Wie Sie eine hohe Passkey-Akzeptanz in Login-Prozessen erreichen

1. Einleitung#

Wir haben bereits über die Optimierung von Passkey-Erstellungs-Flows gesprochen, den entscheidenden ersten Schritt hin zu einer erfolgreichen Passkey-Akzeptanz. Nach der Erstellung ist es jedoch wichtig, sicherzustellen, dass Nutzer Passkeys konsequent als bevorzugte Anmeldemethode wählen. In diesem Artikel verlagern wir unseren Fokus auf die Verbesserung der Passkey-Login-Raten – der Schlüssel, um in der Praxis eine sinnvolle Passkey-Adoption zu erreichen. Im Einzelnen werden wir die folgenden Fragen beantworten:

• Was sind die Best Practices zur Optimierung von Passkey-Login-Raten?
• Wie können Unternehmen eine konsistente Passkey-Nutzung in großem Maßstab effektiv fördern?

Sie lernen bewährte Strategien und praktische Ansätze kennen, die auf Unternehmensumgebungen zugeschnitten sind und es Ihrer Organisation ermöglichen, Nutzer erfolgreich von Passwörtern zu Passkeys zu überführen. Während unser vorheriger Artikel die Passkey-Erstellung und die anfängliche Registrierung behandelte, zielt dieser Artikel speziell auf Strategien ab, die entwickelt wurden, um die laufende Passkey-Nutzung zu optimieren und sicherzustellen, dass Passkeys im Laufe der Zeit zur primären Authentifizierungsmethode für Ihre Nutzer werden.

2. Warum Passkey-Akzeptanz wichtiger als die Implementierung ist: Die Passkey-Login-Rate#

Eine hohe Passkey-Registrierung zu erreichen, ist nur ein Teil des Puzzles; die Passkey-Login-Rate – der Anteil der gesamten Anmeldungen, die über Passkeys anstelle von Fallback-Methoden erfolgen, bietet die genaueste Abbildung der wahren Passkey-Nutzung. Ein System, das Passkey-Registrierungen generiert, bei dem diese Passkeys jedoch bei der alltäglichen Authentifizierung nicht genutzt werden, verfehlt die versprochenen Sicherheits- und Komfortvorteile. Nachfolgend finden Sie wichtige Überlegungen, um zu verstehen, warum die Nutzung genauso entscheidend ist wie die Erstellung:

2.1 Die Passkey-Login-Rate ist die wichtigste Adoptionskennzahl#

Während neue Passkey-Registrierungen wichtig sind, sollten Organisationen den Erfolg der Akzeptanz daran messen, wie viele Logins tatsächlich über Passkeys erfolgen. Eine hohe Passkey-Nutzung / Passkey-Login-Rate korreliert direkt mit weniger Passwort-Resets, niedrigeren OTP-Kosten und einer verbesserten Nutzerzufriedenheit. Für eine detaillierte Verfolgung dieser Metriken, sehen Sie sich unseren Passkey-Analyse-Leitfaden an.

2.2 Mehr als nur Gesamtzahlen und Passkey-Erstellungen#

Selbst wenn eine Plattform Hunderttausende oder Millionen von Passkey-Anmeldeinformationen meldet, führen diese rohen Zahlen nicht zwangsläufig zu einer starken täglichen Passkey-Aktivität. Die Kernmetrik ist die Passkey-Login-Rate, also der Anteil der gesamten Logins mit Passkeys.

2.3 Unterschiedliche Stufen der Implementierungskomplexität#

Jeder Passkey-Login-Workflow, ob er die Passkey-Aufforderung automatisch startet (Identifier-First) oder einen separaten Passkey-Button anbietet, kann die Akzeptanz durch die Nutzer erheblich beeinflussen. Einige Flows erfordern mehr Aufwand, um die Passkey-Login-Rate zu steigern.

2.4 Unterscheidung zwischen Erstellung und laufender Nutzung#

Während die anfängliche User Journey (Aufforderung, Messaging, Design der Zeremonie) wichtig für die Passkey-Registrierung ist, erfordert die Aufrechterhaltung der Dynamik sorgfältig optimierte Post-Enrollment-Flows. Es reicht nicht aus, Passkeys "gespeichert" zu haben – kontinuierliche Erinnerungen, Hinweise auf die Geräteabdeckung und ein reibungsloses Login-Erlebnis sind notwendig, um das Nutzungsniveau hoch zu halten, aber der wichtigste Faktor ist, den Login mit Passkeys komfortabel voranzutreiben.

2.5 Vergleich von DIY- und Anbieterlösungen: Wie hoch ist die Passkey-Login-Rate?#

Viele Lösungsanbieter zitieren beeindruckende Erstellungs- oder „undefinierte Adoptionszahlen“, aber die Schlüsselfrage ist, wie effizient ihre Systeme neue Passkey-Registrierungen in alltägliche Passkey-Logins umwandeln. In einigen Fällen kann das absolute Nutzungsvolumen aufgrund einer großen Nutzerbasis hoch sein, aber der Prozentsatz der gesamten Logins, die Passkeys zugeschrieben werden, bleibt gering. In diesem Artikel werden wir die entscheidenden Strategien hervorheben, um sicherzustellen, dass Ihre Passkey-Login-Flows zu einer echten, fortlaufenden Passkey-Nutzung führen, als Vorbereitung auf einen vollständig passwortlosen Ansatz.

Kurz gesagt, die Steigerung der Passkey-Login-Rate ist das, was letztendlich den Erfolg jedes Passkey-Projekts ausmacht. Durch die Anwendung gut geplanter Login-Flows, konsistenter Nutzer-Erinnerungen und eines sorgfältigen Fallback-Managements können Unternehmen die Passkey-Nutzung auf 50 % und mehr erhöhen und so den Weg ebnen, Passwörter wirklich zu ersetzen und die Vorteile eines passwortlosen Ökosystems zu erleben.

3. Technische Ansätze: Wie können Passkeys für den Login genutzt werden?#

Bevor wir in die Best Practices zur Optimierung der Passkey-Login-Akzeptanz eintauchen, ist es wichtig, die verschiedenen technischen Ansätze für die Integration der passkeybasierten Authentifizierung in Ihre Login-Flows kurz zu skizzieren. Jede Methode hat bestimmte Stärken und Überlegungen, die die allgemeine Akzeptanzrate, das Nutzererlebnis und die Sicherheitseffektivität beeinflussen. Das Verständnis dieser Optionen bildet die Grundlage für die effektive Anwendung von Best Practices, die auf Ihren spezifischen Anwendungsfall zugeschnitten sind.

3.1 Conditional UI#

Conditional UI ermöglicht es, einen bestehenden Passkey während der Login-Aufforderung automatisch vorzuschlagen, was die Reibung erheblich reduziert, insbesondere auf mobilen Plattformen. Dieser Ansatz nutzt native Plattformfunktionen und verbessert das Nutzererlebnis, indem er die erforderlichen Schritte zur Einleitung einer passkeybasierten Authentifizierung minimiert. Er hat jedoch Einschränkungen, insbesondere wenn mehrere Konten mit derselben Plattform verknüpft sind. Bei Nutzern kann Verwirrung darüber entstehen, zu welchem Konto der angebotene Passkey gehört, was möglicherweise zu Zögern oder abgebrochenen Logins führt. Darüber hinaus integriert sich Conditional UI zwar reibungslos in Passwortmanager, wird aber nicht flächendeckend angenommen. Nutzer brechen Conditional-UI-Aufforderungen möglicherweise ab, um Anmeldeinformationen manuell zu verifizieren, was die Notwendigkeit zusätzlicher Klarheit oder Sicherheit im Login-Flow anzeigt. Conditional UI ist kein eigenständiger Authentifizierungsmechanismus, es gilt als Add-on und muss mit dem automatischen Login mit Passkeys oder dem Passkey-Button-Ansatz kombiniert werden.

3.2 Automatischer Login / Auslösen mit Passkeys (Identifier-First-Flows)#

In Identifier-First-Flows geben Nutzer ihren Identifikator (z. B. E-Mail oder Benutzername) ein, und wenn ein gültiger Passkey verfügbar ist, startet der Login-Prozess automatisch. Wir werden diese Methode auch als automatisches Auslösen bezeichnen. Diese Methode reduziert die Reibung erheblich und macht das Login für Nutzer mit einem registrierten Passkey, der auf ihrem aktuellen Gerät zugänglich ist, fast mühelos. Die Komplexität der Implementierung entsteht jedoch bei der Bestimmung der Passkey-Verfügbarkeit auf verschiedenen Geräten und Browsern, da der WebAuthn-Standard die Erkennung von Passkeys im Web nicht direkt unterstützt. Folglich vereinfachen Anbieter oft Erkennungsmechanismen oder fordern Nutzer jedes Mal auf, was zu Frustration führt, wenn sie mit unzugänglichen Optionen wie unnötigen QR-Codes konfrontiert werden – besonders problematisch bei Anwendungsfällen, in denen Nutzer über mehrere Geräte und Kombinationen von Mobilgeräten, privaten und geschäftlichen Notebooks sowie Familiengeräten verfügen. Ein ausführlicher Artikel zu Identifier-First-Flows findet sich hier.

3.3 Passkey-Button-Ansatz (Vermeidung von Account Enumeration)#

Der Passkey-Button-Ansatz beinhaltet die Bereitstellung eines dedizierten, separaten Buttons unterhalb traditioneller Login-Methoden, der Nutzer explizit auffordert, die Passkey-Authentifizierung manuell zu initiieren. Diese Methode geht effektiv auf Bedenken bezüglich Account Enumeration ein, da Authentifizierungszeremonien nur ablaufen, wenn auf dem Gerät des Nutzers ein gültiger Passkey vorhanden ist, wodurch Leaks über die Existenz von Konten oder Anmeldeinformationen verhindert werden. Obwohl unkompliziert und sicher, ist der Hauptnachteil die eingeschränkte Nutzung durch Verbraucher. Ohne die automatische Initiierung des Passkey-Logins greifen Nutzer typischerweise standardmäßig auf vertraute passwortbasierte Methoden zurück. Unternehmen, die diesen Ansatz verfolgen, sollten ihn mit strategischen Nachrichten, wie Aufforderungen oder Bannern, kombinieren, um die Aufmerksamkeit der Nutzer auf die Nutzung von Passkeys zu lenken und die Komfort- und Sicherheitsvorteile klar zu kommunizieren, die Passkeys bieten. Corbado nutzt Passkey Intelligence und einen One-Tap Passkey-Button, um eine hohe Passkey-Login-Akzeptanz sicherzustellen, selbst in diesem Szenario – aber dazu später im Artikel mehr.

3.4 Nutzung von Passkeys als zweiten Faktor#

Diese Methode integriert Passkeys als zusätzlichen Faktor, nachdem sich der Nutzer anfänglich über ein Passwort authentifiziert hat. Nach erfolgreicher Passworteingabe wählt der Nutzer zwischen Passkeys und traditionellen zweiten Faktoren wie SMS oder Authenticator-Apps. Der Hauptvorteil dieses Ansatzes ist eine minimale Störung des bestehenden Login-Prozesses, was es Unternehmen erleichtert, Passkeys schrittweise einzuführen, ohne signifikante Änderungen im Nutzerverhalten zu erfordern. Es bietet jedoch kaum UX-Verbesserungen und hält Kunden in der passwortbasierten Authentifizierung verankert, was den Übergang zu einer wirklich passwortlosen Umgebung einschränkt. Folglich ist dieser Ansatz am besten für konservative oder Compliance-gesteuerte Szenarien geeignet, bei denen eine schrittweise Einführung von Passkeys bevorzugt wird.

3.5 Mobile-First-Ansatz (Passkeys nur auf mobilen Geräten)#

Der Mobile-First-Ansatz nutzt ausschließlich synchronisierte Passkeys, die auf mobilen Geräten verfügbar sind. Wenn Nutzer sich von Desktops aus einloggen, authentifizieren sie sich typischerweise durch das Scannen von QR-Codes, die auf ihren Bildschirmen angezeigt werden, um die Passkey-Erstellung oder den Login über Mobilgeräte zu initiieren. Diese Strategie ist besonders für Mobile-Native-Institutionen oder Neobanken attraktiv, die Komplexität reduzieren möchten, indem sie sich eng an ihr bestehendes Mobile-Centric-Nutzererlebnis anlehnen. Sie überträgt jedoch eine erhebliche Verantwortung auf die Nutzer und verlangt von ihnen, für die Authentifizierung konsequent ihr mobiles Gerät zu verwenden, was zu Reibung führen kann. Die QR-Code-Abhängigkeit ist zudem für viele Nutzer unübersichtlich und kann eine breitere Akzeptanz behindern, es sei denn, sie wird durch klare, unterstützende Nutzerführung und Aufklärung ergänzt. Dieser Ansatz wird bis heute nur bei kleineren Bereitstellungen eingesetzt, nicht jedoch bei großen Deployments.

4. Best Practices für Passkey-Logins#

Nachdem wir nun die technischen Ansätze für die Integration von Passkeys in Login-Flows untersucht haben, lassen Sie uns analysieren, wie große Organisationen wie Amazon, Microsoft, Google und myGov Passkeys in großem Maßstab erfolgreich implementiert haben. Durch die Untersuchung dieser groß angelegten Beispiele werden wir Best Practices und praktische Erkenntnisse identifizieren, die Ihr Unternehmen dabei unterstützen können, eine hohe Passkey-Akzeptanz und eine konstant hohe Passkey-Login-Rate zu erreichen.

4.1 Wie ist Amazon an Logins mit Passkeys herangegangen?#

• Automatischer Login mit Passkeys: Nachdem Nutzer ihre E-Mail-Adresse eingegeben haben, initiiert Amazon automatisch einen Passkey-Flow, wenn wahrscheinlich ein gültiger Passkey auf dem Gerät verfügbar ist. Wie auf den obigen Screenshots zu sehen, gibt es anfangs keinen Button, um den Login mit einem Passkey zu starten; dieser erscheint später.
• Umgang mit Abbrüchen durch den Nutzer: Wenn ein Nutzer abbricht oder die Passkey-Aufforderung fehlschlägt, kehrt der Login-Flow zurück und zeigt einen sichtbaren Passkey-Button oder einen Passwort-Fallback an. Nutzer können den Passkey jederzeit erneut versuchen, indem sie auf „Passkey verwenden“ klicken, oder mit bestehenden Passwort-Flows fortfahren, wenn dies wirklich erforderlich ist.
• Conditional UI: Alle Bildschirme unterstützen Autofill und Conditional UI, aber wie wir beobachtet haben, überspringen einige Nutzer das Autofill und geben stattdessen ihren Identifikator manuell ein.

4.2 Wie ist Microsoft an Logins mit Passkeys herangegangen?#

• Passkey als Standard: Sobald ein Nutzer seine E-Mail eingibt, prüft Microsoft, ob für diese Plattform ein Passkey gespeichert ist. Wenn dieser wahrscheinlich verfügbar ist, fordert das System automatisch zur Eingabe eines Passkeys auf – und löst die WebAuthn-Zeremonie automatisch aus (automatischer Login).
• Abgebrochener Flow & Passwort-Backup: Wenn ein Nutzer die Passkey-Aufforderung abbricht oder auf diesem Gerät keinen gültigen Passkey hat, wechselt das System nicht automatisch zu einem Fallback, sondern zeigt die Passkey-Fehlerseite an, auf der zusätzliche Optionen verwendet werden können.
• Conditional UI: Auf live.com implementiert Microsoft derzeit kein Conditional UI, was wahrscheinlich auf die Komplexitäten im Zusammenhang mit Conditional Access im zugrundeliegenden Entra-System zurückzuführen ist.

4.3 Wie ist Google an Logins mit Passkeys herangegangen?#

• Automatischer Login mit Passkeys: Nachdem Nutzer ihre E-Mail-Adresse eingegeben haben, initiiert Google ebenfalls automatisch einen Passkey-Flow, wenn auf dem Gerät wahrscheinlich ein gültiger Passkey verfügbar ist. Der automatische Login wird nicht in allen relevanten Fällen ausgelöst, der QR-Code-Login wird vermieden.
• Umgang mit Abbrüchen durch den Nutzer: Wenn ein Nutzer abbricht oder die Passkey-Aufforderung fehlschlägt, kehrt der Login-Flow zu einer informativen Fehlerseite zurück, die den Nutzer auffordert, den Login erneut zu versuchen. Nutzer können den Passkey erst nach dem zweiten Abbruch erneut versuchen. Zu diesem Zeitpunkt verbessert Google die Fehlermeldungen und fügt eine kurze Umfrage hinzu. Wir haben den besten Fallback-Mechanismen einen ganzen Artikel gewidmet.

• Conditional UI: Alle Bildschirme unterstützen jetzt Conditional UI, obwohl Google es ursprünglich ohne startete.

4.4 Wie ist myGov an Logins mit Passkeys herangegangen?#

• Separater Passkey-Button: Der Anmeldebildschirm verfügt über ein dezentes „Mit Passkey anmelden“. Obwohl dieser Ansatz einfach zu implementieren ist, verlässt er sich darauf, dass die Nutzer die Passkey-Option bemerken und auswählen. Kürzlich wurde die Passkey-Login-Option weiter oben platziert, um die Aufmerksamkeit der Nutzer zu erhöhen.
• Passwörter deaktivieren: Nach dem Erstellen eines Passkeys können Nutzer Passwörter komplett deaktivieren – ein großer Sicherheitsvorteil. Der Login-Flow greift jedoch standardmäßig auf SMS-OTP zurück, wenn Passkeys nicht explizit ausgelöst werden, was zu Verwirrung führen kann.
• Kein Conditional UI: myGov nutzt derzeit kein Passkey-Autofill (Conditional UI) auf seinen Web- oder nativen Apps, wodurch das reibungslose „Ein-Klick“-Anmeldeerlebnis für passkeybereite Geräte verpasst wird, was besonders wichtig ist, wenn der Passkey-Button-Ansatz angewendet wird. Wir haben auch eine vollständige Analyse für die Passkey-Implementierung von myGov.

4.5 Zusammenfassung: Gemeinsamkeiten und wichtige Fakten#

Nachfolgend finden Sie einen prägnanten Vergleich, wie Amazon, Microsoft, Google und myGov ihre Passkey-Login-Flows strukturieren. Dabei liegt der Fokus darauf, ob sie Passkeys automatisch auslösen (automatischer Login) oder sich auf einen separaten Passkey-Button verlassen, auf die eingesetzte Intelligenz, um die Verfügbarkeit von Anmeldedaten zu prüfen, ob ein zusätzlicher Faktor angewendet wird, die Unterstützung für Conditional UI und das Gesamtniveau der Passkey-Akzeptanz, das jeder Ansatz erreicht.

Erkenntnisse

1. Automatische Passkey-Logins erhöhen die Akzeptanz
   Amazon, Microsoft und Google bestätigen, dass nach Eingabe eines Identifikators durch den Nutzer die automatische Aufforderung für einen Passkey zu höheren Passkey-Login-Raten führt – insbesondere auf mobilen Geräten. myGov hält hingegen an einem separaten Passkey-Button fest, was die tägliche Passkey-Nutzung reduziert. Dies ist wahrscheinlich auf einen konservativeren Ansatz bezüglich Account Enumeration zurückzuführen.
2. Umgang mit Fallbacks
   Alle Lösungen greifen auf Fallback-Optionen zurück, wenn die Passkey-Aufforderung fehlschlägt oder abgebrochen wird, die Details variieren jedoch (z. B. bietet Amazon einen klaren Passkey-Button; Microsoft zeigt eine Fehlerseite). Diese Fallback-Logik muss intuitiv bleiben, um das Vertrauen der Nutzer aufrechtzuerhalten.
3. Conditional UI
   Google und Amazon nutzen Conditional UI, um Reibung zu reduzieren, indem sie Passkeys automatisch vorschlagen. Microsoft implementiert dies aufgrund interner Entra-Komplexitäten nicht. myGov beinhaltet kein Passkey-Autofill-UI.
4. Auswirkungen auf MFA-Anforderungen
   Alle Beispiele außer Amazon verlassen sich auf Passkeys als eigenständigen MFA-Faktor. Das einzige andere große Unternehmen, das Passkeys als Einzelfaktor behandelte, war Paypal, hat jedoch in den USA aufgrund viel niedrigerer Betrugsraten mit Passkeys den Kurs geändert. Obwohl sie in ihrem Fall dies nicht als Ersatz für den ersten Faktor (Passwort), sondern als Ersatz für den zweiten Faktor (SMS-OTP) betrachteten.
5. Ergebnisse der Akzeptanz
   Amazon, Microsoft und Google weisen jeweils hohe Passkey-Login-Raten auf. Die Nutzung bei myGov hinkt hinterher, behindert durch einen unauffälligen Passkey-Button ohne automatischen Passkey-Login.

Durch die Kombination aus automatischer Erkennung, Fallback-Intelligenz und optionalem Conditional UI demonstrieren Amazon, Microsoft und Google, wie Passkeys konsequent als primäre Login-Methode vorangetrieben werden. myGov liefert währenddessen ein warnendes Beispiel dafür, wie ein einfacherer, sicherheitsorientierter Button-basierter Ansatz aussehen könnte.

5. Die Basis: Automatischer Login vs. Passkey-Button#

Bei der Integration von Passkeys in Ihre Login-Flows stechen zwei primäre Optionen für die tägliche Authentifizierung heraus: der automatische Login (ein Identifier-First-Ansatz) und ein dedizierter, separater Passkey-Button. Jeder Methode bietet eigene Vorteile, Kompromisse und Nutzererlebnisse. Nach der Implementierung erfolgreicher Passkey-Registrierungs-Flows besteht der nächste Schritt darin sicherzustellen, dass sich die Nutzer mit Passkeys anmelden, anstatt auf Fallback-Anmeldeinformationen zurückzugreifen. Nachfolgend untersuchen wir beide Ansätze genauer, bevor wir die One-Tap-Lösung von Corbado vorstellen.

5.1 Automatischer Login-Ansatz mit Passkeys#

Nutzer geben ihren Identifikator ein (z. B. E-Mail oder Benutzername), und wenn das System erkennt, dass auf diesem Gerät oder dieser Plattform wahrscheinlich ein gültiger Passkey verfügbar ist, wird der Passkey-Flow automatisch initiiert. Anstatt eine manuelle Auswahl zu erfordern (z. B. „Hier klicken, um einen Passkey zu verwenden“), wird der Nutzer reibungslos dazu angeleitet, sich mit Biometrie (oder einer PIN) anzumelden, sofern der Passkey verfügbar und zugänglich ist.

Vorteile

1. Nahtloses SignIn: Der automatische Login reduziert die Reibung der Passkey-Nutzung drastisch – Nutzer geben einfach ihre E-Mail ein und eine Passkey-Aufforderung erscheint.
2. Hohe Passkey-Login-Rate: Da die Passkey-Nutzung der Standard ist, wenn verfügbar, ist der tägliche Anteil der Logins über Passkeys in der Regel hoch (50 % - 80 % oder mehr).
3. Reduzierte SMS-OTP-Kosten: Durch die Förderung der Passkey-Nutzung für die tägliche Authentifizierung sinkt die Abhängigkeit von teuren SMS- oder E-Mail-OTPs, was Betriebskosten spart.

Herausforderungen

• Komplexität der Erkennung: Festzustellen, ob ein Passkey wirklich für einen bestimmten Nutzer auf einem bestimmten Gerät existiert, ist komplex, da WebAuthn keine direkte Überprüfung der Passkey-Verfügbarkeit bietet. Viele Lösungen versuchen daher immer einen automatischen Flow, was zu Verwirrung führen kann, wenn der Nutzer auf diesem Gerät tatsächlich keinen Passkey hat, was zu Sackgassen in den Eingabeaufforderungen des Betriebssystems führt:

• Risiken der Account Enumeration: Indem Sie den Identifikator des Nutzers zuerst abfragen, müssen Sie das Risiko minimieren, offenzulegen, ob diese E-Mail registriert ist oder nicht. Die Implementierung von Bot-Erkennung, Rate-Limiting und konsistenten Fehlermeldungen hilft dabei.

Insgesamt ist ein Identifier-First-Flow, der automatisch einen Passkey-SignIn versucht, der größte Treiber für hohe Passkey-Login-Raten. Wenn Nutzerreibung Ihr größtes Anliegen ist und Ihre Plattform fortschrittliche Logiken unterstützen kann, um das „Kein Passkey gefunden“-Szenario elegant zu handhaben, ist dieser Ansatz oft erstklassig.

5.2 Ansatz mit separatem Passkey-Button#

Ein separater „Mit Passkey anmelden“-Button (oder Link) erscheint neben den bisherigen Anmeldedaten. Anstatt automatisch einen Passkey-Flow zu starten, wartet das System, bis der Nutzer auf den Passkey-Button klickt. Erst dann beginnt die Passkey-Zeremonie, in der überprüft wird, ob auf dem Gerät des Nutzers ein Passkey vorhanden ist.

Vorteile

1. Einfach zu implementieren: Sie können einen Passkey-Button unter oder in der Nähe der Benutzernamen-/Passwort-Felder mit minimaler Störung der bestehenden Flows hinzufügen.
2. Kein Identifikator-Schritt: Nutzer, die Passkeys bevorzugen, können direkt mit der Passkey-Authentifizierung fortfahren und die E-Mail-/Benutzernameneingabe umgehen.
3. Vermeidet zusätzliche Komplexität: Sie benötigen keine fortschrittliche Logik zur Geräte- oder Passkey-Erkennung, da der Nutzer sich explizit für den Passkey-Login entscheidet.

Herausforderungen

1. Geringste Passkey-Nutzung: In der Praxis ignorieren viele Nutzer den Passkey-Button aus Gewohnheit oder Unwissenheit und greifen standardmäßig auf bekannte Passwort- oder OTP-Flows zurück – somit bleibt die Passkey-Nutzung gering.
2. Weniger Einsparungen bei SMS-OTP: Da Passkeys optional oder „versteckt“ bleiben, sind Ihre Kosteneinsparungen durch den verringerten OTP-Einsatz minimal.
3. Reduzierte Sicherheitsgewinne: Das System verlässt sich weiterhin auf Fallback-Methoden, selbst wenn ein Passkey vorhanden sein könnte, und versäumt es, neue Verhaltensweisen hin zur passwortlosen Nutzung zu fördern.

Kurz gesagt, Passkey-Buttons sind einfach auszurollen, erzielen aber typischerweise niedrige Passkey-Login-Raten. Sie können jedoch als Übergangsmaßnahme oder als Fallback-Ansatz für Organisationen dienen, die sich wegen Account Enumeration Sorgen machen oder denen die Infrastruktur zur automatischen Erkennung von Passkeys fehlt.

6. Die fortschrittliche Login-Strategie von Corbado: Hohe Passkey-Akzeptanz mit One-Tap-Passkey-Buttons & Passkey Intelligence#

Bei der Integration von Passkeys bleiben viele Unternehmen zwischen zwei unvollkommenen Extremen stecken:

• Automatischer Passkey-Login bei jeder E-Mail- / Benutzernameneingabe, was zu falschen Aufforderungen, Verwirrung bei den Nutzern und QR-Codes führen kann.
• Angebot nur eines separaten Passkey-Buttons, den Nutzer aus Gewohnheit konsequent umgehen, was zu minimaler täglicher Passkey-Nutzung führt.

Corbado schließt diese Lücke mit Passkey Intelligence und One-Tap-Passkey-Buttons, zwei proprietären Erweiterungen für groß angelegte Implementierungen, die die Passkey-Nutzung von einstelligen Prozentsätzen auf über 50 % und oft auf +80 % aller Logins anheben und gleichzeitig die Login-Erfolgsrate auf fast 100 % steigern.

6.1 Automatischer Passkey-Login-Ansatz mit Corbado#

Die größte Herausforderung beim automatischen Ansatz ist die Entscheidung, wann ein automatischer Login initiiert werden soll, da dies von vielen Faktoren abhängt. Corbado löst dies mit seiner Passkey Intelligence Engine.

6.1.1 Was ist Passkey Intelligence?#

Passkey Intelligence ist ein dynamischer Layer, der vorhersagt, ob der Passkey eines Nutzers auf dem aktuellen Gerät oder in der Umgebung wahrscheinlich verfügbar ist. Dabei werden Signale genutzt wie:

• Geräte- & Browser-Daten: Betriebssystemversion, Browser-Fähigkeiten, bekannte Passkey-Unterstützung.
• Nutzerhistorie: Bisherige erfolgreiche Passkey-Logins, Fallback-Nutzung, Überspring-Muster für diese Umgebung und dieses Gerät.
• Risikoindikatoren: Häufigkeit von Versuchen, IP-Signale oder Änderungen am User Agent.

6.1.2 Wie löst Passkey Intelligence den automatischen Login?#

Die Engine von Corbado entscheidet, ob:

1. Ein Passkey-Login automatisch ausgelöst wird (ähnlich dem Identifier-First-Ansatz).
2. Elegant auf Fallback-Flows zurückgegriffen wird, wenn wir feststellen, dass der Passkey-Flow wahrscheinlich nicht erfolgreich sein wird (z. B. aktuelles Gerät hat keinen Passkey und das Gerät ist nicht fähig, geräteübergreifende Authentifizierung zu nutzen).

Das eliminiert Rätselraten. Anstelle eines pauschalen „Immer Passkeys versuchen“ weist Ihr System Nutzer mit Passkeys nur dann sanft darauf hin, wenn ein Erfolg wahrscheinlich ist, was Frustration verringert und die Akzeptanz steigert.

In realen Deployments hat Passkey Intelligence gezeigt, dass die Fehlerraten bei Passkey-Logins im Vergleich zu einem einfachen Ansatz, der jedes Mal automatisch startet, um über 95 % reduziert werden können.

6.2 Ansatz mit separatem Passkey-Button bei Corbado#

Die größte Herausforderung beim Ansatz des separaten Passkey-Buttons ist die extrem niedrige Nutzungsrate. Nutzer verwenden einfach weiterhin das vertraute konventionelle Login-Formular. Dieses Problem ist schwer zu lösen, da dieser Ansatz oft gewählt wird, um aus Sicherheitsgründen nicht preiszugeben, ob ein Konto existiert (Account Enumeration). Corbado nutzt Passkey Intelligence, um dies mit unserem One-Tap Passkey-Button zu lösen.

6.2.1 Wie funktioniert der One-Tap Passkey-Button?#

1. Login mit separatem Passkey-Button: Wenn sich ein Nutzer mit einem Passkey einloggt, aktiviert Corbado den One-Tap Passkey-Button für den nächsten Login. Der One-Tap Passkey-Button wird auch aktiviert, wenn ein Nutzer einen Passkey erstellt, nachdem er sich mit konventionellen Anmeldemethoden angemeldet hat. Der One-Tap Passkey-Button ist wie „E-Mail-Adresse merken“ für Passkeys.
2. Login mit Passwort: Wir haben besprochen, dass ein großer Nachteil des Ansatzes mit separatem Passkey-Button ist, dass Nutzer ihn nicht proaktiv verwenden. Falls das passiert, erkennt Passkey Intelligence, dass ein Login mit einem Passkey hätte erfolgen können, und (re-)aktiviert den One-Tap Passkey-Button. Dies hilft dabei, den One-Tap Passkey-Button auch auf neuen Geräten zu verbreiten.
3. Nachfolgende Logins: Der One-Tap Passkey-Button erscheint automatisch – keine separate E-Mail-Eingabe oder manueller Passkey-Button erforderlich. Nutzer tippen einfach einmal, scannen ein biometrisches Merkmal und sind eingeloggt.

6.2.2 Wie verbessert der One-Tap Passkey-Button die Akzeptanz für den Ansatz mit separatem Passkey-Button?#

Die Nutzerfrustration wird durch weniger abgebrochene Anmeldezeremonien und 95 % weniger Abbrüche im Vergleich zu traditionellen Identifier-First-Methoden minimiert.

Dieser Ansatz ist ein Game-Changer für die Akzeptanz beim Ansatz des separaten Passkey-Buttons. In typischen Implementierungen separater Passkey-Buttons stagniert die Passkey-Nutzung vielleicht bei 5 %.

Mit One-Tap Passkey-Buttons, die durch Passkey Intelligence gesteuert werden, kann derselbe Flow bei einer vorgeschriebenen Passkey-Migration innerhalb weniger Monate einen Passkey-Login-Anteil von über 50 % übersteigen. Interne Daten zeigen, dass 97 % der Nutzer, die einen One-Tap Passkey-Button sehen, dabei bleiben und selten zu Passwörtern oder MFA-Codes zurückkehren. Dies erhöht direkt die Conversion, da Passkeys eine Login-Erfolgsrate von 93 % im Vergleich zu 63 % bei Passwörtern erzielen.

6.3 Der USP von Corbado: Ein einheitlicher Ansatz für hohe Akzeptanz#

Andere Lösungen mögen die Passkey-Erstellung gut handhaben, scheitern aber bei der täglichen Nutzung, sodass Organisationen mit zu niedrigen Adoptionsraten festsitzen, um die Abschaffung von Passwörtern zu rechtfertigen, und ohne realisierte Vorteile bleiben. Corbado löst beide Enden – nahtlose Passkey-Registrierungen plus überzeugende tägliche Nutzung mit der branchenweit höchsten Passkey-Login-Rate – und respektiert dabei die Nutzerautonomie und Fallback-Bedürfnisse.

Wichtige Erkenntnisse:

• Separater Passkey-Button ohne Corbado: Bietet Sicherheit, aber eine sehr begrenzte Login-Akzeptanz und minimale Verbesserungen beim Nutzererlebnis.
• Automatischer Passkey-Login ohne Corbado: Verbessert die Nutzung, führt aber zu Verwirrung durch das Starten von Passkey-Aufforderungen auf Geräten, die keinen Zugang zu den Passkeys der Nutzer haben, was zu Verwirrung, QR-Codes und Sackgassen führt.
• Corbados One-Tap Passkey-Button + Passkey Intelligence: Liefert die branchenweit höchsten Login-Raten, reduziert die Nutzerreibung drastisch und erhöht die Passkey-Bindung sowohl für das automatische Login als auch für den Passkey-Button.

Durch die Nutzung von Passkey Intelligence kombiniert mit dem One-Tap Passkey-Button verwandelt Corbado Passkey-Implementierungen von reinen Checkboxen in hochwirksame Lösungen, die messbaren Wert und erhöhte Sicherheit in großem Maßstab liefern.

7. Erfolgsmessung von Passkey-Implementierungen: Wir garantieren hohe Passkey-Login-Raten#

Wir sind fest davon überzeugt, dass nur die Akzeptanz ein Passkey-Projekt erfolgreich macht. Daher empfehlen wir dringend, Anbieter- und In-House-Lösungen anhand ihrer Garantien in Bezug auf zwei Schlüsselmetriken zu bewerten: Nutzeraktivierungsrate (User Activation Rate) und Passkey-Login-Rate. Diese KPIs geben direkten Einblick in die praxisnahe Adoption und das anhaltende Nutzer-Engagement mit Passkeys, und stellen sicher, dass Ihre gewählte Lösung die versprochenen Sicherheits- und Komfortvorteile liefert. Wir haben die wichtigsten KPIs auch hier als Übersicht beigefügt; detaillierter darauf einzugehen ist nicht Teil dieses Artikels, weitere Details finden Sie in unserem Buy vs. Build Guide.

Wenn Sie Hilfe beim Benchmarking Ihrer aktuellen Lösung benötigen oder sich unsicher sind, welche KPIs Sie anvisieren sollen, wenden Sie sich für eine kostenlose Beratung an uns.

8. Fazit#

Passkeys bergen ein enormes Potenzial zur Schaffung nahtloser, sicherer Authentifizierungserlebnisse, aber das bloße Anbieten gewährleistet keine weit verbreitete Akzeptanz. Das Erreichen einer hohen Passkey-Login-Rate erfordert einen strategischen Ansatz aus intelligenten Nutzer-Flows, rechtzeitigen Hinweisen und Technologie, die Reibung bei täglichen Anmeldungen eliminiert. Mit dem richtigen Ansatz können Unternehmen die Passkey-Login-Nutzung leicht über 50 % steigern und oft in Richtung 80 % oder mehr klettern.

• Was sind die Best Practices zur Optimierung von Passkey-Login-Raten?
  Hohe Passkey-Login-Raten hängen von der Reduzierung der Nutzerreibung und der Maximierung der Sichtbarkeit ab. Techniken wie das automatische Auslösen von Passkeys (Identifier-First), kontextbezogene Passkey-Aufforderungen und das Anbieten von One-Tap-Sign-Ins helfen alle dabei, die tägliche Passkey-Nutzung voranzutreiben.
• Wie können Unternehmen eine konsistente Passkey-Nutzung in großem Maßstab effektiv fördern?
  Eine konsistente Nutzung profitiert von sorgfältig verwalteten Fallbacks, Nutzeraufklärung und strategischer Technologie. Durch die Analyse von Geräten, der Nutzerhistorie und von Risikosignalen (wie es Corbados Passkey Intelligence tut), können Sie Nutzer immer dann sanft zu Passkeys leiten, wenn es wahrscheinlich ist, dass es erfolgreich sein wird – und so die laufende Akzeptanz steigern.

Der Vorteil von Corbado: Ein einheitlicher Ansatz für die Akzeptanz

Die meisten Passkey-Lösungen stellen lediglich eine korrekte WebAuthn-Registrierung sicher. Corbado schließt den Kreis durch die Kombination von:

1. Passkey Intelligence
   Intelligente Aufforderungen erkennen, wenn auf dem Gerät eines Nutzers Passkeys verfügbar und zugänglich sind, und initiieren Passkey-Flows automatisch nur dann, wenn ein Erfolg wahrscheinlich ist – das eliminiert Fehlstarts und Verwirrung.
2. One-Tap für Identifier-First und den Passkey-Button-Flow
   Nutzer müssen „Passkeys“ nicht mehr auswählen. Nach einem konventionellen Login stellt Corbado künftige Anmeldungen nahtlos auf eine One-Tap-Authentifizierung per Biometrie um. Praxiserfahrungen zeigen, dass über 97 % der Nutzer mit One-Tap fortfahren, nachdem sie es einmal gesehen haben.

Das Ergebnis? 50–80 % der Logins erfolgen innerhalb von Monaten per Passkey. Dies senkt die OTP-Nutzung drastisch, verringert Phishing-Angriffsvektoren und bietet den UX-Vorteil, den Passkeys versprechen.

Bereit, Ihr Login-Erlebnis zu transformieren?

Corbados Enterprise-Plattform und praktische Expertise rüsten Sie dafür, um:

• Passkeys einzusetzen, ohne bestehende Workflows zu stören.
• Die tägliche Passkey-Nutzung durch intelligente Aufforderungen und One-Tap zu optimieren.
• Den ROI durch messbare Sprünge in der Passkey-Login-Rate und weniger SMS-OTPs zu validieren. Sehen Sie sich unser Playbook zur Authentifizierungsanalyse an, um das vollständige Mess-Framework zu erhalten.
• Ihre Nutzerbasis von Passwörtern wegzumigrieren, während notwendige Fallbacks beibehalten werden.

Wenn Sie versuchen, aus dem einstelligen Bereich der Passkey-Login-Rate herauszukommen und teure SMS-OTP-Overheads dauerhaft zu reduzieren, sind wir hier, um zu helfen. Kontaktieren Sie uns noch heute für eine Beratung und lassen Sie uns Ihre Organisation näher an eine wirklich passwortlose Zukunft bringen – angetrieben von Corbados bewährten Passkey-Adoptionsstrategien.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →