Schaltfläche „Mit einem Passkey anmelden“
Passkeys ermöglichen die Anmeldung ohne Formulare mit nur wenigen Fingertipps und der Displaysperre des Geräts. Da ein Passkey den Nutzernamen und den Anzeigenamen des Nutzers enthält, kann im Browser oder Betriebssystem eine Kontoauswahl angezeigt werden, über die der Nutzer ein Konto für die Anmeldung auswählen und dann den Bildschirm zur Bestätigung entsperren kann. Über die Schaltfläche „Mit einem Passkey anmelden“ kann der Nutzer den Vorgang über eine Website oder Anwendung starten.
Diese Nutzererfahrung wird für RPs empfohlen, die sicher sind, dass sie nur Passkey-Nutzer haben. Wenn ein RP Nutzer ohne Passkey hat, müssen diese sich trotzdem mit anderen Methoden wie Nutzername und Passwort mit einem Formular anmelden können. Für solche Fälle empfehlen wir Vorschläge für Passkey-Autofill in Formularfeldern.
Passkey-Autofill-Vorschläge in Formularfeldern
Die Passkey-basierte Authentifizierung kann über die einfache Schaltfläche Mit einem Passkey anmelden angeboten werden. Wenn es jedoch einige Nutzer mit Passwörtern gibt, muss der RP auch für diese Nutzer ein Anmeldeformular anbieten. Um beide Arten von Nutzern zu unterstützen, kann stattdessen ein Nutzername und ein Passwortformular verwendet werden. Dadurch kann der Nutzer Autofill-Vorschläge für Passwörter und Passkeys (falls verfügbar) sehen. Nutzer müssen sich so auch nicht mehr merken, ob sie einen Passkey oder ein Passwort verwenden.
Bei dieser Konfiguration wird Nutzern eine Kontoauswahl angezeigt, sobald sie den Cursor auf ein Formularfeld platzieren. Wenn ein Konto passwortbasiert ist, werden bei der Kontoauswahl automatisch ein Feld für Nutzername und Passwort ausgefüllt. Wenn das Konto auf einem Passkey basiert, wird der Nutzer sofort aufgefordert, das Gerät zu entsperren, und versucht, sich anzumelden.
Diese Nutzererfahrung eignet sich, wenn ein RP von einer passwortbasierten oder Multi-Faktor-Authentifizierung zu einer passwortlosen Authentifizierung mit Passkeys übergeht.
Erfahren Sie, wie Sie diese User Experience schaffen:
Erneute Authentifizierung
Die erneute Authentifizierung ist eine gängige Praxis, wenn ein Nutzer bereits angemeldet ist, aber eine zusätzliche Authentifizierung benötigt, da eine Sitzung abgelaufen ist oder der Nutzer im Begriff ist, einen vertraulichen Vorgang auszuführen, z. B. eine Versandadresse hinzuzufügen oder einen Kauf zu tätigen.
Bei der passwortbasierten Authentifizierung wird ein Nutzer aufgefordert, sein Passwort einzugeben, um sich noch einmal zu authentifizieren, aber mit Passkeys kann der RP einfach zum Entsperren des Geräts auffordern, um sich noch einmal zu authentifizieren.
Diese schnelle Authentifizierung stellt sicher, dass sich derselbe Nutzer noch vor dem Gerät befindet, sodass es sicherer ist, fortzufahren.
Erfahren Sie, wie Sie diese User Experience schaffen:
- Erste WebAuthn-Anwendung erstellen (Codelab)
Mit einem Smartphone anmelden
Passkeys werden auf Geräten synchronisiert, die zur selben Umgebung gehören. Wenn ein Nutzer beispielsweise unter Android einen Passkey erstellt, ist er auf allen Android-Geräten verfügbar, solange der Nutzer im selben Google-Konto angemeldet ist. Derselbe Passkey ist jedoch nicht unter iOS, macOS oder Windows verfügbar, selbst wenn Sie denselben Browser wie Chrome verwenden.
Ein Nutzer kann einen Passkey auf seinem Smartphone verwenden, um sich auf anderen Geräten durch Scannen eines QR-Codes anzumelden, sofern sich das Smartphone in der Nähe des Laptops befindet und der Nutzer die Anmeldung auf dem Smartphone genehmigt. Das funktioniert unter verschiedenen Betriebssystemen und Browsern.
Angenommen, ein Nutzer hat ein Android-Gerät und hat auf einer Website über Chrome einen Passkey erstellt. Der Passkey wird zwischen Android-Geräten gespeichert und synchronisiert, aber nicht mit anderen Systemen. Wenn der Nutzer versucht, sich unter macOS 13 Safari auf derselben Website anzumelden, sind auf dem Mac keine Passkeys gespeichert. Der Nutzer kann sich weiterhin auf dem Android-Gerät anmelden, indem er auf einem zweiten Gerät einen Passkey verwendet. Safari zeigt einen QR-Code an, den der Nutzer mit dem Android-Smartphone scannen, den Passkey auswählen und mit der Displaysperre bestätigen kann. Eine einmalige Passkey-Signatur wird auf dem Mac zurück zu Safari übertragen, die dann von der Website zur Anmeldung des Nutzers verwendet wird. Die beiden Geräte überprüfen über Bluetooth, ob sie sich in unmittelbarer Nähe zueinander befinden.
Dieser geräte- und betriebssystemübergreifende Mechanismus der Passkey-Authentifizierung ist unter FIDO standardisiert und in Chrome und Safari verfügbar. Weitere Browser folgen. Sie müssen nichts weiter tun, um diese Funktion zu aktivieren. Sie wird automatisch aktiviert, wenn Entwickler dem Schaltflächenansatz „Mit einem Passkey anmelden“ oder dem oben beschriebenen Ansatz „Mit einem Passkey anmelden“ folgen.