In un mondo in cui la sicurezza digitale sta diventando sempre più critica, le password sono diventate un noto punto debole: sono scomode, spesso non sicure e fonte di frustrazione per utenti e sviluppatori. Ma c'è una buona notizia: le passkey stanno diventando sempre più popolari come meccanismo di autenticazione più facile da usare, resistente al phishing e sicuro disponibile. Per gli sviluppatori Android, l'API Credential Manager ti aiuta a guidare gli utenti verso l'utilizzo delle passkey, garantendo al contempo il supporto continuo per i meccanismi di accesso tradizionali, come le password.

In questo blog, esaminiamo alcune delle best practice da seguire per incoraggiare gli utenti a passare alle passkey.

Informazioni sull'autenticazione con le passkey

Prima di esaminare i suggerimenti per incoraggiare la transizione alle passkey, ecco una panoramica dei fondamenti dell'autenticazione con le passkey:

• Passkey: si tratta di credenziali crittografiche che sostituiscono le password. Le passkey sono associate ai meccanismi di sblocco del dispositivo e sono il metodo di autenticazione consigliato per app e siti.
• Gestore delle credenziali: un'API Jetpack che fornisce un'interfaccia API unificata per interagire con diversi tipi di autenticazione, tra cui passkey, password e meccanismi di accesso federato come Accedi con Google.

In che modo le passkey aiutano gli utenti?

Gli utenti riscontrano diversi vantaggi concreti nelle app che consentono loro di utilizzare le passkey per accedere. Di seguito sono riportati i vantaggi principali dell'utilizzo delle passkey per gli utenti:

• Esperienza di accesso migliorata:gli utenti visualizzano la stessa UI indipendentemente dal fatto che utilizzino password, passkey o meccanismi di accesso federato come Accedi con Google.
• Tempi di accesso ridotti:anziché digitare le password, gli utenti utilizzano i meccanismi di sblocco dello smartphone, come la biometria, per un'esperienza di accesso fluida.
• Maggiore sicurezza:le passkey utilizzano la crittografia a chiave pubblica, in modo che le violazioni dei dati dei fornitori di servizi non compromettano gli account protetti da passkey. Inoltre, si basano su API e protocolli standard del settore per garantire che non siano soggette ad attacchi di phishing. Scopri di più sulla sincronizzazione e sulla sicurezza qui.
• Esperienza unificata su tutti i dispositivi:grazie alla possibilità di sincronizzare le passkey su più dispositivi, gli utenti usufruiscono di un'autenticazione semplificata, indipendentemente dal dispositivo che utilizzano.
• Nessun problema dovuto a password dimenticate.

Per sottolineare la migliore esperienza con le passkey, abbiamo ricevuto feedback da diverse app importanti. X ha osservato che i tassi di accesso sono migliorati di due volte dopo aver aggiunto le passkey ai flussi di autenticazione. KAYAK, un motore di ricerca di viaggi, ha osservato che il tempo medio impiegato dai suoi utenti per registrarsi e accedere si è ridotto del 50% dopo aver incorporato le passkey nei propri flussi di autenticazione. Zoho, una suite software completa basata su cloud incentrata sulla sicurezza e su esperienze fluide, ha ottenuto accessi 6 volte più veloci adottando le passkey nella sua app OneAuth per Android.

Quali sono i vantaggi per te?

Quando esegui la migrazione della tua app per utilizzare le passkey, sfrutterai l'API Credential Manager, che è lo standard consigliato per l'identità e l'autenticazione su Android.

Oltre alle passkey, l'API Credential Manager supporta i meccanismi di accesso tradizionali, semplificando lo sviluppo e la manutenzione dei flussi di autenticazione.

Per tutti questi meccanismi di accesso, Gestore delle credenziali offre un'interfaccia utente integrata nel riquadro inferiore, consentendoti di risparmiare tempo di sviluppo e offrendo agli utenti un'esperienza coerente.

Quando devi chiedere agli utenti di utilizzare le passkey?

Ora che abbiamo stabilito i vantaggi delle passkey, vediamo come incoraggiare gli utenti a eseguire la migrazione.

Di seguito è riportato un elenco di flussi UX in cui puoi promuovere le passkey:

• Registrazione dell'account utente:introduci prompt di creazione della passkey in momenti chiave, ad esempio quando gli utenti creano i loro account:

Prompt contestuali durante la creazione dell'account

• Accesso:ti consigliamo di invitare gli utenti a richiedere le passkey subito dopo l'accesso con una password monouso, una password o altri meccanismi di accesso.

Richiedere la creazione di passkey durante l'accesso

• Recupero dell'account:il Critical User Journey (CUJ) per il recupero dell'account è uno che storicamente presenta attrito per gli utenti. Invitare gli utenti ad adottare le passkey durante il recupero dell'account è un percorso consigliato. Gli utenti che adottano le passkey hanno un'esperienza di recupero dell'account simile a quella dell'accesso.

Flusso di recupero dell'account

• Reimpostazioni della password:questo è il momento perfetto per chiedere agli utenti di creare una passkey. Dopo la frustrazione di una reimpostazione della password, gli utenti sono in genere più ricettivi alla comodità e alla sicurezza offerte dalle passkey.

Crea una passkey per accedere più velocemente la prossima volta

Come dovresti incoraggiare la transizione alle passkey?

Per incoraggiare gli utenti a passare dalle password alle passkey è necessaria una strategia chiara. Di seguito sono riportate alcune best practice consigliate:

• Proposta di valore chiara:utilizza prompt semplici e incentrati sull'utente per spiegare i vantaggi delle passkey. Utilizza messaggi che evidenziano i vantaggi per gli utenti. Sottolinea i seguenti vantaggi:
  • Vantaggi di sicurezza migliorati, come la protezione dal phishing.
  • Non è necessario digitare una password.
  • Possibilità di utilizzare la stessa passkey su dispositivi/piattaforme.
  • Un'esperienza di autenticazione coerente.

Prompt per la passkey con una proposta di valore chiara

• Offrire un'esperienza utente fluida:
  • Utilizza il Gestore delle credenziali fornito da Credential Manager per mostrare tutte le opzioni di accesso disponibili, consentendo all'utente di scegliere il metodo preferito senza dover ricordare quale ha utilizzato l'ultima volta.
  • Utilizza l'icona della passkey ufficiale per creare familiarità con gli utenti e offrire un'esperienza coerente.
  • Assicurati che gli utenti possano ripiegare sui metodi di accesso tradizionali o su un metodo di recupero, ad esempio un nome utente e una password, se una passkey non è disponibile o se utilizzano un altro dispositivo.
• Fornisci agli utenti informazioni chiare sulle credenziali all'interno dell'interfaccia utente delle impostazioni della tua app:assicurati che gli utenti comprendano le opzioni di autenticazione mostrando informazioni utili su ogni passkey all'interno delle impostazioni dell'app. Per scoprire di più sull'aggiunta di metadati delle credenziali, consulta la documentazione di Gestore delle credenziali.

Metadati delle passkey nella schermata delle impostazioni dell'app

• Informa gli utenti:integra i messaggi per adottare le passkey con risorse didattiche o link in-app che spiegano in dettaglio le passkey.
• Implementazione progressiva: valuta la possibilità di un'implementazione graduale per introdurre le passkey a un sottoinsieme della tua base utenti, raccogliere feedback e perfezionare l'esperienza utente prima di un lancio più ampio.

Case study per sviluppatori

Le esperienze reali degli sviluppatori spesso evidenziano come piccole scelte di progettazione, ad esempio quando e dove mostrare una richiesta di passkey, possano influenzare in modo significativo l'adozione e la fiducia degli utenti. Per vedere questo in azione, esploriamo come le migliori app hanno mostrato in modo strategico le richieste di passkey in momenti chiave delle loro app per favorirne l'adozione :

Uber

Per accelerare l'adozione delle passkey, Uber le promuove in modo proattivo in vari percorsi utente, insieme alle strategie di marketing.

Uber ha dichiarato: "Oltre il 90% delle registrazioni delle passkey deriva dalla promozione della creazione di passkey in momenti chiave all'interno dell'app rispetto ai CUJ di onboarding e autenticazione", sottolineando l'efficacia della sua strategia proattiva.

Principali insegnamenti e strategie derivanti dalla loro implementazione:

• Offri passkey senza interrompere l'esperienza utente principale: Uber ha aggiunto una nuova esperienza di controllo dell'account nelle impostazioni dell'account per evidenziare i vantaggi delle passkey, ottenendo tassi di adozione elevati.

Procedura di controllo dell'account utente

• Introdurre in modo proattivo le passkey per gli utenti:hanno imparato a non aspettare che gli utenti scoprano le passkey in modo organico, perché fare affidamento sull'adozione organica sarebbe stato più lento nonostante i vantaggi osservati, come accessi più rapidi e percentuali di successo degli accessi più elevate per gli utenti di passkey.
• Utilizza mezzi aggiuntivi per promuovere le passkey:Uber sta anche sperimentando la promozione delle passkey tramite campagne email o banner nella schermata dell'account di un utente per mettere in evidenza il nuovo metodo di accesso, rendendo il successivo accesso più semplice e sicuro.
• Rispetta la scelta dell'utente:consapevole del fatto che non tutti gli utenti sono pronti per le passkey, Uber ha implementato una logica di backoff nei flussi critici come le schermate di accesso e registrazione e, in alcuni contesti, offre le passkey insieme ad altri metodi di autenticazione familiari.

Ecco che cosa ha dichiarato Uber:

"In Uber, abbiamo notato che gli utenti che adottano le passkey usufruiscono di un'esperienza di accesso più rapida, fluida e sicura. Per aiutare un maggior numero di utenti a trarre vantaggio dalle passkey, abbiamo aggiunto dei suggerimenti per crearne una nei momenti chiave dell'esperienza utente: impostazioni dell'account, registrazione e accesso. Questi contatti proattivi hanno accelerato in modo significativo l'adozione delle passkey".

Ryan O’Laughlin, Senior Software Engineer, Uber

Economic Times

Economic Times, parte dell'ecosistema Times Internet, ha utilizzato un'esperienza utente fluida come motivazione principale per gli utenti a passare alle passkey.

Dopo l'introduzione dei suggerimenti mirati, l'Economic Times ha osservato un miglioramento di circa il 10% nel tasso di completamento della creazione delle passkey nel periodo di implementazione iniziale.

Principali insegnamenti e strategie derivanti dalla loro implementazione:

• Richieste strategiche di generazione delle passkey: inizialmente, Economic Times richiedeva in modo aggressivo la creazione di passkey in più flussi utente, ma è stato osservato che questo approccio interrompeva i percorsi critici per l'attività, come gli acquisti di abbonamenti o lo sblocco di funzionalità premium, e portava all'abbandono dei carrelli.
• Approccio perfezionato:Economic Times ha preso la decisione deliberata di rimuovere le richieste di generazione delle passkey dai flussi sensibili (come il flusso di pagamento dell'abbonamento) per dare la priorità al completamento immediato dell'azione.
• Richieste mirate:hanno mantenuto strategicamente la generazione di passkey nelle aree in cui l'intenzione dell'utente di accedere o gestire l'autenticazione è elevata, ad esempio i flussi di registrazione iniziali, le pagine di accesso esplicite o le sezioni di gestione dell'account.
• Risultato positivo: questa implementazione perfezionata ha comportato un miglioramento dei numeri di generazione delle passkey, il che indica una forte adozione da parte degli utenti, senza compromettere l'esperienza utente nei flussi aziendali critici.

Schermata di gestione delle passkey

Conclusione

L'integrazione delle passkey con Gestore delle credenziali di Android non riguarda solo l'adozione di una nuova tecnologia, ma anche la creazione di un'esperienza fondamentalmente più sicura, comoda e piacevole per i tuoi utenti. Concentrandoti sull'introduzione intelligente delle passkey, non solo proteggi gli account, ma crei fiducia e prepari la strategia di autenticazione della tua applicazione per il futuro.

Per offrire ai tuoi utenti un'esperienza ottimale e senza interruzioni, segui le linee guida UX durante l'implementazione dell'autenticazione con passkey con Gestore delle credenziali. Dai un'occhiata alla documentazione oggi stesso.

• Esempio con le best practice per l'esperienza utente
• Accedere con l'utente utilizzando Gestore delle credenziali
• Riferimento API - androidx.credentials
• Autenticazione utente con passkey
• Centro per la sicurezza online di Google - Passkey
• Google Security Blog: Security of Passkeys in the Google Password Manager