Veröffentlicht am 21. Mai 2026
Auf der Google I/O 2026 haben wir über ein Web gesprochen, in dem die Anmeldung kein Problem darstellt. Es sollte ein sicherer, vereinfachter Einstiegspunkt sein, der Nutzern tatsächlich ein Gefühl der Sicherheit vermittelt. In diesem Beitrag wird zusammengefasst, wie Sie Ihre Kontoflüsse optimieren, Reibungsverluste reduzieren und Nutzer von Anfang an schützen können.
Schnellzugriff
- Warum ist Modernisierung wichtig?
- Kontoerstellung optimieren
- Reibungslose Attributbestätigung
- Passkeys für eine nahtlose Anmeldung implementieren
- Strategische Einführung von Passkeys
- Passkey-Verwaltung und robuste Wiederherstellung
Warum Modernisierung wichtig ist
Abläufe mit hohem Aufwand (z. B. unübersichtliche Registrierungsformulare, die lästige „Passwort vergessen“-Schleife oder eine Wand von Anmeldeschaltflächen) verderben die Stimmung. Sie sind „Kontextwechsel-Killer“, die Nutzer vergraulen. Auch herkömmliche Passwörter und Einmalpasswörter (OTPs) machen Nutzer anfällig für Phishing.
Jede Sekunde, die ein Nutzer mit der Authentifizierung verbringt, ist eine potenzielle Gelegenheit, ihn zu verlieren. Durch die Modernisierung Ihrer Authentifizierung schützen Sie Ihre Systeme und Ihre Nutzer. Wenn Sie jeden Touchpoint im Identitätsmanagement optimieren, steigern Sie automatisch Ihre Conversion-Raten. pixiv hat beispielsweise nach der Implementierung von Passkeys eine Anmelderate von99% erreicht, was einer Verbesserung von 29% gegenüber Passwörtern entspricht. Durch die Umstellung auf starke Anmeldedaten wird die Anmeldung schneller und sicherer.
Kontoerstellung optimieren
Die erste Interaktion eines Nutzers mit Ihrer App ist entscheidend. Die Optimierung der Kontoerstellung ist der erste Schritt zur Verbesserung der Akzeptanz und Sicherheit.
Identitätsföderation als primäre Methode zur Kontoerstellung
Mit Identitätsverbund können Sie Ihren Nutzern das Ausfüllen der umständlichen Kontoerstellungsformulare ersparen. Sie können sich dann bei einem vertrauenswürdigen Anbieter wie Google registrieren. So wird eine robuste und optimierte Registrierung ermöglicht, mit der Nutzer ohne den Aufwand einer typischen Registrierung in Ihre App gelangen.
Durch die Föderation müssen Nutzer ihren Namen oder ihre E‑Mail-Adresse nicht manuell eingeben. Da der Anbieter sie bereits überprüft hat, können Sie redundante Schritte zur unabhängigen Überprüfung überspringen und mehr Kunden gewinnen.
Wenn Sie eine Lösung für die föderierte Identität einführen, können Sie außerdem das Sicherheitsniveau eines dedizierten Identitätsanbieters übernehmen. Da IdPs auf Identität und Sicherheit spezialisiert sind, wird durch die Nutzung ihrer Infrastruktur das Risiko vermieden, die Authentifizierung von Grund auf neu zu entwickeln.
Federated Credential Management API (FedCM) verwenden
Wenn Sie als Identitätsanbieter fungieren, empfehlen wir Ihnen, die FedCM API zu verwenden. Die Interaktion erfolgt über die Browser-Benutzeroberfläche. Das schützt die Privatsphäre, da Tracking verhindert wird. Außerdem können Nutzer sich mit nur einem Tippen anmelden und die Benutzeroberfläche wird übersichtlicher, da nur relevante Konten angezeigt werden.
Das Muster „Federate-then-upgrade“
Bei „Federate-then-upgrade“ wird die Geschwindigkeit der Föderation mit der langfristigen Sicherheit von Passkeys kombiniert. Wenn Sie direkt nach der föderierten Registrierung einen Passkey anfordern, ist die nächste Anmeldung des Nutzers von Anfang an vor Phishing geschützt.
Formulare für Autofill optimieren
Wenn manuelle Formulare erforderlich sind, verwenden Sie beschreibende name- und id-Attribute sowie korrekte autocomplete-Werte, damit der Browser die Felder für den Nutzer ausfüllen kann. Dadurch werden die kognitiven Anforderungen und das Risiko von Tippfehlern während der Registrierung verringert. Weitere Informationen zur Formularoptimierung finden Sie in unseren Best Practices für Anmeldeformulare.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
Reibungslose Attributüberprüfung
Wenn Nutzer Ihre App verlassen müssen, um einen Code in ihrer E-Mail zu prüfen, sinken die Conversion-Raten. Bei diesem Kontextwechsel werden Nutzer abgelenkt und kehren nicht mehr zurück.
E-Mail-Bestätigungsprotokoll (Email Verification Protocol, EVP)
Mit dem E-Mail Verification Protocol (EVP), einer neuen Funktion, kann Ihre Anwendung eine bestätigte E-Mail-Adresse direkt über den Browser abrufen.
Wenn Sie diese Funktion aktivieren möchten, fügen Sie ein ausgeblendetes Eingabefeld mit dem Attribut autocomplete="email-verification-token" und mit einem challenge an. Der Browser parst die E‑Mail-Domain aus der Eingabe und fordert den E‑Mail-Aussteller auf, zu bestätigen, dass der Nutzer Zugriff auf diese E‑Mail-Adresse hat. Nach erfolgreicher Bestätigung präsentiert der Browser einen bestätigten E‑Mail-Anspruch, den Ihr Backend sofort bestätigen kann. Für den Nutzer erfolgt dieser Ablauf nahtlos. Er sieht nur eine Benachrichtigung bei der E-Mail-Bestätigung.
Mit EVP werden Reibungspunkte bei der Anmeldung, Registrierung und beim Zurücksetzen des Passworts vermieden, die Nutzer abschrecken, z. B. Magic Links oder E-Mail-OTPs.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
Die Unterstützung des EVP liegt im Ermessen der einzelnen E‑Mail-Dienstanbieter. Erkundigen Sie sich bei Ihrem Anbieter, ob er EVP unterstützen wird. Wenn Sie eine benutzerdefinierte Domain haben, können Sie sie mit einem unterstützten E‑Mail-Anbieter verbinden, um auch EVP zu unterstützen.
Da sich diese Funktion noch in der Testphase befindet, freuen wir uns über Ihr Feedback dazu im GitHub-Repository.
Digital Credentials API
Für vertrauliche Informationen wie den rechtsgültigen Namen oder das Alter bietet die Digital Credentials API eine Möglichkeit, über die Browservermittlung mithilfe der selektiven Offenlegung bestätigte Daten aus dem Wallet eines Nutzers anzufordern. So können Sie bestätigen, dass ein Nutzer ein bestimmtes Alter überschritten hat, ohne sein vollständiges Geburtsdatum oder seinen rechtsgültigen Namen zu erhalten.
Weitere Informationen finden Sie unter Digital Credentials API: Secure and private identity on the web.
Passkeys für eine nahtlose Anmeldung implementieren
Passkeys sind mehr als nur ein Ersatz für Passwörter. Sie stellen einen grundlegenden Wandel hin zu einer nahtlosen Authentifizierung dar, die vor Phishing schützt.
Unmittelbarer UI-Modus
Ab Chrome 149 ist der Immediate UI Mode verfügbar. So kann die Website nach Anmeldedaten suchen, sobald ein Nutzer Ihre Website aufruft. Wenn ein Passkey oder Passwort im Passwortmanager verfügbar ist, zeigt der Browser sofort eine Liste der verfügbaren Konten in einem Anmeldedialogfeld an.
Dadurch muss ein Nutzer keine Anmeldemethode mehr auswählen. Wenn Sie die Anmeldedaten für das ausgewählte Konto proaktiv anbieten, schaffen Sie eine reibungslose „One Tap“-Erfahrung, die für den Nutzer wie Magie wirkt.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
Weitere Informationen finden Sie unter Sofortiger UI-Modus für Log-ins.
Autofill für Formulare mit Passkeys: Autofill für Formulare verwenden, während Sie auf Passkeys umstellen
Für Nutzer auf einer Website, die von Passwörtern auf Passkeys umgestellt wird, ermöglicht Automatisches Ausfüllen von Passkey-Formularen, dass Passkeys in den Vorschlägen zum automatischen Ausfüllen angezeigt werden, wenn das Eingabefeld ausgewählt ist. Das bedeutet, dass, wenn ein Nutzer bereits einen Passkey hat, dieser sofort angezeigt wird, sobald er das Feld für den Nutzernamen in einem Anmeldeformular auswählt. Andernfalls können sie das gespeicherte Passwort weiterhin verwenden.
Dazu müssen Sie das Feld „Nutzername“ mit autocomplete="username webauthn" annotieren und den Wert mediation auf 'conditional' setzen, wenn Sie navigator.credentials.get() aufrufen.
Das ist eine wichtige Brücke während des Übergangs zu einer passwortlosen Zukunft, da Nutzer so mit Passkeys in einer vertrauten Benutzeroberfläche vertraut gemacht werden.
Checkliste für die Passkey-Authentifizierung
Strategische Einführung von Passkeys
Die Akzeptanz ist oft eine Frage des Timings. Wenn Sie einen Nutzer zum richtigen Zeitpunkt auffordern, einen Passkey zu registrieren, kann sich die Wahrscheinlichkeit dafür deutlich erhöhen.
Automatische Passkey-Erstellung
Niemand möchte sich durch die Sicherheitseinstellungen wühlen, nur um eine neue Anmeldemethode einzurichten. Wie und wann sollten Sie bestehende Passwortnutzer auffordern, auf Passkeys umzusteigen?
Hier kommt die automatische Passkey-Erstellung ins Spiel. Mit Conditional Create kann der Browser Nutzer mit Passwort automatisch auf Passkeys umstellen, sobald sich ein Nutzer mit seinem Passwortmanager anmeldet.
Wenn mediation: 'conditional' an die navigator.credentials.create()-API übergeben wird, die durch die letzte erfolgreiche Anmeldung des Nutzers mit dem im Passwortmanager gespeicherten Passwort ausgelöst wird, generiert der Browser nativ einen neuen Passkey, ohne dass der Nutzer zusätzliche Einrichtungsbildschirme durchlaufen muss.
Bei der reibungslosen Registrierung müssen Nutzer keine bewusste Entscheidung treffen, um ihre Sicherheit zu verbessern. Das passiert automatisch und schützt sie ohne zusätzlichen Aufwand. adidas konnte beispielsweise die Anzahl der erstellten Passkeys um 8% steigern, indem das Unternehmen diese Strategie ohne Aufforderung einsetzte.
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
Checkliste für die Registrierung von Passkeys
Passkey-Verwaltung und robuste Wiederherstellung
Es ist wichtig, dass Nutzer ihre Anmeldedaten auf allen Geräten, Websites und in allen Diensten schnell zur Hand haben. Außerdem können Sie die Konten verwalten und dafür sorgen, dass Nutzer ihre Konten wiederherstellen können, wenn ein Gerät verloren geht oder gestohlen wird.
Plattformübergreifende Konsistenz
Wenn Sie mehrere Properties haben, die sich ein Anmeldesystem teilen (z. B. eine Android-App und eine Website oder mehrere Websites), können Sie die Nutzerfreundlichkeit verbessern. Mit der nahtlosen Weitergabe von Anmeldedaten können Passwortmanager Nutzern in allen Ihren Properties die richtigen Anmeldedaten vorschlagen.
Nahtlose Weitergabe von Anmeldedaten besteht aus zwei Technologien: Digital Asset Links für Passwörter und Related Origin Requests für Passkeys.
Wenn Sie Digital Asset Links verwenden, sind im Web erstellte Passwörter in Ihrer Android-App verfügbar und umgekehrt. Außerdem können Passwortmanager so ein bereits gespeichertes Anmeldedatenpaar für verschiedene Domains vorschlagen, die Ihnen gehören und dasselbe Authentifizierungs-Backend verwenden.
Mit Anfragen für zugehörige Ursprünge können Sie Passkeys über die Anmeldedatenverwaltung des Nutzers in verschiedenen Domains und Apps verfügbar machen.
So können Sie die Anmeldung für Ihre Nutzer noch einfacher gestalten.
Nutzer mit einer Seite zur Passkey-Verwaltung unterstützen
Für eine anspruchsvolle Passkey-Umgebung empfehlen wir, eine spezielle Seite zur Verwaltung von Passkeys zu erstellen, die klare Anbieternamen, Nutzungszeiten und Steuerelemente unterstützt. So können Nutzer ihre Einstellungen sicher verwalten. Transparenz schafft Vertrauen.
Checkliste für die Verwaltung von Passkeys
Zuverlässige Kontowiederherstellung
Geräte können verloren gehen oder aktualisiert werden. Passkeys sind von Natur aus robust, da sie auf Hardwareebene geschützt sind und in der Regel auch in der Cloud synchronisiert werden. So können Nutzer sie auf einem neuen Gerät wiederherstellen. Mit einem Fallback wie einer bestätigten E-Mail-Adresse können Sie jedoch dafür sorgen, dass Ihre Nutzer nie den Zugriff auf ihr digitales Leben verlieren.
Anstatt Nutzer in der Warteschleife eines Helpdesk-Anrufs warten zu lassen, können Sie anhand von Signalen, denen Sie bereits vertrauen, wie z. B. Identitätsverbund oder E‑Mail-Bestätigung, nachweisen, dass sie der Inhaber sind.
Wenn Sie diese Signale in einer Wiederherstellungsstrategie kombinieren, können Sie den Zugriff sofort wiederherstellen. Sobald Sie wieder Zugriff haben, sollten Sie sofort einen neuen Passkey registrieren, damit Ihr Konto wieder vor Phishing geschützt ist.
Sitzungen mit DBSC schützen
Um Nutzer vor Kontoübernahmen zu schützen, ist es wichtig, ihre Sitzungscookies zu schützen. Mit Anmeldedaten für gerätegebundene Sitzungen (Device Bound Session Credentials, DBSC) können Sie eine Sitzung an die Hardware binden. Dadurch wird das Risiko von Session-Hijacking verringert, da selbst wenn ein Cookie gestohlen wird, nur dasselbe Gerät eine Neuausstellung des Cookies anfordern kann. So wird Ihrer Sitzung eine weitere Sicherheitsebene hinzugefügt.
DBSC ist eine experimentelle Funktion, die jetzt unter Windows verfügbar ist. Weitere Informationen zu dieser Aktualisierung finden Sie in der Ankündigung zu Anmeldedaten für gerätegebundene Sitzungen unter Windows. Wir arbeiten auch daran, die Unterstützung für DBSC auf macOS auszuweiten.
Agenten-Skills für Passkeys
Wir haben Passkey-Skills, die viele der in diesem Beitrag beschriebenen Aspekte abdecken, in unser Modern Web Guidance-Projekt aufgenommen. Wir werden demnächst einen Blogbeitrag speziell zu Passkey-Skills veröffentlichen.
Sind Sie bereit, die Zukunft der Authentifizierung mitzugestalten?
In unseren detaillierten Leitfäden finden Sie weitere Informationen.