3 Come Corbado può aiutare nei test di performance e nei penetration test delle implementazioni passkey#

L'offerta enterprise di Corbado non solo fornisce robuste soluzioni passkey ma include anche servizi completi di collaudo non funzionale—che abbracciano i test di performance, le valutazioni di sicurezza o l'integrazione finale—per garantire che la tua implementazione di passkey possa soddisfare i requisiti aziendali più rigorosi.

4.3.1 Test di performance con scenari passkey realistici#

Corbado va oltre i generici e convenzionali strumenti di test di carico sfruttando avanzati test di performance end-to-end tramite K6 e un ambiente di autenticatori virtuali. Questo approccio simula reali flussi di autenticazione passkey tramite i nostri componenti (CorbadoConnectLogin), inclusa la generazione e gestione di centinaia o persino migliaia di passkey in parallelo (CorbadoConnectAppend) e funzionalità di gestione (CorbadoConnectPasskeyList). A differenza dei test di carico standard che misurano solo gli endpoint API, la nostra metodologia emula l'intera cerimonia WebAuthn end-to-end, rendendo i test molto più rappresentativi delle condizioni reali. Conduciamo inoltre sofisticati test di concorrenza per garantire che il sistema possa gestire i picchi di carico—come per le ampie campagne di onboarding o improvvisi picchi di autenticazione—senza penalizzare i tempi di risposta o l'esperienza utente.

4.3.2 Test di sicurezza e penetration test specializzati#

Corbado si impegna a fornire un ambiente di autenticazione sicuro. Ci sottoponiamo regolarmente a penetration test eseguiti da specialisti terzi fidati che conoscono le complessità peculiari della tecnologia passkey. Inoltre, il nostro team mantiene unit test specializzati incentrati sulla sicurezza, concepiti per scongiurare scenari in cui passkey manomesse o cancellate vengano reintrodotte nel sistema. Tali test, insieme a pentest periodici, difendono dalle minacce in continua evoluzione e assicurano che l'integrità dell'ecosistema di passkey venga costantemente mantenuta.

4.3.3 Garanzia di livello Enterprise#

Sia i regimi avanzati per i test di performance che le rigorose analisi di sicurezza fanno parte del nostro pacchetto Enterprise. Grazie alla partnership con Corbado, hai accesso a metodologie validate e comprovate che assicurano che l'implementazione delle passkey sia all'altezza delle esigenze degli ambienti aziendali mission-critical e ad alta scalabilità, garantendo non solo una customer experience priva di frizioni ma anche difese massicce contro vulnerabilità potenziali.

5. Conclusione#

Nelle grandi distribuzioni aziendali di passkey, il successo dell'implementazione non dipende solo dall'integrazione della tecnologia, ma anche da collaudi esaustivi per assicurare performance, sicurezza e affidabilità. Come si è potuto appurare, un solido apparato di test—dalla verifica funzionale sino ai giudizi qualitativi non funzionali sulle performance e i controlli di sicurezza—è imprescindibile per restituire un impianto di autenticazione solido e intuitivo. Con questo articolo abbiamo risposto alle domande poste in precedenza:

• Come eseguire test funzionali per le passkey? Abbiamo individuato i test funzionali essenziali che si concentrano sulla verifica della registrazione e autenticazione passkey, la coerenza dell'interfaccia utente e una gestione appropriata degli errori. Tramite test manuali di accettazione utente e approcci automatizzati, questi test confermano che i flussi passkey siano intuitivi, affidabili e allineati con le aspettative degli utenti.

• Come eseguire Penetration Test e collaudi di Performance sulle Passkey? Abbiamo esplorato le strategie per assicurare che l'implementazione passkey soddisfi standard rigorosi in fatto di performance e sicurezza. Ciò include test di carico per gestire volumi di autenticazione di picco, test di resilienza sotto stress e rigorose validazioni di sicurezza, come verificare che le challenge non possano essere riprodotte, che passkey manomesse vengano respinte e che la verifica utente sia imposta in modo stringente.

Integrando le pratiche di test funzionali e non funzionali, puoi rilasciare con fiducia le passkey mantenendo i più elevati standard di qualità e sicurezza. Nella prossima parte tratteremo il passaggio successivo: un lancio graduale e diviso per fasi delle passkey attraverso differenti segmenti di utenti, e come Corbado può supportarti in questo.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →