Test dei password manager per passkey in app native

1. Introduzione: le passkey per app native incontrano i password manager di terze parti#

Con il rilascio di iOS 17 e Android 14, il panorama delle passkey per le app mobili native è fondamentalmente cambiato. Per la prima volta, i password manager di terze parti possono fungere da provider di passkey, rompendo il dominio esclusivo di iCloud Keychain e Google Password Manager. Questo permette agli utenti di portare le proprie soluzioni di fiducia come 1Password, Bitwarden o Dashlane nei flussi di autenticazione delle app native. Anche se si tratta di una grande vittoria per la scelta dell'utente, introduce una notevole complessità per gli sviluppatori. La tua implementazione di passkey può comportarsi in modo diverso a seconda dei vari password manager nelle applicazioni mobili native. Pertanto, è importante per qualsiasi team testare adeguatamente le passkey delle app native e i password manager di terze parti.

Questa guida completa condivide il nostro approccio collaudato al test delle passkey per app native con password manager di terze parti. Sebbene l'ecosistema delle passkey sia maturato in modo significativo nel 2025, l'implementazione nel mondo reale richiede ancora un'attenta validazione su diverse implementazioni di password manager. Abbiamo distillato la nostra esperienza in un piano di test pratico che assicura che la tua app nativa funzioni perfettamente con i password manager preferiti dagli utenti.

2. Perché i test delle passkey sono importanti in produzione#

2.1 Gli utenti scelgono il proprio password manager#

L'ecosistema dei password manager si è evoluto oltre le soluzioni native delle piattaforme. Gli utenti scelgono attivamente password manager di terze parti come 1Password, Bitwarden, Dashlane, Proton Pass e NordPass in base alle loro esigenze specifiche, come la sincronizzazione multipiattaforma, le funzionalità aziendali o le preferenze sulla privacy. La tua app nativa iOS / Android deve assecondare questa diversità senza costringere gli utenti a cambiare la loro soluzione di gestione delle password di fiducia.

In base ai dati che misuriamo sulle pagine di Corbado, vediamo che solo il 5-10% degli utenti generici si affida a password manager di terze parti. Anche se questo numero potrebbe sembrare basso, avrà un enorme impatto sulla percezione della tua implementazione di passkey e sul numero di ticket di assistenza se lavori in un ambiente su larga scala. Abbiamo riscontrato che alcuni password manager implementano la specifica WebAuthn in modo leggermente diverso, portando a sottili variazioni nell'esperienza utente o persino a bug.

2.2 Diversi pattern UX nelle app native#

Le app native iOS e Android forniscono diversi modi per l'utilizzo delle passkey. Su Android, troverai overlay per passkey e input testuali manuali che innescano una cerimonia passkey (per le app web, Android supporta anche la Conditional UI). iOS presenta il proprio set di overlay per passkey insieme alla Conditional UI e anche input testuali manuali. Inoltre, ci sono altri casi limite da controllare. Nel complesso, la tua applicazione nativa deve gestire con garbo:

• Accessi con overlay per passkey che appaiono immediatamente al caricamento della pagina
• Accessi con Conditional UI (solo iOS) che suggeriscono automaticamente le passkey disponibili
• Accessi con campo di testo in cui l'utente fornisce il proprio nome utente prima di cliccare su un pulsante
• Autenticazione cross-device (CDA) per l'uso delle passkey con un altro dispositivo
• Meccanismi di fallback quando l'uso delle passkey non è disponibile

2.3 I flag WebAuthn richiedono precisione#

La corretta configurazione dei flag determina se le passkey funzionano come previsto tra dispositivi e piattaforme. I valori critici includono:

• Relying Party ID (rpID): deve corrispondere esattamente tra le implementazioni web e native ed è il dominio a cui la passkey è legata
• Verifica dell'utente: determina che l'utente deve fornire la propria autenticazione locale
• Resident key/credenziali rilevabili: abilita l'autenticazione senza nome utente (consente la Conditional UI)
• Backup eligibility (BE) e backup state (BS): consente la sincronizzazione multipiattaforma delle passkey

I flag non configurati correttamente non causano sempre guasti immediati. Tuttavia, potrebbero creare problemi sottili e incongruenze come passkey disponibili su un dispositivo ma non sincronizzate tra i dispositivi (anche se lo stesso password manager di terze parti potrebbe essere disponibile su entrambi i dispositivi). Una delle nostre scoperte durante i test è stata che alcuni password manager di terze parti impostano i flag BE/BS in modo errato, ed è questo che ha causato gran parte dei problemi relativi alle passkey.

2.4 Gestione del ciclo di vita nelle app single-instance#

Le architetture single-activity (Android) e single-scene (iOS) richiedono una meticolosa gestione del ciclo di vita. Quando un foglio del password manager appare e viene chiuso, la tua app deve conservare lo stato, gestire i callback e riprendere correttamente. Questo è particolarmente critico su Android, dove la configurazione launchMode può causare comportamenti imprevisti.

Per esempio, abbiamo scoperto che impostare MainActivity su launchMode="singleInstance" creava problemi. Su alcune versioni di Android e personalizzazioni OEM, questa modalità fa sì che la UI di Passkey Credential Manager si apra come un'attività separata. Questo non solo aggiunge una voce aggiuntiva e confusa nell'app alla schermata "Recenti", ma può anche causare il blocco dell'app se viene messa in background mentre la finestra di dialogo passkey è aperta.

La soluzione consigliata è cambiare la configurazione in launchMode="singleTask". Questo impedisce al Credential Manager di generare un'attività separata, garantendo un ciclo di vita più prevedibile su diversi OEM (Samsung, Google, Vivo, ecc.) e riducendo il rischio di bug specifici del fornitore. Fornisce una base più stabile per testare navigazione, overlay e deeplink.

Abbiamo osservato che tali problemi relativi al ciclo di vita spesso si mascherano da "bug del password manager" quando in realtà si tratta di problemi a livello di applicazione. Una corretta strumentazione e test su diversi provider aiutano a identificare presto questi pattern.

3. Configurazione del tuo ambiente di test#

3.1 Password manager target#

Concentra i test delle passkey della tua app nativa sui password manager di terze parti più ampiamente adottati:

Target primari (copertura essenziale):

• 1Password
• Bitwarden
• Dashlane
• Proton Pass
• NordPass

Target secondari (in base alla tua base utenti):

• Provider regionali (ad es., Samsung Pass per dispositivi Samsung)
• Soluzioni enterprise se il target sono utenti business
• Predefiniti della piattaforma (Google Password Manager, iCloud Keychain) come baseline

Evita la tentazione di testare ogni password manager disponibile. Concentrati sui provider che rappresentano il 90% della tua base utenti. Le nostre analisi hanno mostrato che i cinque target principali coprivano l'85% degli utenti di password manager di terze parti in EU/USA/UK/AUS/NZ.

3.2 Checklist pre-volo#

Prima di iniziare ogni esecuzione di test, assicurati di avere un ambiente pulito e riproducibile:

1. Stato delle credenziali pulito:

• Rimuovi tutte le credenziali esistenti per il tuo RP ID
• Cancella le cache del browser e dell'app
• Disconnettiti completamente e riconnettiti al password manager
• Forza la chiusura e riavvia l'app target

2. Stabilizza l'ambiente di test:

• Assicurati una connettività di rete stabile (nessuna VPN durante i test)
• Disabilita le animazioni UI se stai automatizzando i test
• Usa un orientamento coerente del dispositivo
• Documenta la versione dell'OS, la versione dell'app e la versione del password manager

4. Il piano di test completo#

Ogni test valida aspetti specifici delle funzionalità delle passkey. Documenta i risultati sistematicamente usando lo stato superato/fallito e note dettagliate per eventuali anomalie.

4.1 Test del flusso di autenticazione principale#

Test 1: Annullare la creazione della passkey (dopo l'accesso convenzionale andato a buon fine)#

Convalida la gestione della cancellazione controllata

✓ Il foglio del password manager si apre correttamente
✓ L'utente annulla senza creare una passkey
✓ L'app ritorna alla schermata di login ✓ Nessuna credenziale orfana nel password manager
✓ La UI mostra opzioni di riprova appropriate

Test 2: Creare una passkey (dopo l'accesso convenzionale andato a buon fine)#

Verifica la creazione della passkey dopo il flusso di autenticazione

✓ L'autenticazione locale si avvia in modo affidabile
✓ L'autenticazione biometrica viene completata con successo
✓ Credenziale creata con il RP ID corretto
✓ L'app passa allo stato autenticato senza loop

Test 3: Autenticazione con passkey esistente#

Testa gli scenari di autenticazione standard

✓ L'interfaccia utente Overlay della passkey appare o l'utente fornisce l'username nello scenario con campo testuale ✓ La scansione biometrica e il singolo prompt biometrico portano all'autenticazione con successo
✓ Nessun loop di selezione o ricomparsa del foglio
✓ La sessione rimane stabile post-autenticazione

Test 4: Creare passkey dalle impostazioni#

Convalida la gestione delle passkey in-app

✓ RP ID, discoverability e flag BE/BS corretti
✓ L'app rimane autenticata dopo la creazione
✓ Il password manager si aggiorna immediatamente con le etichette corrette

Test 5: Eliminare la passkey e provare a riaccedere#

Testa la gestione del ciclo di vita delle credenziali

✓ Elimina la passkey nelle impostazioni ✓ Il login con passkey non è possibile
✓ Viene offerta un'opzione di fallback adeguata

4.2 Test di compatibilità multipiattaforma#

Test 6: Utilizzare passkey create in modo nativo sul web (stesso dispositivo)#

Convalida la portabilità da app a web

✓ Il browser riconosce le passkey create dall'app
✓ Il foglio di selezione mostra l'associazione corretta con l'RP
✓ L'autenticazione si completa senza la deviazione QR/CDA

Test 7: Utilizzare passkey create sul web nell'app nativa#

Testa la condivisione delle credenziali da web ad app

✓ L'app fa emergere la credenziale creata sul web nella selezione
✓ L'autenticazione al primo tentativo va a buon fine
✓ Nessun fallback forzato alla password

Test 8: Sincronizzazione cross-device (da mobile a desktop)#

Verifica la sincronizzazione delle passkey dall'app nativa al browser desktop

✓ La passkey creata dall'app si sincronizza con il password manager desktop ✓ La passkey sincronizzata funziona perfettamente nel browser desktop ✓ Nessun codice QR / flusso cross-device viene attivato ✓ L'autenticazione viene completata senza loop o errori

Test 9: Sincronizzazione cross-device (da desktop a mobile)#

Verifica la sincronizzazione delle passkey dal browser desktop all'app nativa

✓ La passkey creata sul desktop si sincronizza con il password manager mobile ✓ L'app nativa mostra correttamente la passkey sincronizzata ✓ L'autenticazione riesce senza fallback alla password ✓ I log collegano l'asserzione al corretto ID della credenziale

Test 10: Il mobile come autenticatore per il web#

Convalida gli scenari con telefono come chiave di sicurezza

✓ Il telefono offre credenziali create dall'app per il CDA web
✓ Nessun falso errore "nessuna passkey disponibile"
✓ La sessione web viene completata dopo la biometria mobile

5. Problemi comuni e strategie di mitigazione#

I nostri test approfonditi hanno rivelato diversi pattern ricorrenti che influenzano l'integrazione delle passkey dei password manager di terze parti:

Ritardi di sincronizzazione cross-device#

Problema: Le credenziali create su un dispositivo potrebbero non apparire immediatamente su altri.

Soluzione: Implementa una logica di retry con backoff esponenziale. Fornisci opzioni di aggiornamento manuale per gli utenti che riscontrano ritardi di sincronizzazione.

Comportamenti specifici della versione#

Problema: Il comportamento dei password manager varia significativamente tra le versioni dell'OS, specialmente su Android 14+ e iOS 17+.

Soluzione: Mantieni una matrice di compatibilità e regola i flussi in base alla versione OS rilevata. Considera i requisiti di versione minima per un'esperienza ottimale.

6. Conclusione: Costruire il supporto passkey per la produzione#

L'implementazione efficace del supporto alle passkey di password manager di terze parti nelle app native richiede test metodici e attenzione ai dettagli. Il nostro piano di test completo, perfezionato tramite test nel mondo reale, fornisce una solida base per convalidare l'integrazione delle tue passkey.

Punti chiave per la distribuzione in produzione:

1. Testare in modo sistematico: Usa il nostro piano di test come linea di base, adattandolo ai tuoi casi d'uso specifici
2. Rispettare la scelta dell'utente: Supporta i password manager che i tuoi utenti preferiscono, non solo quelli predefiniti dalla piattaforma
3. Monitoraggio continuo: Implementa un logging completo per catturare i casi limite in produzione
4. Documentare in modo accurato: Mantieni registri chiari dei comportamenti specifici del provider e delle soluzioni alternative

L'ecosistema delle passkey continua ad evolversi rapidamente. I password manager aggiornano regolarmente le loro implementazioni, i sistemi operativi introducono nuove funzionalità e la specifica WebAuthn stessa avanza. Creando ora un framework di test robusto, sarai preparato ad adattarti man mano che la tecnologia matura.

Continueremo ad aggiornare i nostri SDK e la metodologia di test man mano che emergono nuovi pattern. L'investimento in test approfonditi sui password manager di terze parti paga dividendi in termini di riduzione del carico di assistenza e miglioramento della soddisfazione degli utenti. Dopotutto, l'autenticazione dovrebbe semplicemente funzionare, a prescindere dal password manager scelto dai tuoi utenti.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →

Domande frequenti#

Quali password manager di terze parti dovrei priorizzare quando testo le passkey delle app native?#

Priorizza 1Password, Bitwarden, Dashlane, Proton Pass e NordPass come target primari. Questi cinque provider coprono l'85% degli utenti di password manager di terze parti nei mercati EU/USA/UK/AUS/NZ, offrendo un'ampia copertura senza sovrainvestire in provider di nicchia.

Perché le passkey create in un'app nativa non si sincronizzano tra i dispositivi quando si usa un password manager di terze parti?#

L'errata configurazione dei flag di backup eligibility (BE) e backup state (BS) è una delle cause principali degli errori di sincronizzazione cross-device. Alcuni password manager di terze parti impostano questi flag in modo non corretto, in modo che una passkey esista su un dispositivo ma non si sincronizzi sugli altri, anche se lo stesso password manager è installato su entrambi.

Come risolvo i bug dell'interfaccia utente di Credential Manager su Android che appaiono come task separati nella schermata dei Recenti?#

Impostare MainActivity su launchMode singleInstance fa in modo che la UI del Credential Manager venga generata come un'attività separata, creando una voce confusa nei Recenti e potenzialmente bloccando l'app quando in background. Cambiare la configurazione su launchMode singleTask risolve questo problema su diversi OEM tra cui Samsung, Google e Vivo.

Quali flussi di autenticazione devo testare quando valido il supporto ai password manager di terze parti in un'app nativa iOS o Android?#

Un piano di test completo copre 10 scenari: creazione e cancellazione controllata della passkey, autenticazione tramite overlay e campo di testo, gestione delle credenziali in-app, cancellazione delle credenziali con fallback e sincronizzazione bidirezionale cross-device. I test multipiattaforma dovrebbero anche confermare che le passkey create dall'app si autentichino in un browser e che le passkey create sul web si autentichino nell'app nativa.