Native Apps: Passkeys vs. Lokale Biometrie

Nachdem Biometrie auf Mobiltelefonen zum Mainstream wurde, begannen viele native Apps, Funktionen wie Face ID oder Touch ID (oder das Android-Äquivalent) zu nutzen, um den App-Zugriff zu schützen. Dieser lokale biometrische Schutz verbessert den Benutzerkomfort erheblich, indem er einen schnellen und reibungslosen Zugriff ermöglicht. Auf den ersten Blick mögen Passkeys und lokale Biometrie redundant erscheinen, da beide die Überprüfung des Benutzers beinhalten. Aber sie dienen grundlegend unterschiedlichen Zwecken. Dieser Artikel wird untersuchen:

• Passkeys vs. Lokale Biometrie: Wie unterscheiden sich lokale Biometrie und Passkeys in ihren Rollen und Funktionen?
• Passkeys zu Apps mit lokaler Biometrie hinzufügen: Macht es Sinn, Passkeys zu Apps hinzuzufügen, die bereits Biometrie verwenden? Was sind die Vorteile?

Am Ende werden wir ein besseres Verständnis dafür haben, wann und wie diese Lösungen zusammen eingesetzt werden können, um ein sichereres, benutzerfreundlicheres und nahtloseres App-Erlebnis zu schaffen. Wir werden auch praktische Szenarien aufzeigen, in denen die Kombination von Passkeys und lokaler Biometrie sowohl die Sicherheit als auch den Komfort verbessern kann, um sicherzustellen, dass Entwickler fundierte Entscheidungen treffen können, um die Benutzerbedürfnisse effektiv zu erfüllen.

Lokale biometrische Authentifizierung-Methoden, wie Apples Face ID, Touch ID oder die Biometrie-Funktionen von Android, nutzen einzigartige physische Merkmale (z. B. Gesichtsmerkmale oder Fingerabdrücke), um die Identität eines Benutzers zu überprüfen. Im Gegensatz zu traditionellen PINs oder Passwörtern, die auf etwas basieren, das der Benutzer weiß, basiert Biometrie auf etwas, das dem Benutzer eigen ist. Diese Umstellung eliminiert die Notwendigkeit, wiederholt einen Code einzugeben, reduziert die Reibung erheblich und macht den täglichen App-Zugriff sowohl schnell als auch sicher.

Bevor Biometrie auf Mobiltelefonen Mainstream wurde, verlangten Apps, die sensible Inhalte schützen wollten, oft von den Benutzern, bei jedem Start eine zusätzliche PIN oder ein Passwort einzugeben. Obwohl dieser Ansatz die Sicherheit erhöhte, führte er auch zu zusätzlichen Unannehmlichkeiten, insbesondere wenn der Benutzer zu Beginn seiner Sitzung bereits authentifiziert worden war. Die Einführung von gerätebasierten Gesichtserkennungs- und Fingerabdruck-Scanning-Technologien vereinfachte diesen Prozess. Anstatt wiederholt einen Code einzugeben, konnte ein Benutzer die App nun mit einem schnellen Gesichtsscan oder einer kurzen Berührung entsperren. Wenn aus irgendeinem Grund die biometrische Überprüfung fehlschlägt oder der Benutzer sie nicht aktivieren möchte, bleibt eine Fallback-PIN, ein Passcode oder ein Passwort verfügbar. Dieses Design gewährleistet sowohl Komfort als auch Zugänglichkeit, ohne die Sicherheit zu beeinträchtigen.

Es ist entscheidend, lokale biometrische Überprüfungen von vollständigen Remote-Authentifizierungsereignissen zu unterscheiden. Remote-Authentifizierung findet zu Beginn einer neuen Sitzung statt und überprüft die Identität des Benutzers anhand der Backend-Systeme des Dienstes unter Verwendung von Anmeldeinformationen wie Passwörtern oder Passkeys. Dieser Schritt stellt Vertrauen zwischen dem Benutzer und dem Dienst her.

Lokale Biometrie konzentriert sich dagegen auf die erneute Überprüfung der Identität während einer laufenden, authentifizierten Sitzung. Anstatt den Benutzer aufzufordern, Passwörter oder andere Anmeldeinformationen erneut einzugeben, wenn er die App kurz verlässt oder sein Telefon sperrt, bestätigt lokale Biometrie, dass derselbe autorisierte Benutzer immer noch die Kontrolle über das Gerät hat. Diese gerätezentrierte Verifizierung erfordert keine Internetverbindung oder Interaktion mit Remote-Servern, was sie im täglichen Gebrauch schnell, zuverlässig und nahtlos macht.

Biometrische Daten werden sicher in dedizierten Hardware-Sicherheitsmodulen gespeichert und verarbeitet – wie der Secure Enclave auf iOS oder der Trusted Execution Environment (TEE) auf Android. Diese vertrauenswürdigen Module sind darauf ausgelegt, sensible biometrische Daten sicher vor Manipulation, Extraktion oder Übertragung zu halten.

Aufgrund dieser Hardware-Verankerung kann die biometrische Verifizierung nicht einfach über Geräte oder Dienste hinweg geteilt werden. Die biometrischen Vorlagen jedes Geräts bleiben einzigartig für diese spezielle Einheit, was sicherstellt, dass ein Benutzer, der auf ein neues Telefon umsteigt, seine Biometrie von Grund auf neu registrieren muss. Obwohl dies einen kleinen Onboarding-Schritt beim Gerätewechsel hinzufügt, schützt es vor unbefugtem Zugriff und verhindert Remote-Angriffe, die zentral gespeicherte biometrische Daten ausnutzen könnten. Darüber hinaus funktioniert lokale Biometrie ohne Internetverbindung, was sie auch dann zuverlässig macht, wenn das Gerät offline ist.

Lokale Biometrie optimiert die Sicherheit, indem sie überprüft, ob die Person, die das Gerät gerade bedient, tatsächlich der rechtmäßige, bereits authentifizierte Benutzer ist, ohne dass bei wichtigen Funktionen der App, wie Banking, Versicherungen oder anderen persönlichen Details, wiederholt eine benutzerdefinierte PIN oder ein Passwort eingegeben werden muss.

Sie erhalten den Komfort, indem sie nahtlos und sofort auf dem Gerät funktionieren, offline arbeiten und sich auf sichere Hardware-Enklaven verlassen, um sensible biometrische Daten zu schützen. Obwohl sie die Notwendigkeit einer anfänglichen Remote-Authentifizierung (wie einem Passkey oder Passwort) zur erstmaligen Feststellung der Benutzeridentität nicht ersetzen können, sind sie sehr gut darin, nachfolgende, laufende Sitzungen zu verwalten und zu schützen.

Ihre Einschränkungen, wie mangelnde Portabilität und die Notwendigkeit der erneuten Registrierung auf neuen Geräten, sind Kompromisse zugunsten von erhöhtem Komfort und strenger Sicherheit auf Geräteebene. Letztendlich dient lokale Biometrie als leistungsstarke, benutzerfreundliche Methode zur Gewährleistung kontinuierlichen Vertrauens in eine App-Sitzung, sobald dieses Vertrauen anfänglich hergestellt wurde.

Passkeys verändern die Natur der Authentifizierung, indem sie geteilte Geheimnisse wie Passwörter durch asymmetrische kryptografische Anmeldeinformationen ersetzen. Im Gegensatz zur lokalen Biometrie, die einen bereits authentifizierten Benutzer nur lokal verifiziert, dienen Passkeys als primäre Methode zur Identifizierung von Benutzern gegenüber einem Remote-Dienst. Dies gewährleistet ein sicheres, Phishing-resistentes Anmeldeerlebnis, selbst in einem Szenario, in dem der Benutzer und das Gerät dem Backend der Anwendung zunächst unbekannt sind.

Vor Passkeys bestand der gängige Ansatz zur Herstellung von Vertrauen mit einem Remote-Dienst in Passwörtern – geteilten Geheimnissen, die sowohl dem Benutzer als auch dem Server bekannt waren. Obwohl Passwörter einfach zu implementieren sind, sind sie anfällig für Bedrohungen wie Phishing, Credential Stuffing und Passwortwiederverwendung.

Passkeys begegnen diesen Herausforderungen, indem sie ein Paar kryptografischer Schlüssel verwenden: einen privaten Schlüssel, der sicher auf dem Gerät des Benutzers gespeichert ist, und einen entsprechenden öffentlichen Schlüssel, der beim Dienst registriert ist. Wenn ein Anmeldeversuch erfolgt, sendet der Dienst eine Challenge, die nur mit dem privaten Schlüssel des Benutzers gelöst werden kann. Dies stellt sicher, dass selbst wenn Angreifer Daten abfangen oder versuchen, Benutzer dazu zu bringen, Anmeldeinformationen preiszugeben, sie keinen unbefugten Zugriff erlangen können.

Passkeys verwenden asymmetrische Kryptographie:

• Privater Schlüssel (Client-Seite): Sicher gespeichert in der Secure Enclave des Geräts, unzugänglich für andere Apps oder sogar das Betriebssystem selbst.
• Öffentlicher Schlüssel (Server-Seite): Registriert im Backend der Anwendung, aber nutzlos für sich allein ohne den privaten Schlüssel. Da der Benutzer den privaten Schlüssel niemals über das Netzwerk sendet und niemals ein „geteiltes Geheimnis“ zum Eingeben hat, sind Phishing-Versuche weitgehend unwirksam. Angreifer können Benutzer nicht dazu bringen, etwas einzugeben, das sie nicht wissen, und das Abfangen des öffentlichen Schlüssels bietet keinen Vorteil. Diese Architektur, unterstützt durch Standards wie FIDO2 und WebAuthn, stellt sicher, dass der gesamte Authentifizierungsfluss auf nachweisbaren kryptografischen Operationen basiert und nicht auf vom Benutzer eingegebenen Anmeldeinformationen.

Dies ist besonders wichtig für Systeme, bei denen neben nativen Apps auch Websites genutzt werden, auf denen Phishing ein großes Problem darstellt. Passkeys, die auf einem mobilen Gerät erstellt wurden, können über Cross-Device-Authentifizierung auch auf Websites auf einem Desktop-Computer verwendet werden.

Einer der zentralen Vorteile von Passkeys ist ihre nahtlose Portabilität über die Geräte eines Benutzers hinweg. Moderne Betriebssysteme können Passkeys über sicheren Cloud-Speicher synchronisieren (z. B. iCloud Keychain, Google Password Manager), sodass Benutzer sich von mehreren Geräten aus anmelden können, ohne sich erneut registrieren oder Passwörter für die erste Installation der App merken zu müssen. Darüber hinaus können Passkeys auch in Szenarien verwendet werden, in denen ein zweiter Faktor erforderlich wäre, um einen Zwei-Faktor-ähnlichen Schutz zu bieten, ohne Reibung zu verursachen. Diese Synergie ermöglicht schnelle, sichere Anmeldungen, unabhängig davon, welches Gerät der Benutzer wählt, und stärkt ein Ökosystem, in dem sichere Authentifizierung sowohl universell zugänglich als auch einfach zu warten ist.

Passkeys stellen eine leistungsstarke, Phishing-resistente Methode zur Authentifizierung unbekannter Benutzer gegenüber Remote-Diensten dar. Durch die Nutzung asymmetrischer Kryptographie und die Abkehr von geteilten Geheimnissen hin zu auf dem Gerät befindlichen privaten Schlüsseln beseitigen sie viele der Schwachstellen, die passwortbasierte Systeme plagten. Passkeys kombinieren robuste Sicherheit, globale Portabilität und direkte Integration mit Hardware-Sicherheitskomponenten. Infolgedessen dienen sie als starke Grundlage für die Feststellung der Benutzeridentität – etwas, das lokale Biometrie allein nicht leisten kann. Im Kontext nativer Apps sind Passkeys der entscheidende erste Schritt zur Schaffung einer sicheren Sitzung, nach der lokale Biometrie eingesetzt werden kann, um schnellen und bequemen Benutzerzugriff zu gewährleisten.

Wenn es um die Authentifizierung in nativen Apps geht, spielen Passkeys und lokale Biometrie wichtige, aber unterschiedliche Rollen. Während beide die Benutzererfahrung und Sicherheit verbessern, adressieren sie grundlegend unterschiedliche Probleme:

• Passkeys authentifizieren unbekannte Benutzer gegenüber einem Remote-Dienst, oft während der ersten Anmeldung oder beim Erstellen einer neuen Sitzung.
• Lokale Biometrie, wie Face ID oder Touch ID, verifiziert einen bereits authentifizierten Benutzer lokal erneut und gewährleistet Kontinuität und Komfort für laufende Sitzungen.

Das Verständnis dieser Unterschiede ist für Entwickler, die robuste Authentifizierungsabläufe erstellen möchten, die sowohl sicher als auch benutzerfreundlich sind, von entscheidender Bedeutung.

Um die Unterschiede und komplementären Rollen von Passkeys und lokaler Biometrie besser zu verstehen, vergleicht die folgende Tabelle ihre wichtigsten Merkmale über verschiedene Dimensionen hinweg, einschließlich Zweck, Anwendungsfälle, Sicherheit und Portabilität. Dieser Vergleich verdeutlicht, wie diese Technologien grundlegend unterschiedliche Probleme angehen und gleichzeitig zusammenarbeiten, um sowohl die Sicherheit als auch den Benutzerkomfort zu verbessern.

| Aspekt | Passkeys | Lokale Biometrie | | -------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------- | Überprüfung, ob der aktuelle Geräteinhaber der Eigentümer des Geräts/der App ist | | Schützt | Zugriff auf Benutzerkonto | Zugriff auf angemeldete App | | Anwendungsfall | Ideal für erstmalige Anmeldungen oder nach Neuinstallationen, zur Herstellung von Vertrauen mit Diensten und zur Ermöglichung von Cross-Plattform-, Cross-Device-Anmeldungen | Ideal zur erneuten Überprüfung, ob der Geräteinhaber der Eigentümer des Geräts ist, schnelles Entsperren der App ohne erneute Eingabe von Passwörtern/Passkeys | | Authentifizierungsmodell | Remote-Authentifizierung: Überprüft die Identität anhand eines Backend-Systems | Lokale Verifizierung: Überprüft biometrische Daten, die sicher auf dem Gerät gespeichert sind, kontaktiert keinen Remote-Server | | MFA | Ja + Phishing-resistent | Nein | | Native Biometrie | Ja (z. B. Face ID, Touch ID, Android Biometrie) | Ja (z. B. Face ID, Touch ID, Android Biometrie) | | Umfang & Portabilität | Cross-Device-, Cross-Plattform-, Cross-App-Nutzbarkeit (native Apps + Web) dank sicherer Cloud-Synchronisierung von Schlüsseln | Gerätespezifisch, nicht übertragbar: Biometrische Vorlagen müssen auf neuen Geräten neu registriert werden

Kann nicht einfach zwischen Plattformen verschoben werden | | Datenspeicherung & Sicherheit | Private Schlüssel werden in einer Secure Enclave gespeichert

Öffentliche Schlüssel werden serverseitig gespeichert

Keine geteilten Geheimnisse werden übertragen

Resistent gegen Phishing | Biometrische Vorlagen werden in einer sicheren Hardware-Enklave auf dem Gerät gespeichert

Verlassen niemals das Gerät

Geschützt durch die Hardware des Geräts | | Internetanforderung | Erfordert Internetverbindung zur Authentifizierung mit dem Remote-Dienst und zur Registrierung von Schlüsseln. | Keine Internetverbindung erforderlich; die Verifizierung ist vollständig lokal, was sie auch offline und bei Offline-Anwendungsfällen nützlich macht | | Backup & Wiederherstellung | Schlüssel können über Cloud-Synchronisierung gesichert und wiederhergestellt werden (z. B. iCloud Keychain, Google Password Manager), was eine einfache Wiederherstellung bei Verlust oder Austausch eines Geräts gewährleistet | Kein integrierter Backup-Mechanismus für Biometrie; wenn das Gerät ausfällt, müssen Benutzer ihre biometrischen Daten auf einem neuen Gerät neu registrieren | | Integration mit Websites & Apps | Kann sowohl für native Apps als auch für Websites verwendet werden. Passkeys vereinfachen Anmeldeabläufe, indem sie Benutzer authentifizieren, ohne Anmeldeinformationen preiszugeben, was die Sicherheit auf breiter Basis erhöht | Beschränkt auf das Gerät und die lokal installierte App. | | Entwicklerimplementierung | Integration über Webstandards (WebAuthn, FIDO2) und native Plattform-APIs

Das Backend muss öffentliche Schlüssel und Challenges verarbeiten. | Nutzung von Plattform-SDKs (iOS, Android) für biometrische Prompts

Keine spezielle Backend-Verarbeitung erforderlich. | | Benutzererfahrung | Nach der anfänglichen Einrichtung können sich Benutzer schnell anmelden, ohne sich E-Mail oder Passwörter merken zu müssen, auch auf neuen Geräten

Optimiertes Onboarding mit reduzierter Reibung | Bietet sofortigen, passwortlosen erneuten Zugriff auf Apps, sobald der Benutzer bereits authentifiziert wurde. |

Während die Tabelle die Kernunterschiede hervorhebt, ist es wichtig zu erkennen, dass Passkeys und lokale Biometrie keine konkurrierenden Technologien sind – sie ergänzen sich. Zusammen bieten sie ein mehrschichtiges Authentifizierungserlebnis:

1. Passkeys für die anfängliche Authentifizierung, erneute Anmeldung und MFA Passkeys sind wichtig, um Vertrauen zwischen einem Benutzer und einem Remote-Dienst herzustellen. Sie bieten Phishing-resistente, Cross-Plattform- und Cross-Device-Authentifizierung durch die Verwendung asymmetrischer Kryptographie. Dies stellt sicher, dass selbst wenn Angreifer Daten abfangen, sie keinen Zugriff auf Benutzerkonten erhalten. Mit nahtloser Cloud-Synchronisierung (z. B. iCloud Keychain oder Google Password Manager) ermöglichen Passkeys Benutzern, sich mühelos über Geräte hinweg anzumelden, was sie ideal für erstmalige Anmeldungen, Neuinstallationen oder Multi-Faktor-Authentifizierung (MFA)-Szenarien macht. Sie dienen auch als Brücke zwischen mobilen Apps und Websites und bieten ein konsistentes und sicheres Erlebnis über ein Ökosystem hinweg. Für Apps, die erhöhte Sicherheit erfordern, können Passkeys traditionelle Methoden des zweiten Faktors durch eine eigenständige MFA-Lösung ersetzen.
2. Lokale Biometrie für die laufende Verifizierung: Einmal authentifiziert, bietet lokale Biometrie schnellen, sicheren und reibungslosen Zugriff auf Apps, indem sie verifiziert, dass derselbe autorisierte Benutzer das Gerät bedient. Im Gegensatz zu Passkeys sind lokale biometrische Überprüfungen gerätezentriert und offline und verlassen sich auf sichere Hardware-Enklaven zur Speicherung und Verarbeitung von Daten. Dies stellt sicher, dass sensible Informationen das Gerät niemals verlassen, und fügt eine Sicherheitsebene hinzu, ohne ständige Benutzereingaben zu erfordern. Durch die Reduzierung der Notwendigkeit, Anmeldeinformationen erneut einzugeben, verbessert lokale Biometrie die Benutzererfahrung, insbesondere bei Apps, die sensible Informationen wie Banking oder Gesundheitswesen verarbeiten. Sie schützen laufende Sitzungen, indem sie den Geräteinhaber verifizieren und so Komfort ohne Kompromisse bei der Sicherheit gewährleisten.

Durch die Kombination von Passkeys und lokaler Biometrie können Entwickler einen sicheren, nahtlosen und benutzerfreundlichen Authentifizierungsfluss bereitstellen.

Durch die Kombination von Passkeys und lokaler Biometrie können Entwickler einen robusten Authentifizierungsfluss erstellen, der:

• Verbessert die Sicherheit: Passkeys schützen vor Phishing, Credential Stuffing und Passwortdiebstahl, während lokale Biometrie unbefugten Zugriff auf authentifizierte Sitzungen verhindert.
• Verbessert die Benutzererfahrung: Lokale Biometrie eliminiert die Notwendigkeit, Passwörter oder Passkeys wiederholt einzugeben, und schafft so ein reibungsloses Erlebnis nach der anfänglichen Authentifizierung. Im Falle einer erneuten Authentifizierung aufgrund von Timeouts oder Abmeldungen ist die erneute Authentifizierung so einfach wie das Entsperren der App.
• Vereinfacht den Zugriff auf mehrere Geräte: Passkeys ermöglichen Cross-Plattform-Authentifizierung, während lokale Biometrie bequeme Sicherheit auf Geräteebene bietet. Wenn Passkeys im Web verwendet werden, ist das Hinzufügen zu der nativen App ein wichtiger zusätzlicher Schritt, um die Lücke zu schließen und dem Benutzer ein vollständiges Passkey-Erlebnis zu bieten.

Diese Synergie stellt sicher, dass Apps sowohl starke Authentifizierung als auch nahtlosen Komfort bieten können – eine gewinnbringende Kombination für moderne Benutzererwartungen.

Um ein besseres Verständnis dafür zu gewinnen, wie Beispiele aus der Praxis und Kombinationen funktionieren, werden wir zwei verschiedene Implementierungen untersuchen: eine, die nur Passkeys nutzt, und eine andere, die einen kombinierten Ansatz verwendet.

Die Kayak-App demonstriert eine Implementierung von Passkeys für die Benutzerauthentifizierung. Passkeys sind nahtlos in den Anmeldevorgang integriert und bieten Benutzern die Möglichkeit, sich zu authentifizieren, ohne sich ihre E-Mail-Adresse oder ihr Passwort merken zu müssen. Wie auf dem Authentifizierungsbildschirm gezeigt, können Benutzer direkt einen Passkey auswählen, um sich anzumelden. Dieser Ansatz vereinfacht die Benutzererfahrung erheblich, indem er die kognitive Belastung reduziert und passwortbedingte Reibung eliminiert.

Nach der Authentifizierung über einen Passkey erhält der Benutzer uneingeschränkten Zugriff auf die App, ohne eine erneute Authentifizierung zu benötigen. Dieses Design eignet sich besonders gut für Kayak, eine Reise-App, die hauptsächlich Buchungshistorien und Reisepläne verwaltet, die nicht als hochsensible oder kritische Daten gelten.

Wichtige Highlights von Kayaks Ansatz:

• Passkey-Anmeldung auf dem Authentifizierungsbildschirm: Die App bietet sofort die Passkey-Anmeldung an, reduziert Schritte und erhöht den Benutzerkomfort.
• Kein lokaler biometrischer Schutz nach der Anmeldung: Da die App keine sensiblen persönlichen Daten verarbeitet, hat sich Kayak entschieden, keine lokalen biometrischen Schutzmaßnahmen, wie Face ID oder Fingerabdrucksperre, für den angemeldeten Zustand zu implementieren. Diese Entscheidung steht im Einklang mit den Datensicherheitsanforderungen der App und gewährleistet gleichzeitig ein reibungsloses Erlebnis für die Benutzer.

Diese Implementierung zeigt, wie Passkeys den Authentifizierungsprozess optimieren und gleichzeitig die Notwendigkeit von Passwörtern eliminieren können, was den Benutzern ein reibungsloses Erlebnis bietet. In Szenarien, in denen sensiblere oder kritischere Aktionen innerhalb der App durchgeführt werden, können jedoch zusätzliche Sicherheitsebenen, wie lokale Biometrie, erforderlich sein. Lassen Sie uns untersuchen, wie GitHub sowohl Passkeys als auch Biometrie nutzt, um Sicherheit zu gewährleisten, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

GitHub balanciert die Integration von Passkeys für die sichere Anmeldung mit lokaler Biometrie zum Schutz von App-Inhalten im angemeldeten Zustand. Passkeys werden als schnelle, Phishing-resistente Anmeldeoption angeboten, was angesichts der Multi-Faktor-Authentifizierungs (MFA)-Anforderungen von GitHub besonders wichtig ist. Dies eliminiert die Notwendigkeit für Benutzer, Passwörter oder Einmal-Passcodes zu verwalten, und bietet ein nahtloses und sicheres Anmeldeerlebnis. Aber für die Zwecke dieses Artikels werden wir uns nicht ihre Passkey-Implementierung ansehen.

GitHubs zusätzliche Sicherheitsebene mit lokaler Biometrie: Da GitHub auch sensible Operationen wie das Zusammenführen von Pull Requests anbietet, ermöglicht GitHub Benutzern, lokalen biometrischen Schutz zu aktivieren, wenn sie dies für notwendig halten. In diesem Beispiel wird Face ID verwendet, um die App auf iOS zu sperren, um sicherzustellen, dass nur der Gerätebesitzer auf die GitHub App zugreifen oder sie ausführen kann. Die App fordert explizit die notwendigen Berechtigungen vom Betriebssystem an, um Biometrie zu aktivieren, und bietet konfigurierbare Intervalle (z. B. sofort oder nach einem definierten Timeout).

Wichtige Highlights von GitHubs Ansatz:

• Passkey-Anmeldung für MFA-Konformität: GitHub nutzt Passkeys, um sichere Anmeldungen zu optimieren, ohne Kompromisse bei den Multi-Faktor-Authentifizierungs-Standards einzugehen.
• Biometrische Sperre zum Schutz der App: Durch die Verwendung lokaler Biometrie wie Face ID stellt GitHub sicher, dass angemeldete Sitzungen nicht missbraucht oder von Unbefugten aufgerufen werden können. Diese zusätzliche Sicherheitsebene ist entscheidend für Apps, die sensible Benutzerdaten oder Aktionen verarbeiten.

Zusammen veranschaulichen diese Beispiele, wie Passkeys und lokale Biometrie an die Bedürfnisse verschiedener Apps angepasst werden können, um Benutzerkomfort mit angemessenen Sicherheitsmaßnahmen in Einklang zu bringen.

Nachfolgend finden Sie vier Empfehlungen, die auf gängige Szenarien zugeschnitten sind, in denen lokale Biometrie und Passkeys implementiert werden könnten. Die Empfehlungen sind so strukturiert, dass Entwickler, Produktmanager und Entscheidungsträger schnell erkennen können, welcher Ansatz am besten zu ihrer Situation passt. Eine zusammenfassende Tabelle folgt, die es einfach macht, jede Empfehlung einem gegebenen Szenario zuzuordeln:

1. Für regulierte, sensible oder Apps mit hohem Datenwert: Passkeys + Lokale Biometrie Wenn Ihre App kritische, persönliche, regulierte oder hochsensible Daten verarbeitet (z. B. Finanz-, Gesundheitswesen-, Regierungs-, persönlich identifizierbare Informationen), implementieren Sie lokale Biometrie für eine sichere, reibungslose erneute Authentifizierung. Dies stellt sicher, dass, sobald Benutzer angemeldet sind, der laufende Zugriff auf sensible Funktionen durch On-Device-Faktoren (Face ID, Touch ID, Fingerabdruck-Scanning) geschützt ist, ohne Anmeldeinformationen erneut eingeben zu müssen. Gleichzeitig ist dies auch ein starker Hinweis, Passkeys zu implementieren und die MFA-Anforderung über alle Gerätetypen hinweg durchzusetzen. Hier kann Ihnen die Corbados Enterprise Passkey Suite helfen, insbesondere wenn Sie eine groß angelegte Bereitstellung planen und sicherstellen möchten, dass Sie eine 100%ige Passkey-Akzeptanz erreichen können.
2. Groß angelegte Consumer-App: Passkey-Integration über alle Geräte hinweg Auch außerhalb sensibler Bereiche ist eine Passkey-Implementierung sinnvoll, um Phishing zu vermeiden und den Passwort-Schmerz zu beseitigen. Stellen Sie bei der Planung eines Passkey-Rollouts sicher, dass er Teil einer ganzheitlichen Authentifizierungsstrategie ist, die alle Gerätetypen umfasst, einschließlich nativer Apps, Weboberflächen und anderer verbundener Endpunkte. Behandeln Sie Passkeys nicht als einmalige Funktion; integrieren Sie sie stattdessen konsistent über Mobilgeräte, Desktops und das Web, um ein einheitliches und benutzerfreundliches Anmeldeerlebnis zu bieten. Wenn Passkeys bereits Teil Ihrer Web-Authentifizierung sind, ist es unerlässlich, diese Funktionalität auf Ihre nativen Apps auszuweiten. Dies gewährleistet ein konsistentes, sicheres und benutzerfreundliches Anmeldeerlebnis auf allen Plattformen und nutzt die starke Sicherheit und den Komfort von Passkeys überall dort, wo Ihr Dienst angeboten wird.
3. Greenfield- oder Standalone-Apps: Für neue (Greenfield-)Anwendungen oder Standalone-Apps ohne Altlasten bei der Authentifizierung aus dem Web sollten Sie in Erwägung ziehen, von Anfang an mit Passkeys zu beginnen. Auf diese Weise schaffen Sie ein zukunftssicheres Authentifizierungsschema, das Passwortprobleme beseitigt und die Grundlage für reibungslose und sichere Benutzerreisen über alle Plattformen hinweg legt. Werfen Sie einen Blick auf unsere Corbado Complete Lösung.
4. Vermeiden Sie Teilimplementierungen für Multi-Device-Ökosysteme: Wenn Ihr Dienst mehrere Gerätetypen umfasst (z. B. Mobil, Web und Desktop), führen Sie Passkeys nicht nur in einer Umgebung ein. Teilimplementierungen reduzieren die Konsistenz und können Benutzer verwirren. Führen Sie Passkeys stattdessen einheitlich ein, um überall ein reibungsloses, einheitliches Anmeldeerlebnis zu gewährleisten. Eine schrittweise Einführung oder zuerst auf den größten Gerätetypen und dann in der nativen App ist sinnvoll, sollte aber innerhalb eines kurzen Zeitrahmens erfolgen.

Während die obigen Empfehlungen eine Reihe gängiger Szenarien abdecken, gibt es unzählige andere Situationen, in denen die Wahl der Implementierung lokaler Biometrie, Passkeys oder beidem variieren kann. Jede Anwendung hat einzigartige Sicherheits-, Benutzerfreundlichkeits- und Compliance-Anforderungen, und es ist für Entwickler, Produktmanager und Geschäftsleiter unerlässlich, diese Faktoren gründlich zu bewerten, bevor sie sich für einen Ansatz entscheiden. Durch sorgfältiges Abwägen Ihrer spezifischen Anwendungsfälle, regulatorischen Anforderungen und Benutzererwartungen können Sie eine Authentifizierungsstrategie entwickeln, die nicht nur Ihre Benutzer und deren Daten schützt, sondern auch das nahtlose, benutzerfreundliche Erlebnis bietet, das die Kunden heute erwarten.

Wie wir gesehen haben, spielen lokale Biometrie und Passkeys grundlegend unterschiedliche, aber komplementäre Rollen in modernen Authentifizierungsstrategien. Lokale Biometrie vereinfacht die laufende Sitzungsüberprüfung, indem sie die inhärenten Merkmale des Benutzers für schnelle, geräteinterne Überprüfungen nutzt, während Passkeys eine sichere und Phishing-resistente Vertrauensbeziehung mit Remote-Diensten herstellen. Durch die durchdachte Kombination dieser Methoden können Entwickler eine Benutzererfahrung schaffen, die sowohl reibungslos als auch hochsicher ist und die Bedürfnisse einer vielfältigen und anspruchsvollen digitalen Landschaft effektiv erfüllt. Zurück zu den Fragen aus der Einleitung:

• Passkeys vs. Lokale Biometrie: Wie unterscheiden sich lokale Biometrie und Passkeys in ihren Rollen und Funktionen? Lokale Biometrie bietet bequeme, gerätezentrierte erneute Verifizierung für bereits authentifizierte Benutzer und stellt sicher, dass der rechtmäßige Eigentümer das Gerät kontinuierlich kontrolliert. Im Gegensatz dazu ersetzen Passkeys geteilte Geheimnisse wie Passwörter und ermöglichen eine sichere, anfängliche Remote-Authentifizierung und einfache Cross-Device-Portabilität, wodurch Phishing-Risiken eliminiert und ein einheitliches Anmeldeerlebnis über Plattformen und Formfaktoren hinweg geboten wird.
• Passkeys zu Apps mit lokaler Biometrie hinzufügen: Macht es Sinn, Passkeys zu Apps hinzuzufügen, die bereits Biometrie verwenden? Ja, es ist oft sinnvoll. Biometrie allein stellt die anfängliche Benutzeridentität mit Remote-Diensten nicht her, während Passkeys dies tun. Die Einbeziehung von Passkeys neben bestehender lokaler Biometrie kann die Gesamtsicherheit stärken und gleichzeitig den Benutzerkomfort erhalten. Passkeys übernehmen den kritischen ersten Schritt der Authentifizierung und Cross-Device-Portabilität, während Biometrie den nachfolgenden Zugriff und die laufende Sitzungsüberprüfung optimiert.

Durch die Anerkennung der unterschiedlichen, aber gegenseitig vorteilhaften Rollen von Passkeys und lokaler Biometrie können Entwickler und Entscheidungsträger einen umfassenden Authentifizierungsansatz implementieren, der Sicherheit, Komfort und Benutzerzufriedenheit in Einklang bringt. Dadurch werden Anwendungen widerstandsfähiger gegen Bedrohungen, einfacher zu navigieren und anpassungsfähiger an sich entwickelnde Benutzer- und regulatorische Anforderungen – letztendlich wird eine nahtlose und vertrauenswürdige digitale Umgebung geschaffen.