Nutzerfreundlichkeit von Passkeys in Google-Konten gestalten

Wir verbessern die Sicherheit und Nutzerfreundlichkeit von Google-Konten.

Silvia Convento
Silvia Convento
Spielfeldjacke
Court Jacinic
Galavan
Mitchell Galavan
X

Passkeys sind eine einfache und sichere Technologie für geräteübergreifende Authentifizierung, mit der Onlinekonten erstellt und ohne Passwort angemeldet werden können. Bei der Anmeldung in einem Konto werden Nutzer einfach aufgefordert, die Displaysperre auf ihrem Gerät zu verwenden, z. B. den Fingerabdrucksensor zu berühren.

Google arbeitet schon seit Jahren mit der FIDO Alliance zusammen, zusammen mit Apple und Microsoft, um Passkeys weltweit anzubieten. 2022 haben wir eine Plattformunterstützung für Passkeys eingeführt, damit sich Nutzer von Android und Chrome auf allen ihren Geräten nahtlos in Apps und Websites anmelden können. Im Mai 2023 haben wir die Anmeldung in Google-Konten mit Passkeys eingeführt, um unseren Nutzern die Sicherheit und den Komfort von Passkeys zu erleichtern.

Google befindet sich in einer einzigartigen Position, da wir beide an der Infrastruktur für Passkeys arbeiten und einer der größten Dienste sind, die diese verwenden. Wir führen Passkeys für Google-Konten sorgfältig und gezielt ein, damit wir die Ergebnisse messen und mithilfe dieses Feedbacks die Passkey-Infrastruktur und die Nutzerfreundlichkeit von Google-Konten weiter verbessern können.

Nutzer auf Passkeys umstellen

Passwörter sind seit der Einführung der personalisierten Onlinenutzung die Standard-Anmeldemethode. Wie können wir Passkeys anbieten, sodass keine Passwörter mehr verwendet werden?

Studien haben ergeben, dass Nutzern bei der Authentifizierung der Komfort am wichtigsten ist. Sie wünschen sich einen reibungslosen und schnellen Übergang zur realen Umgebung, der erst nach der Anmeldung erfolgt.

Der Wechsel zu Passkeys erfordert jedoch ein verändertes Muskelgedächtnis und die Nutzer müssen überzeugt sein, dass sich ein Wechsel lohnt.

Bei der Nutzung von Passkeys für Google.com wurden zwei Prinzipien in jedem Schritt des Authentifizierungsprozesses berücksichtigt: Nutzerfreundlichkeit und Sicherheit.

Mit Komfort in den Mittelpunkt stellen

Bei den meisten Nutzern ist dies das erste Mal, dass sie Passkeys sehen
Für die meisten Nutzer ist dies das erste Mal, dass sie Passkeys sehen.

Der erste Passkey-Bildschirm ist leicht und übersichtlich. Im Header liegt der Fokus auf dem Nutzen für die Nutzer: „Anmeldung vereinfachen“.

Im Fließtext steht: „Mit Passkeys kannst du deine Identität jetzt mit deinem Fingerabdruck, deinem Gesicht oder deiner Displaysperre bestätigen.“

Die Abbildung soll die Botschaft im Nutzenversprechen der Seite untermauern. Die große blaue primäre Aktion fordert den Nutzer auf, fortzufahren. „Nicht jetzt“ wird als sekundäre Aktion eingefügt, damit Nutzer selbst entscheiden können, ob sie sich zum jetzigen Zeitpunkt anmelden möchten oder nicht. „Weitere Informationen“ ist für die neugierigsten Nutzer gedacht, die Passkeys besser kennenlernen möchten, bevor sie fortfahren.

Wir haben viele Iterationen der Seiten untersucht, mit denen Nutzer bei der Anmeldung Passkeys eingeführt haben. Dazu gehörten das Ausprobieren von Inhalten, in denen die Sicherheit, Technologie und andere Aspekte von Passkeys betont wurden – aber der Komfort kam am meisten an. Die Inhaltsstrategie, Illustrationen und das Interaktionsdesign von Google unterstreichen dieses Grundprinzip für die Implementierung von Passkeys.

Den Begriff „Passkeys“ mit vertrauten Sicherheitsfunktionen verknüpfen

„Passkeys“ ist ein neuer Begriff für die meisten Nutzer. Wir setzen die Nutzer daher bewusst mit dem Begriff aus, um sie vertraut zu machen. In unserer internen Forschung setzen wir Passkeys strategisch mit Sicherheit in Verbindung.

Das Wort „Passkey“ wird während des gesamten Anmeldevorgangs im Text an weniger auffälligen Stellen angezeigt. Es ist konsequent in die vertrauten Sicherheitsfunktionen eingebunden, die die Passkey-Nutzung ermöglichen: Fingerabdruck, Gesichtserkennung oder Displaysperre anderer Geräte.

Unsere Forschung hat gezeigt, dass viele Nutzer biometrische Verfahren mit Sicherheit verbinden. Passkeys erfordern zwar keine biometrischen Daten (z. B. kann ein Passkey mit einer Geräte-PIN verwendet werden), wir stützen uns jedoch auf die Verknüpfung von Passkeys mit biometrischen Verfahren, um die Wahrnehmung der Sicherheitsvorteile von Passkeys zu verbessern.

Die zusätzlichen Inhalte hinter „Weitere Informationen“ enthalten viele wertvolle Informationen für Nutzer, darunter auch die Zusicherung, dass ihre sensiblen, biometrischen Daten auf ihrem privaten Gerät bleiben und beim Erstellen oder Verwenden von Passkeys niemals gespeichert oder geteilt werden. Wir haben diesen Ansatz gewählt, weil die meisten Nutzer den Komfort von Passkeys ansprechend fanden, aber nur wenige das biometrische Element beim Testen berücksichtigten.

Einführung von Passkeys, wenn dies für den Nutzer relevant ist

Die Heuristik von Google bestimmt sorgfältig, wer den Einführungsbildschirm sehen kann. Unter anderem spielt es eine Rolle, ob ein Nutzer die Bestätigung in zwei Schritten aktiviert hat und ob er regelmäßig über dasselbe Gerät auf das Konto zugreift.

Nutzer, die Passkeys mit größter Wahrscheinlichkeit verwenden, werden zuerst ausgewählt. Im Laufe der Zeit werden dann weitere Nutzer eingeführt. Unter g.co/passkeys kann jedoch jeder loslegen.

Ausgewählte Nutzer werden nach der Anmeldung mit einem Nutzernamen und einem Passwort aufgefordert, einen Passkey zu erstellen. Es gibt einige Gründe, warum wir diesen Punkt in der User Journey ausgewählt haben:

  • Der Nutzer hat sich gerade angemeldet und kennt seine Anmeldedaten und den zweiten Schritt.
  • Wir gehen davon aus, dass der Nutzer sein Gerät verwendet, da er sich gerade angemeldet hat. Daher ist es unwahrscheinlich, dass er das Gerät verlassen oder es ablegt.
  • Statistisch gesehen ist die Anmeldung beim ersten Mal nicht immer erfolgreich. Daher hat eine Nachricht, die es beim nächsten Mal einfacher machen soll, einen greifbaren Wert.

Passkeys als Alternative zu
Passwörtern und noch nicht als Ersatz positionieren

Erste Nutzerstudien zeigen, dass viele Nutzer immer noch Passwörter als sekundäre Anmeldemethode nutzen. Außerdem verfügen nicht alle Nutzer über die Technologie, die für die Implementierung von Passkeys erforderlich ist.

Während sich die Branche, auch Google, in eine „passwortlose Zukunft“ bewegt, positioniert Google Passkeys bewusst als einfache und sichere Alternative zu Passwörtern. Die Benutzeroberfläche von Google konzentriert sich auf die Vorteile von Passkeys und vermeidet Formulierungen, die das Entfernen von Passwörtern implizieren.

Der Moment der Entstehung

Wenn Nutzer sich registrieren, sehen sie ein browserspezifisches UI-Dialogfeld, mit dem sie einen Passkey erstellen können.

Der Passkey selbst wird mit dem branchenüblichen Symbol und den Informationen angezeigt, mit denen er erstellt wurde. Dazu gehören der Anzeigename (ein Anzeigename für Ihren Passkey, z. B. der echte Name des Nutzers) und der Nutzername (ein eindeutiger Name für Ihren Dienst – hier kann eine E-Mail-Adresse verwendet werden). Wenn es um die Verwendung des Passkeys-Symbols geht, empfiehlt die FIDO-Allianz die Verwendung des Symbols für bewährte Passkeys – und rät dazu, es durch individuelle Anpassungen zu personalisieren.

Das Passkeys-Symbol wird während der gesamten User Journey immer angezeigt, damit der Nutzer weiß, was er sieht, wenn er den Passkey verwendet oder verwaltet. Das Passkey-Symbol wird nie ohne Kontext oder unterstützendes Material angezeigt.

Wenn Nutzer ihren Passkey erstellen, sehen sie diese Seite
Wenn Nutzer einen Passkey erstellen, wird ihnen diese Seite angezeigt.

Oben wurde beschrieben, wie der Nutzer und die Plattform zusammenwirken, um einen Passkey zu erstellen. Wenn der Nutzer auf „Weiter“ klickt, wird ihm je nach Plattform eine eigene Benutzeroberfläche angezeigt.

Vor diesem Hintergrund haben wir durch interne Studien erfahren, dass ein Bestätigungsbildschirm nach dem Erstellen des Passkeys in Bezug auf das Verständnis und den Abschluss in diesem Schritt des Prozesses sehr hilfreich sein kann.

Nachdem der Passkey erstellt wurde, sehen Nutzer diese Seite
Nachdem der Passkey erstellt wurde, sehen Nutzer diese Seite.

Der Bestätigungsbildschirm ist eine bewusste „Pause“, um dem Nutzer Passkeys vorzustellen und einen eigenen zu erstellen. Da es wahrscheinlich ist, dass ein Nutzer zum ersten Mal mit Passkeys interagiert, möchten wir auf dieser Seite einen deutlichen Abschluss des Vorgangs bieten. Wir haben uns für eine eigenständige Seite entschieden, nachdem wir einige andere Tools wie kleinere Benachrichtigungen und sogar eine E-Mail nach der Erstellung ausprobiert hatten – einfach um für eine strukturierte, stabile End-to-End-Erfahrung zu sorgen.

Klickt der Nutzer an dieser Stelle auf „Weiter“, wird er zum Ziel weitergeleitet.

Wenn Nutzer sich wieder anmelden, wird ihnen wahrscheinlich diese Seite angezeigt
Wenn Nutzer sich wieder anmelden, wird ihnen wahrscheinlich diese Seite angezeigt.

Anmelden

Wenn ein Nutzer sich das nächste Mal anmeldet, wird er mit dieser Seite begrüßt. Dabei werden dasselbe Layout, dieselbe Illustration und derselbe primäre Call-to-Action verwendet, um den ersten oben beschriebenen Erstellungsprozess zu erzeugen. Sobald sich der Nutzer für die Registrierung für Passkeys entschieden hat, sollte diese Seite vertraut sein und er erkennt, welche Schritte er für die Anmeldung ausführen muss.

Der Nutzer meldet sich mit dieser WebAuthn-UI an
Der Nutzer meldet sich über diese WebAuthn-UI an.

Hier gilt das gleiche Prinzip der Vertrautheit. Dabei werden absichtlich dieselben Symbole, Illustrationen, Layout und Text verwendet. Der Text auf der WebAuthn-Benutzeroberfläche ist kurz, allgemein und wiederverwendbar, sodass jeder ihn sowohl für die Authentifizierung als auch für die erneute Authentifizierung verwenden kann.

Passkeys verwalten

Die Einführung einer ganz neuen Seite auf den Einstellungsseiten des Google-Kontos erforderte sorgfältige Überlegung, um eine kohärente, intuitive und einheitliche Nutzererfahrung zu gewährleisten.

Dazu haben wir die Muster in Bezug auf Navigation, Inhalt, Hierarchie und Struktur des Google-Kontos analysiert und die Erwartungen definiert.

Seite zur Passkeys-Verwaltung im Google-Konto
Passkeys-Verwaltungsseite im Google-Konto

Passkeys nach System beschreiben

Zum Erstellen eines übergeordneten Kategoriesystems, das logisch zu verstehen ist, haben wir Passkeys durch ein System beschrieben. Auf diese Weise kann ein Nutzer erkennen, wo ein Passkey erstellt wurde und wo er verwendet wurde. Da jeder Identitätsanbieter (Google, Apple und Microsoft) einen Namen für sein System hat, haben wir uns für diese entschieden (Google Passwortmanager, iCloud-Schlüsselbund bzw. Windows Hello).

Zu diesem Zweck haben wir zusätzliche Metadaten hinzugefügt, z. B. wann sie erstellt, wann sie zuletzt verwendet wurden und unter welchem Betriebssystem sie verwendet wurden. Die API unterstützt nur das Umbenennen, Entziehen und Erstellen für die Nutzerverwaltung.

Durch die Umbenennung können Nutzer Passkeys persönlich aussagekräftigen Namen zuweisen, wodurch bestimmte Kohorten von Nutzern leichter den Überblick behalten und sie leichter verstehen können.

Wenn Sie einen Passkey widerrufen, wird er nicht aus dem persönlichen Anmeldedatenmanager des Nutzers (z. B. Google Passwortmanager) gelöscht. Er kann erst wieder verwendet werden, nachdem er neu eingerichtet wurde. Aus diesem Grund haben wir für das Widerrufen eines Passkeys ein Kreuz anstelle eines Papierkorbsymbols oder eines Löschsymbols ausgewählt.

Die Formulierung „Passkey erstellen“ kam beim Hinzufügen eines Passkeys zu ihrem Konto besser an als „Passkey hinzufügen“. Dies ist eine subtile Sprachauswahl, um Passkeys von physischen Sicherheitsschlüsseln zu unterscheiden (wobei Passkeys auf einigen Hardware-Sicherheitsschlüsseln gespeichert werden können).

Bereitstellung zusätzlicher Inhalte

Interne Untersuchungen haben gezeigt, dass die Verwendung von Passkeys relativ reibungslos und vertraut ist. Wie bei jeder neuen Technologie gibt es jedoch immer wieder Fragen und Bedenken, die sich einige Nutzer stellen.

Informationen zur Funktionsweise der Technologie hinter der Displaysperre, zu welchen ihrer Sicherheit und zu den häufigsten Was-wäre-wenn-Szenarien, auf die Google bei Tests gestoßen ist, werden in der Google Passkey-Hilfe erläutert. Es ist wichtig, Supportinhalte mit der Einführung von Passkeys vorzubereiten, damit Nutzer auf jeder Website problemlos wechseln können.

Rückfall von Passkeys

Um zum alten System zurückzukehren, müssen Sie lediglich auf „Andere Option wählen“ klicken, wenn der Nutzer aufgefordert wird, sich mit einem Passkey zu authentifizieren. Wenn Nutzer die WebAuthn-UI verlassen, müssen sie außerdem ihren Passkey noch einmal ausprobieren oder sich auf herkömmliche Weise in ihrem Google-Konto anmelden.

Fazit

Wir stehen bei der Entwicklung von Passkeys noch ganz am Anfang. Berücksichtigen Sie daher beim Entwerfen der Nutzererfahrung einige Prinzipien:

  • Verwenden Sie Passkeys, wenn dies für den Nutzer relevant ist.
  • Hebe die Vorteile von Passkeys hervor.
  • Nutzen Sie die Gelegenheit, um sich mit dem Konzept der Passkeys vertraut zu machen.
  • Passkeys sollten eine Alternative zu Passwörtern und nicht als Ersatz sein.

Die Entscheidungen, die wir für Passkeys für Google-Konten getroffen haben, basieren auf Best Practices und internen Forschungen und wir werden die Nutzererfahrung weiterentwickeln, wenn wir neue Erkenntnisse von Nutzern aus der realen Welt gewinnen.