Native Apps: Passkeys vs. lokale Biometrie

Seitdem biometrische Verfahren auf Mobiltelefonen zum Mainstream geworden sind, haben viele native Apps begonnen, Funktionen wie Face ID oder Touch ID (oder das Android-Äquivalent) zu nutzen, um den App-Zugriff zu schützen. Dieser lokale biometrische Schutz verbessert den Nutzerkomfort erheblich, da er einen schnellen und reibungslosen Zugriff ermöglicht. Auf den ersten Blick mögen Passkeys und lokale Biometrie überflüssig erscheinen, da bei beiden der Nutzer verifiziert wird. Aber sie dienen grundlegend unterschiedlichen Zwecken. Dieser Artikel wird Folgendes untersuchen:

• Passkeys vs. lokale Biometrie: Wie unterscheiden sich lokale Biometrie und Passkeys in ihren Rollen und Funktionen?
• Passkeys zu Apps mit lokaler Biometrie hinzufügen: Ist es sinnvoll, Passkeys zu Apps hinzuzufügen, die bereits Biometrie nutzen? Was sind die Vorteile?

Am Ende dieses Artikels werden wir ein besseres Verständnis dafür haben, wann und wie wir diese Lösungen gemeinsam nutzen können, um ein sichereres, benutzerfreundlicheres und nahtloses App-Erlebnis zu schaffen. Wir werden auch praktische Szenarien skizzieren, in denen die Kombination von Passkeys und lokaler Biometrie sowohl die Sicherheit als auch den Komfort verbessern kann. So können Entwickler fundierte Entscheidungen treffen, um die Bedürfnisse der Nutzer effektiv zu erfüllen.

Lokale biometrische Authentifizierungsmethoden, wie Apples Face ID, Touch ID oder die Biometrie-Funktionen von Android, nutzen einzigartige physische Merkmale (z. B. Gesichtszüge oder Fingerabdrücke), um die Identität eines Nutzers zu überprüfen. Im Gegensatz zu herkömmlichen PINs oder Passwörtern, die auf etwas basieren, das der Nutzer weiß, beruht die Biometrie auf etwas, das dem Nutzer eigen ist. Diese Umstellung macht die wiederholte Eingabe eines Codes überflüssig, was die Reibung erheblich reduziert und den täglichen App-Zugriff schnell und sicher macht.

Bevor biometrische Verfahren auf Mobiltelefonen zum Mainstream wurden, forderten Apps, die sensible Inhalte schützen wollten, die Nutzer oft auf, bei jedem Start eine zusätzliche PIN oder ein Passwort einzugeben. Dieser Ansatz erhöhte zwar die Sicherheit, brachte aber auch zusätzliche Unannehmlichkeiten mit sich, insbesondere wenn der Nutzer bereits zu Beginn seiner Sitzung authentifiziert worden war. Die Einführung von gerätebasierter Gesichtserkennung und Fingerabdruck-Scannern vereinfachte diesen Prozess. Anstatt wiederholt einen Code einzutippen, konnte ein Nutzer die App nun mit einem schnellen Gesichtsscan oder einer kurzen Berührung entsperren. Sollte die biometrische Prüfung aus irgendeinem Grund fehlschlagen oder der Nutzer sie nicht aktivieren wollen, steht weiterhin eine PIN, ein Passcode oder ein Passwort als Fallback zur Verfügung. Dieses Design gewährleistet sowohl Komfort als auch Zugänglichkeit, ohne die Sicherheit zu beeinträchtigen.

Es ist wichtig, zwischen lokalen biometrischen Prüfungen und vollständigen Remote-Authentifizierungsereignissen zu unterscheiden. Eine Remote-Authentifizierung findet zu Beginn einer neuen Sitzung statt und überprüft die Identität des Nutzers anhand der Backend-Systeme des Dienstes mithilfe von Anmeldedaten wie Passwörtern oder Passkeys. Dieser Schritt schafft Vertrauen zwischen dem Nutzer und dem Dienst.

Lokale Biometrie hingegen konzentriert sich auf die erneute Überprüfung der Identität während einer laufenden, authentifizierten Sitzung. Anstatt den Nutzer aufzufordern, Passwörter oder andere Anmeldedaten erneut einzugeben, wenn er die App kurz verlässt oder sein Telefon sperrt, bestätigen lokale biometrische Daten, dass derselbe autorisierte Nutzer immer noch die Kontrolle über das Gerät hat. Diese gerätezentrierte Überprüfung erfordert keine Internetverbindung oder Interaktion mit Remote-Servern, was sie im täglichen Gebrauch schnell, zuverlässig und nahtlos macht.

Biometrische Daten werden sicher in dedizierten Hardware-Sicherheitsmodulen gespeichert und verarbeitet – wie der Secure Enclave auf iOS oder der Trusted Execution Environment (TEE) auf Android. Diese vertrauenswürdigen Module sind so konzipiert, dass sie sensible biometrische Daten vor Manipulation, Extraktion oder Übertragung schützen.

Aufgrund dieser Verankerung auf Hardware-Ebene kann die biometrische Verifizierung nicht einfach über Geräte oder Dienste hinweg geteilt werden. Die biometrischen Vorlagen jedes Geräts bleiben für dieses spezielle Gerät einzigartig. Das stellt sicher, dass ein Nutzer bei einem Wechsel zu einem neuen Telefon seine biometrischen Daten von Grund auf neu registrieren muss. Obwohl dies beim Gerätewechsel einen kleinen Onboarding-Schritt hinzufügt, schützt es vor unbefugtem Zugriff und verhindert Remote-Angriffe, die zentral gespeicherte biometrische Daten ausnutzen könnten. Darüber hinaus funktionieren lokale biometrische Verfahren ohne Internetverbindung, was sie auch dann zuverlässig macht, wenn das Gerät offline ist.

Lokale Biometrie optimiert die Sicherheit, indem sie überprüft, ob die Person, die das Gerät gerade bedient, tatsächlich der rechtmäßige, bereits authentifizierte Nutzer ist. Dies geschieht ohne die wiederholte Eingabe einer benutzerdefinierten PIN oder eines Passworts, falls die App wichtige Funktionen wie Banking, Versicherungen oder andere persönliche Daten enthält.

Sie erhalten den Komfort, indem sie nahtlos und sofort auf dem Gerät funktionieren, offline arbeiten und auf sichere Hardware-Enklaven zurückgreifen, um sensible biometrische Daten zu schützen. Obwohl sie die Notwendigkeit einer anfänglichen Remote-Authentifizierung (wie mit einem Passkey oder Passwort) zur erstmaligen Feststellung der Nutzeridentität nicht ersetzen können, eignen sie sich sehr gut zur Verwaltung und zum Schutz nachfolgender, laufender Sitzungen.

Ihre Einschränkungen, wie die mangelnde Portabilität und die Notwendigkeit einer Neuregistrierung auf neuen Geräten, sind Kompromisse zugunsten von erhöhtem Komfort und strenger Sicherheit auf Geräteebene. Letztendlich dienen lokale biometrische Verfahren als leistungsstarke, benutzerfreundliche Methode, um das kontinuierliche Vertrauen in eine App-Sitzung sicherzustellen, sobald dieses Vertrauen einmal hergestellt ist.

Passkeys verändern die Art der Authentifizierung, indem sie geteilte Geheimnisse wie Passwörter durch asymmetrische kryptografische Anmeldedaten ersetzen. Im Gegensatz zur lokalen Biometrie, die einen bereits authentifizierten Nutzer nur lokal verifiziert, dienen Passkeys als primäre Methode zur Identifizierung von Nutzern gegenüber einem Remote-Dienst. Dies gewährleistet ein sicheres, Phishing-resistentes Login-Erlebnis, selbst in einem Szenario, in dem der Nutzer und das Gerät dem Backend der Anwendung zunächst unbekannt sind.

Vor Passkeys war der gängige Ansatz, um Vertrauen zu einem Remote-Dienst aufzubauen, die Verwendung von Passwörtern – geteilte Geheimnisse, die sowohl dem Nutzer als auch dem Server bekannt sind. Obwohl Passwörter einfach zu implementieren sind, sind sie anfällig für Bedrohungen wie Phishing, Credential Stuffing und die Wiederverwendung von Passwörtern.

Passkeys begegnen diesen Herausforderungen durch die Verwendung eines Paars kryptografischer Schlüssel: ein privater Schlüssel, der sicher auf dem Gerät des Nutzers gespeichert ist, und ein entsprechender öffentlicher Schlüssel, der beim Dienst registriert ist. Wenn ein Anmeldeversuch stattfindet, sendet der Dienst eine Challenge, die nur mit dem privaten Schlüssel des Nutzers gelöst werden kann. Dies stellt sicher, dass Angreifer selbst dann keinen unbefugten Zugriff erhalten, wenn sie Daten abfangen oder versuchen, Nutzer zur Preisgabe von Anmeldedaten zu verleiten.

Passkeys verwenden asymmetrische Kryptografie:

• Privater Schlüssel (Client-seitig): Sicher in der Secure Enclave des Geräts gespeichert, unzugänglich für andere Apps oder sogar das Betriebssystem selbst.
• Öffentlicher Schlüssel (Serverseitig): Beim Backend der Anwendung registriert, aber ohne den privaten Schlüssel nutzlos. Da der Nutzer den privaten Schlüssel niemals über das Netzwerk sendet und kein „geteiltes Geheimnis“ zum Eintippen hat, werden Phishing-Versuche weitgehend wirkungslos. Angreifer können Nutzer nicht dazu verleiten, etwas einzugeben, das sie nicht kennen, und das Abfangen des öffentlichen Schlüssels bietet keinen Vorteil. Diese Architektur, unterstützt durch Standards wie FIDO2 und WebAuthn, stellt sicher, dass der gesamte Authentifizierungsprozess auf nachweisbaren kryptografischen Operationen basiert und nicht auf vom Nutzer eingegebenen Anmeldedaten.

Dies ist besonders wichtig für Systeme, bei denen neben nativen Apps auch Websites genutzt werden, wo Phishing ein großes Problem darstellt. Auf einem Mobilgerät erstellte Passkeys können über Cross-Device-Authentication auch auf Websites auf einem Desktop-Computer verwendet werden.

Einer der zentralen Vorteile von Passkeys ist ihre nahtlose Portabilität über die Geräte eines Nutzers hinweg. Moderne Betriebssysteme können Passkeys über sicheren Cloud-Speicher synchronisieren (z. B. iCloud-Schlüsselbund, Google Passwortmanager), sodass sich Nutzer von mehreren Geräten aus anmelden können, ohne sich bei der Erstinstallation der App erneut registrieren oder Passwörter merken zu müssen. Darüber hinaus fungieren Passkeys selbst als eine Form der starken, Phishing-resistenten Multi-Faktor-Authentifizierung und beseitigen die Reibung herkömmlicher zweiter Faktoren. Diese Synergie ermöglicht schnelle, sichere Anmeldungen, egal welches Gerät der Nutzer wählt, und stärkt ein Ökosystem, in dem sichere Authentifizierung sowohl universell zugänglich als auch einfach zu handhaben ist.

Passkeys stellen eine leistungsstarke, Phishing-resistente Methode zur Authentifizierung unbekannter Nutzer bei Remote-Diensten dar. Indem sie asymmetrische Kryptografie nutzen und sich von geteilten Geheimnissen hin zu geräteinternen privaten Schlüsseln bewegen, beseitigen sie viele der Schwächen, die passwortbasierte Systeme plagten. Passkeys kombinieren robuste Sicherheit, globale Portabilität und direkte Integration mit Hardware-Sicherheitskomponenten. Daher dienen sie als starke Grundlage für die Feststellung der Nutzeridentität – etwas, das lokale Biometrie allein nicht leisten kann. Im Kontext nativer Apps sind Passkeys der entscheidende erste Schritt zur Schaffung einer sicheren Sitzung, nach der lokale Biometrie eingesetzt werden kann, um einen schnellen und bequemen Nutzerzugriff aufrechtzuerhalten.

Wenn es um die Authentifizierung in nativen Apps geht, spielen Passkeys und lokale Biometrie wichtige, aber unterschiedliche Rollen. Obwohl beide das Nutzererlebnis und die Sicherheit verbessern, lösen sie grundlegend verschiedene Probleme:

• Passkeys authentifizieren unbekannte Nutzer bei einem Remote-Dienst, oft bei der ersten Anmeldung oder beim Erstellen einer neuen Sitzung.
• Lokale Biometrie, wie Face ID oder Touch ID, verifiziert einen bereits authentifizierten Nutzer erneut lokal und sorgt so für Kontinuität und Komfort bei laufenden Sitzungen.

Das Verständnis dieser Unterschiede ist für Entwickler entscheidend, die robuste Authentifizierungsabläufe erstellen möchten, die sowohl sicher als auch benutzerfreundlich sind.

Um die Unterschiede und die sich ergänzenden Rollen von Passkeys und lokaler Biometrie besser zu verstehen, vergleicht die folgende Tabelle ihre Hauptmerkmale in verschiedenen Dimensionen, einschließlich Zweck, Anwendungsfälle, Sicherheit und Portabilität. Dieser Vergleich zeigt, wie diese Technologien grundlegend unterschiedliche Probleme lösen und gleichzeitig zusammenarbeiten, um sowohl die Sicherheit als auch den Nutzerkomfort zu verbessern.

Obwohl die Tabelle die Kernunterschiede hervorhebt, ist es wichtig zu erkennen, dass Passkeys und lokale Biometrie keine konkurrierenden Technologien sind – sie ergänzen sich. Zusammen bieten sie ein mehrschichtiges Authentifizierungserlebnis:

1. Passkeys für die Erstauthentifizierung, erneute Anmeldung und MFA Passkeys sind wichtig, um Vertrauen zwischen einem Nutzer und einem Remote-Dienst aufzubauen. Sie bieten eine Phishing-resistente, plattform- und geräteübergreifende Authentifizierung durch den Einsatz asymmetrischer Kryptografie. Dies stellt sicher, dass Angreifer selbst bei abgefangenen Daten keinen Zugriff auf Nutzerkonten erhalten. Mit nahtloser Cloud-Synchronisierung (z. B. iCloud-Schlüsselbund oder Google Passwortmanager) ermöglichen Passkeys den Nutzern eine mühelose Anmeldung über verschiedene Geräte hinweg. Das macht sie ideal für erstmalige Anmeldungen, Neuinstallationen oder Szenarien der Multi-Faktor-Authentifizierung (MFA). Sie dienen auch als Brücke zwischen mobilen Apps und Websites und bieten ein konsistentes und sicheres Erlebnis über ein ganzes Ökosystem hinweg. Für Apps, die erhöhte Sicherheit erfordern, können Passkeys herkömmliche zweite Faktoren durch eine eigenständige MFA-Lösung ersetzen.
2. Lokale Biometrie zur laufenden Verifizierung: Einmal authentifiziert, bietet die lokale Biometrie einen schnellen, sicheren und reibungslosen Zugriff auf Apps, indem sie überprüft, ob derselbe autorisierte Nutzer das Gerät bedient. Im Gegensatz zu Passkeys sind lokale biometrische Prüfungen gerätezentriert und offline und verlassen sich auf sichere Hardware-Enklaven zur Speicherung und Verarbeitung von Daten. Dies stellt sicher, dass sensible Informationen das Gerät niemals verlassen, was eine zusätzliche Sicherheitsebene ohne ständige Nutzereingaben hinzufügt. Indem sie die Notwendigkeit der erneuten Eingabe von Anmeldedaten reduzieren, verbessern lokale biometrische Verfahren das Nutzererlebnis, insbesondere bei Apps, die sensible Informationen wie Banking oder Gesundheitsdaten verarbeiten. Sie schützen laufende Sitzungen, indem sie den Geräteinhaber verifizieren und so Komfort ohne Sicherheitseinbußen gewährleisten.

Durch die Kombination von Passkeys und lokaler Biometrie können Entwickler einen sicheren, nahtlosen und benutzerfreundlichen Authentifizierungsablauf bereitstellen.

Durch die Kombination von Passkeys und lokaler Biometrie können Entwickler einen robusten Authentifizierungsablauf erstellen, der:

• Verbessert die Sicherheit: Passkeys schützen vor Phishing, Credential Stuffing und Passwortdiebstahl, während lokale Biometrie den unbefugten Zugriff auf authentifizierte Sitzungen verhindert.
• Verbessert das Nutzererlebnis: Lokale Biometrie macht die wiederholte Eingabe von Passwörtern oder Passkeys überflüssig und schafft so ein reibungsloses Erlebnis nach der Erstauthentifizierung. Falls eine erneute Authentifizierung aufgrund von Timeouts oder Abmeldungen erforderlich ist, ist diese so einfach wie das Entsperren der App.
• Vereinfacht den geräteübergreifenden Zugriff: Passkeys ermöglichen eine plattformübergreifende Authentifizierung, während lokale Biometrie eine bequeme Sicherheit auf Geräteebene bietet. Wenn Passkeys im Web verwendet werden, ist das Hinzufügen zur nativen App ein wichtiger zusätzlicher Schritt, um die Lücke zu schließen und dem Nutzer ein vollständiges Passkey-Erlebnis zu bieten.

Diese Synergie stellt sicher, dass Apps sowohl starke Authentifizierung als auch nahtlosen Komfort bieten können – eine gewinnbringende Kombination für die Erwartungen moderner Nutzer.

Obwohl das Hinzufügen von Passkey-Funktionalität zu einer nativen App technisch unkompliziert ist, stellt die Förderung der Akzeptanz durch die Nutzer eine erhebliche Hürde dar, insbesondere bei Apps mit einer großen, etablierten Nutzerbasis. Der Hauptgrund ist die weit verbreitete Nutzung lokaler Biometrie zum Entsperren der App. Dieses bestehende, bequeme Verhalten bedeutet, dass Nutzer selten eine vollständige Remote-Anmeldung durchführen. Daher fehlt die effektivste Gelegenheit zur Passkey-Erstellung – der Hinweis nach der Anmeldung – im Vergleich zu Webanwendungen fast vollständig. Dieser Abschnitt skizziert Strategien, um diese Herausforderung zu meistern, indem alternative Momente identifiziert werden, um die Passkey-Erstellung zu fördern, ohne das nahtlose Nutzererlebnis der lokalen Biometrie zu stören.

Wie in Corbados Leitfaden zu Best Practices für die Passkey-Erstellung detailliert beschrieben, hängt ein erfolgreicher Rollout davon ab, die richtigen Momente zu finden, um die Nutzer anzustoßen. Unten finden Sie ein Playbook mit Strategien, die für native Apps angepasst wurden und verschiedene Auslöser und ihre erwartete Wirkung hervorheben.

Die erfolgreiche Umsetzung dieser Strategien erfordert ein äußerst detailliertes Tracking und Telemetrie. Es ist entscheidend zu überwachen, wie, wann und wo Nutzer aufgefordert werden, um eine „Prompt-Müdigkeit“ zu vermeiden und sicherzustellen, dass die Hinweise das nahtlose Erlebnis des Entsperrens per lokaler Biometrie nicht stören. Das Protokollieren jedes Schritts des Erstellungstrichters (Prompt angezeigt, geklickt, gestartet, abgeschlossen/fehlgeschlagen) ist notwendig, um den Rollout zu optimieren und hohe Akzeptanzraten zu erzielen, ohne die Nutzer zu frustrieren.

Für neue Nutzer, die die App zum ersten Mal installieren, oder für bestehende Nutzer, die sich mit herkömmlichen Methoden wie einem Passwort anmelden, bietet der Onboarding-Prozess eine goldene Gelegenheit, eine sichere und passwortlose Grundlage zu schaffen. Da diese Nutzer noch keinen Passkey für die App eingerichtet haben, kann der Ablauf so gestaltet werden, dass von Anfang an die stärkste Authentifizierungsmethode priorisiert wird.

Der empfohlene Ansatz ist:

1. Zuerst Passkey erstellen: Unabhängig davon, ob sich ein Nutzer zum ersten Mal anmeldet oder mit einem Passwort einloggt, sollte er sofort aufgefordert werden, einen Passkey zu erstellen. Bei Neuanmeldungen wird so vom ersten Tag an ein Phishing-resistenter Anmeldedatensatz erstellt. Moderne Plattformfunktionen wie Apples Passkey Account Creation API können sogar das Konto und den Passkey in einem einzigen, optimierten Schritt über eine native Benutzeroberfläche erstellen und so herkömmliche Anmeldeformulare vollständig umgehen. Für bestehende Nutzer dient dieser Hinweis als entscheidendes Sicherheitsupgrade, das sie von anfälligen Passwörtern wegbringt.
2. Zweitens lokale Biometrie hinzufügen: Sobald der Passkey erstellt und das Konto gesichert ist, sollte die App den Nutzer auffordern, lokale Biometrie (z. B. Face ID/Touch ID) zu aktivieren, um die angemeldeten App-Inhalte zu schützen, falls die App sensible Daten verarbeitet oder Funktionen hat, die von einem Sitzungsschutz profitieren würden (wie in unseren Empfehlungen dargelegt).

Diese Reihenfolge stellt sicher, dass zuerst das Konto des Nutzers für die Remote-Authentifizierung gesichert und dann die lokale Sitzung geschützt wird, was perfekt zu den sich ergänzenden Rollen von Passkeys und lokaler Biometrie passt.

Um ein besseres Verständnis dafür zu bekommen, wie Beispiele und Kombinationen aus der Praxis funktionieren, werden wir zwei verschiedene Implementierungen untersuchen: eine, die nur Passkeys nutzt, und eine andere, die einen kombinierten Ansatz verwendet.

Die Kayak-App demonstriert eine Implementierung von Passkeys für die Nutzerauthentifizierung. Passkeys sind nahtlos in den Anmeldeprozess integriert und bieten den Nutzern die Möglichkeit, sich zu authentifizieren, ohne sich ihre E-Mail-Adresse oder ihr Passwort merken zu müssen. Wie auf dem Authentifizierungsbildschirm zu sehen ist, können Nutzer direkt einen Passkey für die Anmeldung auswählen. Dieser Ansatz vereinfacht das Nutzererlebnis erheblich, indem er die kognitive Belastung reduziert und die mit Passwörtern verbundene Reibung beseitigt.

Nach der Authentifizierung über einen Passkey erhält der Nutzer uneingeschränkten Zugriff auf die App, ohne dass eine erneute Authentifizierung erforderlich ist. Dieses Design eignet sich besonders für Kayak, eine Reise-App, die hauptsächlich Buchungshistorien und Reiserouten verwaltet, die nicht als hochsensible oder kritische Daten gelten.

Wichtige Highlights des Kayak-Ansatzes:

• Passkey-Login auf dem Authentifizierungsbildschirm: Die App bietet sofort den Login mit Passkey an, was die Schritte reduziert und den Nutzerkomfort erhöht.
• Kein lokaler biometrischer Schutz nach dem Login: Da die App keine sensiblen persönlichen Daten verarbeitet, hat sich Kayak entschieden, keinen lokalen biometrischen Schutz wie Face ID oder Fingerabdrucksperre für den angemeldeten Zustand zu implementieren. Diese Entscheidung entspricht den Datensicherheitsanforderungen der App und sorgt gleichzeitig für ein reibungsloses Nutzererlebnis.

Diese Implementierung zeigt, wie Passkeys den Authentifizierungsprozess optimieren und gleichzeitig die Notwendigkeit von Passwörtern eliminieren können, was den Nutzern ein reibungsloses Erlebnis bietet. In Szenarien, in denen jedoch sensiblere oder kritischere Aktionen innerhalb der App ausgeführt werden, können zusätzliche Sicherheitsebenen wie lokale Biometrie erforderlich sein. Schauen wir uns an, wie GitHub sowohl Passkeys als auch Biometrie nutzt, um Sicherheit zu gewährleisten, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

GitHub gleicht die Integration von Passkeys für eine sichere Anmeldung mit lokaler Biometrie zum Schutz von App-Inhalten im angemeldeten Zustand aus. Passkeys werden als schnelle, Phishing-resistente Anmeldeoption angeboten, was angesichts der Anforderungen von GitHub an die Multi-Faktor-Authentifizierung (MFA) besonders wichtig ist. Dies erspart den Nutzern die Verwaltung von Passwörtern oder Einmal-Passcodes und sorgt für ein nahtloses und sicheres Login-Erlebnis. Für diesen Artikel werden wir uns ihre Passkey-Implementierung jedoch nicht ansehen.

GitHubs zusätzliche Sicherheitsebene durch lokale Biometrie: Da GitHub auch sensible Operationen wie das Mergen von Pull-Requests anbietet, ermöglicht GitHub den Nutzern, einen lokalen biometrischen Schutz zu aktivieren, wenn sie es für notwendig halten. In diesem Beispiel wird Face ID verwendet, um die App auf iOS zu sperren und sicherzustellen, dass nur der Gerätebesitzer auf die GitHub-App zugreifen oder sie ausführen kann. Die App fordert explizit die erforderlichen Berechtigungen vom Betriebssystem an, um die Biometrie zu aktivieren, und bietet konfigurierbare Intervalle (z. B. sofort oder nach einem definierten Timeout).

Wichtige Highlights des GitHub-Ansatzes:

• Passkey-Login für MFA-Konformität: GitHub nutzt Passkeys, um sichere Anmeldungen zu optimieren, ohne die Standards der Multi-Faktor-Authentifizierung zu beeinträchtigen.
• Biometrische Sperre zum Schutz der App: Durch die Verwendung lokaler Biometrie wie Face ID stellt GitHub sicher, dass angemeldete Sitzungen nicht von unbefugten Personen missbraucht oder aufgerufen werden können. Diese zusätzliche Sicherheitsebene ist entscheidend für Apps, die sensible Nutzerdaten oder -aktionen verarbeiten.

Zusammen veranschaulichen diese Beispiele, wie Passkeys und lokale Biometrie auf die Bedürfnisse verschiedener Apps zugeschnitten werden können, um Nutzerkomfort und angemessene Sicherheitsmaßnahmen in Einklang zu bringen.

Im Folgenden finden Sie vier Empfehlungen, die auf gängige Szenarien zugeschnitten sind, in denen lokale Biometrie und Passkeys implementiert werden könnten. Die Empfehlungen sind so strukturiert, dass Entwickler, Produktmanager und Entscheidungsträger schnell erkennen können, welcher Ansatz am besten zu ihrer Situation passt.

1. Für regulierte, sensible oder hochwertige Daten-Apps: Passkeys + lokale Biometrie Wenn Ihre App mit kritischen, persönlichen, regulierten oder hochsensiblen Daten umgeht (z. B. Finanz-, Gesundheits-, Regierungsdaten, personenbezogene Informationen), implementieren Sie lokale Biometrie für eine sichere, reibungslose Neuauthentifizierung. Dies stellt sicher, dass nach der Anmeldung der fortlaufende Zugriff auf sensible Funktionen durch geräteinterne Faktoren (Face ID, Touch ID, Fingerabdruck-Scan) geschützt ist, ohne dass Anmeldedaten erneut eingegeben werden müssen. Gleichzeitig ist dies auch ein starker Hinweis darauf, Passkeys zu implementieren und die MFA-Anforderung für alle Gerätetypen durchzusetzen. Hier kann Ihnen die Enterprise Passkey Suite von Corbado helfen, insbesondere wenn Sie eine groß angelegte Bereitstellung planen und sicherstellen möchten, dass Sie eine 100%ige Passkey-Akzeptanz erreichen können.
2. Groß angelegte Verbraucher-App: Passkey-Integration über alle Geräte hinweg Auch außerhalb sensibler Bereiche ist eine Passkey-Implementierung sinnvoll, um Phishing zu vermeiden und die Passwort-Problematik zu beseitigen. Stellen Sie bei der Planung eines Passkey-Rollouts sicher, dass er Teil einer ganzheitlichen Authentifizierungsstrategie ist, die alle Gerätetypen umfasst, einschließlich nativer Apps, Web-Schnittstellen und anderer verbundener Endpunkte. Behandeln Sie Passkeys nicht als einmaliges Feature; integrieren Sie sie stattdessen konsistent über Mobilgeräte, Desktops und das Web, um ein einheitliches und benutzerfreundliches Login-Erlebnis zu bieten. Wenn Passkeys bereits Teil Ihrer Web-Authentifizierung sind, ist es unerlässlich, diese Funktionalität auf Ihre nativen Apps auszuweiten. Dies gewährleistet ein konsistentes, sicheres und benutzerfreundliches Login-Erlebnis auf allen Plattformen und nutzt die starke Sicherheit und den Komfort von Passkeys überall dort, wo Ihr Dienst angeboten wird.
3. Greenfield- oder eigenständige Apps: Für neue (Greenfield-)Anwendungen oder eigenständige Apps ohne Altlasten bei der Authentifizierung aus dem Web, sollten Sie in Erwägung ziehen, von Anfang an mit Passkeys zu starten. Der ideale Onboarding-Ablauf fordert unmittelbar nach der Kontoeinrichtung zur Passkey-Erstellung auf, gefolgt von einer Aufforderung, bei Bedarf lokale Biometrie für den Sitzungsschutz zu aktivieren. Dadurch schaffen Sie ein zukunftssicheres Authentifizierungsschema, das Passwortprobleme beseitigt und die Grundlage für reibungslose und sichere Nutzerreisen auf allen Plattformen legt. Werfen Sie einen Blick auf unsere Corbado Complete-Lösung.
4. Vermeiden Sie Teilimplementierungen für Ökosysteme mit mehreren Geräten: Wenn Ihr Dienst mehrere Gerätetypen (z. B. Mobil, Web und Desktop) umfasst, führen Sie Passkeys nicht nur in einer Umgebung ein. Teilimplementierungen verringern die Konsistenz und können Nutzer verwirren. Führen Sie Passkeys stattdessen einheitlich ein, um überall ein reibungsloses, einheitliches Login-Erlebnis zu gewährleisten. Ein schrittweiser Rollout oder die Einführung zuerst auf den am weitesten verbreiteten Gerätetypen und dann in der nativen App ist sinnvoll, sollte aber innerhalb eines kurzen Zeitraums erfolgen.

Obwohl die obigen Empfehlungen eine Reihe gängiger Szenarien abdecken, gibt es unzählige andere Situationen, in denen die Entscheidung für die Implementierung von lokaler Biometrie, Passkeys oder beidem variieren kann. Jede Anwendung hat einzigartige Sicherheits-, Usability- und Compliance-Anforderungen, und es ist für Entwickler, Produktmanager und Geschäftsentscheider unerlässlich, diese Faktoren gründlich zu bewerten, bevor sie sich für einen Ansatz entscheiden. Indem Sie Ihre spezifischen Anwendungsfälle, regulatorischen Anforderungen und Nutzererwartungen sorgfältig abwägen, können Sie eine Authentifizierungsstrategie entwickeln, die nicht nur Ihre Nutzer und deren Daten schützt, sondern auch das nahtlose, benutzerfreundliche Erlebnis bietet, das die Kunden von heute erwarten.

Wie wir gesehen haben, spielen lokale Biometrie und Passkeys grundlegend unterschiedliche, aber sich ergänzende Rollen in modernen Authentifizierungsstrategien. Lokale Biometrie vereinfacht die laufende Sitzungsüberprüfung, indem sie die angeborenen Merkmale des Nutzers für schnelle, geräteinterne Prüfungen nutzt, während Passkeys eine sichere und Phishing-resistente Vertrauensbeziehung zu Remote-Diensten herstellen. Durch die durchdachte Kombination dieser Methoden können Entwickler ein Nutzererlebnis schaffen, das sowohl reibungslos als auch hochsicher ist und den Anforderungen einer vielfältigen und anspruchsvollen digitalen Landschaft effektiv gerecht wird. Um auf die Fragen aus der Einleitung zurückzukommen:

• Passkeys vs. lokale Biometrie: Wie unterscheiden sich lokale Biometrie und Passkeys in ihren Rollen und Funktionen? Lokale Biometrie bietet eine bequeme, gerätezentrierte Neuverifizierung für bereits authentifizierte Nutzer und stellt sicher, dass der rechtmäßige Besitzer das Gerät kontinuierlich kontrolliert. Im Gegensatz dazu ersetzen Passkeys geteilte Geheimnisse wie Passwörter und ermöglichen eine sichere, anfängliche Remote-Authentifizierung und eine einfache geräteübergreifende Portabilität. Dadurch werden Phishing-Risiken eliminiert und ein einheitliches Login-Erlebnis über Plattformen und Formfaktoren hinweg geboten.
• Passkeys zu Apps mit lokaler Biometrie hinzufügen: Ist es sinnvoll, Passkeys zu Apps hinzuzufügen, die bereits Biometrie nutzen? Ja, das ist oft sinnvoll. Biometrie allein stellt keine anfängliche Nutzeridentität bei Remote-Diensten her, Passkeys hingegen schon. Die Einbindung von Passkeys neben bestehender lokaler Biometrie kann die Gesamtsicherheit erhöhen und gleichzeitig den Nutzerkomfort erhalten. Passkeys übernehmen den kritischen ersten Schritt der Authentifizierung und der geräteübergreifenden Portabilität, während Biometrie den nachfolgenden Zugriff und die laufende Sitzungsüberprüfung optimiert.

Indem Entwickler und Entscheidungsträger die unterschiedlichen, aber sich gegenseitig ergänzenden Rollen von Passkeys und lokaler Biometrie erkennen, können sie einen umfassenden Authentifizierungsansatz implementieren, der Sicherheit, Komfort und Nutzerzufriedenheit in Einklang bringt. Dadurch werden Anwendungen widerstandsfähiger gegen Bedrohungen, einfacher zu navigieren und anpassungsfähiger an sich ändernde Nutzer- und regulatorische Anforderungen – und schaffen letztendlich eine nahtlose und vertrauenswürdige digitale Umgebung.