X ist eine Social-Media-App, die fast 500 Millionen Nutzern weltweit helfen soll, die ganze Geschichte mit allen Live-Kommentaren zu erfahren – von aktuellen Nachrichten und Unterhaltung bis hin zu Sport und Politik. Vor Kurzem haben die Entwickler von X den Anmeldeprozess der Android-App überarbeitet, damit Nutzer keine Unterhaltungen mehr verpassen, die sie interessieren. Mit der Credential Manager API hat das Team eine neue Passkey-Authentifizierung implementiert, um den Zugriff auf die App schneller, einfacher und sicherer zu gestalten.

Anmeldung mit Passkeys vereinfachen

Traditionelle passwortbasierte Authentifizierungssysteme sind heute weniger sicher und anfälliger für Cyberangriffe. Viele Nutzer wählen oft leicht zu erratende Passwörter, die von böswilligen Akteuren mithilfe von Brute-Force-Angriffen leicht geknackt werden können. Außerdem verwenden sie dieselben Passwörter für mehrere Konten. Wenn also ein Passwort gehackt wird, sind alle Konten gefährdet.

Passkeys begegnen der wachsenden Sorge um die Kontosicherheit aufgrund schwacher Passwörter und Phishing-Angriffe, indem sie Passwörter vollständig überflüssig machen. Die Funktion bietet eine sicherere und nahtlosere Anmeldung, sodass sich Nutzer keine Nutzernamen oder Passwörter mehr merken müssen.

„Passkeys sind eine einfachere und sicherere Möglichkeit, sich anzumelden. Sie ersetzen Passwörter durch PINs oder biometrische Daten wie Fingerabdrücke oder Gesichtserkennung“, sagt Kylie McRoberts, Head of Safety bei X. „Wir haben die Verwendung von Passkeys untersucht, um die Anmeldung für Nutzer einfacher und sicherer zu gestalten und ihre Konten zu schützen, ohne dass sie sich Passwörter merken müssen.“

Seit der Einführung von Passkeys hat das X-Team eine erhebliche Reduzierung der Anmeldezeiten und Messwerte festgestellt, die einen verbesserten Anmeldeablauf zeigen. Mit Passkeys hat sich die Erfolgsrate bei der Anmeldung in der App im Vergleich zur ausschließlichen Verwendung von Passwörtern verdoppelt. Außerdem ist die Anzahl der Anfragen zum Zurücksetzen von Passwörtern von Nutzern, die Passkeys aktiviert haben, zurückgegangen.

Laut den Entwicklern von X hat die Einführung von Passkeys sogar noch weitere Vorteile gebracht, die über erweiterte Sicherheitsfunktionen und eine vereinfachte Anmeldung hinausgehen, z. B. niedrigere Kosten und eine verbesserte UX.

„Mit Passkeys konnten wir die Kosten für die SMS-basierte 2-Faktor-Authentifizierung senken, da sie eine starke, inhärente Authentifizierung bieten“, sagt Kylie. „Und da die Anmeldung so einfach ist, interagieren Nutzer eher mit unserer Plattform, da sie sich keine Passwörter merken oder zurücksetzen müssen.“

Passkeys verwenden die Public-Key-Kryptografie, um Nutzer zu authentifizieren und ihnen private Schlüssel zur Verfügung zu stellen. Das bedeutet, dass Websites und Apps den öffentlichen Schlüssel sehen und speichern können, aber niemals den privaten Schlüssel, der vom Anmeldedatenanbieter des Nutzers verschlüsselt und gespeichert wird. Da Schlüssel eindeutig sind und mit der Website oder App verknüpft sind, können sie nicht für Phishing-Angriffe verwendet werden, was ihre Sicherheit weiter erhöht.

Nahtlose Integration mit der Credential Manager API

Um Passkeys zu integrieren, haben die Entwickler von X die Credential Manager API von Android verwendet, wodurch der Prozess laut Kylie „extrem reibungslos“ verlief. Die API vereint Smart Lock, One Tap und Google Log-in in einem einzigen, optimierten Workflow. So konnten die Entwickler auch Hunderte von Codezeilen entfernen, was die Implementierung beschleunigte und den Wartungsaufwand reduzierte.

Letztendlich dauerte die Migration zu Credential Manager für die Entwickler von X nur zwei Wochen. Danach waren weitere zwei Wochen erforderlich, um Passkeys vollständig zu unterstützen. Das war eine „sehr schnelle Migration“ und das Team „hatte nicht erwartet, dass es so einfach und unkompliziert sein würde“, sagt Saurabh Arora, Staff Engineer bei X. Dank der einfachen, auf Coroutinen basierenden API von Credential Manager wurden die Komplexitäten der Handhabung mehrerer Authentifizierungsoptionen im Wesentlichen beseitigt, wodurch Code, die Wahrscheinlichkeit von Fehlern und der Gesamtaufwand für Entwickler reduziert wurden.

Die Entwickler von X haben durch die Integration der Credential Manager API eine erhebliche Verbesserung der Entwicklergeschwindigkeit erzielt. Durch die Umstellung auf die Verwendung von Passkeys über die Credential Manager API haben sie Folgendes erreicht:

• 80% weniger Code im Authentifizierungsmodul
• 90% der Legacy-Edge-Case-Fehler wurden behoben
• 85% weniger Code für die Verarbeitung von GIS, One Tap und Smart Lock

Durch die Verwendung der Methoden der obersten Ebene der Credential Manager API wie createCredential und getCredential wurde die Integration vereinfacht, da die Komplexitäten der benutzerdefinierten Logik im Zusammenhang mit einzelnen Protokollen beseitigt wurden. Dieser einheitliche Ansatz bedeutete auch, dass die Entwickler von X eine einzige, konsistente Schnittstelle verwenden konnten, um verschiedene Authentifizierungstypen zu verarbeiten, z. B. Passkeys, Passwörter und Verbundanmeldungen wie „Über Google anmelden“.

„Mit den einfachen API-Methoden von Credential Manager konnten wir Passkeys, Passwörter und Verbundtokens mit einem einzigen Aufruf abrufen, wodurch die Verzweigungslogik reduziert und die Antwortverarbeitung übersichtlicher wurde“, sagt Saurabh. Durch die Verwendung verschiedener API-Methoden wie createCredential() und getCredential() wurde auch der Anmeldedatenspeicher vereinfacht, sodass wir Passwörter und Passkeys an einem Ort verwalten können.

Die Entwickler von X hatten bei der Einführung von „Über Google anmelden“ mit der Credential Manager API nicht viele Herausforderungen. Durch das Ersetzen des bisherigen Google-Anmeldecodes, One Tap-Codes und Smart Lock-Codes von X durch eine einfachere Credential Manager-Implementierung mussten die Entwickler keine Verbindungs- oder Trennungsstatus und Aktivitätsergebnisse mehr verarbeiten, wodurch die Fehlermarge reduziert wurde.

Eine Zukunft mit Passkeys

Die Integration von Passkeys durch X zeigt, dass eine sicherere und nutzerfreundlichere Authentifizierung möglich ist. Durch die Nutzung der Credential Manager API haben die Entwickler von X den Integrationsprozess vereinfacht, potenzielle Fehler reduziert und sowohl die Sicherheit als auch die Entwicklergeschwindigkeit verbessert – und gleichzeitig die Nutzerfreundlichkeit erhöht.

„Unser Rat für Entwickler, die die Integration von Passkeys in Betracht ziehen, ist, die Credential Manager API zu nutzen“, sagt Saurabh. „Sie vereinfacht den Prozess wirklich und reduziert den Code, den Sie schreiben und verwalten müssen, was die Implementierung für Entwickler verbessert.“

In Zukunft plant X, die Nutzerfreundlichkeit weiter zu verbessern, indem Anmeldungen nur mit Passkeys möglich sind und ein eigener Bildschirm für die Passkey-Verwaltung bereitgestellt wird.

Jetzt starten

Hier erfahren Sie, wie Sie die Anmelde-UX Ihrer App mit Passkeys und der Credential Manager API verbessern können.