In einer Welt, in der digitale Sicherheit immer wichtiger wird, sind Passwörter zu einem berüchtigten Schwachpunkt geworden. Sie sind umständlich, oft unsicher und eine Quelle der Frustration für Nutzer und Entwickler. Aber es gibt gute Nachrichten: Passkeys werden immer beliebter, da sie der nutzerfreundlichste, phishingresistente und sicherste Authentifizierungsmechanismus sind, der derzeit verfügbar ist. Für Android-Entwickler hilft die Credential Manager API dabei, Nutzer zur Verwendung von Passkeys zu bewegen und gleichzeitig die Unterstützung für herkömmliche Anmeldemechanismen wie Passwörter beizubehalten.

In diesem Blogpost stellen wir einige Best Practices vor, die Sie befolgen sollten, wenn Sie Nutzer dazu anregen, zu Passkeys zu wechseln.

Authentifizierung mit Passkeys

Bevor wir uns die Empfehlungen ansehen, wie Sie Nutzer dazu anregen können, zu Passkeys zu wechseln, geben wir Ihnen einen Überblick über die Grundlagen der Authentifizierung mit Passkeys:

• Passkeys: Das sind kryptografische Anmeldedaten, die Passwörter ersetzen. Passkeys sind mit Mechanismen zum Entsperren von Geräten verknüpft und die empfohlene Authentifizierungsmethode für Apps und Websites.
• Credential Manager: Eine Jetpack API, die eine einheitliche API-Schnittstelle für die Interaktion mit verschiedenen Arten der Authentifizierung bietet, darunter Passkeys, Passwörter und föderierte Anmeldemechanismen wie „Über Google anmelden“.

Welche Vorteile haben Nutzer von Passkeys?

Es gibt mehrere konkrete Vorteile für Nutzer, die sich in Apps mit Passkeys anmelden können. Die wichtigsten Vorteile der Verwendung von Passkeys für Nutzer sind:

• Verbesserte Anmeldung: Nutzer sehen dieselbe Benutzeroberfläche, unabhängig davon, ob sie Passwörter, Passkeys oder föderierte Anmeldemechanismen wie „Über Google anmelden“ verwenden.
• Kürzere Anmeldezeit: Anstatt Passwörter einzugeben, verwenden Nutzer die Entsperrmechanismen ihres Smartphones, z. B. biometrische Verfahren. So wird die Anmeldung reibungsloser.
• Verbesserte Sicherheit: Passkeys verwenden Public-Key-Kryptografie, sodass Datenlecks bei Dienstanbietern nicht zu einer Kompromittierung von Passkey-geschützten Konten führen. Sie basieren auf branchenüblichen APIs und Protokollen, um sicherzustellen, dass sie nicht Ziel von Phishing-Angriffen werden. Weitere Informationen zur Synchronisierung und Sicherheit hier.
• Einheitliche Nutzung auf allen Geräten: Da Passkeys auf allen Geräten synchronisiert werden können, profitieren Nutzer von einer vereinfachten Authentifizierung, unabhängig davon, welches Gerät sie verwenden.
• Keine Probleme mehr mit vergessenen Passwörtern

Mehrere bekannte Apps haben uns von den Vorteilen von Passkeys berichtet. X hat festgestellt, dass sich die Anmelderaten verdoppelt haben, nachdem Passkeys zu den Authentifizierungsabläufen hinzugefügt wurden. Bei KAYAK, einer Reisesuchmaschine, hat sich die durchschnittliche Zeit, die Nutzer für die Registrierung und Anmeldung benötigen, um 50%verringert, nachdem Passkeys in die Authentifizierungsabläufe integriert wurden. Zoho, eine umfassende cloudbasierte Software-Suite mit Schwerpunkt auf Sicherheit und nahtloser Nutzung, hat die Anmeldezeiten durch die Einführung von Passkeys um das Sechsfache verkürzt in ihrer Android-App OneAuth.

Welche Vorteile haben Sie davon?

Wenn Sie Ihre App so migrieren, dass Passkeys verwendet werden, nutzen Sie die Credential Manager API, die der empfohlene Standard für Identität und Authentifizierung auf Android ist.

Neben Passkeys unterstützt die Credential Manager API auch herkömmliche Anmeldemechanismen, was die Entwicklung und Wartung Ihrer Authentifizierungsabläufe vereinfacht.

Für alle diese Anmeldemechanismen bietet Credential Manager eine integrierte Bottom-Sheet-Benutzeroberfläche, die Ihnen Entwicklungsaufwand erspart und Nutzern eine einheitliche Nutzung ermöglicht.

Wann sollten Sie Nutzer auffordern, Passkeys zu verwenden?

Nachdem wir die Vorteile von Passkeys erläutert haben, sehen wir uns nun an, wie Sie Nutzer dazu anregen können, zu Passkeys zu wechseln.

Im Folgenden finden Sie eine Liste von UX-Abläufen, in denen Sie Passkeys bewerben können:

• Registrierung von Nutzerkonten: Fordern Sie Nutzer an wichtigen Stellen zur Erstellung von Passkeys auf, z. B. wenn sie ihre Konten erstellen:

Kontextbezogene Aufforderungen bei der Kontoerstellung

• Anmeldung: Wir empfehlen, Nutzer aufzufordern, Passkeys zu verwenden, nachdem sie sich mit einem Einmalpasswort, einem Passwort oder einem anderen Anmeldemechanismus angemeldet haben.

Aufforderung zur Erstellung eines Passkeys bei der Anmeldung

• Kontowiederherstellung: Der kritische Nutzerpfad für die Kontowiederherstellung ist einer, der Nutzern in der Vergangenheit Probleme bereitet hat. Es empfiehlt sich, Nutzer während der Kontowiederherstellung aufzufordern, Passkeys zu verwenden. Nutzer, die Passkeys verwenden, haben bei der Kontowiederherstellung dieselbe Erfahrung wie bei der Anmeldung.

Ablauf der Kontowiederherstellung

• Passwort zurücksetzen: Dies ist der perfekte Zeitpunkt, um Nutzer aufzufordern, einen Passkey zu erstellen. Nach der Frustration durch das Zurücksetzen des Passworts sind Nutzer in der Regel offener für die Vorteile und die Sicherheit, die Passkeys bieten.

Passkey erstellen, um sich beim nächsten Mal schneller anzumelden

Wie können Sie Nutzer dazu anregen, zu Passkeys zu wechseln?

Um Nutzer dazu zu bewegen, von Passwörtern zu Passkeys zu wechseln, ist eine klare Strategie erforderlich. Hier einige empfohlene Best Practices:

• Klares Wertversprechen: Verwenden Sie einfache, nutzerorientierte Aufforderungen, um die Vorteile von Passkeys zu erklären. Heben Sie die Vorteile für Nutzer hervor. Betonen Sie die folgenden Vorteile:
  • Verbesserte Sicherheitsvorteile, z. B. Schutz vor Phishing.
  • Keine Notwendigkeit, ein Passwort einzugeben.
  • Möglichkeit, denselben Passkey auf verschiedenen Geräten und Plattformen zu verwenden.
  • Einheitliche Authentifizierung.

Passkey-Aufforderung mit klarem Wertversprechen

• Nahtlose Nutzererfahrung bieten:
  • Verwenden Sie die einheitliche Benutzeroberfläche von Credential Manager, um alle verfügbaren Anmeldeoptionen anzuzeigen. So können Nutzer ihre bevorzugte Methode auswählen, ohne sich merken zu müssen, welche sie zuletzt verwendet haben.
  • Verwenden Sie das offizielle Passkey-Symbol, um Nutzer damit vertraut zu machen und eine einheitliche Nutzung zu ermöglichen.
  • Sorgen Sie dafür, dass Nutzer auf ihre herkömmlichen Anmeldemethoden oder eine Wiederherstellungsmethode wie einen Nutzernamen und ein Passwort zurückgreifen können, wenn kein Passkey verfügbar ist oder sie ein anderes Gerät verwenden.
• Nutzer über Anmeldedaten in der Benutzeroberfläche der App-Einstellungen informieren: Sorgen Sie dafür, dass Nutzer ihre Authentifizierungsoptionen verstehen, indem Sie in den Einstellungen Ihrer App hilfreiche Informationen zu jedem Passkey anzeigen. Weitere Informationen zum Hinzufügen von Metadaten zu Anmeldedaten finden Sie in der Dokumentation zu Credential Manager.

Passkey-Metadaten auf dem Bildschirm „Einstellungen“ der App

• Nutzer informieren: Ergänzen Sie die Aufforderung zur Verwendung von Passkeys mit In-App-Ressourcen oder Links, in denen Passkeys detailliert erklärt werden.
• Gestaffelter Rollout: Erwägen Sie einen gestaffelten Rollout, um Passkeys für eine Teilmenge Ihrer Nutzer einzuführen. So können Sie Feedback einholen und die Nutzererfahrung verbessern, bevor Sie die Funktion für alle Nutzer einführen.

Fallstudien für Entwickler

Die Erfahrungen von Entwicklern in der Praxis zeigen oft, wie kleine Designentscheidungen – z. B. wann und wo eine Passkey-Aufforderung angezeigt wird – die Akzeptanz und das Vertrauen der Nutzer erheblich beeinflussen können. Sehen wir uns an, wie Top-Apps Passkey-Aufforderungen strategisch an wichtigen Stellen in ihren Apps platziert haben, um die Akzeptanz zu steigern :

Uber

Um die Akzeptanz von Passkeys zu beschleunigen, bewirbt Uber Passkeys proaktiv in verschiedenen Nutzerpfaden und setzt Marketingstrategien ein.

Uber hat mitgeteilt: "Über 90% der Passkey-Registrierungen erfolgen durch die Aufforderung zur Erstellung eines Passkeys an wichtigen Stellen in der App im Vergleich zu den kritischen Nutzerpfaden für Onboarding und Authentifizierung". Das unterstreicht die Wirksamkeit der proaktiven Strategie.

Wichtige Erkenntnisse und Strategien aus der Implementierung:

• Passkeys anbieten, ohne die Kernnutzung zu beeinträchtigen: Uber hat in den Kontoeinstellungen eine neue Kontoprüfung eingeführt, um die Vorteile von Passkeys hervorzuheben. Das hat zu hohen Akzeptanzraten bei Passkeys geführt.

Ablauf der Kontoprüfung

• Nutzer proaktiv auf Passkeys aufmerksam machen: Uber hat gelernt, nicht darauf zu warten, dass Nutzer Passkeys von selbst entdecken. Eine rein organische Akzeptanz wäre langsamer gewesen, obwohl es Vorteile wie schnellere Anmeldungen und höhere Erfolgsraten bei der Anmeldung für Passkey-Nutzer gab.
• Zusätzliche Medien zur Bewerbung von Passkeys verwenden: Uber experimentiert auch damit, Passkeys über E‑Mail-Kampagnen oder Banner auf dem Konto-Bildschirm eines Nutzers zu bewerben, um die neue Anmeldemethode hervorzuheben und die nächste Anmeldung einfacher und sicherer zu gestalten.
• Die Entscheidung des Nutzers respektieren: Da nicht alle Nutzer bereit für Passkeys sind, hat Uber in kritischen Abläufen wie Anmelde- und Registrierungsbildschirmen Backoff-Logik implementiert und bietet Passkeys in einigen Kontexten neben anderen bekannten Authentifizierungsmethoden an.

Das sagt Uber dazu:

„Bei Uber haben wir festgestellt, dass Nutzer, die Passkeys verwenden, von einer schnelleren, nahtloseren und sichereren Anmeldung profitieren. Um mehr Nutzern die Vorteile von Passkeys zu ermöglichen, haben wir an wichtigen Stellen in der Nutzung Aufforderungen zur Erstellung eines Passkeys hinzugefügt: in den Kontoeinstellungen, bei der Registrierung und bei der Anmeldung. Diese proaktiven Maßnahmen haben die Akzeptanz von Passkeys deutlich beschleunigt.“

Ryan O’Laughlin, Senior Software Engineer, Uber

Economic Times

Economic Times, Teil des Times Internet-Ökosystems, hat eine nahtlose Nutzererfahrung als Hauptgrund für Nutzer angeführt, zu Passkeys zu wechseln.

Nach der Einführung gezielter Aufforderungen hat Economic Times im ersten Rollout-Zeitraum eine Verbesserung der Abschlussrate bei der Passkey-Erstellung um ca. 10% festgestellt.

Wichtige Erkenntnisse und Strategien aus der Implementierung:

• Strategische Aufforderungen zur Passkey-Erstellung: Anfangs hat Economic Times die Erstellung von Passkeys in mehreren Nutzerpfaden aggressiv beworben. Es wurde jedoch festgestellt, dass dieser Ansatz geschäftskritische Abläufe störte , z. B. den Kauf von Abos oder das Freischalten von Premium-Funktionen, und zu abgebrochenen Warenkörben führte.
• Optimierter Ansatz: Economic Times hat bewusst entschieden, Aufforderungen zur Passkey-Erstellung aus sensiblen Abläufen (z. B. dem Abo-Bezahlvorgang) zu entfernen, um den Abschluss von Aktionen zu priorisieren.
• Gezielte Aufforderungen: Die Passkey-Erstellung wurde strategisch in Bereichen beibehalten, in denen die Nutzerabsicht, sich anzumelden oder die Authentifizierung zu verwalten, hoch ist, z. B. in Abläufen für die Erstregistrierung, auf expliziten Anmeldeseiten oder in Bereichen für die Kontoverwaltung.
• Positives Ergebnis: Diese verbesserte Bereitstellung führte zu höheren Zahlen bei der Passkey-Erstellung, was auf eine hohe Akzeptanz bei den Nutzern hindeutet, ohne die Nutzererfahrung in kritischen Geschäftsabläufen zu beeinträchtigen.

Bildschirm „Passkeys verwalten“

Fazit

Die Integration von Passkeys in den Credential Manager von Android ist nicht nur die Einführung einer neuen Technologie, sondern auch die Schaffung einer grundlegend sichereren, bequemeren und angenehmeren Nutzung für Ihre Nutzer. Wenn Sie Passkeys auf intelligente Weise einführen, sichern Sie nicht nur Konten, sondern schaffen auch Vertrauen und machen die Authentifizierungsstrategie Ihrer Anwendung zukunftssicher.

Damit Ihre Nutzer die bestmögliche, optimierte und nahtlose Nutzung erhalten, sollten Sie die UX-Richtlinien befolgen, wenn Sie die Passkey-Authentifizierung mit Credential Manager implementieren. Sehen Sie sich die Dokumentation noch heute an.

• Beispiel mit Best Practices für die UX
• Nutzer mit Credential Manager anmelden
• API-Referenz – androidx.credentials
• Nutzerauthentifizierung mit Passkeys
• Google Sicherheitscenter – Passkey
• Google Security Blog: Security of Passkeys in the Google Password Manager