Passkey Day-2-Probleme: 5 Risiken nach dem Launch

1. Einführung: Passkey-Risiken nach dem Launch#

Implementieren Sie keine Passkeys.

Zumindest nicht um jeden Preis und nicht, wenn Sie nicht über die Ressourcen verfügen, um es richtig zu machen.

Ja, Passkeys sind das Beste, was der Verbraucher-Authentifizierung in einem Jahrzehnt passiert ist. Ja, sie machen Phishing den Garaus. Ja, sie können die UX massiv verbessern. Aber falsch implementierte Passkeys können auch viel Schaden anrichten.

Die Implementierung eines WebAuthn-Servers ist nicht allzu komplex. Die eigentliche Herausforderung ist alles drumherum. Der effiziente Betrieb von Passkeys in großem Maßstab erfordert vorausschauende Planung. Sie müssen an all die "Day 2"-Probleme denken – die betrieblichen Realitäten, die erst auftreten, nachdem Sie mit dem Passkey-Rollout begonnen haben.

Dieser Artikel behandelt fünf Day-2-Probleme, die Passkey-Projekte regelmäßig zum Scheitern bringen. Wenn Sie nicht alle lösen können, sind Sie noch nicht bereit, Passkeys einzuführen. Wenn Sie es können, werden Sie eine Authentifizierung aufbauen, die sowohl sicherer als auch benutzerfreundlicher ist, als Passwörter es je sein könnten.

2. Was sind Passkey Day-2-Probleme?#

In der Softwareentwicklung ist "Day 1" der Tag, an dem man baut und veröffentlicht. "Day 2" ist der Tag, an dem man das Veröffentlichte betreibt, wartet und skaliert. Bei Passkeys kann Day 1 unkompliziert sein:

• Einen WebAuthn-Server in Ihren Enterprise-Stack integrieren
• Die Frontend-Abläufe hinzufügen und starten.

Die meisten Teams können eine grundlegende Passkey-Implementierung in ein paar Tagen oder Wochen zum Laufen bringen.

An Day 2 scheitern Projekte. Es ist der Moment, in dem echte Nutzer auf echten Geräten mit echten Edge-Cases mit Ihrem Passkey-System interagieren. Es ist der Moment, in dem Sie entdecken, dass die glänzende Demo, die auf Ihrem MacBook perfekt funktioniert hat, auf einem Windows-Laptop mit Chrome hinter einem Firmen-Proxy abbricht. Es ist der Moment, in dem Ihr Support-Team mit "Ich kann mich nicht mehr einloggen"-Tickets überflutet wird.

Die Kluft zwischen einer funktionierenden Passkey-Demo und einer produktionsreifen Passkey-Bereitstellung ist enorm. Wir haben die Fallstricke der technischen Implementierung und die strategischen Gründe, warum Passkey-Projekte scheitern, bereits an anderer Stelle behandelt. Dieser Artikel konzentriert sich speziell darauf, was nach dem Live-Gang aus betrieblicher Sicht passiert.

3. Problem 1: Recovery und Fallback sind schwer abzusichern#

Wenn Sie Recovery und Fallback nicht richtig gestalten, sperren Sie Nutzer entweder in großem Umfang aus oder Sie führen stillschweigend dieselben für Phishing anfälligen Prozesse wieder ein, die Sie eigentlich eliminieren wollten.

3.1 Kontosperrungsrisiko in großem Maßstab#

Stellen Sie sich einen Nutzer vor, der einen Passkey auf seinem iPhone registriert und dieses iPhone dann verliert. Normalerweise wird ein großer Teil dieser Wiederherstellungsfälle jetzt vom Credential Manager (höchstwahrscheinlich iCloud Keychain auf iPhones) übernommen. Solange der Nutzer Zugriff auf sein Apple-Konto hat, stehen ihm synchronisierte Passkeys zur Verfügung, um sich auf einem neuen Gerät einzuloggen. Aber was ist, wenn er keinen Zugriff mehr auf dieses Cloud-Konto hat? Hier kommt Ihr regulärer Wiederherstellungspfad ins Spiel.

Nehmen wir an, Sie gehen davon aus, dass der private Schlüssel auf dem Gerät, von dem aus der Nutzer sich einzuloggen versucht, noch verfügbar ist, also starten Sie die WebAuthn-Login-Zeremonie. Dies führt zu einem OS-/Browser-Modal, das den Nutzer auffordert, "sich mit Ihrem Passkey auf einem anderen Gerät einzuloggen". Im Grunde ist der Nutzer nun von seinem Konto ausgesperrt. Es gibt kein anderes Gerät, auf dem der Passkey gespeichert ist. Der Nutzer ist massiv verwirrt. Multiplizieren Sie dies mit Tausenden von Nutzern und Sie haben eine Support-Krise.

Die übliche Reaktion besteht darin, E-Mail-basierte Konto-Resets als Fallback hinzuzufügen. Aber das macht den Zweck von Passkeys zunichte: Sie haben gerade einen für Phishing anfälligen Wiederherstellungskanal wieder eingeführt. Ein Angreifer, der die E-Mail eines Nutzers kompromittieren kann, kann nun Ihre Phishing-resistente Passkey-Implementierung vollständig umgehen.

3.2 Fallback gestalten ohne Phishing wieder einzuführen#

Unserer Meinung nach ist der richtige Ansatz eine mehrschichtige Recovery:

1. Synchronisierte Passkeys als primäre Strategie: Stellen Sie sicher, dass Nutzer synchronisierte Passkeys erstellen (über iCloud Keychain, Google Password Manager oder einen Drittanbieter von Passkeys), damit der Verlust des Geräts nicht den Verlust von Zugangsdaten bedeutet
2. Cross-Device-Authentifizierung als zweite Schicht: Ermöglichen Sie es Nutzern, sich von einem anderen Gerät aus zu authentifizieren, auf dem ein anderer Passkey verfügbar ist, indem sie einen QR-Code scannen
3. Identitätsprüfung (IDV) als dritte Schicht: Bieten Sie eine automatisierte IDV mit Liveness-Checks an, anstatt auf Passwörter/OTPs zurückzugreifen.
4. Digitale verifizierbare Nachweise (Verifiable Credentials) als vierte Schicht: Dies ist die sicherste, datenschutzfreundlichste und benutzerfreundlichste Version der Kontowiederherstellung. Dies ermöglicht es dem Nutzer, seine digitalen verifizierbaren Nachweise (z. B. digitale nationale ID oder mDL) zu verwenden, um seine Identität mithilfe von Standard-APIs (z. B. Digital Credentials API) zu überprüfen. Diese Technologie ist relativ neu und die Akzeptanz ist nicht hoch, aber sie wird in den nächsten Monaten und Jahren eine wichtige Rolle spielen.

Im Allgemeinen müssen Sie entscheiden, welche Schichten der Kontowiederherstellung aus Kosten-/Reibungsperspektive gerechtfertigt werden können. Im Einzelhandel / E-Commerce könnten Sie beispielsweise nur die ersten beiden Schichten anbieten und das Phishing-Risiko aus finanziellen Gründen akzeptieren. In anderen Branchen, in denen Sicherheit wichtiger ist, gehen Sie zu Schicht 3 und 4.

Jede Schicht erhöht die Komplexität. Sie müssen entscheiden, welche Schichten Ihr Anwendungsfall erfordert, diese entwickeln, sie über alle Gerätekombinationen hinweg testen und ihre Nutzung überwachen. Dies ist deutlich mehr Arbeit als die anfängliche WebAuthn-Integration.

3.3 Was die meisten Teams falsch machen#

Die meisten Teams vereinfachen die Wiederherstellung entweder zu stark (Rückgriff auf Passwörter oder SMS-OTP) oder verkomplizieren sie zu sehr (z. B. indem sie Hardware-Sicherheitsschlüssel für jede Wiederherstellung vorschreiben). Das richtige Gleichgewicht hängt von Ihrem Bedrohungsmodell, Ihrer Nutzerbasis und den regulatorischen Anforderungen ab. Es falsch zu machen bedeutet, entweder Ihre Sicherheitslage zu untergraben oder so viel Reibung zu erzeugen, dass die Nutzer den Prozess abbrechen.

4. Problem 2: Cross-Device- und Cross-Ecosystem-Edge-Cases durchbrechen Passkey-Abläufe#

Ihre Nutzer leben nicht in einer sauberen reinen Apple-Welt. Sie wechseln Geräte, mischen Windows mit iOS, verwenden verschiedene Browser und arbeiten in von Unternehmen verwalteten Setups. Genau dort brechen Passkey-Abläufe ab, wenn Sie dies nicht eingeplant haben.

4.1 Ökosystem-Fragmentierung ist real#

Das Passkey-Ökosystem erstreckt sich über drei große Plattformen (Apple, Google und Microsoft), mehrere Browser (Chrome, Safari, Firefox und Edge), Dutzende von Passkey-Anbietern / Credential Managern (z. B. 1Password, Bitwarden, Dashlane und andere) und unzählige Kombinationen aus Betriebssystem, Browser und Gerät. Jede Kombination kann sich leicht unterschiedlich verhalten, z. B.:

• Apple synchronisiert Passkeys standardmäßig über iCloud Keychain über iOS, iPadOS und macOS hinweg, aber nicht auf Windows oder Android
• Google synchronisiert über Google Password Manager über Android und Chrome hinweg, aber das Erlebnis auf iOS ist anders (Sie müssen es manuell einrichten)
• Windows hat ein eigenes Passkey-Verhalten, das sich erheblich von anderen Plattformen unterscheidet
• Passwortmanager behandeln die Erstellung und Auswahl von Passkeys jeweils unterschiedlich, was manchmal mit plattformnativen Eingabeaufforderungen in Konflikt gerät

4.2 Cross-Device-Authentifizierungsabläufe#

Wenn ein Nutzer einen Passkey auf seinem iPhone erstellt, sich aber auf einem Windows-Laptop einloggen möchte, kann er die Cross-Device-Authentifizierung (typischerweise per QR-Code und Bluetooth) verwenden. Dieser Ablauf funktioniert, ist aber anfällig:

• Er erfordert, dass Bluetooth auf beiden Geräten aktiviert ist
• Unternehmens-Firewalls und MDM-Richtlinien können stören, da im Hintergrund ein Tunnel aufgebaut wird
• Die UX variiert dramatisch zwischen den Browsern
• Nutzer verstehen oft nicht, was passiert oder warum sie einen QR-Code scannen

Wir haben diese Edge-Cases bei Tausenden von Gerätekombinationen aus erster Hand gesehen. Wenn Sie Passkeys intern entwickeln, müssen Sie jeden einzelnen davon testen und handhaben. Wenn Sie das nicht können, werden Ihre Nutzer auf Fehler stoßen, die Ihr Support-Team nicht erklären kann.

4.3 Browser- und OS-Inkonsistenzen#

Sogar auf demselben Gerät verhalten sich verschiedene Browser unterschiedlich. Chrome auf macOS zeigt andere Passkey-Modals als Safari auf macOS. Firefox hat ein eigenes Verhalten. Client Hints und User-Agent-Erkennung werden entscheidend, um die richtigen Abläufe an den richtigen Nutzer zu liefern, aber sie korrekt über alle Kombinationen hinweg zu parsen, ist ein Wartungsaufwand, der nie endet.

5. Problem 3: Native Apps multiplizieren die Passkey-Komplexität#

Das Testen und die QA von Passkeys ist bereits für Web-Apps eine Herausforderung (wir behandeln dies im Detail in Problem 5: Plattformänderungen). Wenn Ihr Produkt jedoch auch native iOS- und Android-Apps hat, vervielfacht sich die Komplexität aufgrund architektonischer Entscheidungen und plattformspezifischen Verhaltens, mit denen reine Web-Teams nie konfrontiert werden.

5.1 Native vs. WebView Entscheidungen#

Die erste Entscheidung ist, ob Passkeys nativ oder über eine WebView implementiert werden sollen. Jeder Ansatz hat Vor- und Nachteile:

Allein auf iOS können Sie zwischen WKWebView, SFSafariViewController, SFAuthenticationSession und ASWebAuthenticationSession wählen – jede mit unterschiedlichen Eigenschaften der Passkey-Unterstützung. Auf Android verhalten sich Chrome Custom Tabs anders als Standard-WebViews. Dies sind Entscheidungen, die reine Web-Teams nie treffen müssen, und jede Wahl schafft ihre eigene Wartungsoberfläche.

5.2 Plattformspezifisches Verhalten in nativen Apps#

Über die architektonische Entscheidung hinaus behandeln iOS und Android Passkeys auf OS-Ebene unterschiedlich:

• iOS integriert Passkeys tief in den System-Credential-Manager, mit spezifischem Autofill-Verhalten, das sich mit jeder iOS-Version ändern kann
• Android leitet Passkey-Anfragen durch die Credential Manager API, die mit mehreren Passkey-Anbietern gleichzeitig interagiert
• Fehlerzustände, Timeout-Verhalten und Benutzeraufforderungen unterscheiden sich zwischen den Plattformen. Dieselbe Nutzer-Abbruch-Aktion erscheint im Web als NotAllowedError, aber auf iOS als SimpleAuthenticationServices.AuthorizationError und im Android Credential Manager als User cancelled the operation – siehe WebAuthn-Fehler in Produktion für ein vollständiges plattformübergreifendes Fehler-Mapping
• App-Store-Prüfzyklen fügen Verzögerungen hinzu, wenn Sie dringende Fixes für Passkey-Regressionen veröffentlichen müssen

5.3 Verdreifachte QA-Oberfläche#

Wenn Sie sowohl eine Web-App als auch native Apps betreiben, verdoppeln Sie nicht nur den QA-Aufwand, sondern Sie verdreifachen ihn. Web, iOS und Android verhalten sich jeweils als separate Passkey-Umgebungen, die ein unabhängiges End-to-End-Testing und -Monitoring erfordern. Und im Gegensatz zum Web, wo Sie einen Fix sofort bereitstellen können, werden native App-Fixes durch App-Store-Prüfzyklen gebremst.

6. Problem 4: Akzeptanz ist ein Produktproblem, kein technisches Problem#

"Passkeys unterstützt" bedeutet nicht "Passkeys genutzt". Wenn Sie keine Rollout-Strategie und Erfolgsmessung haben, wird Ihre Akzeptanz enttäuschend sein und das Projekt wird intern als Misserfolg abgestempelt.

6.1 Warum eine geringe Akzeptanz Ihr Projekt tötet#

Wir haben dies in unserem Artikel darüber, warum Passkey-Implementierungen scheitern, ausführlich behandelt: Wenn Nutzer nicht auf Passkeys umsteigen, ist das Projekt bereits gescheitert. Passwörter bleiben dominant, SMS-OTP-Kosten bleiben hoch, Phishing-Risiken bestehen fort und Ihr Unternehmen sieht keine Rendite für eine erhebliche technische Investition.

Der Business Case für die Einführung von Passkeys ist stark, aber nur, wenn die Akzeptanz auch tatsächlich eintritt. Wir haben gesehen, wie Unternehmen Passkeys mit großartigen technischen Implementierungen einführten, die weniger als 5 % Akzeptanz erreichten, weil niemand über die Rollout- und Akzeptanzstrategie nachdachte.

6.2 Akzeptanz erfordert bewusste Produktarbeit#

Die Förderung der Passkey-Akzeptanz ist eine Herausforderung für das Produkt, die Folgendes erfordert:

• Schrittweises Enrollment: Nutzer in den richtigen Momenten dazu bewegen, Passkeys zu erstellen (z. B. nach einem erfolgreichen Login, während Überprüfungen der Kontosicherheit)
• Klare Nutzerkommunikation: Erklären, was Passkeys sind und warum sie besser sind, in einer Sprache, die nicht-technische Nutzer verstehen
• Gerätebezogene Aufforderungen: Nur dann zur Erstellung eines Passkeys auffordern, wenn das Gerät des Nutzers dies auch gut unterstützt, um frustrierende Erlebnisse auf nicht unterstützten Konfigurationen zu vermeiden
• Messinfrastruktur: Verfolgung der Passkey-Erstellungsraten, Login-Erfolgsraten, Fallback-Raten und Abbruchraten, um Engpässe zu identifizieren und zu beheben

6.3 Wie eine "gute" Akzeptanz aussieht#

Basierend auf unserer Erfahrung mit großen Passkey-Deployments sollten Unternehmen Folgendes anstreben:

Wenn Ihre Akzeptanzzahlen nach drei Monaten wie die Spalte "Schwach" aussehen, steckt das Projekt in Schwierigkeiten. Ohne Analytics, um dies zu messen, werden Sie es nicht einmal wissen.

7. Problem 5: Plattformänderungen machen Passkeys stillschweigend unbrauchbar#

Betriebssystem- und Browser-Updates verändern Prompts, Autofill-Verhalten und Fallback-Flows. Wenn Sie kein kontinuierliches Monitoring haben, erhalten Sie ohne Vorwarnung Regressionen und Support-Tickets.

Wir haben kürzlich einen umfassenden Überblick über WebAuthn-Fehler veröffentlicht, die in der Produktion aufgetreten sind.

7.1 Warum Passkeys in einzigartiger Weise von Plattformänderungen betroffen sind#

Im Gegensatz zu Passwörtern (die nur Strings sind, die Ihr Server validiert) sind Passkeys von der tiefen Integration in das Betriebssystem, den Browser und den Credential Manager abhängig. Wenn Apple eine neue iOS-Version ausliefert, sehen die Prompts zur Passkey-Erstellung möglicherweise anders aus. Wenn Chrome seine Autofill-Logik aktualisiert, könnte Ihr Login-Flow unterbrochen werden. Wenn ein Passwortmanager eine neue Version veröffentlicht, könnte er anfangen, Passkey-Anfragen auf eine Weise abzufangen, die Sie nicht vorhergesehen haben.

Ein aktuelles Beispiel ist der iOS 26.2-Bug, bei dem isUserVerifyingPlatformAuthenticatorAvailable() in allen Nicht-Safari-Browsern (Chrome, Edge, Firefox) false zurückgibt, was als Workaround eine plattformbewusste Erkennungslogik mit getClientCapabilities() erfordert.

7.2 Monitoring ist nicht optional#

Um sicherzustellen, dass Sie auf alle potenziellen Bugs aufmerksam werden und die Akzeptanz verfolgen, müssen Sie Ihren Authentication-Observability-Stack einrichten. Wir empfehlen, mindestens Folgendes implementiert zu haben:

• Echtzeit-Authentifizierungs-Analytics: Verfolgen Sie Erfolgs- und Fehlerraten nach Kombination aus Betriebssystem, Browser und Passkey-Anbieter
• Versionsbasiertes Monitoring: Erkennen Sie, wenn eine neue OS- oder Browser-Version einen Anstieg an Fehlern oder Fallbacks verursacht. Unterscheiden Sie zwischen erwarteten Fehlern (Benutzerabbruch, der als NotAllowedError auftritt) und unerwarteten Fehlern (Spitzen bei AbortError aufgrund von Concurrency-Bugs oder neue Credential Manager-Passkey-Fehler nach einem Android-Update)
• Alarmierung: Lassen Sie sich benachrichtigen, bevor Ihre Nutzer anfangen, Support-Tickets zu erstellen
• Schnelle Reaktionsfähigkeit: Die Möglichkeit, schnell Fixes bereitzustellen oder Passkeys für betroffene Gerätekombinationen zu deaktivieren

Dies ist die Art von Infrastruktur für Authentifizierungs-Analytics, die die meisten Teams erst aufbauen, wenn sie bereits einen Vorfall hatten. Bis dahin ist der Schaden für das Vertrauen der Nutzer und die interne Glaubwürdigkeit des Projekts angerichtet.

7.3 Laufende Wartungskosten#

Die wahren Kosten der Passkey-Implementierung sind nicht der initiale Aufbau. Es sind die laufenden Wartungskosten:

• Monitoring von Plattformänderungen über iOS, Android, Windows, macOS und alle gängigen Browser hinweg
• Testen jedes Updates auf Regressionen
• Aktualisieren Ihres Frontend-SDKs, wenn sich Browser-APIs ändern
• Aufrechterhaltung der Kompatibilität mit einem wachsenden Ökosystem von Passkey-Anbietern
• Dokumentation und Kommunikation von Änderungen an Ihr Support-Team

8. Wann Sie Passkeys veröffentlichen sollten (und wann nicht)#

Angesichts dieser Day-2-Probleme ist hier eine ehrliche Einschätzung, wann Sie Passkeys veröffentlichen sollten und wann nicht.

8.1 Veröffentlichen Sie keine Passkeys, wenn#

• Sie keine klare Fallback- und Wiederherstellungsstrategie haben
• Sie nicht über die Gerätekombinationen getestet haben, die Ihre Nutzer tatsächlich verwenden
• Sie native Apps haben, aber keinen Plan für eine fortlaufende plattformspezifische QA
• Sie keine Analytics-Infrastruktur haben, um die Akzeptanz zu messen
• Sie keine Engineering-Ressourcen für die laufende Wartung bereitstellen können
• Sie Passkeys nur für eine Compliance-Checkliste ohne angemessene Planung implementieren

Allein aus regulatorischen Gründen ohne angemessene Planung All-in zu gehen, kann die Kosten erheblich in die Höhe treiben. Ein schlecht implementiertes Passkey-System ist schlimmer als kein Passkey-System: Es erodiert das Vertrauen der Nutzer, erzeugt Support-Aufwand und gibt internen Stakeholdern einen Grund, das Projekt zu killen.

8.2 Veröffentlichen Sie Passkeys, wenn#

• Sie alle fünf oben beschriebenen Day-2-Probleme eingeplant haben
• Sie über die Produkt-, Engineering-, Sicherheits- und Analytics-Fähigkeiten verfügen, um einen laufenden Rollout zu unterstützen
• Sie ein Budget für die kontinuierliche Wartung eingeplant haben, nicht nur für den anfänglichen Aufbau
• Sie eine stufenweise Rollout-Strategie mit klaren Akzeptanzzielen haben
• Sie mit einem Partner wie Corbado zusammenarbeiten, der die betriebliche Komplexität für Sie übernimmt

8.3 Make-or-Buy-Entscheidung#

Die in diesem Artikel beschriebenen Day-2-Probleme sind genau der Grund, warum sich viele Unternehmen dafür entscheiden, ihre Passkey-Infrastruktur zu kaufen, anstatt sie selbst zu bauen. Der Aufbau eines WebAuthn-Servers ist der einfache Teil. Der Betrieb eines produktionsreifen Passkey-Systems über Tausende von Gerätekombinationen hinweg, mit angemessener Wiederherstellung, Monitoring und Akzeptanz-Analytics, ist das, was eine Demo von einem echten Deployment unterscheidet.

9. Wie Corbado Passkey Day-2-Probleme löst#

Corbado existiert speziell deshalb, weil Day-2-Probleme schwer sind. Unsere Plattform übernimmt die betriebliche Komplexität, damit Sie sie nicht selbst aufbauen und warten müssen.

9.1 Recovery und Fallback#

Corbado bietet Out-of-the-Box-Recovery-Flows mit adaptiven Sicherheitsstufen. Von Strategien für synchronisierte Passkeys über Cross-Device-Authentifizierung bis hin zu automatisierter Identitätsprüfung. Die Wiederherstellungslogik ist integriert und wird kontinuierlich aktualisiert.

9.2 Cross-Device-Kompatibilität#

Unsere Frontend-SDKs sind über Tausende von Kombinationen aus Betriebssystem, Browser und Passkey-Anbieter hinweg vorab getestet. Geräteerkennung, Conditional UI-Verarbeitung und Fallback-Routing erfolgen automatisch. Wenn eine neue Browserversion etwas kaputt macht, beheben wir es in unserem SDK, bevor Ihre Nutzer es bemerken.

9.3 Native App-Unterstützung#

Corbado unterstützt sowohl native als auch WebView-Passkey-Implementierungen mit SDKs, die Plattformunterschiede abstrahieren. Sie konzentrieren sich auf die UX Ihrer App, während wir uns um die Passkey-Infrastruktur auf iOS und Android kümmern.

9.4 Akzeptanz-Analytics#

Unser Analytics-Dashboard verfolgt jede Metrik, die wichtig ist: Passkey-Erstellungsraten, Login-Erfolgsraten, Fallback-Raten und Aufschlüsselungen auf Geräteebene. Sie erhalten umsetzbare Erkenntnisse, um die Akzeptanz voranzutreiben, nicht nur Rohdaten.

9.5 Monitoring von Plattformänderungen#

Corbado überwacht kontinuierlich OS- und Browseränderungen, die Passkeys betreffen. Unsere SDKs werden proaktiv aktualisiert. Ihr Passkey-Deployment bleibt stabil, selbst wenn sich die Plattformlandschaft darunter verschiebt.

10. Fazit#

Passkeys sind der Goldstandard der Authentifizierung. Das steht außer Frage. Aber der Weg von "Passkeys unterstützt" zu "Passkeys funktionieren zuverlässig im großen Maßstab" ist gepflastert mit Day-2-Problemen, die die meisten Teams unterschätzen.

Die fünf Probleme, die wir behandelt haben (Recovery, Cross-Device-Edge-Cases, Komplexität nativer Apps, Akzeptanz und Plattformänderungen), sind nicht selten. Sie sind die zentralen operativen Herausforderungen jeder Passkey-Bereitstellung in Produktion. Sie zu ignorieren, lässt sie nicht verschwinden. Es bedeutet nur, dass Ihre Nutzer sie zuerst entdecken.

Meine ehrliche Empfehlung: Wenn Sie nicht über das Know-how und die Ressourcen verfügen, um Passkeys richtig zu machen, veröffentlichen Sie sie nicht. Entweder investieren Sie in die Fähigkeiten (Produkt, Engineering, Sicherheit und Analytics) oder Sie arbeiten mit einem Partner zusammen, der diese Probleme bereits gelöst hat. Das schlimmste Ergebnis ist ein halbgares Passkey-Deployment, das zurückgerollt wird, weil niemand an Day 2 gedacht hat.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Häufig gestellte Fragen#

Was sind die 5 Day-2-Probleme, die dazu führen, dass Passkey-Projekte nach dem Launch scheitern?#

Die fünf betrieblichen Probleme sind unsichere Recovery- und Fallback-Flows, Cross-Device-Ecosystem-Edge-Cases, die Komplexität nativer Apps, geringe Nutzerakzeptanz und stille Regressionen durch OS- und Browser-Updates. Die meisten Teams konzentrieren sich auf die anfängliche WebAuthn-Integration und unterschätzen diese Herausforderungen nach dem Launch, weshalb viele Passkey-Projekte zurückgerollt oder intern stillschweigend aufgegeben werden.

Wie handhabe ich die Cross-Device-Passkey-Authentifizierung für Unternehmensnutzer auf Windows, die sich auf dem iPhone registriert haben?#

Nutzer können sich über einen QR-Code- und Bluetooth-Cross-Device-Flow authentifizieren, aber dies erfordert, dass Bluetooth auf beiden Geräten aktiviert ist, und kann durch MDM-Richtlinien des Unternehmens und Firewalls blockiert werden. Die UX variiert erheblich zwischen den Browsern und Nutzer verstehen häufig nicht, warum sie einen QR-Code scannen, was gerätebezogenes Fallback-Routing und klare Kommunikation für Unternehmens-Deployments entscheidend macht.

Welche Metriken für die Passkey-Akzeptanz sollte ich nach dem Launch anvisieren und verfolgen?#

Eine starke Akzeptanz bedeutet eine Passkey-Erstellungsrate von über 60 % der berechtigten Nutzer und eine Passkey-Login-Rate von über 40 % aller Logins. Raten von unter 10 % Erstellung und unter 5 % Login nach drei Monaten signalisieren einen fehlgeschlagenen Rollout. Dies zu messen, erfordert eine dedizierte Infrastruktur, die Erstellungsraten, Login-Erfolgsraten, Fallback-Raten und Abbrüche aufgeschlüsselt nach Geräte- und Betriebssystemkombination verfolgt.

Sollte ich Passkeys nativ in meiner mobilen App oder über eine WebView entwickeln?#

Eine native Implementierung bietet die klassenbeste UX, erfordert jedoch separate iOS- und Android-Codebases mit plattformspezifischem API-Handling und unabhängigen QA-Pipelines. WebView-Ansätze nutzen eine gemeinsame Weblogik, führen jedoch je nach WebView-Typ zu Inkonsistenzen bei der Passkey-Unterstützung. Allein auf iOS bringt die Wahl zwischen WKWebView, SFSafariViewController und ASWebAuthenticationSession jeweils unterschiedliche Eigenschaften bei der Passkey-Unterstützung mit sich, die bewertet werden müssen, bevor man sich auf eine Architektur festlegt.

Warum ist Passkey-Kontowiederherstellung schwerer als es aussieht und was ist der richtige Ansatz?#

Eine vereinfachte Wiederherstellung wie E-Mail-basierte Resets führt für Phishing anfällige Kanäle wieder ein, während eine zu strenge Wiederherstellung wie obligatorische Hardware-Sicherheitsschlüssel zu Abbrüchen führt. Der empfohlene Ansatz ist mehrschichtig: synchronisierte Passkeys als primäre Strategie, Cross-Device-QR-Code-Authentifizierung als zweite Schicht, automatisierte Identitätsprüfung mit Liveness-Checks als dritte und digitale verifizierbare Nachweise (Verifiable Credentials) als vierte. Welche Schichten implementiert werden sollten, hängt von Ihrem Bedrohungsmodell, Ihrer Nutzerbasis und den regulatorischen Anforderungen ab.