Funktionieren Passkeys im Inkognito-Modus?

Immer mehr Unternehmen implementieren Passkeys in ihre Websites und Apps. Dabei fragen sich viele Softwareentwickler und Produktmanager, ob Passkeys auch im Inkognito- oder privaten Browsing-Modus funktionieren, da dies einen großen Einfluss auf das gesamte Nutzererlebnis hat.

Mit diesem Blogbeitrag versuchen wir, die folgenden Fragen zu beantworten:

1. Funktionieren Passkeys im Inkognito- / privaten Browsing-Modus?
2. Wie verhält sich die Passkey-Authentifizierung im Inkognito- / privaten Modus in Chrome, Safari, Edge und Firefox?

Dieses Wissen sorgt für ein reibungsloses Nutzererlebnis über verschiedene Browser und Betriebssysteme hinweg und positioniert Ihre Anwendung an der Spitze von Sicherheit und Komfort.

Passkeys sind im Grunde kryptografische Schlüssel, die zur Authentifizierung von Nutzern ohne herkömmliche Passwörter verwendet werden. Sie bieten erhöhte Sicherheit, indem sie die Risiken von Passwortdiebstahl und Phishing-Angriffen eliminieren.

Normalerweise werden Passkeys sicher auf dem Gerät gespeichert, und ihre Funktionalität bleibt auch im Inkognito- oder privaten Modus für die meisten Betriebssysteme – mit Ausnahme von Windows 10 (siehe unten) – konsistent, vorausgesetzt, das Gerät ist für Passkeys vorbereitet.

Der Inkognito- oder private Modus wird häufig genutzt, um im Internet zu surfen, ohne Spuren zu hinterlassen. Diese Funktion ist wertvoll für Nutzer, denen ihre Privatsphäre wichtig ist, und es ist entscheidend, dass Authentifizierungsmethoden wie Passkeys in diesen Modi reibungslos funktionieren.

In der Entwicklungsgeschichte von WebAuthn gab es jedoch immer wieder Diskussionen und Verbesserungen, da das Verhalten früher recht verwirrend und inkonsistent zwischen den Betriebssystemen und Browsern war (siehe als Referenz diese alten Diskussionen und Bug-Reports hier, hier und hier).

Das Verhalten von Passkeys in verschiedenen Browsern und Betriebssystemen zu verstehen, hilft dabei, Kompatibilität und ein reibungsloses Nutzererlebnis sicherzustellen.

Funktionieren Passkeys im Inkognito- / privaten Browsing-Modus?

Unter Windows 10 (22H2) haben wir die einzige Ausnahme entdeckt, bei der Passkeys nicht zuverlässig funktionieren, und erhielten die beiden folgenden Screenshots beim Versuch, einen Plattform-Authenticator (Windows Hello) zu verwenden:

Fehlermeldung für Passkeys im Chrome Inkognito-Modus unter Windows 10

Fehlermeldung für Passkeys im Edge InPrivate-Modus unter Windows 10

Als wir in den normalen Browsing-Modus wechselten, funktionierte alles wie erwartet, daher ist die Fehlermeldung im Pop-up irreführend.

Wenn wir außerdem versuchten, einen plattformübergreifenden Authenticator (z. B. einen Hardware-Sicherheitsschlüssel wie einen YubiKey oder eine geräteübergreifende Authentifizierung per QR-Code / Bluetooth) zu verwenden, funktionierte dies.

Als wir das Problem genauer untersuchten und die folgenden beiden Befehle in der Browser-Konsole ausführten, um festzustellen, ob der Plattform-Authenticator (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()) und die Conditional UI (PublicKeyCredential.isConditionalMediationAvailable()) verfügbar waren, machten wir eine interessante Entdeckung: Das erste Promise gab false zurück, während das zweite true zurückgab, was keinen Sinn ergab, da Plattform-Authenticators für das Funktionieren der Conditional UI erforderlich sind.

Ab Chrome 129 (und ähnlich in Edge, das auf Chromium basiert) gibt PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() auch im Inkognito- / InPrivate-Modus unter Windows 10 true zurück. Zuvor war dieser Wert im Inkognito-Modus false. Obwohl jetzt true zurückgegeben wird, bleibt der Plattform-Authenticator für die Erstellung neuer Passkeys nicht verfügbar, was zu einem fehlerhaften Nutzerfluss führt.

Unten finden Sie eine Tabelle, die die Rückgabewerte von PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() unter Windows 10 in verschiedenen Chrome/Edge-Versionen und -Modi zeigt:

Beobachtetes Verhalten:

• Im Inkognito-Modus von Chrome/Edge unter Windows 10 erscheint der Plattform-Authenticator trotz des true-Rückgabewerts des Promise nicht für die Erstellung von Passkeys.
• Stattdessen werden Nutzer aufgefordert, einen Sicherheitsschlüssel (z. B. YubiKey) hinzuzufügen.
• Obwohl Hardware-Sicherheitsschlüssel weiterhin für die Erstellung von Passkeys funktionieren, ist dies nicht der erwartete Ablauf bei der Verwendung von Plattform-Authenticators wie Windows Hello.

Auswirkungen der Änderung: Dies unterbricht effektiv den Ablauf zum Hinzufügen von Passkeys zum Plattform-Authenticator im Inkognito-/InPrivate-Modus. Die Anpassung in Chrome 129+ wurde hauptsächlich vorgenommen, um die Login-Funktionalität mit Passkeys im Inkognito-Modus zu ermöglichen. Login-Abläufe verwenden denselben Erkennungsmechanismus, um die Passkey-Unterstützung zu prüfen (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()), und diese Änderung stellt sicher, dass Logins reibungslos ablaufen können. Die unbeabsichtigte Folge ist jedoch das fehlerhafte Erlebnis bei der Erstellung von Passkeys mit dem Plattform-Authenticator in privaten Browsing-Modi.

Weitere Details zu dieser Änderung finden sich in der Chromium Source Code Review und der zugehörigen Diskussion im Issue Tracker. Für Websites, die eine optimale Unterstützung für Passkeys bieten möchten, ist die Erkennung des Inkognito-Modus derzeit die einzige Möglichkeit, dieses Problem zu umgehen. Indem Websites erkennen, wann ein Nutzer sich im Inkognito-/InPrivate-Modus unter Windows 10 mit Chrome/Edge befindet, können sie präventiv vermeiden, Plattform-Authenticator-Optionen für die Erstellung von Passkeys anzubieten.

Bei der Verwendung von Windows Hello als Plattform-Authenticator erscheint während der Passkey-Erstellung im Inkognito-Modus (bei Chrome) / InPrivate-Modus (bei Edge) ein Sicherheits-Pop-up. Es weist die Nutzer darauf hin, dass der Passkey gespeichert und später auch im normalen Modus verwendet werden kann (dieses Verhalten wurde unter Windows 11 22H2 getestet). Wenn man einen der Anwendungsfälle des Inkognito-Modus bedenkt, bei dem ein Nutzer ein Konto erstellen möchte, ohne Spuren von Informationen zu hinterlassen, ist diese Warnung sinnvoll.

Unter Android ist das Verhalten im Inkognito-Modus (bei Chrome) / InPrivate-Modus (bei Edge) ähnlich wie bei Windows 11. Es wird ein Informations-Pop-up angezeigt, das den Nutzer darüber informiert, dass der Passkey im Passwort-Manager gespeichert wird und jeder mit Zugriff auf den Passwort-Manager auch Zugriff auf den Passkey hat.

Zusammenfassend lässt sich sagen, dass Passkeys in den Inkognito- und privaten Modi der gängigsten Browser und Betriebssysteme zuverlässig funktionieren, mit einigen spezifischen Ausnahmen bei der Erstellung von Passkeys unter Windows 10. Durch die Nutzung der Lösungen von Corbado können Entwickler Passkeys effizient implementieren und Produktmanager das Nutzererlebnis verbessern, ohne die Sicherheit zu beeinträchtigen.