In einer Welt, in der digitale Sicherheit immer wichtiger wird, sind Passwörter zu einem berüchtigten Schwachpunkt geworden. Sie sind umständlich, oft unsicher und eine Quelle der Frustration für Nutzer und Entwickler. Aber es gibt gute Nachrichten: Passkeys werden immer beliebter, da sie der nutzerfreundlichste, phishingresistente und sicherste Authentifizierungsmechanismus sind, der derzeit verfügbar ist. Für Android-Entwickler hilft die Credential Manager API dabei, Nutzer zur Verwendung von Passkeys zu bewegen und gleichzeitig die Unterstützung für herkömmliche Anmeldemechanismen wie Passwörter beizubehalten.

In diesem Blogpost werden einige der Best Practices beschrieben, die Sie befolgen sollten, wenn Sie Nutzer dazu anregen, zu Passkeys zu wechseln.

Authentifizierung mit Passkeys

Bevor wir uns die Empfehlungen ansehen, wie Sie Nutzer dazu anregen können, zu Passkeys zu wechseln, hier eine Übersicht über die Grundlagen der Authentifizierung mit Passkeys:

• Passkeys: Das sind kryptografische Anmeldedaten, die Passwörter ersetzen. Passkeys sind mit Mechanismen zum Entsperren von Geräten verknüpft und die empfohlene Authentifizierungsmethode für Apps und Websites.
• Credential Manager: Eine Jetpack API, die eine einheitliche API-Schnittstelle für die Interaktion mit verschiedenen Arten der Authentifizierung bietet, darunter Passkeys, Passwörter und föderierte Anmeldemechanismen wie „Über Google anmelden“.

Welche Vorteile haben Nutzer von Passkeys?

Es gibt mehrere konkrete Vorteile für Nutzer, die sich in Apps mit Passkeys anmelden können. Die wichtigsten Vorteile der Verwendung von Passkeys für Nutzer sind:

• Verbesserte Anmeldung: Nutzer sehen dieselbe Benutzeroberfläche, unabhängig davon, ob sie Passwörter, Passkeys oder föderierte Anmeldemechanismen wie „Über Google anmelden“ verwenden.
• Kürzere Anmeldezeit: Nutzer müssen keine Passwörter eingeben, sondern verwenden die Entsperrmechanismen ihres Smartphones, z. B. biometrische Verfahren. So wird die Anmeldung reibungsloser.
• Verbesserte Sicherheit: Passkeys verwenden Public-Key-Kryptografie, sodass Datenlecks bei Dienstanbietern nicht zu einer Kompromittierung von passkeygeschützten Konten führen. Sie basieren auf APIs und Protokollen nach Industriestandard, um sicherzustellen, dass sie nicht Ziel von Phishing-Angriffen werden. Weitere Informationen zur Synchronisierung und Sicherheit hier.
• Einheitliche Nutzung auf allen Geräten: Da Passkeys geräteübergreifend synchronisiert werden können, profitieren Nutzer von einer vereinfachten Authentifizierung, unabhängig davon, welches Gerät sie verwenden.
• Keine Probleme mehr mit vergessenen Passwörtern

Mehrere bekannte Apps haben uns von den Vorteilen von Passkeys berichtet. Bei X hat sich die Anmelderate verdoppelt, nachdem Passkeys zu den Authentifizierungsabläufen hinzugefügt wurden. Bei KAYAK, einer Reisesuchmaschine, hat sich die durchschnittliche Zeit, die Nutzer für die Registrierung und Anmeldung benötigen, um 50%verringert, nachdem Passkeys in die Authentifizierungsabläufe integriert wurden. Zoho, eine umfassende cloudbasierte Software-Suite mit Schwerpunkt auf Sicherheit und nahtloser Nutzung, hat die Anmeldezeit durch die Einführung von Passkeys um das Sechsfache verkürzt in der Android-App OneAuth.

Welche Vorteile haben Sie davon?

Wenn Sie Ihre App auf die Verwendung von Passkeys umstellen, nutzen Sie die Credential Manager API, die der empfohlene Standard für Identität und Authentifizierung auf Android ist.

Neben Passkeys unterstützt die Credential Manager API auch herkömmliche Anmeldemechanismen, was die Entwicklung und Wartung Ihrer Authentifizierungsabläufe vereinfacht.

Für alle diese Anmeldemechanismen bietet der Credential Manager eine integrierte Bottom-Sheet-Benutzeroberfläche, die Ihnen Entwicklungsaufwand erspart und Nutzern eine einheitliche Nutzung ermöglicht.

Wann sollten Sie Nutzer auffordern, Passkeys zu verwenden?

Nachdem wir die Vorteile von Passkeys erläutert haben, sehen wir uns nun an, wie Sie Nutzer dazu anregen können, zu Passkeys zu wechseln.

Im Folgenden finden Sie eine Liste von UX-Abläufen, in denen Sie Passkeys bewerben können:

• Registrierung von Nutzerkonten: Fordern Sie Nutzer an wichtigen Stellen zur Erstellung von Passkeys auf, z. B. wenn sie ihre Konten erstellen:

Kontextbezogene Aufforderungen bei der Kontoerstellung

• Anmeldung: Wir empfehlen, Nutzer aufzufordern, Passkeys zu verwenden, nachdem sie sich mit einem Einmalpasswort, einem Passwort oder einem anderen Anmeldemechanismus angemeldet haben.

Aufforderung zur Erstellung eines Passkeys bei der Anmeldung

• Kontowiederherstellung: Der kritische Nutzerpfad für die Kontowiederherstellung ist einer, der Nutzern in der Vergangenheit Probleme bereitet hat. Es empfiehlt sich, Nutzer während der Kontowiederherstellung aufzufordern, Passkeys zu verwenden. Nutzer, die Passkeys verwenden, haben bei der Kontowiederherstellung dieselbe Erfahrung wie bei der Anmeldung.

Ablauf der Kontowiederherstellung

• Passwortzurücksetzungen: Dies ist der perfekte Zeitpunkt, um Nutzer aufzufordern, einen Passkey zu erstellen. Nach der Frustration einer Passwortzurücksetzung sind Nutzer in der Regel offener für die Bequemlichkeit und Sicherheit, die Passkeys bieten.

Passkey für schnellere Anmeldung beim nächsten Mal erstellen

Wie können Sie Nutzer dazu anregen, zu Passkeys zu wechseln?

Um Nutzer dazu zu bewegen, von Passwörtern zu Passkeys zu wechseln, ist eine klare Strategie erforderlich. Hier einige empfohlene Best Practices:

• Klares Wertversprechen: Verwenden Sie einfache, nutzerorientierte Aufforderungen, um die Vorteile von Passkeys zu erklären. Heben Sie die Vorteile für Nutzer hervor. Betonen Sie die folgenden Vorteile:
  • Verbesserte Sicherheit, z. B. Schutz vor Phishing.
  • Kein Passwort erforderlich.
  • Möglichkeit, denselben Passkey auf verschiedenen Geräten/Plattformen zu verwenden.
  • Einheitliche Authentifizierung.

Passkey-Aufforderung mit klarem Wertversprechen

• Nahtlose Nutzererfahrung bieten:
  • Verwenden Sie die einheitliche Benutzeroberfläche des Credential Manager, um alle verfügbaren Anmeldeoptionen anzuzeigen. So können Nutzer ihre bevorzugte Methode auswählen, ohne sich merken zu müssen, welche sie zuletzt verwendet haben.
  • Verwenden Sie das offizielle Passkey-Symbol, um die Vertrautheit der Nutzer zu erhöhen und eine einheitliche Nutzung zu schaffen.
  • Achten Sie darauf, dass Nutzer auf ihre herkömmlichen Anmeldemethoden oder eine Wiederherstellungsmethode wie einen Nutzernamen und ein Passwort zurückgreifen können, wenn kein Passkey verfügbar ist oder sie ein anderes Gerät verwenden.
• Nutzer über Anmeldedaten in der Benutzeroberfläche der App-Einstellungen informieren: Sorgen Sie dafür, dass Nutzer ihre Authentifizierungsoptionen verstehen, indem Sie in den Einstellungen Ihrer App hilfreiche Informationen zu jedem Passkey anzeigen. Weitere Informationen zum Hinzufügen von Metadaten zu Anmeldedaten finden Sie in der Dokumentation zum Credential Manager.

Passkey-Metadaten auf dem Bildschirm „Einstellungen“ der App

• Nutzer informieren: Ergänzen Sie die Aufforderung zur Verwendung von Passkeys mit In-App-Ressourcen oder Links, in denen Passkeys detailliert erklärt werden.
• Gestaffelter Rollout: Erwägen Sie einen schrittweisen Rollout, um Passkeys für eine Teilmenge Ihrer Nutzer einzuführen. So können Sie Feedback sammeln und die Nutzererfahrung verbessern, bevor Sie die Funktion für alle Nutzer einführen.

Fallstudien von Entwicklern

Die Erfahrungen von Entwicklern in der Praxis zeigen oft, wie kleine Designentscheidungen – z. B. wann und wo eine Passkey-Aufforderung angezeigt wird – die Akzeptanz und das Vertrauen der Nutzer erheblich beeinflussen können. Sehen wir uns an, wie Top-Apps Passkey-Aufforderungen strategisch an wichtigen Stellen in ihren Apps platziert haben, um die Akzeptanz zu steigern :

Uber

Um die Akzeptanz von Passkeys zu beschleunigen, bewirbt Uber Passkeys proaktiv in verschiedenen Nutzerpfaden und setzt Marketingstrategien ein.

Uber hat mitgeteilt: „Über 90% der Passkey-Registrierungen erfolgen durch die Aufforderung zur Erstellung eines Passkeys an wichtigen Stellen in der App im Vergleich zu den kritischen Nutzerpfaden für Onboarding und Authentifizierung“. Das unterstreicht die Wirksamkeit der proaktiven Strategie.

Wichtige Erkenntnisse und Strategien aus der Implementierung:

• Passkeys anbieten, ohne die Kernnutzererfahrung zu beeinträchtigen: Uber hat in den Kontoeinstellungen eine neue Kontoprüfung eingeführt, um die Vorteile von Passkeys hervorzuheben. Das hat zu hohen Akzeptanzraten für Passkeys geführt.

Ablauf der Kontoprüfung

• Passkeys proaktiv anbieten: Uber hat gelernt, nicht darauf zu warten, dass Nutzer Passkeys von selbst entdecken. Die organische Akzeptanz wäre trotz der beobachteten Vorteile wie schnellere Anmeldungen und höhere Erfolgsraten bei der Anmeldung für Passkey-Nutzer langsamer gewesen.
• Zusätzliche Medien zur Bewerbung von Passkeys verwenden: Uber experimentiert auch damit, Passkeys über E-Mail-Kampagnen oder Banner auf dem Konto-Bildschirm eines Nutzers zu bewerben, um die neue Anmeldemethode hervorzuheben und die nächste Anmeldung zu vereinfachen und sicherer zu machen.
• Die Wahl des Nutzers respektieren: Da nicht alle Nutzer bereit für Passkeys sind, hat Uber in kritischen Abläufen wie Anmelde- und Registrierungsbildschirmen Backoff-Logik implementiert und bietet Passkeys in einigen Kontexten neben anderen bekannten Authentifizierungsmethoden an.

Das sagt Uber dazu:

„Bei Uber haben wir festgestellt, dass Nutzer, die Passkeys verwenden, von einer schnelleren, nahtloseren und sichereren Anmeldung profitieren. Um mehr Nutzern die Vorteile von Passkeys zu ermöglichen, haben wir an wichtigen Stellen in der Nutzererfahrung Aufforderungen zur Erstellung eines Passkeys hinzugefügt: Kontoeinstellungen, Registrierung und Anmeldung. Diese proaktiven Maßnahmen haben die Akzeptanz von Passkeys erheblich beschleunigt.“

Ryan O’Laughlin, Senior Software Engineer, Uber

Economic Times

Economic Times, Teil des Times Internet-Ökosystems, hat eine nahtlose Nutzererfahrung als Hauptgrund für Nutzer angeführt, zu Passkeys zu wechseln.

Nach der Einführung gezielter Aufforderungen verzeichnete Economic Times im ersten Rollout-Zeitraum eine Verbesserung der Abschlussrate bei der Passkey-Erstellung um ca. 10%.

Wichtige Erkenntnisse und Strategien aus der Implementierung:

• Strategische Aufforderungen zur Passkey-Erstellung: Anfangs hat Economic Times die Erstellung von Passkeys in mehreren Nutzerabläufen aggressiv beworben. Es wurde jedoch festgestellt, dass dieser Ansatz geschäftskritische Abläufe störte , z. B. den Kauf von Abos oder das Freischalten von Premium-Funktionen, und zu abgebrochenen Warenkörben führte.
• Verfeinerter Ansatz: Economic Times hat bewusst entschieden, die Aufforderungen zur Passkey-Erstellung aus sensiblen Abläufen (z. B. dem Abo-Checkout-Ablauf) zu entfernen, um den Abschluss von Aktionen zu priorisieren.
• Gezielte Aufforderungen: Die Aufforderung zur Passkey-Erstellung wurde strategisch in Bereichen beibehalten, in denen die Absicht der Nutzer, sich anzumelden oder die Authentifizierung zu verwalten, hoch ist, z. B. bei der ersten Registrierung, auf expliziten Anmeldeseiten oder in den Kontoverwaltungsbereichen.
• Positives Ergebnis: Diese verfeinerte Bereitstellung führte zu einer höheren Anzahl von Passkey-Erstellungen, was auf eine hohe Akzeptanz bei den Nutzern hindeutet, ohne die Nutzererfahrung in kritischen Geschäftsabläufen zu beeinträchtigen.

Bildschirm „Passkeys verwalten“

Fazit

Die Integration von Passkeys in den Credential Manager von Android ist nicht nur die Einführung einer neuen Technologie, sondern auch die Schaffung einer grundlegend sichereren, bequemeren und angenehmeren Nutzung für Ihre Nutzer. Wenn Sie Passkeys intelligent einführen, sichern Sie nicht nur Konten, sondern bauen auch Vertrauen auf und machen die Authentifizierungsstrategie Ihrer Anwendung zukunftssicher.

Damit Ihre Nutzer die bestmögliche, optimierte und nahtlose Nutzung erhalten, sollten Sie die UX-Richtlinien befolgen, wenn Sie die Passkey-Authentifizierung mit dem Credential Manager implementieren. Sehen Sie sich die Dokumentation noch heute an.

• Beispiel mit Best Practices für die Nutzererfahrung
• Nutzer mit dem Credential Manager anmelden
• API-Referenz – androidx.credentials
• Nutzerauthentifizierung mit Passkeys
• Google Sicherheitscenter – Passkey
• Google Security Blog: Security of Passkeys in the Google Password Manager