Passkeys-Nutzerpfade

Passkeys sind eine neue Technologie in einer Welt, in der Passwörter üblich sind. Wenn Sie sich auf eine gute User Experience (UX) konzentrieren, wird das digitale Leben Ihrer Nutzer durch das Hinzufügen von Passkeys als Authentifizierungsoption einfacher und sicherer. Best Practices für Passkeys entwickeln sich ständig weiter. Wenn Sie die Anleitung für gängige Nutzeraktionen befolgen, können Sie den Entwicklungsprozess beschleunigen und dafür sorgen, dass Ihre Nutzer Passkeys problemlos verwenden können.

In diesem Artikel finden Sie Empfehlungen für die folgenden Nutzeraktionen:

  • Passkeys erstellen
  • Neue Konten mit Passkeys erstellen
  • Mit Passkeys anmelden
  • Passkeys verwalten

Diese Empfehlungen basieren auf UX-Studien und Richtlinien der FIDO Alliance sowie auf den Erkenntnissen des User Experience-Teams bei Google.

Alle Empfehlungen werden am Beispiel von Trailblazer, einer fiktiven Fitness-Website, gezeigt.

Neben der Einhaltung der Best Practices sollten Sie die Nutzerfreundlichkeit Ihrer Website möglichst früh und regelmäßig testen. So können Sie sicherstellen, dass die Implementierung des Passkeysystems intuitiv ist und den Anforderungen Ihrer Nutzer entspricht.

Passkeys erstellen

Damit Ihre Nutzer in der richtigen Stimmung sind, um einen Passkey zu erstellen, sollten Sie sie im Rahmen von kontobezogenen Aufgaben dazu auffordern. Es gibt vier wichtige User Journeys, bei denen es sich empfiehlt, die Option zum Erstellen von Passkeys einzubauen:

  • Bei der Anmeldung.
  • Im Bereich „Sicherheit“ in den Kontoeinstellungen.
  • Nach der Kontowiederherstellung.
  • Nach der erneuten Autorisierung.

Anmelden

Der Anmeldevorgang ist eine gute Gelegenheit, Passkeys einzuführen, da Nutzer sich an diesem Punkt bereits auf Sicherheit und Authentifizierung konzentrieren.

Wenn Sie Passkeys während der Anmeldephase einführen, können Sie Nutzer proaktiv auf die zukünftige Nutzung Ihres Dienstes vorbereiten. Dieser Zeitpunkt stimmt auch mit einem hohen Maß an Vertrauen überein, dass der Nutzer tatsächlich der ist, für den er sich ausgibt. So wird die Sicherheit und Nutzerfreundlichkeit Ihrer Plattform insgesamt verbessert.

Ein guter Nutzerablauf könnte so aussehen: Der Nutzer wird wie gewohnt authentifiziert, erfährt, dass er einen Passkey erstellen kann, das Betriebssystemdialogfeld für die Passkey-Erstellung wird ausgelöst und der Nutzer wird darüber informiert, dass der Passkey erfolgreich erstellt wurde. Lassen Sie den Nutzer dann in seinem eigenen Tempo fortfahren.

Screenshot der Trailblazer-Anmeldeseite mit ausgefüllten Eingabefeldern für E-Mail-Adresse und Passwort.
Der Nutzer gibt Nutzernamen und Passwort ein.


Screenshot einer Trailblazer-Seite nach der Anmeldung Sie werden aufgefordert, Passkeys zu verwenden.
Nach der erfolgreichen Anmeldung wird der Nutzer aufgefordert, Passkeys für sein Konto zu verwenden.


Screenshot einer Trailblazer-Seite nach dem erfolgreichen Erstellen eines Passkeys
Nachdem ein Passkey erfolgreich erstellt wurde, wird dem Nutzer eine Bestätigungsmeldung angezeigt.

Bereich „Sicherheit“ in den Kontoeinstellungen

Die Integration von Passkey-Optionen in die Sicherheitseinstellungen des Kontos eines Nutzers ist logisch und kontextuell angemessen. So können Nutzer ihre Passkeys im Rahmen ihrer allgemeinen Sicherheitskonfiguration ganz einfach verwalten und aktualisieren. Außerdem können Sie Nutzer jetzt nach Informationen zur Kontowiederherstellung fragen, z. B. nach einer Telefonnummer oder E-Mail-Adresse.

Screenshot der Seite mit den Trailblazer-Einstellungen. Der Tab „Einstellungen“ ist aktiv und die Passkey-Einstellungen werden angezeigt.
Auf der Seite „Passkey-Einstellungen“ werden alle verfügbaren Passkeys für ein Konto sowie Optionen zum Erstellen neuer Passkeys aufgeführt.

Recovery

Die Kontowiederherstellung ist eine weitere gute Gelegenheit, Nutzer dazu aufzufordern, einen Passkey zu erstellen.

Die Kontowiederherstellung ist nie einfach und in solchen Momenten ist die Bedeutung der Kontosicherheit wahrscheinlich das Wichtigste, was einem in den Sinn kommt. Wenn sie wieder angemeldet sind, können Sie ihnen helfen, einen Passkey für zukünftige Anmeldungen zu erstellen.

Dies schafft die Grundlage für mehr Sicherheit und ermöglicht dem Nutzer eine erfolgreiche und optimierte Nutzung bei zukünftigen Interaktionen.

Screenshot einer Trailblazer-Seite mit einer Aufforderung zum Starten der Kontowiederherstellung.
Eine Aufforderung, in der Nutzern die Kontowiederherstellung per E‑Mail oder Telefon angeboten wird.


Screenshot einer Trailblazer-Seite mit einer Aufforderung zur Rückkehr und Informationen zu Passkeys.
Sobald der Nutzer wieder in seinem Konto angemeldet ist, fordern Sie ihn auf, einen Passkey zu erstellen.

Neuautorisierung

Manchmal ist es erforderlich, dass sich ein Nutzer noch einmal anmeldet oder eine Challenge besteht, bevor er vertrauliche Aktionen wie das Senden von Geld oder das Bearbeiten personenbezogener Daten ausführen kann. Nachdem ein Nutzer seine Identität bestätigt hat, können Sie ihn dazu auffordern, einen Passkey zu erstellen.

So wird die erhöhte Sensibilität des Nutzers für Sicherheit genutzt und gleichzeitig ein komfortableres Verfahren für die erneute Authentifizierung bei zukünftigen Interaktionen versprochen. Dieser proaktive Ansatz verbessert die allgemeine Kontosicherheit und sorgt gleichzeitig für eine nutzerfreundliche Umgebung.

Passkey-Erstellung abbrechen

Informieren Sie den Nutzer deutlich, wenn die Passkey-Erstellung nicht erfolgreich war, und erwägen Sie, eine Funktion zu implementieren, die Nutzerfeedback ermöglicht, um potenzielle Probleme zu erkennen (dies kann im Produkt oder auch per E-Mail oder auf einem anderen Weg erfolgen).

Bieten Sie dem Nutzer außerdem eine einfache Möglichkeit, den Erstellungsprozess noch einmal zu versuchen oder in Zukunft einen neuen Passkey zu erstellen, z. B. über die Sicherheitseinstellungen. So wird sichergestellt, dass Nutzer, die die Passkey-Erstellung absichtlich oder versehentlich abgebrochen haben, sie noch einmal versuchen können.

Neue Konten mit Passkeys erstellen

Wenn Sie ein neues Konto mit einem Passkey erstellen, kann es hilfreich sein, den Nutzer auf eine bestimmte Seite weiterzuleiten, auf der er sowohl einen Anzeigenamen als auch einen eindeutigen Nutzernamen eingeben kann. Auf einer bestimmten Seite können Sie Ablenkungen vermeiden und sich auf das Hauptziel konzentrieren. Erstellen Sie dann den Passkey.

Wenn ein Nutzer ein Konto mit einem Passkey erstellt, ist es wichtig, eine Methode zur Kontowiederherstellung festzulegen. Das kann über eine Telefonnummer, eine E‑Mail-Adresse, eine Anmeldung über soziale Medien wie „Mit Google anmelden“ oder eine andere Option erfolgen, die für Sie gut funktioniert. Die beste Option kann je nach den spezifischen demografischen Merkmalen und Vorlieben Ihrer Nutzer variieren. Je nach den für Ihre Anwendung erforderlichen Sicherheitsanforderungen sollten Sie möglicherweise auch im Rahmen der Kontoerstellung einen Identitätsnachweis erbringen.

Diese Methode dient als Möglichkeit, das Konto wiederherzustellen, falls der Nutzer den Zugriff auf seinen Passkey verliert oder sich auf einem Gerät anmeldet, auf dem Passkeys noch nicht verfügbar sind. So können Nutzer immer auf ihre Konten zugreifen.

Screenshot einer Trailblazer-Seite zum Erstellen eines Kontos.
Seite zum Erstellen eines Kontos auf der Trailblazer-Website

Mit Passkeys anmelden

Passkeys bieten flexible Anmeldeoptionen: Geben Sie Ihren Nutzernamen ein oder wählen Sie aus einer Liste von Passkeys für Ihre Domain aus. Für einen schnellen und fehlerfreien Zugriff können Sie die WebAuthn-Funktion zum Anzeigen einer Liste von Passkeys für eine bestimmte Domain verwenden. Dadurch werden Passkeys direkt angezeigt, was Zeit spart und die Notwendigkeit der Eingabe verringert.

Anmeldeseite gestalten

Bei der Gestaltung einer effektiven Anmeldeseite sollten Sie auf Geschwindigkeit, Nutzerfreundlichkeit und Verständlichkeit achten.

Es kann hilfreich sein, die Autofill-Funktion in modernen Webbrowsern zu nutzen, um Passkeys für Nutzer bereitzustellen, oder die Credential Manager API zu integrieren, damit der Passkey so früh wie möglich angeboten wird.

Wenn Sie mehrere Anmeldeoptionen wie Nutzername und Passwortfelder sowie verschiedene soziale Anmeldungen anbieten, kann das für Ihre Nutzer zwar vielseitig, aber auch überfordernd sein. Priorisieren Sie die Optionen und präsentieren Sie die für Ihre Nutzerbasis nützlichsten. Auch wenn die Nutzung von Passkeys derzeit noch geringer sein mag, verbessern sie die Sicherheit und die Nutzerfreundlichkeit. Außerdem nutzen immer mehr Nutzer Passkeys. Wenn Sie Passkeys jetzt implementieren, sind Sie für die Zukunft gerüstet.

Wenn Sie eine separate Schaltfläche für Passkeys einbinden, muss sie sich nahtlos in Ihr Design und Ihre Identität einfügen.

Passkeys verwalten

Das Wort „Erstellen“ verwenden

Das Wort „Erstellen“ beschreibt den Vorgang des Generierens eines neuen, eindeutigen Passkeys besser. Im Gegensatz zu einem Passwort kann ein Konto mehrere Passkeys haben, die für die Anmeldung verwendet werden können. Ein Passkey wird daher in der Regel nicht wie ein Passwort geändert, sondern erstellt und der Liste der verfügbaren Passkeys hinzugefügt. Nutzer können sie nach Bedarf löschen.

Ein Passkey ist ein eindeutiges Anmeldedatum, mit dem sich Nutzer einfach und sicher anmelden können. Es ist nicht so, als würden Sie einer App oder einem Dienst eine Kopie Ihres Passworts geben, damit diese es speichern und abgleichen können.

Nutzern das Auffinden von Passkeys in Ihrem Dienst erleichtern

Die Quelle jedes Passkeys muss deutlich angegeben werden (in diesem Zusammenhang manchmal auch als „Herkunft“ bezeichnet), unabhängig davon, ob es sich um den Google Passwortmanager, den iCloud-Schlüsselbund, Windows Hello oder einen Drittanbieter-Passwortmanager handelt, der Passkeys unterstützt. Wenn Sie diese Informationen an Ihre Nutzer weitergeben, können sie besser nachvollziehen, welche Passkeys in der Benutzeroberfläche aufgeführt sind.

Screenshot der Seite „Trailblazer-Sicherheitseinstellungen“ mit Passkey-Einstellungen, auf der drei Passkeys und ihre Quellen zu sehen sind.
Die Seite „Trailblazer-Sicherheitseinstellungen“ mit Passkey-Einstellungen, auf der drei Passkeys und ihre Quellen angezeigt werden.

Einer zusätzlichen Passkey-Gruppe im selben Ökosystem eine Nummer hinzufügen

Wenn ein Nutzer mehr als einen Passkey auf Geräten aus demselben Ökosystem erstellt, fügen Sie den zusätzlichen Passkeys Nummern hinzu, damit der Nutzer sie unterscheiden kann.

Screenshot der Seite „Trailblazer-Sicherheitseinstellungen“ mit Passkey-Einstellungen, auf der drei Passkeys und ihre Quellen zu sehen sind. Die letzten beiden sind mit „Google Passwortmanager 1“ und „Google Passwortmanager 2“ gekennzeichnet.
Auf der Seite mit den Einstellungen für Passkeys werden Passkeys und ihre Quellen angezeigt. Die beiden vom Google Passwortmanager erstellten Passkeys sind mit „Google Passwortmanager 1“ und „Google Passwortmanager 2“ gekennzeichnet.

Verwenden Sie den Begriff „Löschen“, wenn Sie einen Passkey entfernen.

Wenn ein Nutzer einen Passkey entfernen möchte, den er auf Ihrer Website verwendet hat, können Sie den öffentlichen Schlüssel von Ihrem Server entfernen. Der private Schlüssel wird jedoch nicht aus der Anmeldedatenverwaltung des Nutzers oder von seinem Gerät gelöscht. Auch wenn es sich bei diesem Vorgang technisch gesehen um einen „Widerruf“ handelt, wird aus Gründen der Einfachheit und zur leichteren Lokalisierung empfohlen, in der Benutzeroberfläche für die Passkey-Verwaltung den Begriff „Löschen“ zu verwenden.

Wenn Sie Supportseiten zur Kontoverwaltung haben, fügen Sie Informationen zur Verwaltung von Passkeys hinzu und verlinken Sie auf Passkey-Verwaltungsseiten auf verschiedenen Plattformen wie Chrome und iOS.

Screenshot eines Pop-up-Fensters zum Löschen eines Passkeys.
Beispiel für die Verwaltungs-UI während des Widerrufs. Wenn der Nutzer auf „Löschen“ klickt, sollte der Passkey aus der Benutzeroberfläche entfernt werden.

E‑Mail-Adresse oder Telefonnummer als Fallback haben

Wenn Sie eine E‑Mail-Adresse oder Telefonnummer zur Kontowiederherstellung haben, kann der Nutzer sein Konto wiederherstellen, wenn er alle seine Passkeys löscht. Sie können ihnen einen Anmeldelink oder einen Code senden, damit sie wieder auf ihr Konto zugreifen können. Sie können Nutzern auch anbieten, eine Anmeldung über soziale Netzwerke einzurichten, z. B. „Mit Google anmelden“.

Mehrere Passkeys verwalten

Im Gegensatz zu herkömmlichen Passwörtern kann ein Nutzer für ein einzelnes Konto mehrere Passkeys auf verschiedenen Geräten erstellen. Wenn Sie den Passkey eines Nutzers auf einem bestimmten Gerät nicht finden können und der Nutzer sich mit einer Fallback-Anmeldemethode anmeldet, obwohl er in der Vergangenheit einen Passkey erstellt hat, sollten Sie den Nutzer auffordern, einen neuen Passkey zu erstellen. Dadurch werden entweder die Informationen in ihrem Anmeldedatenmanager aktualisiert oder ein neuer Passkey auf ihrem aktuellen Gerät erstellt.

FIDO-Richtlinien zur Nutzererfahrung

Weitere Beispiele und detaillierte Diagramme zum Nutzerverhalten finden Sie in den FIDO-UX-Richtlinien für Passkeys und Anmeldungen.