Native Apps: Passkeys vs. lokale Biometrie

Nachdem die Biometrie auf Mobiltelefonen zum Mainstream wurde, begannen viele native Apps, Funktionen wie Face ID oder Touch ID (oder das Android-Äquivalent) zu nutzen, um den Zugriff auf die App zu schützen. Dieser lokale biometrische Schutz verbessert den Benutzerkomfort erheblich, indem er einen schnellen und reibungslosen Zugriff ermöglicht. Auf den ersten Blick mögen Passkeys und lokale Biometrie überflüssig erscheinen, da bei beiden der Benutzer verifiziert wird. Sie dienen jedoch grundlegend unterschiedlichen Zwecken. Dieser Artikel wird Folgendes untersuchen:

• Passkeys vs. lokale Biometrie: Wie unterscheiden sich lokale Biometrie und Passkeys in ihren Rollen und Funktionen?
• Passkeys zu Apps mit lokaler Biometrie hinzufügen: Ist es sinnvoll, Passkeys zu Apps hinzuzufügen, die bereits Biometrie verwenden? Was sind die Vorteile?

Am Ende werden wir ein besseres Verständnis dafür haben, wann und wie diese Lösungen zusammen genutzt werden können, um ein sichereres, benutzerfreundlicheres und nahtloseres App-Erlebnis zu schaffen. Wir werden auch praktische Szenarien skizzieren, in denen die Kombination von Passkeys und lokaler Biometrie sowohl die Sicherheit als auch den Komfort verbessern kann, um sicherzustellen, dass Entwickler fundierte Entscheidungen treffen können, um die Bedürfnisse der Benutzer effektiv zu erfüllen.

Lokale biometrische Authentifizierungsmethoden, wie Apples Face ID, Touch ID oder die Biometriefunktionen von Android, nutzen einzigartige physische Merkmale (z. B. Gesichtszüge oder Fingerabdrücke), um die Identität eines Benutzers zu überprüfen. Im Gegensatz zu herkömmlichen PINs oder Passwörtern, die auf etwas basieren, das der Benutzer weiß, basiert die Biometrie auf etwas, das dem Benutzer eigen ist. Dieser Wandel eliminiert die Notwendigkeit, wiederholt einen Code einzugeben, was die Reibung erheblich reduziert und den täglichen App-Zugriff sowohl schnell als auch sicher macht.

Bevor die Biometrie auf Mobiltelefonen zum Mainstream wurde, forderten Apps, die sensible Inhalte schützen wollten, die Benutzer oft auf, bei jedem Start eine zusätzliche PIN oder ein Passwort einzugeben. Obwohl dieser Ansatz die Sicherheit erhöhte, führte er auch zu zusätzlichen Unannehmlichkeiten, insbesondere wenn der Benutzer bereits zu Beginn seiner Sitzung authentifiziert worden war. Das Aufkommen von gerätebasierter Gesichtserkennung und Fingerabdruck-Scan-Technologien vereinfachte diesen Prozess. Anstatt wiederholt einen Code einzugeben, konnte ein Benutzer die App nun mit einem schnellen Gesichtsscan oder einer kurzen Berührung entsperren. Falls die biometrische Überprüfung aus irgendeinem Grund fehlschlägt oder der Benutzer sie nicht aktivieren möchte, bleibt eine Fallback-PIN, ein Passcode oder ein Passwort verfügbar. Dieses Design gewährleistet sowohl Komfort als auch Zugänglichkeit, ohne die Sicherheit zu beeinträchtigen.

Es ist entscheidend, zwischen lokalen biometrischen Prüfungen und vollständigen Remote-Authentifizierungsereignissen zu unterscheiden. Die Remote-Authentifizierung erfolgt zu Beginn einer neuen Sitzung und überprüft die Identität des Benutzers anhand der Backend-Systeme des Dienstes unter Verwendung von Anmeldeinformationen wie Passwörtern oder Passkeys. Dieser Schritt schafft Vertrauen zwischen dem Benutzer und dem Dienst.

Lokale Biometrie hingegen konzentriert sich auf die erneute Überprüfung der Identität während einer laufenden, authentifizierten Sitzung. Anstatt den Benutzer aufzufordern, Passwörter oder andere Anmeldeinformationen erneut einzugeben, wenn er die App kurz verlässt oder sein Telefon sperrt, bestätigt die lokale Biometrie, dass derselbe autorisierte Benutzer immer noch die Kontrolle über das Gerät hat. Diese gerätezentrierte Verifizierung erfordert keine Internetverbindung oder Interaktion mit Remote-Servern, was sie im täglichen Gebrauch schnell, zuverlässig und nahtlos macht.

Biometrische Daten werden sicher in dedizierten Hardware-Sicherheitsmodulen gespeichert und verarbeitet – wie dem Secure Enclave auf iOS oder der Trusted Execution Environment (TEE) auf Android. Diese vertrauenswürdigen Module sind so konzipiert, dass sie sensible biometrische Daten vor Manipulation, Extraktion oder Übertragung schützen.

Aufgrund dieser Verankerung auf Hardware-Ebene kann die biometrische Verifizierung nicht einfach über Geräte oder Dienste hinweg geteilt werden. Die biometrischen Vorlagen jedes Geräts bleiben für dieses spezielle Gerät einzigartig, was sicherstellt, dass ein Benutzer, der auf ein neues Telefon umsteigt, seine Biometrie von Grund auf neu registrieren muss. Obwohl dies beim Gerätewechsel einen kleinen Onboarding-Schritt hinzufügt, schützt es vor unbefugtem Zugriff und verhindert Remote-Angriffe, die zentral gespeicherte biometrische Daten ausnutzen könnten. Darüber hinaus funktioniert die lokale Biometrie ohne Internetverbindung, was sie auch dann zuverlässig macht, wenn das Gerät offline ist.

Lokale Biometrie optimiert die Sicherheit, indem sie überprüft, ob die Person, die das Gerät gerade bedient, tatsächlich der rechtmäßige, bereits authentifizierte Benutzer ist, ohne dass bei wichtigen App-Funktionen wie Banking, Versicherungen oder anderen persönlichen Daten wiederholt eine benutzerdefinierte PIN oder ein Passwort eingegeben werden muss.

Sie erhalten den Komfort, indem sie nahtlos und sofort auf dem Gerät funktionieren, offline arbeiten und sich auf sichere Hardware-Enklaven zum Schutz sensibler biometrischer Daten verlassen. Obwohl sie die Notwendigkeit einer anfänglichen Remote-Authentifizierung (wie einem Passkey oder Passwort) zur erstmaligen Feststellung der Benutzeridentität nicht ersetzen können, sind sie sehr gut darin, nachfolgende, laufende Sitzungen zu verwalten und zu schützen.

Ihre Einschränkungen wie mangelnde Portabilität und die Notwendigkeit einer erneuten Registrierung auf neuen Geräten sind Kompromisse, die zugunsten von erhöhtem Komfort und strenger Sicherheit auf Geräteebene eingegangen werden. Letztendlich dient die lokale Biometrie als eine leistungsstarke, benutzerfreundliche Methode, um kontinuierliches Vertrauen in eine App-Sitzung zu gewährleisten, sobald dieses Vertrauen anfänglich hergestellt wurde.

Passkeys verändern die Art der Authentifizierung, indem sie geteilte Geheimnisse wie Passwörter durch asymmetrische kryptografische Anmeldeinformationen ersetzen. Im Gegensatz zur lokalen Biometrie, die nur einen bereits authentifizierten Benutzer lokal verifiziert, dienen Passkeys als primäre Methode zur Identifizierung von Benutzern gegenüber einem Remote-Dienst. Dies gewährleistet ein sicheres, Phishing-resistentes Login-Erlebnis, selbst in einem Szenario, in dem der Benutzer und das Gerät dem Backend der Anwendung zunächst unbekannt sind.

Vor Passkeys war der übliche Ansatz, um Vertrauen mit einem Remote-Dienst aufzubauen, die Verwendung von Passwörtern – geteilte Geheimnisse, die sowohl dem Benutzer als auch dem Server bekannt sind. Obwohl Passwörter einfach zu implementieren sind, sind sie anfällig für Bedrohungen wie Phishing, Credential Stuffing und die Wiederverwendung von Passwörtern.

Passkeys begegnen diesen Herausforderungen durch die Verwendung eines Paars kryptografischer Schlüssel: einem privaten Schlüssel, der sicher auf dem Gerät des Benutzers gespeichert ist, und einem entsprechenden öffentlichen Schlüssel, der beim Dienst registriert ist. Wenn ein Login-Versuch stattfindet, sendet der Dienst eine Herausforderung, die nur mit dem privaten Schlüssel des Benutzers gelöst werden kann. Dies stellt sicher, dass Angreifer, selbst wenn sie Daten abfangen oder versuchen, Benutzer zur Preisgabe von Anmeldeinformationen zu verleiten, keinen unbefugten Zugriff erhalten können.

Passkeys verwenden asymmetrische Kryptografie:

• Privater Schlüssel (Client-seitig): Sicher im Secure Enclave des Geräts gespeichert, unzugänglich für andere Apps oder sogar das Betriebssystem selbst.
• Öffentlicher Schlüssel (Server-seitig): Beim Backend der Anwendung registriert, aber ohne den privaten Schlüssel allein nutzlos. Da der Benutzer den privaten Schlüssel niemals über das Netzwerk sendet und kein „geteiltes Geheimnis“ zum Eintippen hat, werden Phishing-Versuche weitgehend wirkungslos. Angreifer können Benutzer nicht dazu verleiten, etwas einzugeben, das sie nicht kennen, und das Abfangen des öffentlichen Schlüssels bietet keinen Vorteil. Diese Architektur, unterstützt durch Standards wie FIDO2 und WebAuthn, stellt sicher, dass der gesamte Authentifizierungsablauf auf nachweisbaren kryptografischen Operationen anstatt auf vom Benutzer eingegebenen Anmeldeinformationen basiert.

Dies ist besonders wichtig für Systeme, bei denen neben nativen Apps auch Websites genutzt werden, wo Phishing ein großes Problem darstellt. Auf einem Mobilgerät erstellte Passkeys können über Cross-Device-Authentifizierung auch auf Websites auf einem Desktop-Computer verwendet werden.

Einer der Hauptvorteile von Passkeys ist ihre nahtlose Portabilität über die Geräte eines Benutzers hinweg. Moderne Betriebssysteme können Passkeys über sicheren Cloud-Speicher (z. B. iCloud Keychain, Google Password Manager) synchronisieren, sodass sich Benutzer von mehreren Geräten aus anmelden können, ohne sich bei der ersten Installation der App erneut registrieren oder Passwörter merken zu müssen. Darüber hinaus können Passkeys auch in Szenarien verwendet werden, in denen ein zweiter Faktor erforderlich wäre, um einen Zwei-Faktor-ähnlichen Schutz ohne zusätzliche Reibung zu bieten. Diese Synergie ermöglicht schnelle, sichere Logins, egal welches Gerät der Benutzer wählt, und stärkt ein Ökosystem, in dem sichere Authentifizierung sowohl universell zugänglich als auch einfach zu handhaben ist.

Passkeys stellen eine leistungsstarke, Phishing-resistente Methode zur Authentifizierung unbekannter Benutzer bei Remote-Diensten dar. Durch die Nutzung asymmetrischer Kryptografie und den Wechsel von geteilten Geheimnissen zu geräteinternen privaten Schlüsseln beseitigen sie viele der Schwächen, die passwortbasierte Systeme plagten. Passkeys kombinieren robuste Sicherheit, globale Portabilität und direkte Integration mit Hardware-Sicherheitskomponenten. Daher dienen sie als starke Grundlage für die Feststellung der Benutzeridentität – etwas, das die lokale Biometrie allein nicht bieten kann. Im Kontext nativer Apps sind Passkeys der entscheidende erste Schritt zur Schaffung einer sicheren Sitzung, nach der die lokale Biometrie eingesetzt werden kann, um einen schnellen und bequemen Benutzerzugriff aufrechtzuerhalten.

Wenn es um die Authentifizierung in nativen Apps geht, spielen Passkeys und lokale Biometrie wichtige, aber unterschiedliche Rollen. Obwohl beide das Benutzererlebnis und die Sicherheit verbessern, adressieren sie grundlegend verschiedene Probleme:

• Passkeys authentifizieren unbekannte Benutzer bei einem Remote-Dienst, oft beim ersten Login oder beim Erstellen einer neuen Sitzung.
• Lokale Biometrie, wie Face ID oder Touch ID, verifiziert einen bereits authentifizierten Benutzer lokal erneut und gewährleistet so Kontinuität und Komfort für laufende Sitzungen.

Das Verständnis dieser Unterschiede ist für Entwickler, die robuste Authentifizierungsabläufe erstellen möchten, die sowohl sicher als auch benutzerfreundlich sind, von entscheidender Bedeutung.

Um die Unterschiede und die sich ergänzenden Rollen von Passkeys und lokaler Biometrie besser zu verstehen, vergleicht die folgende Tabelle ihre Hauptmerkmale in verschiedenen Dimensionen, einschließlich Zweck, Anwendungsfälle, Sicherheit und Portabilität. Dieser Vergleich hebt hervor, wie diese Technologien grundlegend unterschiedliche Probleme angehen und gleichzeitig zusammenarbeiten, um sowohl die Sicherheit als auch den Benutzerkomfort zu verbessern.

Obwohl die Tabelle die Kernunterschiede hervorhebt, ist es wichtig zu erkennen, dass Passkeys und lokale Biometrie keine konkurrierenden Technologien sind – sie ergänzen sich. Zusammen bieten sie ein mehrschichtiges Authentifizierungserlebnis:

1. Passkeys für die initiale Authentifizierung, erneuten Login und MFA Passkeys sind wichtig, um Vertrauen zwischen einem Benutzer und einem Remote-Dienst herzustellen. Sie bieten eine Phishing-resistente, plattform- und geräteübergreifende Authentifizierung durch die Verwendung asymmetrischer Kryptografie. Dies stellt sicher, dass Angreifer, selbst wenn sie Daten abfangen, nicht auf Benutzerkonten zugreifen können. Mit nahtloser Cloud-Synchronisation (z. B. iCloud Keychain oder Google Password Manager) ermöglichen Passkeys den Benutzern, sich mühelos über verschiedene Geräte hinweg anzumelden, was sie ideal für erstmalige Anmeldungen, Neuinstallationen oder Multi-Faktor-Authentifizierungs- (MFA) Szenarien macht. Sie dienen auch als Brücke zwischen mobilen Apps und Websites und bieten ein konsistentes und sicheres Erlebnis über ein ganzes Ökosystem hinweg. Für Apps, die eine erhöhte Sicherheit erfordern, können Passkeys traditionelle Zweitfaktor-Methoden durch eine eigenständige MFA-Lösung ersetzen.
2. Lokale Biometrie zur laufenden Verifizierung: Einmal authentifiziert, bietet die lokale Biometrie einen schnellen, sicheren und reibungslosen Zugriff auf Apps, indem sie überprüft, ob derselbe autorisierte Benutzer das Gerät bedient. Im Gegensatz zu Passkeys sind lokale biometrische Überprüfungen gerätezentriert und offline und verlassen sich auf sichere Hardware-Enklaven zur Speicherung und Verarbeitung von Daten. Dies stellt sicher, dass sensible Informationen das Gerät niemals verlassen, was eine zusätzliche Sicherheitsebene ohne ständige Benutzereingaben hinzufügt. Indem sie die Notwendigkeit zur erneuten Eingabe von Anmeldeinformationen reduzieren, verbessern lokale Biometrien das Benutzererlebnis, insbesondere bei Apps, die sensible Informationen wie Banking oder Gesundheitswesen verarbeiten. Sie schützen laufende Sitzungen, indem sie den Gerätehalter verifizieren und so Komfort ohne Sicherheitskompromisse gewährleisten.

Durch die Kombination von Passkeys und lokaler Biometrie können Entwickler einen sicheren, nahtlosen und benutzerfreundlichen Authentifizierungsablauf bereitstellen.

Durch die Kombination von Passkeys und lokaler Biometrie können Entwickler einen robusten Authentifizierungsablauf erstellen, der:

• Die Sicherheit verbessert: Passkeys schützen vor Phishing, Credential Stuffing und Passwortdiebstahl, während lokale Biometrie den unbefugten Zugriff auf authentifizierte Sitzungen verhindert.
• Das Benutzererlebnis verbessert: Lokale Biometrie eliminiert die Notwendigkeit, wiederholt Passwörter oder Passkeys einzugeben, und schafft so ein reibungsloses Erlebnis nach der initialen Authentifizierung. Falls eine erneute Authentifizierung aufgrund von Timeouts oder Abmeldungen erforderlich ist, ist die erneute Authentifizierung so einfach wie das Entsperren der App.
• Den Zugriff über mehrere Geräte vereinfacht: Passkeys ermöglichen eine plattformübergreifende Authentifizierung, während lokale Biometrie eine bequeme Sicherheit auf Geräteebene bietet. Wenn Passkeys im Web verwendet werden, ist das Hinzufügen zur nativen App ein wichtiger zusätzlicher Schritt, um die Lücke zu schließen und dem Benutzer ein vollständiges Passkey-Erlebnis zu bieten.

Diese Synergie stellt sicher, dass Apps sowohl starke Authentifizierung als auch nahtlosen Komfort bieten können – eine gewinnbringende Kombination für die Erwartungen moderner Benutzer.

Um ein besseres Verständnis dafür zu bekommen, wie Beispiele und Kombinationen aus der Praxis funktionieren, werden wir zwei verschiedene Implementierungen untersuchen: eine, die nur Passkeys nutzt, und eine andere, die einen kombinierten Ansatz verwendet.

Die Kayak-App demonstriert eine Implementierung von Passkeys zur Benutzerauthentifizierung. Passkeys sind nahtlos in den Anmeldeprozess integriert und bieten den Benutzern die Möglichkeit, sich zu authentifizieren, ohne sich ihre E-Mail-Adresse oder ihr Passwort merken zu müssen. Wie auf dem Authentifizierungsbildschirm gezeigt, können Benutzer direkt einen Passkey auswählen, um sich anzumelden. Dieser Ansatz vereinfacht das Benutzererlebnis erheblich, indem er die kognitive Belastung reduziert und passwortbedingte Reibung eliminiert.

Sobald der Benutzer über einen Passkey authentifiziert ist, erhält er uneingeschränkten Zugriff auf die App, ohne dass eine erneute Authentifizierung erforderlich ist. Dieses Design eignet sich besonders für Kayak, eine Reise-App, die hauptsächlich Buchungshistorien und Reiserouten verwaltet, die nicht als hochsensible oder kritische Daten gelten.

Wichtige Highlights des Ansatzes von Kayak:

• Passkey-Login auf dem Authentifizierungsbildschirm: Die App bietet sofort den Passkey-Login an, was die Schritte reduziert und den Benutzerkomfort erhöht.
• Kein lokaler biometrischer Schutz nach dem Login: Da die App keine sensiblen persönlichen Daten verarbeitet, hat sich Kayak entschieden, keine lokalen biometrischen Schutzmaßnahmen wie Face ID oder Fingerabdrucksperre für den eingeloggten Zustand zu implementieren. Diese Entscheidung steht im Einklang mit den Datensicherheitsanforderungen der App und sorgt gleichzeitig für ein reibungsloses Erlebnis für die Benutzer.

Diese Implementierung zeigt, wie Passkeys den Authentifizierungsprozess optimieren und gleichzeitig die Notwendigkeit von Passwörtern eliminieren können, was den Benutzern ein reibungsloses Erlebnis bietet. In Szenarien, in denen jedoch sensiblere oder kritischere Aktionen innerhalb der App ausgeführt werden, können zusätzliche Sicherheitsebenen wie lokale Biometrie erforderlich sein. Schauen wir uns an, wie GitHub sowohl Passkeys als auch Biometrie nutzt, um Sicherheit zu gewährleisten, ohne die Benutzerfreundlichkeit zu beeinträchtigen.

GitHub balanciert die Integration von Passkeys für einen sicheren Login mit lokaler Biometrie, um App-Inhalte im eingeloggten Zustand zu schützen. Passkeys werden als schnelle, Phishing-resistente Login-Option angeboten, was angesichts der Anforderungen von GitHub an die Multi-Faktor-Authentifizierung (MFA) besonders wichtig ist. Dies erspart den Benutzern die Verwaltung von Passwörtern oder Einmal-Passcodes und bietet ein nahtloses und sicheres Login-Erlebnis. Für diesen Artikel werden wir uns jedoch nicht ihre Passkey-Implementierung ansehen.

GitHubs zusätzliche Sicherheitsebene mit lokaler Biometrie: Da GitHub auch sensible Operationen wie das Mergen von Pull-Requests anbietet, ermöglicht GitHub den Benutzern, den lokalen biometrischen Schutz zu aktivieren, wenn sie es für notwendig halten. In diesem Beispiel wird Face ID verwendet, um die App auf iOS zu sperren, um sicherzustellen, dass nur der Gerätebesitzer auf die GitHub-App zugreifen oder sie ausführen kann. Die App fordert explizit die erforderlichen Berechtigungen vom Betriebssystem an, um die Biometrie zu aktivieren, und bietet konfigurierbare Intervalle (z. B. sofort oder nach einem definierten Timeout).

Wichtige Highlights des Ansatzes von GitHub:

• Passkey-Login für MFA-Konformität: GitHub nutzt Passkeys, um sichere Logins zu optimieren, ohne die Standards der Multi-Faktor-Authentifizierung zu beeinträchtigen.
• Biometrische Sperre zum Schutz der App: Durch die Verwendung lokaler Biometrie wie Face ID stellt GitHub sicher, dass eingeloggte Sitzungen nicht von unbefugten Personen missbraucht oder auf sie zugegriffen werden kann. Diese zusätzliche Sicherheitsebene ist entscheidend für Apps, die sensible Benutzerdaten oder -aktionen verarbeiten.

Zusammen veranschaulichen diese Beispiele, wie Passkeys und lokale Biometrie auf die Bedürfnisse verschiedener Apps zugeschnitten werden können, um den Benutzerkomfort mit angemessenen Sicherheitsmaßnahmen in Einklang zu bringen.

Nachfolgend finden Sie vier Empfehlungen, die auf gängige Szenarien zugeschnitten sind, in denen lokale Biometrie und Passkeys implementiert werden könnten. Die Empfehlungen sind so strukturiert, dass Entwickler, Produktmanager und Entscheidungsträger schnell erkennen können, welcher Ansatz am besten zu ihrer Situation passt. Eine zusammenfassende Tabelle folgt, die es einfach macht, jede Empfehlung einem bestimmten Szenario zuzuordnen:

1. Für regulierte, sensible oder hochwertige Daten-Apps: Passkeys + lokale Biometrie Wenn Ihre App mit kritischen, persönlichen, regulierten oder hochsensiblen Daten (z. B. Finanz-, Gesundheits-, Regierungs-, personenbezogene Daten) umgeht, implementieren Sie lokale Biometrie für eine sichere, reibungslose erneute Authentifizierung. Dies stellt sicher, dass der laufende Zugriff auf sensible Funktionen nach der Anmeldung der Benutzer durch geräteinterne Faktoren (Face ID, Touch ID, Fingerabdruck-Scan) geschützt ist, ohne dass Anmeldeinformationen erneut eingegeben werden müssen. Gleichzeitig ist dies auch ein starkes Indiz dafür, Passkeys zu implementieren und die MFA-Anforderung für alle Gerätetypen durchzusetzen. Hier kann Ihnen die Corbado Enterprise Passkey Suite helfen, insbesondere wenn Sie eine groß angelegte Bereitstellung durchführen und sicherstellen möchten, dass Sie eine 100%ige Passkey-Akzeptanz erreichen können.
2. Groß angelegte Verbraucher-App: Passkey-Integration über alle Geräte hinweg Auch außerhalb sensibler Bereiche ist eine Passkey-Implementierung sinnvoll, um Phishing zu vermeiden und den Schmerz mit Passwörtern zu beseitigen. Stellen Sie bei der Planung eines Passkey-Rollouts sicher, dass er Teil einer ganzheitlichen Authentifizierungsstrategie ist, die alle Gerätetypen umfasst, einschließlich nativer Apps, Web-Schnittstellen und anderer verbundener Endpunkte. Behandeln Sie Passkeys nicht als einmaliges Feature; integrieren Sie sie stattdessen konsistent über Mobilgeräte, Desktops und das Web, um ein einheitliches und benutzerfreundliches Login-Erlebnis zu bieten. Wenn Passkeys bereits Teil Ihrer Web-Authentifizierung sind, ist es unerlässlich, diese Funktionalität auf Ihre nativen Apps auszuweiten. Dies gewährleistet ein konsistentes, sicheres und benutzerfreundliches Login-Erlebnis auf allen Plattformen und nutzt die starke Sicherheit und den Komfort von Passkeys überall dort, wo Ihr Dienst angeboten wird.
3. Greenfield- oder eigenständige Apps: Für neue (Greenfield) Anwendungen oder eigenständige Apps ohne Altlasten bei der Authentifizierung aus dem Web, erwägen Sie, von Anfang an mit Passkeys zu starten. Dadurch schaffen Sie ein zukunftssicheres Authentifizierungsschema, das Passwortprobleme eliminiert und den Grundstein für reibungslose und sichere Benutzerreisen auf allen Plattformen legt. Werfen Sie einen Blick auf unsere Corbado Complete-Lösung.
4. Vermeiden Sie Teilimplementierungen für Ökosysteme mit mehreren Geräten: Wenn Ihr Dienst mehrere Gerätetypen (z. B. Mobil, Web und Desktop) umfasst, führen Sie Passkeys nicht nur in einer Umgebung ein. Teilimplementierungen verringern die Konsistenz und können Benutzer verwirren. Führen Sie Passkeys stattdessen einheitlich ein, um überall ein reibungsloses, einheitliches Login-Erlebnis zu gewährleisten. Ein schrittweiser Rollout oder zuerst auf den größten Gerätetypen und dann in der nativen App ist sinnvoll, sollte aber innerhalb eines kurzen Zeitrahmens erfolgen.

Obwohl die obigen Empfehlungen eine Reihe gängiger Szenarien abdecken, gibt es unzählige andere Situationen, in denen die Entscheidung für die Implementierung von lokaler Biometrie, Passkeys oder beidem variieren kann. Jede Anwendung hat einzigartige Sicherheits-, Usability- und Compliance-Anforderungen, und es ist für Entwickler, Produktmanager und Geschäftsleiter unerlässlich, diese Faktoren gründlich zu bewerten, bevor sie sich für einen Ansatz entscheiden. Indem Sie Ihre spezifischen Anwendungsfälle, regulatorischen Anforderungen und Benutzererwartungen sorgfältig abwägen, können Sie eine Authentifizierungsstrategie entwickeln, die nicht nur Ihre Benutzer und deren Daten schützt, sondern auch das nahtlose, benutzerfreundliche Erlebnis bietet, das die Kunden von heute erwarten.

Wie wir gesehen haben, spielen lokale Biometrie und Passkeys grundlegend unterschiedliche, aber sich ergänzende Rollen in modernen Authentifizierungsstrategien. Lokale Biometrie vereinfacht die laufende Sitzungsüberprüfung, indem sie die angeborenen Merkmale des Benutzers für schnelle, geräteinterne Überprüfungen nutzt, während Passkeys eine sichere und Phishing-resistente Vertrauensbeziehung mit Remote-Diensten herstellen. Durch die durchdachte Kombination dieser Methoden können Entwickler ein Benutzererlebnis schaffen, das sowohl reibungslos als auch hochsicher ist und die Bedürfnisse einer vielfältigen und anspruchsvollen digitalen Landschaft effektiv erfüllt. Um auf die Fragen aus der Einleitung zurückzukommen:

• Passkeys vs. lokale Biometrie: Wie unterscheiden sich lokale Biometrie und Passkeys in ihren Rollen und Funktionen? Lokale Biometrie bietet eine bequeme, gerätezentrierte erneute Verifizierung für bereits authentifizierte Benutzer und stellt sicher, dass der rechtmäßige Besitzer das Gerät kontinuierlich kontrolliert. Im Gegensatz dazu ersetzen Passkeys geteilte Geheimnisse wie Passwörter und ermöglichen eine sichere, initiale Remote-Authentifizierung und eine einfache geräteübergreifende Portabilität, wodurch Phishing-Risiken eliminiert und ein einheitliches Login-Erlebnis über Plattformen und Formfaktoren hinweg geboten wird.
• Passkeys zu Apps mit lokaler Biometrie hinzufügen: Ist es sinnvoll, Passkeys zu Apps hinzuzufügen, die bereits Biometrie verwenden? Ja, das ist oft sinnvoll. Biometrie allein stellt keine anfängliche Benutzeridentität bei Remote-Diensten her, während Passkeys dies tun. Die Einbindung von Passkeys neben bestehender lokaler Biometrie kann die Gesamtsicherheit stärken und gleichzeitig den Benutzerkomfort erhalten. Passkeys übernehmen den kritischen ersten Schritt der Authentifizierung und der geräteübergreifenden Portabilität, während die Biometrie den nachfolgenden Zugriff und die laufende Sitzungsüberprüfung optimiert.

Indem Entwickler und Entscheidungsträger die unterschiedlichen, aber sich gegenseitig ergänzenden Rollen von Passkeys und lokaler Biometrie erkennen, können sie einen umfassenden Authentifizierungsansatz implementieren, der Sicherheit, Komfort und Benutzerzufriedenheit in Einklang bringt. Dadurch werden Anwendungen widerstandsfähiger gegen Bedrohungen, einfacher zu navigieren und anpassungsfähiger an sich entwickelnde Benutzer- und regulatorische Anforderungen – und schaffen letztendlich eine nahtlose und vertrauenswürdige digitale Umgebung.