Vielen Dank, dass du bei der Google I/O dabei warst! Inhalte on demand ansehen

Sichere und nahtlose Passkeys: Checkliste für die Bereitstellung

Eiji Kitamura

Veröffentlicht am 5. Juni 2025

Passkeys sollen die Anmeldung revolutionieren und eine einfachere, schnellere und sicherere Alternative zu Passwörtern bieten. Diese Checkliste führt Sie durch die wichtigsten Aspekte der Implementierung von Passkeys, um eine optimale Nutzerfreundlichkeit zu erzielen.

Verwendung dieser Checkliste

Diese Checkliste richtet sich an Entwickler und Produktteams, die Passkeys in ihren Authentifizierungsabläufen implementieren. Sie können damit:

Prüfen Sie, ob Ihre Implementierung den modernen Best Practices für die Passkey-Nutzerfreundlichkeit entspricht, die in den folgenden Artikeln beschrieben werden.
Identifizieren Sie erforderliche und optionale Elemente, die die Benutzerfreundlichkeit, Sicherheit und Kompatibilität verbessern.
Überprüfen Sie Ihre Implementierung während der Entwicklung und vor der Bereitstellung.
Best Practices einhalten, die die Akzeptanz durch Nutzer und die Interoperabilität des Systems unterstützen.

So können Sie Endnutzern eine reibungslose und sichere Nutzung ermöglichen.

Passkey-Registrierung

Für einen reibungslosen Übergang von Passwörtern zu Passkeys auf Ihrer Website ist eine ausgefeilte Passkey-Registrierungsfunktion unerlässlich. Folgen Sie der Anleitung unter Passkey für die passwortlose Anmeldung erstellen, um auf Ihrer Website eine Funktion zur Passkey-Registrierung zu entwickeln. Neben den grundlegenden Funktionen für die Passkey-Registrierung sollten Sie Folgendes prüfen:

✅ Geben Sie "platform" als Wert für „Authenticator Attachment“ an, der an navigator.credentials.create() für die Erstellung eines beworbenen Passkeys übergeben werden soll.

Bieten Sie einen optimierten und reibungslosen Ablauf für die Passkey-Erstellung für Nutzer, die reaktiv einen Passkey erstellen.

✅ Bestätigen Sie den Nutzer mit der stärksten verfügbaren Authentifizierungsmethode, bevor Sie ihm erlauben, einen Passkey zu erstellen.

Das ist wichtig, um zu verhindern, dass ein Angreifer einen Passkey für ein gehacktes Konto erstellt.

✅ Verhindern Sie, dass mit excludeCredentials doppelte Passkeys für denselben Passkey-Anbieter erstellt werden.

Viele Passkey-Anbieter unterstützen nur einen Passkey pro Konto und RPID. Vermeiden Sie Duplikate.

✅ AAGUID zum Identifizieren des Passkey-Anbieters verwenden und die Anmeldedaten für den Nutzer benennen.

Die Zuordnung eines Passkeys zu seinem Passkey-Anbieter ist eine intuitive Möglichkeit, Anmeldedaten zu präsentieren, wenn dies möglich ist.

✅ Signalisiere, wenn ein Versuch, einen Passkey zu registrieren, mit PublicKeyCredential.signalUnknownCredential() fehlschlägt.

Verwaiste Passkeys können zu Verwirrung führen. Informieren Sie den Passkey-Anbieter, wenn der Server einen Passkey nicht registrieren konnte.

✅ Benachrichtigung an den Nutzer senden, nachdem ein Passkey für sein Konto erstellt und registriert wurde.

Der Nutzer muss darüber informiert werden, dass ein Passkey erstellt wird, insbesondere wenn dies von einer anderen Person erfolgt.

Passkey-Authentifizierung

Es kann eine Herausforderung sein, sowohl Nutzer mit Passwörtern als auch Nutzer mit Passkeys ohne große Reibungsverluste zu unterstützen. Folgen Sie der Anleitung unter Mit einem Passkey über das automatische Ausfüllen von Formularen anmelden, um auf Ihrer Website eine Funktion zum automatischen Ausfüllen von Passkey-Formularen zu erstellen. Hier sind die Punkte, die Sie zusätzlich zu den grundlegenden Passkey-Authentifizierungsfunktionen prüfen sollten:

✅ Nutzern erlauben, sich mit einem Passkey über das automatische Ausfüllen von Formularen anzumelden.

Wenn Ihre Website von Passwörtern auf Passkeys umgestellt wird, ist es am besten, die Funktion zum automatischen Ausfüllen von Formularen im Browser zu verwenden, um beiden Nutzergruppen gerecht zu werden.

✅ Signal, wenn die übereinstimmenden Anmeldedaten eines Passkeys nicht im Backend mit PublicKeyCredential.signalUnknownCredential() gefunden werden.

Verwaiste Passkeys können zu Verwirrung führen. Teilen Sie dem Passkey-Anbieter mit, welcher Passkey nicht verwendet werden kann, damit er ihn löschen kann.

✅ Nutzer auffordern, manuell einen Passkey zu erstellen, wenn sie nach der Anmeldung noch keinen erstellt haben.

Wenn der Nutzer noch keinen Passkey erstellt hat, fordern Sie ihn dazu auf.

✅ Passkey automatisch erstellen (bedingte Erstellung), nachdem sich der Nutzer mit einem Passwort (und einem zweiten Faktor) angemeldet hat.

Die Einführung von Passkeys bei Nutzern beschleunigen.

✅ Aufforderung zur lokalen Passkey-Erstellung wenn der Nutzer sich mit einem geräteübergreifenden Passkey angemeldet hat.

Wenn Sie einen lokalen Passkey erstellen, kann sich der Nutzer beim nächsten Mal anmelden, ohne einen QR-Code scannen zu müssen.

✅ Liste der verfügbaren Passkeys und aktualisierte Nutzerdetails (Nutzername, Anzeigename) nach der Anmeldung an den Anbieter senden

Wenn die Passkey-Liste und die Nutzerdetails zwischen dem Server und dem Passkey-Anbieter synchronisiert werden, wird die Nutzerfreundlichkeit verbessert.

Passkeys verwalten

Wenn Nutzer Passkeys gut verstehen, können sie sich besser orientieren und haben mehr Kontrolle über die Passkeys. Folgen Sie der Anleitung unter Nutzern helfen, Passkeys effektiv zu verwalten, um eine Funktion zur Passkey-Verwaltung auf Ihrer Website zu erstellen. Überprüfen Sie Folgendes:

✅ Nutzern erlauben, Passkeys auf einer Seite zur Passkey-Verwaltung zu verwalten.

Einen zentralen Ort schaffen, an dem Nutzer ihre Passkeys verwalten können.

✅ Unterstützung für die Registrierung mehrerer Passkeys.

Wenn Nutzer mehrere Passkeys registrieren können, wird verhindert, dass sie sich selbst aussperren, ohne auf eine schwächere Authentifizierungsmethode zurückgreifen zu müssen.

✅ Nutzer können auf der Verwaltungsseite neue und flexible Arten von Passkeys hinzufügen.

✅ Zeigen Sie den Passkeys-Namen an.

Benennen Sie Passkeys anhand der AAGUID und stellen Sie eine greifbare visuelle Darstellung der Passkeys des Nutzers bereit.

✅ Geben Sie an, ob ein Passkey synchronisierbar oder nicht synchronisierbar ist.

Nutzer darauf hinweisen, wenn ein Passkey nicht synchronisiert wird.

✅ Nutzern erlauben, einen öffentlichen Schlüssel vom Server zu entfernen.

✅ Die Liste der Passkeys wird signalisiert, wenn ein zugehöriger öffentlicher Schlüssel vom Server entfernt wird.

Wenn die Passkey-Liste zwischen dem Server und dem Passkey-Anbieter synchronisiert wird, verbessert das die Nutzerfreundlichkeit.

Beispiel für eine Seite zur Passkey-Verwaltung mit Best Practices. — Beispiel für eine Seite zur Passkey-Verwaltung, auf der Best Practices gezeigt werden.

Weitere Überlegungen

✅ Die aktualisierten Nutzerdetails (Nutzername, Anzeigename) signalisieren, wenn der Nutzer sie aktualisiert.

✅ Passkey statt neuem Passwort erstellen, wenn ein Nutzer „Passwort vergessen“ auswählt:

Sichere und nahtlose Passkeys: Checkliste für die Bereitstellung Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.