Funktionieren Passkeys im Inkognito-Modus?
Erfahren Sie, ob und wie Passkeys / WebAuthn in den Inkognito- oder privaten Browsing-Modi von Chrome, Safari, Edge und Firefox funktionieren.
Diese Seite wurde automatisch übersetzt. Lesen Sie die englische Originalversion hier.
Our mission is to make the Internet a safer placeand passkeys provide a superior solution to achieve that. That's why we want to keep you updated with the latest industry insights here.
Übersicht#
1. Einleitung#
Immer mehr Unternehmen implementieren Passkeys in ihre Websites und Apps. Dabei fragen sich viele Softwareentwickler und Produktmanager, ob Passkeys auch im Inkognito- oder privaten Browsing-Modus funktionieren, da dies einen großen Einfluss auf das gesamte Nutzererlebnis hat.
Mit diesem Blogbeitrag versuchen wir, die folgenden Fragen zu beantworten:
- Funktionieren Passkeys im Inkognito- / privaten Browsing-Modus?
- Wie verhält sich die Passkey-Authentifizierung im Inkognito- / privaten Modus in Chrome, Safari, Edge und Firefox?
Dieses Wissen sorgt für ein reibungsloses Nutzererlebnis über verschiedene Browser und Betriebssysteme hinweg und positioniert Ihre Anwendung an der Spitze von Sicherheit und Komfort.
Aktuelle Artikel
♟️
Passkey Day-2-Probleme: 5 Risiken nach dem Launch
🔑
Warum ist eine sichere Dokumentenverarbeitung für moderne Unternehmen unerlässlich?
♟️
Warum auch Ihr komplexestes Passwort bald geknackt wird
♟️
Passwort-Wiederverwendung in Japan: Immer noch bei 84 % [2026]
♟️
Die Rolle von KI bei der Erkennung von Cyberbedrohungen
2. Passkeys und der Inkognito-Modus: Ein Überblick#
Passkeys sind im Grunde kryptografische Schlüssel, die zur Authentifizierung von Nutzern ohne herkömmliche Passwörter verwendet werden. Sie bieten erhöhte Sicherheit, indem sie die Risiken von Passwortdiebstahl und Phishing-Angriffen eliminieren.
Normalerweise werden Passkeys sicher auf dem Gerät gespeichert, und ihre Funktionalität bleibt auch im Inkognito- oder privaten Modus für die meisten Betriebssysteme – mit Ausnahme von Windows 10 (siehe unten) – konsistent, vorausgesetzt, das Gerät ist für Passkeys vorbereitet.
Abonnieren Sie unseren Passkeys Substack für aktuelle News.
Der Inkognito- oder private Modus wird häufig genutzt, um im Internet zu surfen, ohne Spuren zu hinterlassen. Diese Funktion ist wertvoll für Nutzer, denen ihre Privatsphäre wichtig ist, und es ist entscheidend, dass Authentifizierungsmethoden wie Passkeys in diesen Modi reibungslos funktionieren.
In der Entwicklungsgeschichte von WebAuthn gab es jedoch immer wieder Diskussionen und Verbesserungen, da das Verhalten früher recht verwirrend und inkonsistent zwischen den Betriebssystemen und Browsern war (siehe als Referenz diese alten Diskussionen und Bug-Reports hier, hier und hier).
3. Verhalten von Passkeys in verschiedenen Browsern und Betriebssystemen#
Das Verhalten von Passkeys in verschiedenen Browsern und Betriebssystemen zu verstehen, hilft dabei, Kompatibilität und ein reibungsloses Nutzererlebnis sicherzustellen.
Funktionieren Passkeys im Inkognito- / privaten Browsing-Modus?
| Windows 10 | Windows 11 | Android 14 | iOS 17.5 | macOS 14 | |
|---|---|---|---|---|---|
| Chrome | ❌ | ✅ (mit zusätzlichem Bildschirm) | ✅ | ✅ | ✅ |
| Edge | ❌ | ✅ (mit zusätzlichem Bildschirm) | ✅ | ✅ | ✅ |
| Safari | n. zutr. | n. zutr. | n. zutr. | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ | ✅ | ✅ |
3.1 Passkeys unter Windows 10 und im Chrome Inkognito- / Edge InPrivate-Modus bis Version 129#
Unter Windows 10 (22H2) haben wir die einzige Ausnahme entdeckt, bei der Passkeys nicht zuverlässig funktionieren, und erhielten die beiden folgenden Screenshots beim Versuch, einen Plattform-Authenticator (Windows Hello) zu verwenden:
Fehlermeldung für Passkeys im Chrome Inkognito-Modus unter Windows 10
Fehlermeldung für Passkeys im Edge InPrivate-Modus unter Windows 10
Als wir in den normalen Browsing-Modus wechselten, funktionierte alles wie erwartet, daher ist die Fehlermeldung im Pop-up irreführend.
Wenn wir außerdem versuchten, einen plattformübergreifenden Authenticator (z. B. einen Hardware-Sicherheitsschlüssel wie einen YubiKey oder eine geräteübergreifende Authentifizierung per QR-Code / Bluetooth) zu verwenden, funktionierte dies.
Als wir das Problem genauer untersuchten und die folgenden beiden Befehle in der
Browser-Konsole ausführten, um festzustellen, ob der
Plattform-Authenticator
(PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()) und die
Conditional UI
(PublicKeyCredential.isConditionalMediationAvailable()) verfügbar waren, machten wir
eine interessante Entdeckung: Das erste Promise gab false zurück, während das zweite
true zurückgab, was keinen Sinn ergab, da Plattform-Authenticators für das Funktionieren
der Conditional UI erforderlich sind.
3.2 Passkeys unter Windows 10 und im Chrome Inkognito- / Edge InPrivate-Modus (129+)#
Ab Chrome 129 (und ähnlich in Edge, das auf Chromium
basiert) gibt PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() auch
im Inkognito- / InPrivate-Modus unter Windows 10 true zurück. Zuvor war dieser Wert im
Inkognito-Modus false. Obwohl jetzt true zurückgegeben wird, bleibt der
Plattform-Authenticator für die Erstellung neuer Passkeys nicht verfügbar, was zu einem
fehlerhaften Nutzerfluss führt.
Unten finden Sie eine Tabelle, die die Rückgabewerte von
PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() unter Windows 10 in
verschiedenen Chrome/Edge-Versionen und -Modi zeigt:
| Browser/Version | Normaler Modus (W10) | Inkognito-/Privater Modus (W10) | Verhalten in der UI |
|---|---|---|---|
| Chrome ≤ 128 (vor der Änderung) | true | false | Kein Plattform-Authenticator im Inkognito-Modus |
| Chrome ≥ 129 | true | true | Fordert zur Eingabe eines Sicherheitsschlüssels anstelle des Plattform-Authenticators auf |
| Edge ≤ 128 (vor der Änderung) | true | false | Kein Plattform-Authenticator im InPrivate-Modus |
| Edge ≥ 129 | true | true | Fordert zur Eingabe eines Sicherheitsschlüssels anstelle des Plattform-Authenticators auf |
Beobachtetes Verhalten:
- Im Inkognito-Modus von Chrome/Edge unter Windows 10
erscheint der Plattform-Authenticator trotz des
true-Rückgabewerts des Promise nicht für die Erstellung von Passkeys. - Stattdessen werden Nutzer aufgefordert, einen Sicherheitsschlüssel (z. B. YubiKey) hinzuzufügen.
- Obwohl Hardware-Sicherheitsschlüssel weiterhin für die Erstellung von Passkeys funktionieren, ist dies nicht der erwartete Ablauf bei der Verwendung von Plattform-Authenticators wie Windows Hello.
Auswirkungen der Änderung: Dies unterbricht effektiv den Ablauf zum Hinzufügen von
Passkeys zum Plattform-Authenticator im Inkognito-/InPrivate-Modus. Die Anpassung in
Chrome 129+ wurde hauptsächlich vorgenommen, um die Login-Funktionalität mit Passkeys
im Inkognito-Modus zu ermöglichen. Login-Abläufe verwenden denselben
Erkennungsmechanismus, um die Passkey-Unterstützung zu prüfen
(PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()), und diese
Änderung stellt sicher, dass Logins reibungslos ablaufen können. Die unbeabsichtigte Folge
ist jedoch das fehlerhafte Erlebnis bei der Erstellung von Passkeys mit dem
Plattform-Authenticator in privaten Browsing-Modi.
Weitere Details zu dieser Änderung finden sich in der Chromium Source Code Review und der zugehörigen Diskussion im Issue Tracker. Für Websites, die eine optimale Unterstützung für Passkeys bieten möchten, ist die Erkennung des Inkognito-Modus derzeit die einzige Möglichkeit, dieses Problem zu umgehen. Indem Websites erkennen, wann ein Nutzer sich im Inkognito-/InPrivate-Modus unter Windows 10 mit Chrome/Edge befindet, können sie präventiv vermeiden, Plattform-Authenticator-Optionen für die Erstellung von Passkeys anzubieten.
3.3 Passkeys unter Windows 11 und im Chrome Inkognito- / Edge InPrivate-Modus#
Bei der Verwendung von Windows Hello als Plattform-Authenticator erscheint während der Passkey-Erstellung im Inkognito-Modus (bei Chrome) / InPrivate-Modus (bei Edge) ein Sicherheits-Pop-up. Es weist die Nutzer darauf hin, dass der Passkey gespeichert und später auch im normalen Modus verwendet werden kann (dieses Verhalten wurde unter Windows 11 22H2 getestet). Wenn man einen der Anwendungsfälle des Inkognito-Modus bedenkt, bei dem ein Nutzer ein Konto erstellen möchte, ohne Spuren von Informationen zu hinterlassen, ist diese Warnung sinnvoll.
3.4 Passkeys unter Android und im Chrome Inkognito- / Edge InPrivate-Modus#
Unter Android ist das Verhalten im Inkognito-Modus (bei Chrome) / InPrivate-Modus (bei Edge) ähnlich wie bei Windows 11. Es wird ein Informations-Pop-up angezeigt, das den Nutzer darüber informiert, dass der Passkey im Passwort-Manager gespeichert wird und jeder mit Zugriff auf den Passwort-Manager auch Zugriff auf den Passkey hat.
4. Fazit#
Zusammenfassend lässt sich sagen, dass Passkeys in den Inkognito- und privaten Modi der gängigsten Browser und Betriebssysteme zuverlässig funktionieren, mit einigen spezifischen Ausnahmen bei der Erstellung von Passkeys unter Windows 10. Durch die Nutzung der Lösungen von Corbado können Entwickler Passkeys effizient implementieren und Produktmanager das Nutzererlebnis verbessern, ohne die Sicherheit zu beeinträchtigen.
Über Corbado
Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →
Diesen Artikel teilen
Ähnliche Artikel
Inhaltsverzeichnis