In un mondo in cui la sicurezza digitale sta diventando sempre più importante, le password sono diventate un noto punto debole: sono scomode, spesso non sicure e fonte di frustrazione per utenti e sviluppatori. Ma ci sono buone notizie: le passkey stanno guadagnando popolarità come meccanismo di autenticazione più facile da usare, resistente al phishing e sicuro disponibile. Per gli sviluppatori Android, l'API Credential Manager ti aiuta a guidare gli utenti verso l'utilizzo delle passkey, garantendo al contempo il supporto continuo per i meccanismi di accesso tradizionali, come le password.

In questo blog, parleremo di alcune delle best practice da seguire quando incoraggi gli utenti a passare alle passkey.

Informazioni sull'autenticazione con le passkey

Prima di approfondire i consigli per incoraggiare la transizione alle passkey, ecco una panoramica dei principi fondamentali dell'autenticazione con le passkey:

• Passkey: sono credenziali di crittografia che sostituiscono le password. Le passkey sono associate ai meccanismi di sblocco dei dispositivi e sono il metodo di autenticazione consigliato per app e siti.
• Gestore delle credenziali: un'API Jetpack che fornisce un'interfaccia API unificata per interagire con diversi tipi di autenticazione, tra cui passkey, password e meccanismi di accesso federato come Accedi con Google.

In che modo le passkey aiutano gli utenti?

Gli utenti riscontrano diversi vantaggi tangibili nelle app che consentono loro di utilizzare le passkey per accedere. Di seguito sono riportati i punti salienti dell'utilizzo delle passkey per gli utenti:

• Esperienza di accesso migliorata: gli utenti visualizzano la stessa UI sia che utilizzino password, passkey o meccanismi di accesso federato come Accedi con Google.
• Tempo di accesso ridotto: anziché digitare le password, gli utenti utilizzano i meccanismi di sblocco dello smartphone, come la biometria, per un'esperienza di accesso fluida.
• Maggiore sicurezza: le passkey utilizzano la crittografia a chiave pubblica, in modo che le violazioni dei dati dei fornitori di servizi non compromettano gli account protetti da passkey e si basano su API e protocolli standard del settore per garantire che non siano soggette ad attacchi di phishing. (Scopri di più sulla sincronizzazione e la sicurezza qui).
• Esperienza unificata su tutti i dispositivi: grazie alla possibilità di sincronizzare le passkey su tutti i dispositivi, gli utenti usufruiscono di un'autenticazione semplificata indipendentemente dal dispositivo che utilizzano.
• Nessun problema dovuto a password dimenticate.

Per sottolineare l'esperienza migliorata con le passkey, abbiamo ricevuto feedback da diverse app di spicco. X ha osservato che i tassi di accesso sono migliorati di 2 volte dopo aver aggiunto le passkey ai flussi di autenticazione. KAYAK, un motore di ricerca di viaggi, ha osservato che il tempo medio impiegato dagli utenti per registrarsi e accedere si è ridotto del 50% dopo aver incorporato le passkey nei flussi di autenticazione. Zoho, una suite software completa basata su cloud incentrata sulla sicurezza e sulle esperienze senza interruzioni, ha ottenuto accessi 6 volte più veloci adottando le passkey nella sua app per Android OneAuth.

Quali sono i vantaggi per te?

Quando esegui la migrazione dell'app per utilizzare le passkey, utilizzerai l'API Credential Manager, che è lo standard consigliato per l'identità e l'autenticazione su Android.

Oltre alle passkey, l'API Credential Manager supporta i meccanismi di accesso tradizionali, semplificando lo sviluppo e la manutenzione dei flussi di autenticazione.

Per tutti questi meccanismi di accesso, Gestore delle credenziali offre un'UI a riquadro inferiore integrata, che ti consente di risparmiare tempo di sviluppo e di offrire agli utenti un'esperienza coerente.

Quando dovresti chiedere agli utenti di utilizzare le passkey?

Ora che abbiamo stabilito i vantaggi delle passkey, parliamo di come dovresti incoraggiare gli utenti a eseguire la migrazione alle passkey.

Di seguito è riportato un elenco di flussi UX in cui puoi promuovere le passkey:

• Registrazione dell'account utente: introduci le richieste di creazione di passkey nei momenti chiave, ad esempio quando gli utenti creano i loro account:

Richieste contestuali durante la creazione dell'account

• Accesso: ti consigliamo di incoraggiare gli utenti a richiedere le passkey nel momento in cui accedono con una password monouso, una password o altri meccanismi di accesso.

Richiedi la creazione di una passkey durante l'accesso

• Recupero dell'account: il Critical User Journey (CUJ) per il recupero dell'account è uno che storicamente presenta problemi per gli utenti. Ti consigliamo di chiedere agli utenti di adottare le passkey durante il recupero dell'account. Gli utenti che adottano le passkey hanno un'esperienza di recupero dell'account simile a quella dell'accesso.

Flusso di recupero dell'account

• Reimpostazione delle password: questo è il momento perfetto per chiedere agli utenti di creare una passkey; dopo la frustrazione di una reimpostazione della password, gli utenti sono in genere più ricettivi alla comodità e alla sicurezza offerte dalle passkey.

Crea una passkey per accedere più rapidamente la prossima volta

Come dovresti incoraggiare la transizione alle passkey?

Per incoraggiare gli utenti a passare dalle password alle passkey è necessaria una strategia chiara. Di seguito sono riportate alcune best practice consigliate:

• Proposta di valore chiara: utilizza richieste semplici e incentrate sull'utente per spiegare i vantaggi delle passkey. Utilizza messaggi che mettano in evidenza i vantaggi per gli utenti. Sottolinea i seguenti vantaggi:
  • Vantaggi in termini di sicurezza migliorati, ad esempio la protezione dal phishing.
  • Non è necessario digitare una password.
  • Possibilità di utilizzare la stessa passkey su dispositivi/piattaforme.
  • Un'esperienza di autenticazione coerente.

Richiesta di passkey con una proposta di valore chiara

• Offri un'esperienza utente senza interruzioni:
  • Utilizza il Gestore delle credenziali fornito da Credential Manager per mostrare tutte le opzioni di accesso disponibili, consentendo all'utente di scegliere il metodo preferito senza dover ricordare quale ha utilizzato l'ultima volta.
  • Utilizza l'icona ufficiale della passkey per creare familiarità con gli utenti e creare un'esperienza coerente.
  • Assicurati che gli utenti possano tornare ai metodi di accesso tradizionali o a un metodo di recupero, come un nome utente e una password, se una passkey non è disponibile o se utilizzano un dispositivo diverso.
• Fornisci agli utenti informazioni chiare sulle credenziali nell'UI delle impostazioni dell'app: assicurati che gli utenti comprendano le opzioni di autenticazione visualizzando informazioni utili su ogni passkey nelle impostazioni dell'app. Per scoprire di più sull'aggiunta di metadati delle credenziali, consulta la documentazione di Gestore delle credenziali.

Metadati delle passkey nella schermata delle impostazioni dell'app

• Informa gli utenti: integra i messaggi per adottare le passkey con risorse didattiche in-app o link che spiegano le passkey in dettaglio.
• Implementazione progressiva: valuta la possibilità di eseguire un'implementazione graduale per introdurre le passkey a un sottoinsieme della tua base di utenti per raccogliere feedback e perfezionare l'esperienza utente prima di un lancio più ampio.

Case study per sviluppatori

Le esperienze degli sviluppatori nel mondo reale spesso evidenziano come le piccole scelte di progettazione, ad esempio quando e dove mostrare una richiesta di passkey, possano influenzare in modo significativo l'adozione e la fiducia degli utenti. Per vedere questo in azione, esploriamo come le principali app hanno mostrato strategicamente le richieste di passkey nei momenti chiave delle loro app per favorire una maggiore adozione :

Uber

Per accelerare l'adozione delle passkey, Uber le promuove in modo proattivo in vari percorsi utente, insieme alle strategie di marketing.

Uber ha condiviso: "Oltre il 90% delle registrazioni delle passkey proviene dalla promozione della creazione di passkey nei momenti chiave all'interno dell'app rispetto ai CUJ di onboarding e autenticazione", sottolineando l'efficacia della sua strategia proattiva.

Strategie e insegnamenti chiave della loro implementazione:

• Offri le passkey senza interrompere l'esperienza utente principale: Uber ha aggiunto una nuova esperienza di controllo dell'account nelle impostazioni dell'account per evidenziare i vantaggi delle passkey, con conseguenti tassi di adozione elevati.

Flusso di controllo dell'account utente

• Porta le passkey agli utenti in modo proattivo: hanno imparato a non aspettare che gli utenti scoprano le passkey in modo organico, perché affidarsi all'adozione organica sarebbe stato più lento nonostante i vantaggi osservati, come accessi più rapidi e tassi di successo degli accessi più elevati per gli utenti delle passkey.
• Utilizza mezzi aggiuntivi per promuovere le passkey: Uber sta anche sperimentando la promozione delle passkey tramite campagne email o banner nella schermata dell'account di un utente per evidenziare il nuovo metodo di accesso, rendendo il prossimo accesso più facile e sicuro.
• Rispetta la scelta dell'utente: riconoscendo che non tutti gli utenti sono pronti per le passkey, Uber ha implementato la logica di backoff nei flussi critici come le schermate di accesso e registrazione e, in alcuni contesti, offre le passkey insieme ad altri metodi di autenticazione familiari.

Ecco cosa ha detto Uber:

"In Uber, abbiamo notato che gli utenti che adottano le passkey usufruiscono di un'esperienza di accesso più rapida, fluida e sicura. Per aiutare un maggior numero di utenti a usufruire dei vantaggi delle passkey, abbiamo aggiunto suggerimenti per creare una passkey nei momenti chiave dell'esperienza utente: impostazioni dell'account, registrazione e accesso. Questi approcci proattivi hanno accelerato in modo significativo l'adozione delle passkey."

Ryan O'Laughlin, Senior Software Engineer, Uber

Economic Times

Economic Times, parte dell'ecosistema Times Internet, ha utilizzato un'esperienza utente senza interruzioni come motivazione principale per gli utenti a passare alle passkey.

Dopo aver introdotto suggerimenti mirati, Economic Times ha osservato circa il 10% miglioramenti nella percentuale di completamento della creazione delle passkey nel periodo di implementazione iniziale.

Strategie e insegnamenti chiave della loro implementazione:

• Richieste strategiche di generazione di passkey: inizialmente, Economic Times richiedeva in modo aggressivo la creazione di passkey in più flussi utente, ma è stato osservato che questo approccio interrompeva i percorsi critici per l'attività , come gli acquisti di abbonamenti o lo sblocco delle funzionalità premium, e portava all'abbandono dei carrelli.
• Approccio perfezionato: Economic Times ha preso la decisione di rimuovere le richieste di generazione di passkey dai flussi sensibili (come il flusso di pagamento dell'abbonamento) per dare la priorità al completamento immediato dell'azione.
• Richieste mirate: hanno mantenuto strategicamente la generazione di passkey nelle aree in cui l'intenzione dell'utente di accedere o gestire l'autenticazione è elevata, ad esempio i flussi di registrazione iniziali, le pagine di accesso esplicite o le sezioni di gestione dell'account.
• Risultato positivo: questa implementazione perfezionata ha comportato un miglioramento dei numeri di generazione delle passkey, indicando una forte adozione da parte degli utenti, senza compromettere l'esperienza utente nei flussi aziendali critici.

Schermata di gestione delle passkey

Conclusione

L'integrazione delle passkey con Gestore delle credenziali di Android non riguarda solo l'adozione di una nuova tecnologia, ma anche la creazione di un'esperienza fondamentalmente più sicura, comoda e piacevole per gli utenti. Concentrandoti sull'introduzione intelligente delle passkey, non solo proteggi gli account, ma crei anche fiducia e proteggi la strategia di autenticazione della tua applicazione per il futuro.

Per offrire agli utenti l'esperienza migliore, ottimizzata e senza interruzioni, segui le linee guida UX durante l'implementazione dell'autenticazione con passkey con Gestore delle credenziali. Dai un'occhiata alla documentazione oggi stesso.

• Esempio con le best practice UX
• Accedi con l'utente utilizzando Gestore delle credenziali
• Riferimento API - androidx.credentials
• Autenticazione utente con le passkey
• Centro per la sicurezza online di Google - Passkey
• Blog sulla sicurezza di Google: Sicurezza delle passkey nel Gestore delle password di Google