Hohe Passkey-Adoption in Erstellungs-Flows erreichen

In diesem Artikel präsentieren wir einen umfassenden Leitfaden, der zusammenfasst, wie man die Passkey-Adoption und insbesondere die Passkey-Erstellung durch die Optimierung von Passkey-Erstellungs-Flows mithilfe gut getimter Nudges verbessert. Wir werden die folgenden Fragen beantworten:

• Was sind die Best Practices für Passkey-Benutzeraufforderungen, um die Passkey-Erstellung zu maximieren?
• Wie können Unternehmen Nutzer effektiv dazu ermutigen, Passkeys in großem Maßstab zu registrieren?

Sie lernen bewährte Strategien und praktische Best Practices kennen, die auf Unternehmenskontexte zugeschnitten sind und es Ihrer Organisation ermöglichen, Nutzer erfolgreich von Passwörtern zu Passkeys zu migrieren. Dieser Blogartikel befasst sich speziell mit der Erstellung und Registrierung von Passkeys; Strategien zur Optimierung der anschließenden Passkey-Nutzung (Anmeldehäufigkeit und -methoden) werden separat in einem kommenden Artikel untersucht.

Die Implementierung von Passkeys ist nur der erste Schritt; der wahre Wert wird realisiert, wenn Unternehmen effektiv die Passkey-Adoption verbessern. Ohne gezielte Maßnahmen zur Steigerung der Passkey-Erstellungs- und Nutzungsraten stecken Unternehmen oft in einer anhaltenden Passwortabhängigkeit fest. Wenn Passkeys einfach nur als Option angeboten werden, ohne gezielte Nudges für die Passkey-Registrierung und optimierte Passkey-Login-Flows, greifen die Menschen standardmäßig auf das zurück, was ihnen vertraut ist: Passwörter. Dieses Szenario kann die Rendite von Passkey-Projekten stark einschränken.

Organisationen verzeichnen signifikante Sicherheitsverbesserungen und Kostensenkungen, wie z. B. weniger Passwort-Resets und geringere OTP-Nutzung, erst dann, wenn Passkeys eine hohe Akzeptanz erreichen und für die Mehrheit der Nutzer zur primären Anmeldemethode werden. Daher spielen Best Practices für Passkey-Benutzeraufforderungen, Best Practices für Passkey-Prompts nach dem Login und das A/B-Testing von Passkey-Prompts eine entscheidende Rolle bei der Erreichung dieser Ziele. Unternehmen, die den Übergang von Passwörtern zu Passkeys im großen Maßstab anstreben und eine Passkey-Login-Rate von 50–80 % anvisieren, engagieren sich aktiv bei der Passkey-Erstellung.

Buy-vs.-Build-Leitfaden. Praxisnahe Leitfäden, Rollout-Muster und KPIs für Passkey-Programme.

Kostenlosen Leitfaden erhalten

Diese Passkey-Strategien zur Nutzerbindung stimmen mit den Empfehlungen der FIDO Alliance auf Passkey Central überein, wo die FIDO Alliance die Notwendigkeit bekräftigt, die Nutzerakzeptanz von Passkeys in Unternehmen voranzutreiben. Während die übergeordneten Vorteile allgemein verstanden werden, liegt die eigentliche Herausforderung oft in der Steigerung der Erfolgsmetriken für Passkey-Logins, zum Beispiel durch die effektive Erhöhung der Passkey-Abdeckung über verschiedene Geräte hinweg, die Implementierung von Best Practices für Passkey-Aufforderungen nach dem Login und die Orchestrierung kontinuierlicher Nutzerschulungen für die Passkey-Registrierung.

So führte beispielsweise der explizite Ansatz von Amazon zur Verbesserung der Passkey-Adoption – durch umfangreiche Experimente und iterative UX-Verbesserungen – zu sechsmal schnelleren Anmeldungen, reduzierte den Rückfall auf Passwörter erheblich und steigerte die Benutzerzufriedenheit. Ebenso zeigen die Segmentierung von Microsoft nach Persona und Gerät sowie die mehr als 2,5 Milliarden Passkey-Anmeldungen von Google ihr Engagement für die aktive Nutzung statt nur der bloßen Verfügbarkeit von Passkeys:

Kurz gesagt, die Nutzerakzeptanz von Passkeys im Unternehmen voranzutreiben, ist weitaus wichtiger als lediglich das Passkey-Feature zu aktivieren. Nutzer suchen selten von selbst nach neuen Anmeldemethoden. Sie müssen sicherstellen, dass die Optimierung von Passkey-Login-Flows, gut getimte Nudges für die Passkey-Registrierung und kontinuierliches A/B-Testing von Passkey-Prompts Teil des Plans sind. Durch solche Passkey-Strategien zur Nutzerbindung und Passkey-Analysen können Organisationen entscheidende Schwellenwerte überschreiten, Passwörter vollständig durch Passkeys ersetzen und die vollen Vorteile – Sicherheit, Finanzen und User Experience – einer passwortlosen Zukunft ernten.

Abonnieren Sie unseren Passkeys Substack für aktuelle News.

Abonnieren

Nutzer dazu zu ermutigen, Passkeys einzurichten – oft als Passkey-Erstellung oder Passkey-Registrierung bezeichnet – ist die Grundlage jedes Versuchs, die Passkey-Adoption zu verbessern und die Passkey-Nutzungsraten zu erhöhen. In der Praxis gibt es mehrere Prompts und Flows für Nudges zur Passkey-Registrierung, aber nicht alle sind gleichermaßen effektiv. Im Folgenden finden Sie einen Überblick über gängige Ansätze und warum Best Practices für Passkey-Prompts nach dem Login weithin als am wirkungsvollsten angesehen werden.

Dies ist kein Ersatz für Prompts nach dem Login (es gilt nur für eine Teilmenge von Logins und hängt von der OS-/Browser-/Passwort-Manager-Unterstützung ab), aber es ist eine leistungsstarke Best-Effort-Ergänzung. Technische Implementierungsdetails, Codebeispiele und Screenshots finden Sie in unserem Artikel über automatische Passkey-Upgrades. Informationen zur Plattformunterstützung, Effektivität und strategische Überlegungen finden Sie in unserem Artikel zu Conditional Create.

Berücksichtigen Sie bei der Wahl des Implementierungsorts von Passkey-Nudges diese Erkenntnisse, die auf den Erfahrungen großer Unternehmen basieren:

Der Konsens bestehender Deployments ist klar: Nudges nach der Anmeldung erzielen die meisten Passkey-Erstellungen, was ihre Implementierungskomplexität rechtfertigt. Andere einfachere Optionen, wie das Anbieten der Passkey-Registrierung über die Kontoeinstellungen, bieten einen nützlichen Startpunkt für die erste Nutzererkundung. Umgekehrt liefern komplexe Methoden wie Prompts nach einem Passwort-Reset oder fortlaufende In-App-Callouts typischerweise nur mäßigen inkrementellen Nutzen und rechtfertigen selten den erforderlichen Aufwand.

Conditional Create ergänzt Prompts nach der Anmeldung, indem es eine Teilmenge von Passwort-Logins automatisch aktualisiert (wenn Passwörter per Autofill ausgefüllt werden und die Plattform dies unterstützt). Details finden Sie in unserem Artikel zu Conditional Create.

Konsens & wichtigste Erkenntnisse

• Prompt nach Anmeldung rangiert bei der Auswirkung am höchsten und rechtfertigt den erheblichen Entwicklungsaufwand. Er nutzt den universellen „Schmerzpunkt“-Moment des Passwort-Eintippens und ist daher die wichtigste Best Practice, um hohe Passkey-Adoptionsraten für die Erstellung zu erreichen.

• Conditional Create (Auto-Upgrade) ist eine reibungsarme Best-Effort-Ergänzung, die den expliziten Prompt für Nutzer entfernen kann, die sich auf unterstützten Plattformen mit gespeichertem Passwort-Autofill anmelden.

• Kontoeinstellungen-Seite ist für jedes Passkey-Projekt faktisch obligatorisch und wird daher ohnehin existieren. Obwohl sie bei der signifikanten Steigerung der Adoptionsraten nur eine minimale Rolle spielt, ist sie als erster Implementierungsschritt sehr empfehlenswert. Die Nutzung der Kontoeinstellungen-Seite als erstes ermöglicht es Organisationen, ihre Passkey-Implementierung zu pilotieren, zu verfeinern und zu validieren, bevor sie komplexere Nudges nach der Anmeldung einsetzen.

• Kontoerstellungs-Prompts bieten mäßige Vorteile und werden als sekundäre Maßnahmen zur Ergänzung einer breiteren Adoptionsstrategie empfohlen. Sie sorgen für eine inkrementelle Adoption bei neuen Nutzern, haben aber keinen wesentlichen Einfluss auf bestehende Nutzerbasen.

• Nach Passwort-Reset und In-App Callouts & Banner bringen typischerweise nur geringe bis mäßige Gewinne. Zwar können diese Maßnahmen breitere Adoptionsbemühungen ergänzen, doch ihre Implementierungskomplexität rechtfertigt selten, sie als Kernstrategien zu priorisieren.

Bei der Gestaltung des idealen Nudges nach der Anmeldung ist es sinnvoll, erfolgreiche Rollouts großer Tech-Unternehmen zu untersuchen und gemeinsame Erkenntnisse aus ihren Experimenten zu identifizieren. Ein Großteil dieser Informationen findet sich in Vorträgen, die von der FIDO Alliance veröffentlicht wurden.

• Mehrere Experimente & Ansätze: Amazon testete verschiedene Post-Sign-In-Flows ("T1", "T2", "T3"), um zu sehen, welche Nutzer-Prompts am besten funktionierten. Einige öffneten automatisch den Passkey-Erstellungsdialog, während andere einen einfachen "Richten Sie Ihren Passkey ein"-Bildschirm mit zwei Optionen anzeigten: "Ja, Passkey erstellen" oder "Nein, weiterhin Passwörter verwenden".

• 6× schnellere Logins: Durch iteratives A/B-Testing und Echtzeitanpassungen erreichten sie bis zu sechsmal schnellere Logins für diejenigen, die Passkeys übernahmen, was den Rückfall auf Passwörter signifikant reduzierte.

• Unterschiede zwischen Mobile und Desktop: Amazon stellte fest, dass die automatische Auslösung der Passkey-Registrierung auf Mobilgeräten zu einer deutlich höheren Akzeptanz im Vergleich zu Desktop-Flows führte, was darauf hindeutet, dass Smartphone-Nutzer offener für biometrische Aufforderungen sind.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

• Persona- & Geräte-Segmentierung: Der interne Rollout von Microsoft richtete sich systematisch an verschiedene Nutzergruppen (Führungskräfte, Entwickler, Frontline-Mitarbeiter) und spezifische Plattformen (Windows, macOS, iOS, Android). Sie zeigten Passkey-Prompts nach dem Login an, die auf den Workflow jedes Segments zugeschnitten waren.

• Phasenweise Durchsetzung: Nach der Messung des Erfolgs in frühen Wellen erhöhte Microsoft stetig die obligatorische Passkey-Nutzung in nachfolgenden Phasen. Die Organisation maß auch die „Passkey-Akzeptanzrate“ für jede Welle und verfeinerte den UI-Text oder die Fallback-Logik, wenn die Conversion sank.

• Förderung der Abdeckung: Sobald ein Nutzer einen Passkey auf einem Gerät eingerichtet hatte, wurde er bei zukünftigen Logins auf neuen Geräten mit „Passkey hier hinzufügen?“ aufgefordert, sodass Passkeys in der gesamten Umgebung eines Nutzers allgegenwärtig wurden.

• Skaliertes A/B-Testing: Mit über 2,5 Milliarden Passkey-Anmeldungen investiert Google stark in das A/B-Testing von Passkey-Prompts. Sie vergleichen oft Bequemlichkeits-Messaging ("Beim nächsten Mal die Passworteingabe überspringen") mit Sicherheits-Messaging ("Schützen Sie Ihr Konto mit einem Passkey"), um zu sehen, was mehr Resonanz findet.

• Re-Authentifizierungs-Flows: Google nutzt auch Re-Auth-Prompts (etwa wenn Nutzer sensible Einstellungen ändern), um sie an Passkeys zu erinnern: „Wollen Sie einen schnelleren Schritt? Jetzt einen Passkey erstellen.“

• Geräteübergreifendes Nudging: Weil der Google Password Manager Passkeys über Geräte hinweg synchronisiert, beinhaltet der Ansatz nach der Anmeldung oft eine kurze Notiz über plattformübergreifenden Komfort, die den Gedanken „einmal erstellen, überall nutzen“ verstärkt.

• Sicherheits- vs. Bequemlichkeitssprache: Intuit, Heimat von QuickBooks und TurboTax, testete Nachrichten wie „Phishing-resistenter Login“ (sicherheitsorientiert) vs. „Schnellerer Login, kein Passwort“ (Fokus auf Benutzerfreundlichkeit). Sie fanden heraus, dass bestimmte Segmente (insbesondere Finanzprofis) mehr durch Sicherheit motiviert waren, während andere von der Bequemlichkeit angezogen wurden.

• Wiederholte Nutzertests: Mit einer sehr vielfältigen Basis – von Kleinunternehmern bis hin zu alltäglichen Steuerzahlern – verfeinerte Intuit kontinuierlich die Formulierung, das UI-Layout und das Timing des Prompts. Sie stellten fest, dass eine Aufforderung kurz nach dem Login eine viel höhere Passkey-Akzeptanz ergab.

• Nachhaltige Erinnerungen: Für Nutzer, die den Passkey-Flow anfangs übersprangen, baute Intuit einen „Zweite Chance“-Prompt ein, der nach einem kurzen Intervall wieder auftauchte – eine Strategie, die die spätere Erstellungsrate weiter steigerte.

Lassen Sie uns einen Blick darauf werfen und die Gemeinsamkeiten dieser großen Rollouts zusammenfassen:

Über diese produktgetriebenen Taktiken hinaus unterstützen moderne Plattformen auch Conditional Create (automatische Passkey-Upgrades), um eine Teilmenge der Passwort-Autofill-Logins mit minimaler Nutzerinteraktion auf Passkeys zu aktualisieren. Siehe Conditional Create.

Zusammen bestätigen diese realen Lektionen, dass Best Practices nach der Anmeldung, die einfache, gut getimte Texte und konsequente Wiederholungen beinhalten, die stärksten Treiber zur Verbesserung der Passkey-Adoption für die Erstellung sind. Im nächsten Abschnitt werden wir untersuchen, wie man diesen Ansatz strukturiert, um sicherzustellen, dass Nutzer nicht nur ihren ersten Passkey einrichten, sondern auch zusätzliche Passkeys auf mehreren Geräten hinzufügen, wodurch die Adoptionsraten nah an die 50–80 % Schwelle gebracht werden, die erforderlich ist, um Passwörter vollständig durch Passkeys zu ersetzen.

Effektive Post-Sign-In-Strategien tun mehr als nur Nutzer dazu aufzufordern, ihren ersten Passkey zu erstellen. Sie führen die Nutzer auch proaktiv zu einer umfassenden Passkey-Adoption über ihre Geräte hinweg und stellen so sicher, dass Passwörter zunehmend überflüssig werden. Das Ziel dieser Nudges ist es, Passkeys als primäre Authentifizierungsmethode zu etablieren und die Abhängigkeit von veralteten Passwort-Logins drastisch zu reduzieren. Im Folgenden finden Sie erweiterte Überlegungen zu jeder strategischen Phase im Post-Sign-In-Prozess.

Die zentrale Herausforderung bei der Förderung der anfänglichen Passkey-Adoption liegt darin, das richtige Messaging zu finden. Organisationen sollten klar definieren, ob sie an den Komfort und die Bequemlichkeit der Nutzer appellieren oder sich primär auf erhöhte Sicherheit konzentrieren wollen. Zum Beispiel fand Google Mainstream-Erfolg mit einfachen, komfortorientierten Prompts wie „Schnellerer Login, keine Passwörter“, was bei alltäglichen Nutzern starken Anklang fand. Im Gegensatz dazu stellte Intuit fest, dass Profis, insbesondere in der Finanzbranche, positiver auf sicherheitsorientiertes Messaging reagierten, wie z. B. „Schützen Sie Ihr Konto vor Phishing“. Das ideale Messaging hängt stark von der Demografie Ihrer Zielnutzer und deren spezifischen Bedürfnissen oder Prioritäten ab, was die Bedeutung umfangreicher A/B-Tests unterstreicht, um die effektivste Sprache zu ermitteln.

Das Testen von Varianten dieser Nachrichten ermöglicht es Ihnen zu messen, was am stärksten Resonanz findet und die höchsten Akzeptanzraten liefert. Genauso wichtig ist die Steuerung der Prompt-Häufigkeit: Erste Nudges sind essentiell, aber nachfolgende Erinnerungen sollten sorgfältig ausbalanciert werden. Unternehmen wie Amazon beobachteten einen steilen Rückgang der Akzeptanzraten nach zu vielen wiederholten Prompts in kurzer Folge. Eine weithin anerkannte Best Practice ist es, den Nutzern zu erlauben, Prompts einfach zu überspringen, aber die Passkey-Einrichtung nach einer Cooldown-Periode, beispielsweise 30 Tagen, wieder einzuführen.

Auch die Entscheidung, ob der Registrierungs-Flow nach der Anmeldung automatisch ausgelöst werden soll, wirkt sich maßgeblich auf die Adoption aus. Automatische Auslöser auf Mobilgeräten haben sich als hochgradig effektiv erwiesen, wobei Amazon 30–50 % höhere Akzeptanzraten aufgrund der intuitiven Natur biometrischer Interaktionen verzeichnete. Automatische Registrierungs-Prompts müssen jedoch durchdacht ausgeführt werden, um Nutzerfrustrationen zu vermeiden, insbesondere auf Desktop-Plattformen, wo eine manuelle Auslösung im Allgemeinen effektiver und weniger aufdringlich ist.

Um eine breite Passkey-Adoption zu erreichen, reicht es nicht aus, dass Nutzer nur ihren ersten Passkey registrieren; man muss sie auch systematisch dazu auffordern, die Abdeckung auf andere Geräte auszuweiten – das verringert auch die Wahrscheinlichkeit von Konto-Sperrungen. Proaktives Messaging trägt zu nahtlosen Authentifizierungserlebnissen bei, unabhängig vom Gerät des Nutzers, was die Sicherheit deutlich erhöht und gleichzeitig Komfort bietet. Wenn ein Nutzer beispielsweise zunächst einen Passkey unter Windows registriert und sich später über ein Android-Gerät per Fallback-Option anmeldet, sollte das System ihn klar auffordern: „Richten Sie hier einen Passkey ein, um Ihr Passwort beim nächsten Mal zu überspringen.“

Dieser geräteübergreifende Ansatz stellt eine kontinuierliche Abdeckung sicher und reduziert den Rückfall auf traditionelle Authentifizierungsmethoden erheblich. Darüber hinaus bietet der Umgang mit Szenarien, in denen Passkeys zuvor fehlgeschlagen sind oder abgebrochen wurden – etwa wenn ein Nutzer eine Passkey-Registrierung löscht oder abbricht –, eine weitere wichtige Möglichkeit, Nutzer erneut anzusprechen. Eine Aufforderung nach einem erfolgreichen Fallback-Login mit Nachrichten wie „Die Passkey-Einrichtung hat letztes Mal nicht funktioniert – versuchen Sie es jetzt erneut, um zukünftige Logins zu vereinfachen“ ermutigt sie, die Registrierung noch einmal zu versuchen.

In hybriden Login-Szenarien, die eine Cross-Device Authentication (CDA) beinhalten, fordern Sie Nutzer direkt nach erfolgreicher Authentifizierung auf, native Passkeys lokal zu speichern, um den zukünftigen Komfort zu erhöhen. Nach Abschluss von CDA via Smartphone zur Autorisierung einer Windows-Sitzung sollten Sie den Nutzer beispielsweise klar ermutigen: „Fügen Sie direkt diesem Gerät einen Passkey hinzu, um Ihr Telefon beim nächsten Mal nicht mehr verwenden zu müssen.“

Letztendlich erhöht dieser erweiterte, geräteübergreifende Ansatz nicht nur die Sicherheit, sondern respektiert auch die Zeit, den Komfort und die Vorlieben der Nutzer. Nutzer fühlen sich wertgeschätzt und ermächtigt, wenn sie eine klare, personalisierte Anleitung erhalten, was das Vertrauen und die Bereitschaft stärkt, Passkeys in ihrem gesamten digitalen Ökosystem zu nutzen, um unpraktische Fallbacks zu vermeiden und CDA-Logins zu reduzieren.

Der Übergang der Nutzer zu einer obligatorischen Passkey-Adoption erfordert einen strategischen, schrittweisen Ansatz, der in regulierten Umgebungen oder für hochwertige Konten besonders wichtig ist. Eine allmähliche Durchsetzung der Passkey-Adoption anstelle einer abrupten Vorgabe minimiert den Widerstand der Nutzer und maximiert die Akzeptanzraten.

Eine effektive Methode besteht darin, zunächst die freiwillige Adoption zu verfolgen, sodass sich die Nutzer mit der Passkey-Nutzung vertraut machen können. Nachdem sich Nutzer mehrmals erfolgreich mit Passkeys angemeldet haben, können Sie passwortbasierte Anmeldemethoden schrittweise deaktivieren und diesen Übergang rechtzeitig klar kommunizieren. Informieren Sie die Nutzer beispielsweise explizit: „Ab nächstem Monat werden Passwörter nicht mehr akzeptiert; bitte stellen Sie sicher, dass Ihr Passkey aktiv ist.“

Die genaue Überwachung von Nutzer-Engagement-Statistiken hilft ebenfalls, den obligatorischen Übergang abzustimmen. Wenn Nutzer Registrierungsaufforderungen wiederholt ablehnen, eskalieren Sie Ihr Messaging, indem Sie möglicherweise nach einem bestimmten Schwellenwert die Option „Überspringen“ entfernen oder das Messaging zu einer obligatorischen Aktion eskalieren, wie es in der obigen Microsoft-Implementierung zu sehen ist. Bieten Sie jedoch immer sichere Fallback-Mechanismen wie Hardware-Sicherheitsschlüssel für Nutzer an, die auf echte technische Einschränkungen oder Kompatibilitätsprobleme stoßen.

Die klare Kommunikation der Vorteile, wie der Schutz vor Phishing und Account-Takeovern, stärkt das Verständnis und die Akzeptanz der Nutzer für die obligatorische Passkey-Adoption (was sich vom reinen Vereinfachungs-Messaging unterscheidet, wenn sie noch optional ist). Ein Messaging wie „Passkeys helfen uns, Ihr Konto sicher zu halten – Passwörter werden bald abgeschafft“ betont die Notwendigkeit und den Wert dieses Übergangs und fördert das Vertrauen der Nutzer in die Übernahme von Passkeys als neuen Standard für die Authentifizierung.

Um effektiv hohe Passkey-Adoptionsraten bei der Passkey-Erstellung voranzutreiben, ist ein sorgfältig strukturierter und klar kommunizierter Post-Sign-In-Flow unerlässlich. Der optimale Flow adressiert systematisch drei Szenarien, basierend darauf, ob ein Nutzer bereits Passkeys registriert hat, und führt ihn Schritt für Schritt durch die anfängliche Erstellung, die Erweiterung der Passkey-Abdeckung auf zusätzliche Geräte und den Umgang mit Fallback-Szenarien.

Nachfolgend finden Sie eine detaillierte Beschreibung, die klar auf das bereitgestellte Flussdiagramm abgestimmt ist:

flowchart TD
    A[Nutzer meldet sich an] --> B{Hat der Nutzer bereits einen Passkey?}

    %% Shared nodes
    Z[Passkey erstellt]
    CD[Cooldown 30 Tage]

    %% Primary flow: create first passkey
    B -->|Nein| P0[Primärer Flow]
    P0 --> P1{Passwort per Autofill?}
    P1 -->|Ja| CC[Versuche Conditional Create]
    CC --> P2{CC erfolgreich?}
    P2 -->|Ja| Z
    P2 -->|Nein| P3{Desktop oder Mobile?}
    P1 -->|Nein| P3

    P3 -->|Desktop| D1
    P3 -->|Mobile| M1

    subgraph Desktop [Desktop Primärer Subflow]
        direction TB
        D1[Prompt 1] --> D2{Akzeptieren?}
        D2 -->|Ja| DZ[Fertig]
        D2 -->|Nein| D3[Prompt 2] --> D4{Akzeptieren?}
        D4 -->|Ja| DZ
        D4 -->|Nein| D5[Prompt 3] --> D6{Akzeptieren?}
        D6 -->|Ja| DZ
        D6 -->|Nein| DCD[Cooldown]
    end

    subgraph Mobile [Mobile Primärer Subflow]
        direction TB
        M1[Prompt 1 auto] --> M2{Akzeptieren?}
        M2 -->|Ja| MZ[Fertig]
        M2 -->|Nein| M3[Prompt 2] --> M4{Akzeptieren?}
        M4 -->|Ja| MZ
        M4 -->|Nein| M5[Prompt 3] --> M6{Akzeptieren?}
        M6 -->|Ja| MZ
        M6 -->|Nein| MCD[Cooldown]
    end

    DZ --> Z
    MZ --> Z
    DCD --> CD
    MCD --> CD

    %% Secondary flow: additional devices / recovery
    B -->|Ja| S0[Sekundärer Flow]
    S0 --> S1[Neues Gerät oder Fallback-Login]
    S1 --> S2{Passwort per Autofill?}
    S2 -->|Ja| SCC[Versuche Conditional Create]
    SCC --> S3{CC erfolgreich?}
    S3 -->|Ja| Z
    S3 -->|Nein| S4[Passkey hier hinzufügen?]
    S2 -->|Nein| S4
    S4 --> S5{Akzeptieren?}
    S5 -->|Ja| Z
    S5 -->|3x übersprungen| CD

Bei jedem Login führt das System eine initiale Prüfung durch:

• Hat der Nutzer bereits einen Passkey?

  • Wenn nein (null Passkeys), werden die Nutzer zum primären Screen weitergeleitet.

  • Wenn ja (ein oder mehrere Passkeys), gehen die Nutzer zu einem maßgeschneiderten sekundären Screen weiter.

Auf dem primären Screen hängt der Registrierungsansatz von der Geräteplattform des Nutzers ab:

Bevor ein expliziter Prompt angezeigt wird, ziehen Sie Conditional Create (automatische Passkey-Upgrades) als Best-Effort-Schritt in Betracht, wenn der Nutzer sich gerade mit Passwort-Autofill angemeldet hat und die Plattform dies unterstützt. Wenn es erfolgreich ist, können Sie den untenstehenden Prompt-Flow überspringen.

• Desktop-Flow
  Auf Desktops, wenn Conditional Create nicht greift, ist der Prompt zur Passkey-Erstellung manuell:

  • Erster Prompt: Nutzer wählen explizit, ob sie die Passkey-Erstellung Akzeptieren oder Überspringen.

    • Wenn sie Akzeptieren, wird sofort ein Passkey erstellt.

    • Wenn sie Überspringen, erhalten sie bei ihrem nächsten Login einen zweiten Prompt.

  • Der zweite Prompt bietet eine weitere Chance und fragt den Nutzer erneut explizit, ob er Akzeptieren oder Überspringen möchte.

    • Wenn der Nutzer Akzeptiert, wird ein Passkey erfolgreich erstellt.

    • Wenn sie erneut Überspringen, erhalten sie bei einer späteren Anmeldung einen dritten Prompt.

  • Wenn Nutzer nach dem dritten Prompt immer noch Überspringen, erzwingt das System eine klare und definierte Cooldown-Periode von 30 Tagen, um übermäßige Reibung für den Nutzer zu vermeiden.

• Der Mobile Geräte-Flow verfolgt einen dynamischeren Ansatz:

  • Anfänglich wird der Prompt zur Passkey-Erstellung aufgrund der intuitiven Natur der mobilen biometrischen Registrierung automatisch ausgelöst.

    • Wenn Nutzer Akzeptieren, ist die Passkey-Registrierung sofort abgeschlossen.

    • Wenn Nutzer den ersten automatischen Prompt Überspringen, wechselt der Flow bei ihrem nächsten Login zu einem manuellen zweiten Prompt.

  • Beim zweiten Prompt (manuell) wählen Nutzer erneut explizit zwischen Akzeptieren oder Überspringen.

    • Wenn sie Akzeptieren, ist die Passkey-Erstellung erfolgreich.

    • Wird erneut übersprungen, wird während einer nachfolgenden Sitzung ein dritter Prompt angeboten.

  • Nach dem dritten aufeinanderfolgenden Überspringen tritt der mobile Nutzer ebenfalls in eine 30-tägige Cooldown-Phase ein, bevor weitere Aufforderungen erfolgen.

Diese strukturierte Primär-Screen-Strategie bringt Nutzerkomfort mit beharrlichen, aber respektvollen Erinnerungen in Einklang und führt die Nutzer schrittweise an die Passkey-Adoption heran, ohne sie zu überfordern.

Für Nutzer, die bereits mindestens einen Passkey haben, konzentrieren sich sekundäre Prompts darauf, die Passkey-Abdeckung auf mehrere Geräte oder Betriebssysteme auszudehnen, um die Abhängigkeit von Fallbacks zu eliminieren:

Wenn der Fallback-Login ein Passwort-Autofill-Login war und Conditional Create unterstützt wird, können Sie zunächst ein Best-Effort-Conditional-Create-Upgrade versuchen und den sekundären Prompt nur dann anzeigen, wenn das nicht funktioniert.

• Nach einem erfolgreichen Login über eine Fallback-Methode (Passwort, OTP oder QR-basierter CDA-Login) sehen Nutzer einen klaren, gerätespezifischen sekundären Screen-Prompt, der sie ermutigt, einen zusätzlichen Passkey zu erstellen. Ein Beispiel-Messaging könnte lauten: „Richten Sie hier einen Passkey ein, um das Passwort auf diesem Gerät zu überspringen.“

  • Nutzer haben erneut die Option zu Akzeptieren oder zu Überspringen.

  • Nach mehrmaligem Überspringen führt das System ähnlich einen Cooldown von 30 Tagen ein, um Belästigung oder Ermüdung der Nutzer zu vermeiden.

• Darüber hinaus gilt dieser sekundäre Screen auch für Fälle, in denen Nutzer zuvor erfolglose Passkey-Registrierungen hatten oder ihren Passkey explizit entfernt haben. In diesen Szenarien spricht das Messaging explizit das frühere Scheitern an und betont den erneuten Komfort und die verbesserte Zuverlässigkeit des aktuellen Einrichtungsprozesses.

Das beschriebene Flussdiagramm stellt eine starke grundlegende Blaupause für die Implementierung einer effektiven Post-Sign-In-Passkey-Registrierungsstrategie dar. Während die skizzierten Schritte – wie die Unterscheidung zwischen Desktop- und Mobile-Erlebnissen, das sorgfältige Management der Prompt-Häufigkeit und das Bereitstellen klarer Pfade nach wiederholtem Überspringen – bewährte Best Practices widerspiegeln, die in groß angelegten Deployments von Unternehmen wie Amazon, Microsoft und Google beobachtet wurden, ist es wichtig zu betonen, dass sich Nutzerbasen signifikant unterscheiden. Was in einem Szenario außergewöhnlich gut funktioniert, kann in einem anderen aufgrund unterschiedlicher Nutzerdemografien, Gerätepräferenzen und organisatorischer Kontexte zu abweichenden Ergebnissen führen.

Daher sind kontinuierliche Analysen und strenges Monitoring der Nutzerinteraktionen essenziell, um Ihre Passkey-Registrierungsstrategie wirklich zu optimieren und zu verfeinern.

Detailliertes Tracking von Passkey-Akzeptanzraten und anderen kritischen KPIs liefert umsetzbare Erkenntnisse darüber, welche Teile Ihres Flows erfolgreich sind oder Schwierigkeiten haben. Die Analyse von Abbruchpunkten im Registrierungsprozess kann beispielsweise aufdecken, ob Nutzer die Prompts als zu aufdringlich, verwirrend oder unpassend empfinden. Hier ist unsere Empfehlung für die zu trackenden Metriken:

Ihre Passkey-Adoptionsstrategie sollte niemals statisch sein. Stattdessen sollte sie sich basierend auf gemessenen Daten dynamisch weiterentwickeln, was Anpassungen beim Messaging, bei der Häufigkeit und bei den Prompt-Methoden (automatisch vs. manuell) ermöglicht. Durch die genaue Beobachtung, wie verschiedene Nutzersegmente im Laufe der Zeit reagieren, kann Ihre Organisation diese Nudges iterativ verfeinern und sicherstellen, dass die Aufforderungen überzeugend bleiben, ohne die Nutzer zu überfordern. Letztendlich hängt ein erfolgreiches Deployment von Passkeys stark davon ab, Best Practices an die spezifischen Verhaltensweisen und Präferenzen Ihrer Nutzer anzupassen, gestützt auf präzise Analysen statt nur auf Annahmen.

Die korrekte Implementierung von Best Practices zur Passkey-Erstellung – mit A/B-Testing, schrittweisem Rollout, Conditional Create und der Handhabung von Edge Cases über mehr als 100 OS-/Browser-Kombinationen hinweg – erfordert Monate an Entwicklungsarbeit. Corbado bietet Observability und Adoption Intelligence als Ergänzung zu Ihrem bestehenden Identity-Stack, sodass Sie innerhalb von Tagen statt Monaten live gehen können und die Authentifizierung vollständig inhouse behalten. Unsere SDKs und Komponenten basieren auf bewährten Best Practices aus großen Deployments wie bei Amazon, Google und Microsoft – verfeinert mit realen Daten aus groß angelegten Implementierungen wie VicRoads.

Die meisten Organisationen rollen Passkey-Erstellungs-Flows aus, ohne Einblick in das zu haben, was tatsächlich passiert. Ihre Logs zeigen "Registrierung erfolgreich" oder "Registrierung fehlgeschlagen" – aber sie verraten Ihnen nicht:

• Warum hat dieser Nutzer den Passkey-Prompt dreimal übersprungen?
• Welche OS-/Browser-Kombinationen haben die höchsten Abbruchraten?
• Wird Conditional Create tatsächlich ausgelöst oder schlägt es lautlos fehl?
• Wie schneidet die Passkey-Akzeptanz beim ersten Nudge im Vergleich zu wiederholten Nudges ab?

Ohne diese Sichtbarkeit können Sie nicht optimieren. Sie raten beim Messaging, Timing und Flow-Design, anstatt basierend auf Daten zu iterieren.

Corbado bietet Auth-native Observability, die speziell für Passkey-Erstellungs-Flows entwickelt wurde. Für einen vollständigen Überblick über Authentifizierungsmetriken, die über Passkeys hinausgehen, lesen Sie unser Playbook zu Authentifizierungs-Analysen:

Gleiches Dashboard, unterschiedliche Story – je nachdem, wer fragt:

Die SDKs von Corbado implementieren automatisch alle Best Practices für die Erstellung, einschließlich Conditional Create, Post-Login-Prompts und Multi-Device-Registrierung:

Wenn die Registrierung fehlschlägt, gibt Ihnen Corbado die Tools an die Hand, um zu verstehen, warum:

• Pro-Nutzer Debug-Timeline: Spielen Sie die Registrierungs-Journey über Sessions und Geräte hinweg nach
• Intelligente Fehlerklassifizierung: Unterscheiden Sie informative Fehler von kritischen Ausfällen
• Erkennung von Passwort-Manager-Fragmentierung: Identifizieren Sie Konflikte zwischen Dashlane, 1Password und browser-nativen Managern
• Anomalie-Erkennung: Sofortige Warnmeldungen, wenn die Registrierungsraten unerwartet sinken

Ganz gleich, ob Sie Passkey-Erstellungs-Flows selbst aufbauen oder nach einer Managed-Lösung suchen, Corbado hilft Ihnen zu sehen, was passiert, den Business Impact zu belegen und die Adoption zu maximieren, ohne Ihren IDP ersetzen zu müssen.

Passkeys haben sich als eine transformative Authentifizierungsmethode erwiesen, die schnellere, einfachere und sicherere Logins als traditionelle Anmeldedaten ermöglicht. Das bloße Anbieten von Passkeys garantiert jedoch nicht, dass Nutzer sie auch annehmen werden. Organisationen müssen Passkey-Prompts strategisch gestalten, A/B-Tests für ihr Messaging durchführen und die Flows an verschiedene Geräte anpassen, um die Passkey-Adoption auf über 50 % zu steigern – die Schwelle, ab der Passwörter wirklich austauschbar werden. Dieser Leitfaden behandelte das Grundlagenwissen, von der Frage, warum die Adoption wichtiger ist als die grundlegende Implementierung, bis hin zur Detaillierung spezifischer Nudge-Taktiken (Post-Sign-In vs. Einstellungsseite, Häufigkeitslimits, mobile Auto-Erstellung usw.), auf die große Tech-Unternehmen für ihren Erfolg setzen.

• Was sind die Best Practices für Passkey-Benutzeraufforderungen? Die effektivsten Prompts erfolgen direkt nachdem sich Nutzer erfolgreich angemeldet haben, indem man ihr Authentifizierungs-Mindset nutzt. Das Messaging sollte klar entweder den Komfort („Schnellerer Login, keine Passwörter“) oder die Sicherheit („Schützen Sie Ihr Konto vor Phishing“) betonen, was durch striktes A/B-Testing ermittelt wird. Nudges müssen auch die Autonomie der Nutzer respektieren und Cooldown-Phasen nach wiederholten Überspringen einbauen, um Frustrationen zu minimieren.

• Wie treibt man die Nutzerakzeptanz von Passkeys in Unternehmenskontexten voran? Eine erfolgreiche Enterprise-Adoption hängt stark von strukturierten, inkrementellen Ansätzen in Kombination mit kontinuierlichen Analysen ab. Organisationen müssen Key Performance Indicators (z. B. Passkey-Akzeptanzrate, Registrierungserfolgsrate) überwachen und ihre Strategien auf Basis der Nutzerdaten verfeinern. Die Förderung der Passkey-Registrierung über mehrere Geräte hinweg und der Übergang hochwertiger Segmente hin zur obligatorischen Passkey-Nutzung sind essenziell, um die gewünschte Adoptionsschwelle von 50–80 % zu erreichen.

Wenn Ihr Unternehmen ein großflächiges Deployment plant und branchenführende Adoptionsmetriken anstrebt, helfen wir bei Corbado Ihnen gerne weiter. Unsere Enterprise Platform bietet hochentwickelte Analysen, A/B-Testing und maßgeschneiderte User Journeys, um eine optimale Passkey-Adoption zu gewährleisten.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →