X ist eine Social-Media-App, die fast 500 Millionen Nutzern weltweit helfen soll, die ganze Geschichte mit allen Livekommentaren zu erfahren – von aktuellen Nachrichten und Unterhaltung bis hin zu Sport und Politik. Vor Kurzem haben X-Entwickler den Anmeldeprozess der Android-App überarbeitet, damit Nutzer keine Unterhaltungen verpassen, die sie interessieren. Mithilfe der Credential Manager API implementierte das Team eine neue Passkey-Authentifizierung für einen schnelleren, einfacheren und sichereren Zugriff auf die App.

Anmeldung mit Passkeys vereinfachen

Heutzutage sind herkömmliche passwortbasierte Authentifizierungssysteme weniger sicher und anfälliger für Cyberangriffe. Viele Nutzer wählen oft leicht zu erratende Passwörter, die von Angreifern mithilfe von Brute-Force-Angriffen leicht geknackt werden können. Außerdem verwenden sie dasselbe Passwort für mehrere Konten. Wenn also ein Passwort gehackt wird, sind alle Konten gefährdet.

Passkeys sind eine Reaktion auf die wachsende Besorgnis über die Kontosicherheit aufgrund schwacher Passwörter und Phishing-Angriffe, da sie Passwörter überflüssig machen. Die Funktion bietet eine sicherere und nahtlosere Anmeldung, da Nutzer sich nicht mehr an ihre Nutzernamen oder Passwörter erinnern müssen.

„Passkeys sind eine einfachere und sicherere Möglichkeit, sich anzumelden. Sie ersetzen Passwörter durch PINs oder biometrische Daten wie Fingerabdrücke oder Gesichtserkennung“, so Kylie McRoberts, Head of Safety bei X. „Wir haben die Verwendung von Passkeys untersucht, um die Anmeldung für Nutzer einfacher und sicherer zu gestalten und ihre Konten zu schützen, ohne dass sie sich Passwörter merken müssen.“

Seit der Implementierung von Passkeys hat das X-Team eine erhebliche Verkürzung der Anmeldezeiten und eine Verbesserung des Anmeldevorgangs festgestellt. Mit Passkeys hat sich die Erfolgsrate bei der Anmeldung in der App verdoppelt im Vergleich zu der Zeit, als nur Passwörter verwendet wurden. Das Team hat auch einen Rückgang der Anfragen zum Zurücksetzen von Passwörtern von Nutzern festgestellt, die Passkeys aktiviert haben.

Laut X-Entwicklern bietet die Einführung von Passkeys neben erhöhter Sicherheit und einer vereinfachten Anmeldung auch Vorteile wie niedrigere Kosten und eine verbesserte Nutzerfreundlichkeit.

„Dank Passkeys konnten wir die Kosten für die SMS-basierte 2‑Faktor-Authentifizierung senken, da sie eine starke, integrierte Authentifizierung bieten“, so Kylie. „Da die Anmeldung so einfach ist, interagieren Nutzer eher mit unserer Plattform, weil sie sich nicht mehr an Passwörter erinnern oder sie zurücksetzen müssen.“

Passkeys basieren auf Public-Key-Kryptografie, um Nutzer zu authentifizieren und ihnen private Schlüssel zur Verfügung zu stellen. Das bedeutet, dass Websites und Apps den öffentlichen Schlüssel sehen und speichern können, aber niemals den privaten Schlüssel, der vom Anmeldedatenanbieter des Nutzers verschlüsselt und gespeichert wird. Da Schlüssel eindeutig sind und mit der Website oder App verknüpft sind, können sie nicht durch Phishing gehackt werden. Das erhöht die Sicherheit zusätzlich.

Nahtlose Integration über die Credential Manager API

Um Passkeys zu integrieren, nutzten die Entwickler von X die Credential Manager API von Android, was den Prozess laut Kylie „extrem reibungslos“ machte. Die API vereint Smart Lock, One Tap und Google Sign-In in einem einzigen, optimierten Workflow. Außerdem konnten Entwickler so Hunderte von Codezeilen entfernen, was die Implementierung beschleunigte und den Wartungsaufwand verringerte.

Die Migration zu Credential Manager dauerte für X-Entwickler nur zwei Wochen. Danach benötigten sie weitere zwei Wochen, um Passkeys vollständig zu unterstützen. Laut Saurabh Arora, Staff Engineer bei X, war die Migration „sehr schnell“ und das Team „hatte nicht erwartet, dass sie so einfach und unkompliziert sein würde“. Dank der einfachen, auf Coroutinen basierenden API von Credential Manager wurde die Komplexität der Verarbeitung mehrerer Authentifizierungsoptionen im Wesentlichen beseitigt, wodurch der Code, die Wahrscheinlichkeit von Fehlern und der gesamte Entwickleraufwand reduziert wurden.

X Entwickler konnten durch die Integration der Credential Manager API eine deutliche Verbesserung der Entwicklergeschwindigkeit erzielen. Durch die Umstellung auf die Verwendung von Passkeys über die Credential Manager API konnten sie Folgendes erreichen:

• 80% weniger Code im Authentifizierungsmodul
• 90% der Fehler in alten Grenzfall-Szenarien behoben
• 85% weniger Code für die Verarbeitung von GIS, One Tap und Smart Lock

Durch die Verwendung der Methoden der obersten Ebene der Credential Manager API, z. B. createCredential und getCredential, wurde die Integration vereinfacht, da die Komplexität der benutzerdefinierten Logik für einzelne Protokolle entfiel. Dieser einheitliche Ansatz bedeutete auch, dass X-Entwickler eine einzige, konsistente Schnittstelle verwenden konnten, um verschiedene Authentifizierungstypen wie Passkeys, Passwörter und föderierte Anmeldungen wie „Über Google anmelden“ zu verarbeiten.

„Mit den einfachen API-Methoden von Credential Manager konnten wir Passkeys, Passwörter und Verbundtokens mit einem einzigen Aufruf abrufen. So konnten wir die Verzweigungslogik reduzieren und die Antwortverarbeitung übersichtlicher gestalten“, so Saurabh. „Durch die Verwendung verschiedener API-Methoden wie createCredential() und getCredential() wurde auch die Speicherung von Anmeldedaten vereinfacht, sodass wir Passwörter und Passkeys an einem Ort verwalten können.“

X Entwickler hatten bei der Einführung von „Über Google anmelden“ mit der Credential Manager API keine großen Probleme. Durch den Ersatz des bisherigen Google-Anmeldecodes, des One Tap-Codes und des Smart Lock-Codes von X durch eine einfachere Credential Manager-Implementierung mussten Entwickler nicht mehr mit Verbindungs- oder Trennungsstatus und Aktivitätsergebnissen umgehen, was die Fehleranfälligkeit verringerte.

Eine Zukunft mit Passkeys

Die Integration von Passkeys durch X zeigt, dass eine sicherere und nutzerfreundlichere Authentifizierung möglich ist. Durch die Nutzung der Credential Manager API haben X-Entwickler den Integrationsprozess vereinfacht, potenzielle Fehler reduziert und sowohl die Sicherheit als auch die Entwicklergeschwindigkeit verbessert – und das alles bei gleichzeitiger Optimierung der Nutzerfreundlichkeit.

„Wir empfehlen Entwicklern, die eine Passkey-Integration in Betracht ziehen, die Credential Manager API zu nutzen“, so Saurabh. „Das Verfahren wird dadurch wirklich vereinfacht und der Code, den man schreiben und verwalten muss, wird reduziert. Das macht die Implementierung für Entwickler besser.“

In Zukunft möchte X die Nutzerfreundlichkeit weiter verbessern, indem die Registrierung nur mit Passkeys möglich ist und ein spezieller Bildschirm für die Passkey-Verwaltung bereitgestellt wird.

Erste Schritte

Informationen zum Verbessern der Anmelde-UX Ihrer App mit Passkeys und der Credential Manager API