Verstehen Sie die Vorteile der gemeinsamen Nutzung von Passkeys und lokaler Biometrie für optimale App-Sicherheit und einen reibungslosen Benutzerzugriff.
Vincent
Created: June 3, 2025
Updated: June 20, 2025
Our mission is to make the Internet a safer place and passkeys provide a superior solution to achieve that. That's why we want to keep you updated with the latest industry insights here.
Nachdem die Biometrie auf Mobiltelefonen zum Mainstream wurde, begannen viele native Apps, Funktionen wie Face ID oder Touch ID (oder das Android-Äquivalent) zu nutzen, um den Zugriff auf die App zu schützen. Dieser lokale biometrische Schutz verbessert den Benutzerkomfort erheblich, indem er einen schnellen und reibungslosen Zugriff ermöglicht. Auf den ersten Blick mögen Passkeys und lokale Biometrie überflüssig erscheinen, da bei beiden der Benutzer verifiziert wird. Sie dienen jedoch grundlegend unterschiedlichen Zwecken. Dieser Artikel wird Folgendes untersuchen:
Am Ende werden wir ein besseres Verständnis dafür haben, wann und wie diese Lösungen zusammen genutzt werden können, um ein sichereres, benutzerfreundlicheres und nahtloseres App-Erlebnis zu schaffen. Wir werden auch praktische Szenarien skizzieren, in denen die Kombination von Passkeys und lokaler Biometrie sowohl die Sicherheit als auch den Komfort verbessern kann, um sicherzustellen, dass Entwickler fundierte Entscheidungen treffen können, um die Bedürfnisse der Benutzer effektiv zu erfüllen.
Lokale biometrische Authentifizierungsmethoden, wie Apples Face ID, Touch ID oder die Biometriefunktionen von Android, nutzen einzigartige physische Merkmale (z. B. Gesichtszüge oder Fingerabdrücke), um die Identität eines Benutzers zu überprüfen. Im Gegensatz zu herkömmlichen PINs oder Passwörtern, die auf etwas basieren, das der Benutzer weiß, basiert die Biometrie auf etwas, das dem Benutzer eigen ist. Dieser Wandel eliminiert die Notwendigkeit, wiederholt einen Code einzugeben, was die Reibung erheblich reduziert und den täglichen App-Zugriff sowohl schnell als auch sicher macht.
Bevor die Biometrie auf Mobiltelefonen zum Mainstream wurde, forderten Apps, die sensible Inhalte schützen wollten, die Benutzer oft auf, bei jedem Start eine zusätzliche PIN oder ein Passwort einzugeben. Obwohl dieser Ansatz die Sicherheit erhöhte, führte er auch zu zusätzlichen Unannehmlichkeiten, insbesondere wenn der Benutzer bereits zu Beginn seiner Sitzung authentifiziert worden war. Das Aufkommen von gerätebasierter Gesichtserkennung und Fingerabdruck-Scan-Technologien vereinfachte diesen Prozess. Anstatt wiederholt einen Code einzugeben, konnte ein Benutzer die App nun mit einem schnellen Gesichtsscan oder einer kurzen Berührung entsperren. Falls die biometrische Überprüfung aus irgendeinem Grund fehlschlägt oder der Benutzer sie nicht aktivieren möchte, bleibt eine Fallback-PIN, ein Passcode oder ein Passwort verfügbar. Dieses Design gewährleistet sowohl Komfort als auch Zugänglichkeit, ohne die Sicherheit zu beeinträchtigen.
Es ist entscheidend, zwischen lokalen biometrischen Prüfungen und vollständigen Remote-Authentifizierungsereignissen zu unterscheiden. Die Remote-Authentifizierung erfolgt zu Beginn einer neuen Sitzung und überprüft die Identität des Benutzers anhand der Backend-Systeme des Dienstes unter Verwendung von Anmeldeinformationen wie Passwörtern oder Passkeys. Dieser Schritt schafft Vertrauen zwischen dem Benutzer und dem Dienst.
Lokale Biometrie hingegen konzentriert sich auf die erneute Überprüfung der Identität während einer laufenden, authentifizierten Sitzung. Anstatt den Benutzer aufzufordern, Passwörter oder andere Anmeldeinformationen erneut einzugeben, wenn er die App kurz verlässt oder sein Telefon sperrt, bestätigt die lokale Biometrie, dass derselbe autorisierte Benutzer immer noch die Kontrolle über das Gerät hat. Diese gerätezentrierte Verifizierung erfordert keine Internetverbindung oder Interaktion mit Remote-Servern, was sie im täglichen Gebrauch schnell, zuverlässig und nahtlos macht.
Biometrische Daten werden sicher in dedizierten Hardware-Sicherheitsmodulen gespeichert und verarbeitet – wie dem Secure Enclave auf iOS oder der Trusted Execution Environment (TEE) auf Android. Diese vertrauenswürdigen Module sind so konzipiert, dass sie sensible biometrische Daten vor Manipulation, Extraktion oder Übertragung schützen.
Aufgrund dieser Verankerung auf Hardware-Ebene kann die biometrische Verifizierung nicht einfach über Geräte oder Dienste hinweg geteilt werden. Die biometrischen Vorlagen jedes Geräts bleiben für dieses spezielle Gerät einzigartig, was sicherstellt, dass ein Benutzer, der auf ein neues Telefon umsteigt, seine Biometrie von Grund auf neu registrieren muss. Obwohl dies beim Gerätewechsel einen kleinen Onboarding-Schritt hinzufügt, schützt es vor unbefugtem Zugriff und verhindert Remote-Angriffe, die zentral gespeicherte biometrische Daten ausnutzen könnten. Darüber hinaus funktioniert die lokale Biometrie ohne Internetverbindung, was sie auch dann zuverlässig macht, wenn das Gerät offline ist.
Lokale Biometrie optimiert die Sicherheit, indem sie überprüft, ob die Person, die das Gerät gerade bedient, tatsächlich der rechtmäßige, bereits authentifizierte Benutzer ist, ohne dass bei wichtigen App-Funktionen wie Banking, Versicherungen oder anderen persönlichen Daten wiederholt eine benutzerdefinierte PIN oder ein Passwort eingegeben werden muss.
Sie erhalten den Komfort, indem sie nahtlos und sofort auf dem Gerät funktionieren, offline arbeiten und sich auf sichere Hardware-Enklaven zum Schutz sensibler biometrischer Daten verlassen. Obwohl sie die Notwendigkeit einer anfänglichen Remote-Authentifizierung (wie einem Passkey oder Passwort) zur erstmaligen Feststellung der Benutzeridentität nicht ersetzen können, sind sie sehr gut darin, nachfolgende, laufende Sitzungen zu verwalten und zu schützen.
Ihre Einschränkungen wie mangelnde Portabilität und die Notwendigkeit einer erneuten Registrierung auf neuen Geräten sind Kompromisse, die zugunsten von erhöhtem Komfort und strenger Sicherheit auf Geräteebene eingegangen werden. Letztendlich dient die lokale Biometrie als eine leistungsstarke, benutzerfreundliche Methode, um kontinuierliches Vertrauen in eine App-Sitzung zu gewährleisten, sobald dieses Vertrauen anfänglich hergestellt wurde.
Passkeys verändern die Art der Authentifizierung, indem sie geteilte Geheimnisse wie Passwörter durch asymmetrische kryptografische Anmeldeinformationen ersetzen. Im Gegensatz zur lokalen Biometrie, die nur einen bereits authentifizierten Benutzer lokal verifiziert, dienen Passkeys als primäre Methode zur Identifizierung von Benutzern gegenüber einem Remote-Dienst. Dies gewährleistet ein sicheres, Phishing-resistentes Login-Erlebnis, selbst in einem Szenario, in dem der Benutzer und das Gerät dem Backend der Anwendung zunächst unbekannt sind.
Vor Passkeys war der übliche Ansatz, um Vertrauen mit einem Remote-Dienst aufzubauen, die Verwendung von Passwörtern – geteilte Geheimnisse, die sowohl dem Benutzer als auch dem Server bekannt sind. Obwohl Passwörter einfach zu implementieren sind, sind sie anfällig für Bedrohungen wie Phishing, Credential Stuffing und die Wiederverwendung von Passwörtern.
Passkeys begegnen diesen Herausforderungen durch die Verwendung eines Paars kryptografischer Schlüssel: einem privaten Schlüssel, der sicher auf dem Gerät des Benutzers gespeichert ist, und einem entsprechenden öffentlichen Schlüssel, der beim Dienst registriert ist. Wenn ein Login-Versuch stattfindet, sendet der Dienst eine Herausforderung, die nur mit dem privaten Schlüssel des Benutzers gelöst werden kann. Dies stellt sicher, dass Angreifer, selbst wenn sie Daten abfangen oder versuchen, Benutzer zur Preisgabe von Anmeldeinformationen zu verleiten, keinen unbefugten Zugriff erhalten können.
Passkeys verwenden asymmetrische Kryptografie:
Dies ist besonders wichtig für Systeme, bei denen neben nativen Apps auch Websites genutzt werden, wo Phishing ein großes Problem darstellt. Auf einem Mobilgerät erstellte Passkeys können über Cross-Device-Authentifizierung auch auf Websites auf einem Desktop-Computer verwendet werden.
Einer der Hauptvorteile von Passkeys ist ihre nahtlose Portabilität über die Geräte eines Benutzers hinweg. Moderne Betriebssysteme können Passkeys über sicheren Cloud-Speicher (z. B. iCloud Keychain, Google Password Manager) synchronisieren, sodass sich Benutzer von mehreren Geräten aus anmelden können, ohne sich bei der ersten Installation der App erneut registrieren oder Passwörter merken zu müssen. Darüber hinaus können Passkeys auch in Szenarien verwendet werden, in denen ein zweiter Faktor erforderlich wäre, um einen Zwei-Faktor-ähnlichen Schutz ohne zusätzliche Reibung zu bieten. Diese Synergie ermöglicht schnelle, sichere Logins, egal welches Gerät der Benutzer wählt, und stärkt ein Ökosystem, in dem sichere Authentifizierung sowohl universell zugänglich als auch einfach zu handhaben ist.
Passkeys stellen eine leistungsstarke, Phishing-resistente Methode zur Authentifizierung unbekannter Benutzer bei Remote-Diensten dar. Durch die Nutzung asymmetrischer Kryptografie und den Wechsel von geteilten Geheimnissen zu geräteinternen privaten Schlüsseln beseitigen sie viele der Schwächen, die passwortbasierte Systeme plagten. Passkeys kombinieren robuste Sicherheit, globale Portabilität und direkte Integration mit Hardware-Sicherheitskomponenten. Daher dienen sie als starke Grundlage für die Feststellung der Benutzeridentität – etwas, das die lokale Biometrie allein nicht bieten kann. Im Kontext nativer Apps sind Passkeys der entscheidende erste Schritt zur Schaffung einer sicheren Sitzung, nach der die lokale Biometrie eingesetzt werden kann, um einen schnellen und bequemen Benutzerzugriff aufrechtzuerhalten.
Wenn es um die Authentifizierung in nativen Apps geht, spielen Passkeys und lokale Biometrie wichtige, aber unterschiedliche Rollen. Obwohl beide das Benutzererlebnis und die Sicherheit verbessern, adressieren sie grundlegend verschiedene Probleme:
Das Verständnis dieser Unterschiede ist für Entwickler, die robuste Authentifizierungsabläufe erstellen möchten, die sowohl sicher als auch benutzerfreundlich sind, von entscheidender Bedeutung.
Um die Unterschiede und die sich ergänzenden Rollen von Passkeys und lokaler Biometrie besser zu verstehen, vergleicht die folgende Tabelle ihre Hauptmerkmale in verschiedenen Dimensionen, einschließlich Zweck, Anwendungsfälle, Sicherheit und Portabilität. Dieser Vergleich hebt hervor, wie diese Technologien grundlegend unterschiedliche Probleme angehen und gleichzeitig zusammenarbeiten, um sowohl die Sicherheit als auch den Benutzerkomfort zu verbessern.
Aspekt | Passkeys | Lokale Biometrie |
---|---|---|
Phase | Nach App-Installation, Erneuter Login, Session-Timeout | App ist installiert & eingeloggt |
Hauptzweck | Authentifizierung eines unbekannten Benutzers (initialer Login) | Überprüfung, ob der aktuell aktive Benutzer (der bereits authentifiziert ist) der rechtmäßige Besitzer des Geräts/der App ist |
Schützt | Zugriff auf das Benutzerkonto | Zugriff auf die eingeloggte App |
Anwendungsfall | Ideal für erstmalige Anmeldungen oder nach Neuinstallationen, zur Herstellung von Vertrauen mit Diensten und zur Ermöglichung von plattform- und geräteübergreifenden Logins | Ideal zur erneuten Überprüfung, ob der Gerätehalter der Besitzer des Geräts ist, zum schnellen Entsperren der App ohne erneute Eingabe von Passwörtern/Passkeys |
Authentifizierungsmodell | Remote-Authentifizierung: überprüft die Identität gegenüber einem Backend-System | Lokale Verifizierung: prüft biometrische Daten, die sicher auf dem Gerät gespeichert sind, kontaktiert keinen Remote-Server |
MFA | Ja + Phishing-resistent | Nein |
Native Biometrie | Ja (z. B. Face ID, Touch ID, Android Biometrics) | Ja (z. B. Face ID, Touch ID, Android Biometrics) |
Umfang & Portabilität | Geräte-, plattform- und app-übergreifende Nutzbarkeit (native Apps + Web) dank sicherer Cloud-Synchronisation der Schlüssel | Gerätespezifisch, nicht übertragbar: biometrische Vorlagen müssen auf neuen Geräten neu registriert werden Kann nicht einfach zwischen Plattformen verschoben werden |
Datenspeicherung & Sicherheit | Private Schlüssel in einer Secure Enclave gespeichert Öffentliche Schlüssel serverseitig gespeichert Keine Übertragung von geteilten Geheimnissen Resistent gegen Phishing | Biometrische Vorlagen in einer sicheren Hardware-Enklave auf dem Gerät gespeichert Verlassen niemals das Gerät Geschützt durch die Hardware des Geräts |
Internetanforderung | Erfordert eine Internetverbindung zur Authentifizierung mit dem Remote-Dienst und zur Registrierung der Schlüssel. | Keine Internetverbindung erforderlich; die Verifizierung ist vollständig lokal, was sie auch offline und bei Offline-Anwendungsfällen nützlich macht |
Backup & Wiederherstellung | Schlüssel können über Cloud-Synchronisation (z. B. iCloud Keychain, Google Password Manager) gesichert und wiederhergestellt werden, was eine einfache Wiederherstellung bei Geräteverlust oder -austausch gewährleistet | Kein eingebauter Backup-Mechanismus für Biometrie; bei Geräteausfall müssen Benutzer ihre biometrischen Daten auf einem neuen Gerät neu registrieren |
Integration mit Websites & Apps | Kann sowohl für native Apps als auch für Websites verwendet werden. Passkeys vereinfachen Login-Abläufe, indem sie Benutzer ohne Preisgabe von Anmeldeinformationen authentifizieren und so die Sicherheit insgesamt erhöhen | Beschränkt auf das Gerät und die lokal installierte App. |
Entwicklerimplementierung | Integration über Webstandards (WebAuthn, FIDO2) und native Plattform-APIs Backend muss öffentliche Schlüssel und Challenges verarbeiten. | Nutzung von Plattform-SDKs (iOS, Android) für biometrische Abfragen Keine spezielle Backend-Verarbeitung erforderlich. |
Benutzererlebnis | Nach der Ersteinrichtung können sich Benutzer schnell ohne E-Mail oder Passwörter anmelden, sogar auf neuen Geräten Optimiertes Onboarding mit reduzierter Reibung | Bietet sofortigen, passwortlosen Wiederzugriff auf Apps, sobald der Benutzer sich bereits authentifiziert hat. |
Obwohl die Tabelle die Kernunterschiede hervorhebt, ist es wichtig zu erkennen, dass Passkeys und lokale Biometrie keine konkurrierenden Technologien sind – sie ergänzen sich. Zusammen bieten sie ein mehrschichtiges Authentifizierungserlebnis:
Durch die Kombination von Passkeys und lokaler Biometrie können Entwickler einen sicheren, nahtlosen und benutzerfreundlichen Authentifizierungsablauf bereitstellen.
Durch die Kombination von Passkeys und lokaler Biometrie können Entwickler einen robusten Authentifizierungsablauf erstellen, der:
Diese Synergie stellt sicher, dass Apps sowohl starke Authentifizierung als auch nahtlosen Komfort bieten können – eine gewinnbringende Kombination für die Erwartungen moderner Benutzer.
Um ein besseres Verständnis dafür zu bekommen, wie Beispiele und Kombinationen aus der Praxis funktionieren, werden wir zwei verschiedene Implementierungen untersuchen: eine, die nur Passkeys nutzt, und eine andere, die einen kombinierten Ansatz verwendet.
Die Kayak-App demonstriert eine Implementierung von Passkeys zur Benutzerauthentifizierung. Passkeys sind nahtlos in den Anmeldeprozess integriert und bieten den Benutzern die Möglichkeit, sich zu authentifizieren, ohne sich ihre E-Mail-Adresse oder ihr Passwort merken zu müssen. Wie auf dem Authentifizierungsbildschirm gezeigt, können Benutzer direkt einen Passkey auswählen, um sich anzumelden. Dieser Ansatz vereinfacht das Benutzererlebnis erheblich, indem er die kognitive Belastung reduziert und passwortbedingte Reibung eliminiert.
Sobald der Benutzer über einen Passkey authentifiziert ist, erhält er uneingeschränkten Zugriff auf die App, ohne dass eine erneute Authentifizierung erforderlich ist. Dieses Design eignet sich besonders für Kayak, eine Reise-App, die hauptsächlich Buchungshistorien und Reiserouten verwaltet, die nicht als hochsensible oder kritische Daten gelten.
Wichtige Highlights des Ansatzes von Kayak:
Diese Implementierung zeigt, wie Passkeys den Authentifizierungsprozess optimieren und gleichzeitig die Notwendigkeit von Passwörtern eliminieren können, was den Benutzern ein reibungsloses Erlebnis bietet. In Szenarien, in denen jedoch sensiblere oder kritischere Aktionen innerhalb der App ausgeführt werden, können zusätzliche Sicherheitsebenen wie lokale Biometrie erforderlich sein. Schauen wir uns an, wie GitHub sowohl Passkeys als auch Biometrie nutzt, um Sicherheit zu gewährleisten, ohne die Benutzerfreundlichkeit zu beeinträchtigen.
GitHub balanciert die Integration von Passkeys für einen sicheren Login mit lokaler Biometrie, um App-Inhalte im eingeloggten Zustand zu schützen. Passkeys werden als schnelle, Phishing-resistente Login-Option angeboten, was angesichts der Anforderungen von GitHub an die Multi-Faktor-Authentifizierung (MFA) besonders wichtig ist. Dies erspart den Benutzern die Verwaltung von Passwörtern oder Einmal-Passcodes und bietet ein nahtloses und sicheres Login-Erlebnis. Für diesen Artikel werden wir uns jedoch nicht ihre Passkey-Implementierung ansehen.
GitHubs zusätzliche Sicherheitsebene mit lokaler Biometrie: Da GitHub auch sensible Operationen wie das Mergen von Pull-Requests anbietet, ermöglicht GitHub den Benutzern, den lokalen biometrischen Schutz zu aktivieren, wenn sie es für notwendig halten. In diesem Beispiel wird Face ID verwendet, um die App auf iOS zu sperren, um sicherzustellen, dass nur der Gerätebesitzer auf die GitHub-App zugreifen oder sie ausführen kann. Die App fordert explizit die erforderlichen Berechtigungen vom Betriebssystem an, um die Biometrie zu aktivieren, und bietet konfigurierbare Intervalle (z. B. sofort oder nach einem definierten Timeout).
Wichtige Highlights des Ansatzes von GitHub:
Zusammen veranschaulichen diese Beispiele, wie Passkeys und lokale Biometrie auf die Bedürfnisse verschiedener Apps zugeschnitten werden können, um den Benutzerkomfort mit angemessenen Sicherheitsmaßnahmen in Einklang zu bringen.
Nachfolgend finden Sie vier Empfehlungen, die auf gängige Szenarien zugeschnitten sind, in denen lokale Biometrie und Passkeys implementiert werden könnten. Die Empfehlungen sind so strukturiert, dass Entwickler, Produktmanager und Entscheidungsträger schnell erkennen können, welcher Ansatz am besten zu ihrer Situation passt. Eine zusammenfassende Tabelle folgt, die es einfach macht, jede Empfehlung einem bestimmten Szenario zuzuordnen:
Obwohl die obigen Empfehlungen eine Reihe gängiger Szenarien abdecken, gibt es unzählige andere Situationen, in denen die Entscheidung für die Implementierung von lokaler Biometrie, Passkeys oder beidem variieren kann. Jede Anwendung hat einzigartige Sicherheits-, Usability- und Compliance-Anforderungen, und es ist für Entwickler, Produktmanager und Geschäftsleiter unerlässlich, diese Faktoren gründlich zu bewerten, bevor sie sich für einen Ansatz entscheiden. Indem Sie Ihre spezifischen Anwendungsfälle, regulatorischen Anforderungen und Benutzererwartungen sorgfältig abwägen, können Sie eine Authentifizierungsstrategie entwickeln, die nicht nur Ihre Benutzer und deren Daten schützt, sondern auch das nahtlose, benutzerfreundliche Erlebnis bietet, das die Kunden von heute erwarten.
Wie wir gesehen haben, spielen lokale Biometrie und Passkeys grundlegend unterschiedliche, aber sich ergänzende Rollen in modernen Authentifizierungsstrategien. Lokale Biometrie vereinfacht die laufende Sitzungsüberprüfung, indem sie die angeborenen Merkmale des Benutzers für schnelle, geräteinterne Überprüfungen nutzt, während Passkeys eine sichere und Phishing-resistente Vertrauensbeziehung mit Remote-Diensten herstellen. Durch die durchdachte Kombination dieser Methoden können Entwickler ein Benutzererlebnis schaffen, das sowohl reibungslos als auch hochsicher ist und die Bedürfnisse einer vielfältigen und anspruchsvollen digitalen Landschaft effektiv erfüllt. Um auf die Fragen aus der Einleitung zurückzukommen:
Indem Entwickler und Entscheidungsträger die unterschiedlichen, aber sich gegenseitig ergänzenden Rollen von Passkeys und lokaler Biometrie erkennen, können sie einen umfassenden Authentifizierungsansatz implementieren, der Sicherheit, Komfort und Benutzerzufriedenheit in Einklang bringt. Dadurch werden Anwendungen widerstandsfähiger gegen Bedrohungen, einfacher zu navigieren und anpassungsfähiger an sich entwickelnde Benutzer- und regulatorische Anforderungen – und schaffen letztendlich eine nahtlose und vertrauenswürdige digitale Umgebung.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Related Articles
Table of Contents