---
url: 'https://www.corbado.com/de/blog/testing-passkeys'
title: 'Testen von Passkey-Implementierungen (Enterprise Passkeys Guide 5)'
description: 'Passkey-Testing: Umfassender Leitfaden zu Funktions-, Performance- und Penetrationstests für sichere, reibungslose Authentifizierung in Enterprise-Anwendungen.'
lang: 'de'
author: 'Vincent Delitz'
date: '2026-05-22T15:51:53.982Z'
lastModified: '2026-05-22T15:55:52.850Z'
keywords: 'Passkey-Testing, Passkey-Test, Penetrationstest, Pen-Test, Lasttest, UAT-Test, Sicherheitstest'
category: 'Passkeys Strategy'
---

# Testen von Passkey-Implementierungen (Enterprise Passkeys Guide 5)

## Übersicht: Enterprise Guide

- Einführung
- Teil 1: Erste Bewertung und Planung
- Teil 2: Einbindung der Stakeholder
- Teil 3: Produkt-, Design- & Strategieentwicklung
- Teil 4: Integration von Passkeys in einen Enterprise-Stack

## 1. Einführung

Nach der Integration von Passkeys in Ihren Enterprise-Stack und dem Abschluss der Implementierung ist die nächste kritische Phase sicherzustellen, dass das System reibungslos funktioniert und alle internen Standards erfüllt. Dies erfordert umfassende Tests und eine sorgfältig geplante Release-Strategie. Im Unternehmenskontext, in dem Systeme komplex und die Nutzerzahlen hoch sind, sind strenge Tests und Überwachung unerlässlich, um Risiken zu minimieren und einen reibungslosen Rollout zu gewährleisten.

In diesem Artikel konzentrieren wir uns auf:

- **Funktionstests:** Welche wesentlichen Funktionstests sind erforderlich, um die Passkey-Implementierung zu validieren?

- **Nicht-funktionale Tests**: Wie können wir sicherstellen, dass das System Leistungs-, Sicherheits- und Zuverlässigkeitsstandards entspricht?

Indem wir diese kritischen Fragen behandeln, möchten wir einen umfassenden Leitfaden zum Testen Ihrer Passkey-Implementierung bieten. Dies trägt dazu bei, dass Ihr Deployment robust und sicher ist und Ihren Nutzern ein nahtloses Erlebnis bietet. Lassen Sie uns auf die Details des Testens im Unternehmenskontext eingehen und die notwendigen Schritte für einen erfolgreichen Passkey-Rollout skizzieren.

## 2. Wie man Passkey-Implementierungen testet

Testing und Qualitätssicherung sind entscheidende Komponenten für die erfolgreiche Bereitstellung von Passkeys in einer Unternehmensumgebung. Angesichts der Komplexität großer Enterprise-Systeme und der großen Anzahl von Nutzern, die sie bedienen, ist es wichtig sicherzustellen, dass jeder Aspekt der Passkey-Implementierung korrekt funktioniert und den internen Standards entspricht, bevor ein vollständiger Rollout erfolgt. Dies erfordert einen umfassenden Testansatz, der sowohl funktionale als auch nicht-funktionale Aspekte des Systems berücksichtigt. Da Tests und Qualitätssicherung in Unternehmen sehr unterschiedlich gehandhabt werden, möchten wir kurz zusammenfassen, was unserer Meinung nach die wichtigsten Punkte sind:

1. **User Acceptance Testing/Manuelles Testing**: Ermöglicht es Testern, das System so zu erleben, wie es echte Nutzer tun würden, wodurch Usability-Probleme aufgedeckt und logische Workflows sichergestellt werden.
    - **Passkey-Registrierung und -Authentifizierung**: Stellen Sie sicher, dass Nutzer erfolgreich Passkeys erstellen und sich geräte- und plattformübergreifend damit authentifizieren können.

    - **Benutzeroberfläche und -erlebnis**: Überprüfen Sie, ob die Benutzeroberfläche intuitiv und reaktionsschnell ist sowie ein nahtloses Erlebnis bietet.

    - **Fehlerbehandlung**: Testen Sie, wie das System mit falschen Eingaben, fehlgeschlagenen Authentifizierungen und Edge Cases umgeht, um sicherzustellen, dass dem Nutzer angemessenes Feedback und Wiederherstellungsoptionen geboten werden.

    - **Usability-Bewertung**: Beurteilen Sie die Benutzerfreundlichkeit und Intuitivität der Passkey-Implementierung aus der Perspektive des Endnutzers.

    - **Barrierefreiheit**: Überprüfen Sie, ob das System den Standards für Barrierefreiheit entspricht, um allen Nutzern gerecht zu werden.

    - **Geräteübergreifende Szenarien**: Testen Sie manuell auf einer Vielzahl von Geräten, um Inkonsistenzen oder gerätespezifische Probleme zu identifizieren.

2. **Automatisierte Tests**: Ergänzen das manuelle User Acceptance Testing, indem sie die effiziente Durchführung wiederkehrender Aufgaben und Regressionstests ermöglichen.
    - **Regressionstests**: Testen Sie bestehende Funktionalitäten automatisch erneut, um sicherzustellen, dass neue Code-Änderungen keine Fehler einführen.

    - **Performance-Skripte**: Nutzen Sie automatisierte Tools, um Nutzeraktionen unter verschiedenen Bedingungen und Lasten zu simulieren.

    - **Continuous Integration**: Integrieren Sie automatisierte Tests in die Entwicklungspipeline, um Probleme frühzeitig zu erkennen.

3. **Passkey-Intelligence-Tests**: Kritisch aufgrund der Vielfalt der von Enterprise-Nutzern verwendeten Geräte, Betriebssysteme und Browser.
    - **Kompatibilitätstests**: Stellen Sie sicher, dass das Passkey-System plattform- und browserübergreifend reibungslos funktioniert.

    - **Gerätematrix**: Entwickeln Sie eine Testmatrix, die verschiedene Kombinationen von Geräten, OS-Versionen und Browsern abdeckt.

    - **Emulatoren und echte Geräte**: Nutzen Sie sowohl Emulatoren für eine breite Abdeckung als auch echte Geräte für genaue Ergebnisse.

4. **Nicht-funktionale Tests**: Behandeln Leistungs-, Sicherheits- und Zuverlässigkeitsaspekte des Passkey-Systems.
    - **Performance- und Lasttests**: Validieren Sie, dass das System die erwarteten Authentifizierungsvolumina ohne Leistungseinbußen bewältigen kann.

    - **Sicherheitstests**: Führen Sie Penetrationstests und Schwachstellenbewertungen durch, um potenzielle Sicherheitsrisiken zu identifizieren und zu mindern.

Die Integration dieser Überlegungen in den Testing- und Qualitätssicherungsprozess reduziert die Risiken, die mit der Einführung einer neuen Authentifizierungsmethode wie Passkeys verbunden sind. In den folgenden Abschnitten werden wir jeden Schritt durchgehen und erläutern, wie Corbado und das Corbado Connect System in diesen Situationen helfen können.

[Watch on YouTube](https://www.youtube.com/watch?v=8GaNhrY5TMY)

## 3. Funktionstests für Passkeys

Funktionstests sind eine kritische Phase bei der Bereitstellung von Passkeys in einer Unternehmensumgebung. Sie konzentrieren sich darauf zu überprüfen, ob alle Features und Funktionen der Passkey-Implementierung wie vorgesehen arbeiten. Diese Art des Testens stellt sicher, dass das System die festgelegten Anforderungen erfüllt und ein nahtloses Nutzererlebnis bietet. Funktionstests dienen als Grundlage der Qualitätssicherung, da sie die Kernoperationen des Authentifizierungssystems validieren, bevor zu nicht-funktionalen Aspekten wie Leistung und Sicherheit übergegangen wird.

**Hauptziele der Funktionstests:**

- **Überprüfung der Features**: Sicherstellen, dass alle passkeybezogenen Features wie Registrierung, Authentifizierung und Verwaltung korrekt funktionieren.

- **Validierung der Nutzererfahrung**: Beurteilung der Usability und Intuitivität der Passkey-Implementierung aus der Perspektive des Endnutzers.

- **Fehlerbehandlung**: Bestätigen, dass das System Fehler elegant handhabt und den Nutzern informatives Feedback gibt.

- **Kompatibilität**: Testen auf verschiedenen Geräten, Betriebssystemen und Browsern, um ein konsistentes Erlebnis für alle Nutzer zu gewährleisten.

Im Kontext von Passkeys umfassen Funktionstests eine umfassende Untersuchung aller Nutzerinteraktionen, Authentifizierungs-Flows und Systemantworten. Es ist wichtig, sowohl typische Nutzerszenarien als auch Edge Cases zu testen, um sicherzustellen, dass sich das System unter allen Bedingungen korrekt verhält. Durch die gründliche Validierung jeder Funktion können Unternehmen Probleme frühzeitig im Bereitstellungsprozess erkennen und beheben, was das Risiko von Störungen während des Live-Rollouts verringert.

### 3.1 User Acceptance Testing (UAT): Wie testet man eine Passkey-Implementierung?

Beim User Acceptance Testing (UAT) interagieren menschliche Tester manuell mit dem Passkey-System, um dessen Funktionalität und das Nutzererlebnis zu validieren. Dieser praktische Ansatz ist entscheidend, um Probleme aufzudecken, die automatisierte Tests möglicherweise übersehen, wie Usability-Probleme, Inkonsistenzen in der Benutzeroberfläche und gerätespezifisches Verhalten. Im Kontext der Passkey-Implementierung ermöglicht das manuelle Testen den Testern, die Authentifizierungs-Flows so zu erleben, wie echte Nutzer es tun würden, und liefert wertvolle Einblicke in die Effektivität und Intuitivität des Systems.

**Wichtige Überlegungen für das User Acceptance Testing von Passkeys:**

- **Diverse Nutzerkonten:** Erstellen Sie Testkonten, die verschiedene Nutzerrollen, Statusarten oder Kontotypen innerhalb Ihrer Anwendung repräsentieren. Dies stellt sicher, dass die Passkey-Implementierung über alle Nutzersegmente hinweg korrekt funktioniert.

- **Geräte-Konto-Zuordnung:** Behalten Sie eine strikte Zuordnung zwischen Testkonten und Geräten bei. Weisen Sie bestimmten Geräten spezifische Konten zu, um geräteübergreifende Authentifizierungstests zu unterstützen. Dieser Ansatz hilft beim präzisen Testen von Szenarien, in denen sich ein Nutzer auf einem Gerät mit einem Passkey authentifiziert, der auf einem anderen Gerät erstellt wurde (verwenden Sie das +E-Mail-Muster, um sie zu identifizieren).

- **Passkey-fähige und nicht Passkey-fähige Geräte:** Nehmen Sie sowohl Passkey-fähige Geräte (die Passkeys unterstützen) als auch nicht Passkey-fähige Geräte (die dies nicht tun) in Ihre Testmatrix auf. So können Sie überprüfen, ob das System auf Geräten, die keine Passkeys unterstützen, angemessene Fallback-Authentifizierungsmethoden anbietet.

- **Geräteübergreifendes Authentifizierungstesten:** Testen Sie Cross-Device-Authentifizierungsszenarien, bei denen ein auf einem Gerät erstellter Passkey zur Authentifizierung auf einem anderen Gerät verwendet wird. Dies umfasst das Testen des Scannens von QR-Codes, die eine geräteübergreifende Passkey-Authentifizierung ermöglichen.

- **Plattformübergreifende Konsistenz:** Stellen Sie sicher, dass das Nutzererlebnis und die Funktionalität über verschiedene Plattformen, Betriebssysteme und Browser hinweg konsistent sind. Achten Sie besonders auf gerätespezifisches Verhalten und Unterschiede in der Benutzeroberfläche.

**Welche Funktionalität sollte getestet werden?**

1. **Passkey-Registrierung und -Authentifizierung**:
    - **Erstellen eines Passkeys**: Testen Sie den Prozess der Registrierung eines neuen Passkeys und stellen Sie sicher, dass Nutzer Passkeys erfolgreich auf verschiedenen Geräten einrichten können.

    - **Anmelden mit Passkeys**: Überprüfen Sie, ob sich Nutzer mit ihren registrierten Passkeys auf verschiedenen Plattformen authentifizieren können und dass der Anmeldeprozess reibungslos und fehlerfrei verläuft.

    - **Anmelden mit Passkeys via Conditional UI**: Überprüfen Sie, ob sich Nutzer mithilfe der Conditional UI auf unterstützten Plattformen authentifizieren können und die UI angemessen reagiert.

    - **Anmelden mit einem gelöschten Passkey**: Testen Sie, ob gelöschte Passkeys korrekt verarbeitet werden. Moderne Browser (Chrome 132+, Safari 26+) unterstützen jetzt die WebAuthn Signal API, die es Servern ermöglicht, die Löschung von Credentials an den Client zu signalisieren. Testen Sie sowohl Signal-API-Flows (falls unterstützt) als auch Fallback-Fehlermeldungen (für Browser ohne Signal-API-Unterstützung). Überprüfen Sie, ob signalisierte Löschungen Passkeys aus dem Credential Picker entfernen und ob entsprechende Fehlermeldungen erscheinen, wenn die Signal API nicht verfügbar ist.

    - **Geräteübergreifende Authentifizierung**: Prüfen Sie, ob auf einem Gerät erstellte Passkeys auf anderen verwendet werden können (falls unterstützt) und dass das System solche Szenarien angemessen handhabt.

2. **Passkey-Verwaltung**:
    - **Hinzufügen von Passkeys**: Stellen Sie sicher, dass Nutzer ihren Konten mehrere Passkeys hinzufügen können, um Szenarien zu berücksichtigen, in denen Nutzer mehrere Geräte besitzen.

    - **Löschen von Passkeys**: Testen Sie die Möglichkeit, Passkeys zu entfernen, und bestätigen Sie, dass das System den Kontostatus des Nutzers korrekt aktualisiert.

    - **Auflisten von Passkeys**: Überprüfen Sie, ob Nutzer alle registrierten Passkeys einsehen können, die mit ihrem Konto verknüpft sind, mit klaren Informationen und Verwaltungsoptionen.

    - **E-Mail-Benachrichtigungen:** Bestätigen Sie, dass E-Mail-Benachrichtigungen (z. B. wenn ein Passkey hinzugefügt oder gelöscht wird) korrekt ausgelöst und an die richtigen Kunden-E-Mail-Adressen gesendet werden. Diese Benachrichtigungen sollten ordnungsgemäß lokalisiert sein, klare Anweisungen sowie Beschreibungen der Passkeys enthalten und den Branding-Richtlinien entsprechen.

3. **Zusammenspiel mit bestehender MFA-Logik**:
    - **MFA-Statusänderungen**: Testen Sie, wie sich das Aktivieren oder Deaktivieren von Passkeys auf den MFA-Status (Multi-Faktor-Authentifizierung) des Nutzers auswirkt. Einschließlich des Entfernens aller Passkeys aus dem Konto.

    - **Fallback-Mechanismen**: Stellen Sie sicher, dass den Nutzern alternative Authentifizierungsmethoden wie Passwörter oder OTPs angeboten werden, wenn die Passkey-Authentifizierung nicht verfügbar ist (z. B. auf nicht unterstützten Geräten).

    - **MFA-Umstellung**: Validieren Sie den Übergangsprozess von traditionellen MFA-Methoden zu Passkeys und stellen Sie sicher, dass bestehende Sicherheitsmaßnahmen intakt bleiben.

4. **Benutzeroberfläche und -erlebnis**:
    - **Usability-Bewertung**: Beurteilen Sie, ob die Passkey-Workflows intuitiv und nutzerfreundlich sind und Verwirrung sowie Fehler minimieren.

    - **Barrierefreiheit**: Bestätigen Sie, dass die Benutzeroberfläche die Standards für Barrierefreiheit (z. B. WCAG-Richtlinien) erfüllt, um bei Bedarf Nutzer mit Behinderungen zu unterstützen.

    - **Lokalisierung und Sprachunterstützung**: Überprüfen Sie, ob die Passkey-Funktionen korrekt für verschiedene Regionen und Sprachen lokalisiert sind, falls zutreffend.

5. **Fehlerbehandlung und Edge Cases**:
    - **Geräte ohne Plattform-Authenticator:** Testen Sie das Verhalten, wenn das Gerät Passkeys nicht unterstützt (d. h. wenn isUserVerifyingPlatformAuthenticatorAvailable() false zurückgibt oder nicht definiert ist). Bestätigen Sie, dass das System Passkey-Optionen ausblendet, geeignete alternative Authentifizierungsmethoden anbietet oder auf einen Fallback zurückgreift.

    - **Abgebrochene Passkey-Ceremonies:** Testen Sie, wie das System mit Situationen umgeht, in denen Nutzer den Passkey-Authentifizierungsprozess abbrechen, z. B. durch Abbrechen oder Beenden während der Ceremony. Stellen Sie sicher, dass das System beim ersten Abbruch dies als normales Ereignis behandelt, klare und beruhigende Meldungen ausgibt und den Nutzer zu einem erneuten Versuch ermutigt. Wenn der Nutzer ein zweites Mal abbricht, überprüfen Sie, ob das System alternative Authentifizierungsmethoden anbietet und den Nutzer entsprechend anleitet. Dies sorgt für ein nahtloses Nutzererlebnis, selbst wenn die Passkey-Authentifizierung unterbrochen wird.

    - **Falsche Eingaben**: Testen Sie, wie das System auf ungültige Daten oder Aktionen reagiert, wie falsche biometrische Eingaben, abgebrochene Authentifizierungsversuche oder ungültige OTPs. Stellen Sie sicher, dass Fehlermeldungen klar sind und den Nutzer anleiten.

    - **Gerätespezifische Probleme**: Identifizieren und dokumentieren Sie Inkonsistenzen oder Probleme, die auf bestimmten Geräten, Betriebssystemen oder Browsern auftreten. Dies umfasst UI-Rendering-Probleme, funktionale Diskrepanzen oder Performance-Probleme.

    - **Netzwerkbedingungen**: Simulieren Sie verschiedene Netzwerkbedingungen (z. B. offline, langsame Verbindungen, intermittierende Konnektivität, Blockieren von Netzwerkverbindungen via Entwickler-Erweiterung), um zu sehen, wie das System mit Verbindungsproblemen während der Authentifizierung umgeht. Stellen Sie sicher, dass das System angemessenes Feedback und Wiederherstellungsoptionen bietet.

6. **Account-Lifecycle-Szenarien:**
    - **Kontoerstellung und Onboarding:** Testen Sie den kompletten Onboarding-Flow für neue Nutzer, einschließlich der Passkey-Einrichtung während der Kontoerstellung oder nach der ersten Anmeldung (je nach Anwendungsfall). Überprüfen Sie, ob Nutzer Passkeys als Teil der anfänglichen MFA-Einrichtung konfigurieren können.

    - **Kontowiederherstellung:** Testen Sie Szenarien, in denen Nutzer den Zugang zu ihrem Konto wiederherstellen müssen, z. B. wenn sie den Zugang zu ihrem passkey-fähigen Gerät verlieren. Stellen Sie sicher, dass der Wiederherstellungsprozess sicher und nutzerfreundlich ist.

    - **Änderung der Handynummer:** Testen Sie den Prozess der Aktualisierung von Handynummern, insbesondere wenn Handynummern für MFA oder Kontowiederherstellung verwendet werden. Überprüfen Sie, ob Änderungen ordnungsgemäß im System abgebildet und Authentifizierungsmethoden entsprechend aktualisiert werden.

7. **Zusätzliche Funktionen basierend auf Ihrer Implementierung: Verwaltung von Kundensupport-Benachrichtigungen und mehr.**
    - **Testen Sie den kompletten Enterprise-Stack:** In diesem Artikel konzentrieren wir uns primär auf die Änderungen an Website und Authentifizierungssystem, da diese die kritischste Funktionalität darstellen. Wie in unserem vorherigen Artikel diskutiert, gibt es jedoch zusätzliche Komponenten, die an der Gesamt-Implementierung beteiligt sind. Denken Sie daran, auch alle Elemente des Enterprise-Stacks gründlich zu testen.

![integration areas passkey](https://www.corbado.com/website-assets/integration_areas_passkey_eef6c6fe20.png)

- **Kundensupport:** Während der Hauptfokus auf den Endkunden-Features liegt, testen Sie, ob die Kundensupport-Funktionalität richtig integriert ist. Überprüfen Sie, ob Support-Mitarbeiter passkeybezogene Daten einsehen und einzelne oder mehrere Passkeys im Namen des Nutzers löschen können. Stellen Sie sicher, dass die UI ausreichende Informationen für den Support-Mitarbeiter bietet, um Passkeys genau zu identifizieren und zu verwalten.

- **Sicherheit, Logging & Audit:** Validieren Sie, dass alle von Support-Mitarbeitern durchgeführten Passkey-Aktionen korrekt in den Kontoprotokollen des Nutzers und den kundenorientierten Schnittstellen widergespiegelt werden. Prüfen Sie auf Konsistenz und Integrität der angezeigten Daten über verschiedene Schnittstellen hinweg, um ein einheitliches und zuverlässiges Nutzererlebnis zu gewährleisten.

**Welche Geräte sollten zum Testen verwendet werden?**

Das Testen auf einer vielfältigen Auswahl von Geräten ist unerlässlich, um sicherzustellen, dass die Passkey-Implementierung für alle Nutzer konsistent funktioniert. Dies umfasst sowohl moderne Geräte, die Passkeys unterstützen, als auch ältere Geräte, die dies nicht tun. Hier ist eine beispielhafte Gerätematrix, die Sie basierend auf Ihrer Nutzerbasis um zusätzliche Browser erweitern können:

**Passkey-fähige Geräte:**

| **Gerätetyp**   | **Betriebssystem**   | **Browser**    |
| --------------- | -------------------- | -------------- |
| iPhone 13       | iOS 17.6.1           | Safari 17.6.1  |
| Galaxy S21      | Android 14           | Chrome 130     |
| MacBook Pro     | macOS 15.0           | Safari 18.0    |
| Windows Laptop  | Windows 10 22H2      | Edge 131       |

**Nicht Passkey-fähige Geräte:**

| **Gerätetyp**   | **Betriebssystem**   | **Browser**    |
| --------------- | -------------------- | -------------- |
| Älteres Windows | Windows 7            | Chrome 109     |
| Älteres MacBook | macOS Catalina       | Safari 13.1    |
| Älteres Android | Android 9            | Chrome 128     |
| Älteres iPhone  | iOS 14.1             | Safari 14.1    |

Durch die Integration dieser fokussierten Teststrategien mit einer umfassenden Gerätetestmatrix legen Sie eine gute Grundlage für die Sicherung der Qualität Ihrer Passkey-Implementierung. Gründliche Tests auf diversen Geräten – sowohl passkey-fähigen als auch nicht passkey-fähigen – ermöglichen es Ihnen, potenzielle Probleme zu identifizieren und zu beheben, um allen Nutzern ein konsistentes und nahtloses Erlebnis zu gewährleisten. Zusammen tragen diese Bemühungen dazu bei, ein sicheres, nutzerfreundliches Passkey-Authentifizierungssystem bereitzustellen, das den hohen Standards einer Unternehmensumgebung entspricht. Falls Sie keinen ausreichenden Zugang zu alten Geräten haben, können Sie Dienste wie [Browserstack](https://www.browserstack.com) zum Testen nicht passkey-fähiger Geräte nutzen. Wenn Sie auf einem Mac arbeiten, können Sie auch Parallels für einen [Windows Virtual Desktop](https://corbado.com/blog/parallels-passkeys-cda) verwenden.

### 3.2 Automatisierte Tests: Wie implementiert man automatisches Passkey-Testing?

Automatisierte Tests ergänzen das manuelle Testen, indem sie ermöglichen, repetitive Aufgaben und Regressionstests effizient durchzuführen. Das Testen von Passkey-Funktionalität stellt jedoch besondere Herausforderungen dar, hauptsächlich weil echte Passkey-Autorisierungen unter Verwendung von Plattform-Authenticatoren in einer automatisierten Umgebung nicht direkt getestet werden können. Dies liegt an der Abhängigkeit von biometrischen Eingaben oder Hardware-Interaktionen, die in Standard-Test-Frameworks nicht simuliert werden können.

Um diese Einschränkung zu überwinden, stützen sich automatisierte Tests für Passkeys auf die Verwendung eines **virtuellen Authenticators**. Der [virtuelle Authenticator](https://developer.chrome.com/docs/devtools/webauthn) ist eine softwarebasierte Repräsentation eines Authenticators, die als Teil von Chromium verfügbar und über Automatisierungs-Frameworks zugänglich ist. Er ermöglicht es Entwicklern, Passkey-Registrierungs- und Authentifizierungsprozesse ohne physische Geräte oder biometrische Eingaben zu simulieren.

#### 3.2.1 Aktivierung des virtuellen Authenticators

Bevor Sie den virtuellen Authenticator in Ihren automatisierten Tests verwenden, muss er in Ihrer Testumgebung aktiviert werden. Dies umfasst in der Regel die Initiierung einer Session mit dem Debugging-Protokoll des Browsers (z. B. Chrome DevTools Protocol) und die Aktivierung der WebAuthn-Domain. Es ist wichtig zu beachten, dass der Status des virtuellen Authenticators unter bestimmten Bedingungen, wie Browser-Neustarts oder Kontextwechseln, zurückgesetzt werden kann. Daher müssen Tests sorgfältig entwickelt werden, um sicherzustellen, dass der virtuelle Authenticator konsistent initialisiert und während des gesamten Testprozesses beibehalten wird. Der Authenticator unterstützt CTAP2 und muss mit User Verification und Resident-Key-Unterstützung konfiguriert werden, um mit Passkeys zu funktionieren.

#### 3.2.2 Unterstützt Selenium 3 automatische Passkey-Tests?

Erfolgreiche Implementierungen von automatisiertem Passkey-Testing wurden mithilfe von Frameworks wie [**Selenium**](https://www.corbado.com/blog/selenium-passkeys-testing-nodejs) und [**Playwright**](https://www.corbado.com/blog/passkeys-e2e-playwright-testing-webauthn-virtual-authenticator) sowie anderen erreicht, die Zugriff auf die notwendigen Browser-Automatisierungsprotokolle bieten. Für **Selenium 4** und **Playwright** ist eine native Unterstützung für den virtuellen Authenticator verfügbar, die APIs bereitstellt, um den Lebenszyklus des virtuellen Authenticators zu verwalten und Nutzerinteraktionen zu simulieren. **Passkey-Testing mit Selenium 3** ist möglich, erfordert aber, dass Sie die Funktionalität direkt implementieren (kontaktieren Sie uns, falls Sie Hilfe benötigen).

#### 3.2.3 Testumfang

Automatisierte Tests sollten die wichtigsten Funktionalitäten Ihrer Passkey-Implementierung abdecken, einschließlich:

- **Erstellen von Passkeys**: Simulieren Sie den Prozess, bei dem ein Nutzer einen neuen Passkey registriert, und stellen Sie sicher, dass der Registrierungs-Flow korrekt funktioniert.

- **Anmelden mit einem Passkey**: Überprüfen Sie, ob sich Nutzer mit ihren registrierten Passkeys authentifizieren können und dass der Anmeldeprozess reibungslos und fehlerfrei verläuft.

- **Kontoverwaltungsfunktionen**: Testen Sie das Hinzufügen, Auflisten und Löschen von Passkeys, die mit einem Nutzerkonto verknüpft sind, um sicherzustellen, dass die Passkey-Verwaltungsfunktionen wie beabsichtigt arbeiten.

- **Fehlerzustände und Netzwerkausfälle**: Simulieren Sie fehlende Antworten des Backends; dies ist besonders für mobile Operationen wichtig, da Netzwerke nicht immer zuverlässig sind.

Durch die Integration dieser Tests in Ihre automatisierte Test-Suite können Sie kritische Passkey-Funktionalitäten konsistent validieren, das Risiko von Regressionen reduzieren und die Gesamtqualität Ihres Authentifizierungssystems verbessern.

#### 3.2.4 Zusätzliche Überlegungen

- **Simulation der User Verification**: Da der virtuelle Authenticator keine echten biometrischen Eingaben erfordert, können Sie ihn so konfigurieren, dass er Erfolg oder Misserfolg der User Verification simuliert. Dies ermöglicht es Ihnen zu testen, wie Ihr System sowohl mit erfolgreichen Authentifizierungen als auch mit Szenarien umgeht, in denen die User Verification fehlschlägt oder abgebrochen wird.

- **Umgang mit dem Status des virtuellen Authenticators**: Seien Sie sich bewusst, dass der Status des virtuellen Authenticators in bestimmten Situationen (insbesondere in Selenium 3) zurückgesetzt werden kann. Stellen Sie sicher, dass Ihre Tests den virtuellen Authenticator bei Bedarf neu initialisieren, und erwägen Sie, das Setup des virtuellen Authenticators in wiederverwendbare Funktionen oder Test-Hooks zu kapseln, um Konsistenz zu wahren.

#### 3.2.5 Tipps zur Implementierung

- **Auswahl des Frameworks**: Während Selenium und Playwright häufig verwendet werden, können auch andere Automatisierungs-Frameworks, die Zugriff auf die Debugging-Protokolle des Browsers bieten, für das Passkey-Testing genutzt werden. Wählen Sie ein Framework, das den Anforderungen Ihres Projekts entspricht und über ausreichende Unterstützung für WebAuthn-Tests verfügt.

- **Testzuverlässigkeit**: Da die Passkey-Authentifizierung asynchrone Operationen und Interaktionen mit Browser-APIs beinhaltet, sollten Sie sicherstellen, dass Ihre Tests geeignete Warte-Mechanismen enthalten, um diese asynchronen Ereignisse zu verarbeiten. Dies kann fehleranfällige (flaky) Tests verhindern und die Zuverlässigkeit verbessern.

- **Dokumentation und Beispiele**: Beziehen Sie sich auf detaillierte Leitfäden und Beispiele für die Einrichtung des virtuellen Authenticators in Ihrem gewählten Framework. Playwright bietet beispielsweise eine umfassende Dokumentation zur Verwendung des virtuellen Authenticators, einschließlich Code-Snippets und Best Practices.

Das automatisierte Testen von Passkey-Funktionalität erfordert aufgrund der damit verbundenen einzigartigen Herausforderungen eine sorgfältige Einrichtung. Indem Sie den virtuellen Authenticator nutzen und Frameworks verwenden, die ihn unterstützen, können Sie Schlüsselaspekte der Passkey-Registrierung, -Authentifizierung und -Verwaltung effektiv automatisieren. Dies stärkt Ihre Teststrategie und stellt sicher, dass Ihre Passkey-Implementierung robust, zuverlässig und bereit für den Einsatz in einer Enterprise-Umgebung ist.

### 3.3 Passkey-Intelligence-Tests

[Passkey Intelligence](https://docs.corbado.com/corbado-connect/features/passkey-intelligence) ist eine kritische Komponente bei der Bereitstellung eines nahtlosen und nutzerfreundlichen Authentifizierungserlebnisses, insbesondere wenn Passkeys mithilfe des [**Identifier-First-Ansatzes mit automatischem Login**](https://www.corbado.com/blog/passkeys-product-design-strategy#22-option-2-identifier-first-approach-automatic-login) implementiert werden. Dieser Ansatz stützt sich auf intelligente Entscheidungsfindung, um basierend auf der Verfügbarkeit von Passkeys und der Wahrscheinlichkeit einer erfolgreichen Authentifizierung zu bestimmen, wann Nutzer zur Passkey-Authentifizierung aufgefordert werden sollen. Das Testen der [Passkey Intelligence](https://docs.corbado.com/corbado-connect/features/passkey-intelligence) stellt sicher, dass Ihr System die Passkey-Verfügbarkeit genau erkennt und für jedes Nutzerszenario die optimale Authentifizierungsmethode bietet.

#### 3.3.1 Passkey Intelligence verstehen

**Passkey Intelligence** bezieht sich auf die Fähigkeit des Systems, verschiedene Signale und Metadaten zu analysieren, um zu entscheiden, wann die Passkey-Authentifizierung angeboten wird und wann auf alternative Methoden wie Passwörter oder One-Time-Passcodes (OTP) zurückgegriffen werden soll. Es verbessert das Nutzererlebnis durch:

- **Maximierung erfolgreicher Logins**: Anbieten der Passkey-Authentifizierung, wenn diese am wahrscheinlichsten erfolgreich ist.

- **Minimierung fehlgeschlagener Versuche**: Vermeidung unnötiger Passkey-Aufforderungen, wenn ein Fehlschlag wahrscheinlich ist, was die Frustration der Nutzer reduziert.

- **Optimierung des User Flow**: Bereitstellung eines nahtlosen Authentifizierungsprozesses, der auf die Umgebung und Historie jedes Nutzers zugeschnitten ist.

Diese Intelligenz ist besonders wichtig beim **Identifier-First-Ansatz**, bei dem Nutzer nach Eingabe ihres Benutzernamens oder ihrer E-Mail-Adresse möglicherweise ohne zusätzliche Eingabe automatisch zur Passkey-Authentifizierung aufgefordert werden. Eine genaue Erkennung der Passkey-Verfügbarkeit ist entscheidend, um unnötige Aufforderungen zu vermeiden und geeignete Fallback-Optionen anzubieten.

Im Gegensatz dazu erfordert der **Passkey-Button-Ansatz**, dass sich Nutzer ausdrücklich dafür entscheiden, sich mit einem Passkey zu authentifizieren, indem sie auf einen Button klicken. Obwohl [Passkey Intelligence](https://docs.corbado.com/corbado-connect/features/passkey-intelligence) das Erlebnis immer noch verbessert, indem es die Sichtbarkeit und Verfügbarkeit des Buttons bestimmt, ist es weniger kritisch als im Identifier-First-Ansatz, da die Nutzer eine aktive Wahl treffen.

#### 3.3.2 Wichtige Überlegungen für das Testen von Passkey Intelligence

Das Testen der [Passkey Intelligence](https://docs.corbado.com/corbado-connect/features/passkey-intelligence) beinhaltet die Validierung, dass Ihr System verschiedene Signale richtig interpretiert und die angemessene Authentifizierungsmethode bereitstellt. Hier sind die Hauptbereiche, auf die Sie sich konzentrieren sollten:

##### 3.3.2.1 Erkennung der Passkey-Verfügbarkeit

Damit der automatische Login korrekt funktioniert, muss Ihr System genau erkennen, ob Passkeys für einen Nutzer verfügbar sind. Die Tests sollten verschiedene Szenarien abdecken, um diese Erkennung zu validieren:

- **Nutzer ohne registrierte Passkeys**: Überprüfen Sie, ob das System nicht zur Passkey-Authentifizierung auffordert und alternative Methoden anbietet.

- **Nutzer mit registrierten Passkeys**: Bestätigen Sie, dass das System erkennt, wenn ein Nutzer einen registrierten Passkey hat, und zur Passkey-Authentifizierung auffordert.

- **Nutzer mit registrierten Passkeys, die nicht zugänglich sind:** Bestätigen Sie, dass das System erkennt, wenn ein Nutzer einen registrierten Passkey hat (z. B. unter Windows), aber versucht, sich auf seinem iPhone anzumelden, und daher keinen Passkey-Login anbietet.

- **Gerätefunktionen**: Testen Sie auf Geräten, die Passkeys unterstützen, und solchen, die dies nicht tun, um sicherzustellen, dass sich das System konto-unabhängig an das jeweilige Gerät anpasst.

- **Passkey-Synchronisation**: Prüfen Sie, ob in der Cloud gespeicherte Passkeys (z. B. iCloud Keychain, Google Password Manager) auf den richtigen Geräten geräteübergreifend erkannt werden.

##### 3.3.2.2 Testen mit verschiedenen Passkey-Providern

[Passkey Intelligence](https://docs.corbado.com/corbado-connect/features/passkey-intelligence) muss effektiv mit verschiedenen Passkey-Providern zusammenarbeiten, sowohl von Erst- als auch von Drittanbietern. Jeder Provider kann unterschiedliche Verhaltensweisen und Fähigkeiten aufweisen, was sich darauf auswirkt, wie Passkeys erkannt und genutzt werden.

![passkey storage table](https://www.corbado.com/website-assets/passkey_storage_table_6035a7582c.png)

**First-Party Provider:**

- **Windows Hello**: Microsofts biometrisches Authentifizierungssystem, das in Windows-Geräte integriert ist. Beachten Sie, dass Windows Hello-Schlüssel nicht synchronisiert werden, aber Windows hat angekündigt, dass sich dies bald ändern wird.

- **Google Password Manager**: Googles Lösung zum Speichern und Synchronisieren von Passkeys über Geräte und Browser hinweg. Beachten Sie, dass GPM nicht nur in Chrome, sondern auch auf anderen Plattformen verfügbar ist.

- **iCloud Keychain**: Apples Service zum Speichern von Passkeys und zu deren Synchronisation über Apple-Geräte hinweg.

**Third-Party Provider:**

- **1Password**: Ein beliebter Passwort-Manager, der Passkeys unterstützt und sie plattformübergreifend synchronisieren kann.

- **Dashlane**: Ein weiterer weit verbreiteter Passwort-Manager mit Passkey-Unterstützung.

- **Andere**: Je nach Nutzerbasis und Länderfokus könnten andere Drittanbieter wichtiger sein.

**Testschritte:**

- **Registrierung und Authentifizierung**: Stellen Sie sicher, dass Nutzer Passkeys von jedem Provider registrieren und zur Authentifizierung nutzen können.

- **Plattformübergreifendes Verhalten**: Überprüfen Sie, ob Passkeys bei der Verwendung von Cloud-basierten Providern geräte- und browserübergreifend korrekt synchronisiert werden.

- **Fehlerbehandlung**: Testen Sie, wie das System mit Ausfällen oder der Nichtverfügbarkeit von Passkeys spezifischer Provider umgeht.

##### 3.3.2.3 Geräteübergreifende Authentifizierungsszenarien

Die geräteübergreifende Authentifizierung ermöglicht es Nutzern, sich auf einem Gerät mit einem Passkey zu authentifizieren, der auf einem anderen Gerät gespeichert ist. Das Testen dieser Szenarien ist unerlässlich, um ein nahtloses Erlebnis sicherzustellen.

**Wichtige zu testende Szenarien:**

- **iPhone auf Windows-PC**: Nutzer versuchen sich auf einem Windows-PC mit einem Passkey anzumelden, der auf ihrem iPhone gespeichert ist.

- **Android-Smartphone auf Mac Safari**: Nutzer authentifizieren sich auf einem Mac über Safari, indem sie einen auf ihrem Android-Gerät gespeicherten Passkey verwenden.

- **Android auf Windows-PC**: Testen der Authentifizierung von einem Android-Gerät zu einem Windows-PC. Beachten Sie, dass Nutzer ab Chrome 130 möglicherweise keine Cross-Device-Authentifizierung mehr durchführen müssen.

**Testschritte:**

- **Kompatibilitätsprüfungen**: Stellen Sie sicher, dass die geräteübergreifende Authentifizierung über verschiedene Betriebssysteme und Browser hinweg funktioniert.

- **Nutzeraufforderungen und Anweisungen**: Überprüfen Sie, ob Nutzer während des Authentifizierungsprozesses klare Anweisungen erhalten.

- **Sicherheitsvalidierung**: Bestätigen Sie, dass der Authentifizierungsprozess sicher und resistent gegen Man-in-the-Middle-Angriffe ist.

##### 3.3.2.4 Umgang mit Edge Cases und Fehlern

Das Testing sollte auch Szenarien abdecken, in denen [Passkey Intelligence](https://docs.corbado.com/corbado-connect/features/passkey-intelligence) vor Herausforderungen stehen könnte:

- **Nicht verfügbare Passkeys**: Situationen, in denen Passkeys erwartet werden, aber aufgrund von Synchronisationsverzögerungen oder Netzwerkproblemen nicht verfügbar sind.

- **Abbrüche durch den Nutzer**: Nutzer brechen die Passkey-Aufforderung ab; das System sollte elegant auf alternative Methoden zurückgreifen. Stellen Sie während der Validierung sicher, dass diese erwarteten Abbruchpfade getrennt von tatsächlichen Fehlern verfolgt werden (siehe WebAuthn-Fehler).

- **Browser-Erweiterungen von Drittanbietern**: Interaktionen mit Browser-Erweiterungen oder Plugins, die die Passkey-Erkennung oder Conditional UI stören könnten.

##### 3.3.2.5 Bewertung der Passkey-Intelligence-Logik

Bewerten Sie den Entscheidungsprozess Ihres Passkey-Intelligence-Systems:

- **Datengenauigkeit**: Stellen Sie sicher, dass die für die Entscheidungsfindung verwendeten Metadaten und Signale präzise und aktuell sind sowie korrekt in der Datenbank gespeichert werden (BS Flags).

- **Adaptive Reaktionen**: Validieren Sie, dass sich das System an neue Informationen anpasst, wie neu registrierte Passkeys oder Änderungen der Gerätefunktionen.

- **Auswirkungen auf die Performance**: Prüfen Sie, ob die Intelligence-Logik keine signifikanten Verzögerungen im Authentifizierungs-Flow einführt.

##### 3.3.2.6 Testmethodik

Um Passkey Intelligence gründlich zu testen, ziehen Sie die folgende Methodik in Betracht:

1. **Erstellung von Testkonten mit verschiedenen Konfigurationen**: Richten Sie Nutzerkonten ein, die unterschiedliche Status repräsentieren, z. B. mit oder ohne registrierte Passkeys und mit verschiedenen Passkey-Providern.

2. **Verwendung einer umfassenden Gerätematrix**: Beziehen Sie eine Vielzahl von Geräten, Betriebssystemen und Browsern in Ihre Tests ein, um möglichst viele Nutzerszenarien abzudecken.

3. **Simulation unterschiedlicher Netzwerkbedingungen**: Testen Sie unter verschiedenen Netzwerkbedingungen, um zu bewerten, wie Synchronisationsverzögerungen oder Verbindungsprobleme die Passkey-Erkennung beeinflussen.

4. **Testen komplexer Szenarien**: Für die geräteübergreifende Authentifizierung und Edge Cases sind manuelle Tests erforderlich, um die Nuancen des Nutzererlebnisses vollständig zu erfassen.

5. **Analyse von Logs und Metriken**: Sammeln und analysieren Sie Logs, um zu verstehen, wie Entscheidungen der Passkey Intelligence getroffen werden, und um Unstimmigkeiten oder Fehler zu identifizieren.

##### 3.3.2.7 Best Practices

- **Das Nutzererlebnis in den Vordergrund stellen**: Stellen Sie sicher, dass der Authentifizierungs-Flow reibungslos und intuitiv bleibt, auch wenn Passkey Intelligence entscheidet, auf alternative Methoden zurückzugreifen.

- **Bleiben Sie bei Änderungen der Provider auf dem Laufenden**: Passkey-Provider können ihre Dienste aktualisieren, was sich darauf auswirkt, wie Passkeys gespeichert oder synchronisiert werden. Aktualisieren Sie Ihre Testszenarien regelmäßig, um diese Änderungen widerzuspiegeln. Abonnieren Sie unseren Substack und treten Sie unserer Slack-Community bei.

- **Ergebnisse dokumentieren**: Führen Sie detaillierte Aufzeichnungen über Testfälle, Ergebnisse und aufgetretene Probleme, um die Fehlerbehebung und zukünftige Testzyklen zu unterstützen.

Das Testen der Passkey Intelligence ist unerlässlich, um sicherzustellen, dass Ihr Authentifizierungssystem den Nutzern das bestmögliche Erlebnis bietet, insbesondere bei der Verwendung des Identifier-First-Ansatzes mit automatischem Login. Indem Sie die Erkennung der Passkey-Verfügbarkeit, Interaktionen mit verschiedenen Passkey-Providern, geräteübergreifende Authentifizierungsszenarien und die Intelligence-Logik selbst gründlich testen, können Sie Ihr System optimieren, um eine nahtlose und sichere Authentifizierung für alle Nutzerszenarien zu liefern.

### 3.4 Wie Corbado beim Enterprise-Testing helfen kann

Die Implementierung und das Testen von Passkey-Funktionalität, einschließlich Passkey Intelligence, kann komplex und ressourcenintensiv sein. Corbado bietet umfassende Lösungen, die diesen Prozess vereinfachen und ein robustes, nutzerfreundliches Authentifizierungserlebnis für Ihr Unternehmen sicherstellen.

#### 3.4.1 Gut getestete Komponenten über Browser und Geräte hinweg

Corbado bietet vorgefertigte UI-Komponenten und SDKs, die auf einer Vielzahl von Geräten, Betriebssystemen und Browsern gründlich getestet sind – einschließlich aktueller und älterer Versionen, die JavaScript unterstützen. Diese umfassenden Tests stellen sicher, dass Ihre Passkey-Implementierung für alle Nutzer konsistent funktioniert, was das Risiko gerätespezifischer Probleme verringert und die Nutzerzufriedenheit erhöht.

![passkey login biometrics](https://www.corbado.com/website-assets/passkey_login_biometrics_f21538af7a.png)

- **Browserübergreifende Kompatibilität**: Unsere Komponenten funktionieren nahtlos in allen gängigen Browsern wie Chrome, Safari, Firefox und Edge und bieten ein konsistentes Erlebnis unabhängig von der Browserwahl des Nutzers.

- **Gerätevielfalt**: Wir unterstützen sowohl passkey-fähige als auch nicht passkey-fähige Geräte, was bei Bedarf nahtlose Fallback-Mechanismen ermöglicht.

- **Responsive Design**: Die Komponenten passen sich an verschiedene Bildschirmgrößen und Auflösungen an und gewährleisten so eine optimale Usability auf Desktops, Tablets und mobilen Geräten.

- [**Fehlerzustände**](https://www.corbado.com/blog/passkey-fallback-recovery): Alle Komponenten wurden ausführlich getestet, um unter allen Netzwerkbedingungen zu funktionieren, und verfügen über präzise Fehlermeldungen sowie Fallback-Routinen für den Umgang mit von Nutzern abgebrochenen Ceremonies.

![passkey error state](https://www.corbado.com/website-assets/passkey_error_state_d7c4ca170e.png)

#### 3.4.2 Integration von automatisiertem Testen

Corbado hat die Herausforderungen beim Automatisieren von Passkey-Tests erkannt und automatisierte Testlösungen entwickelt, die in die Entwicklung unserer Komponenten und CI/CD-Pipelines integriert sind. Unsere Komponenten sind nicht nur intern gründlich getestet, sondern bringen auch automatisierte Test-Suites mit, die wir bei Enterprise-Installationen anwenden können.

- **Automatisierte Test-Suites**: Wir verfügen über umfassende automatisierte Tests, die wichtige Funktionalitäten wie Passkey-Registrierung, -Authentifizierung und -Verwaltung abdecken. Diese Tests sind darauf ausgelegt, unsere Komponenten vollständig zu überprüfen.

[Watch on YouTube](https://www.youtube.com/watch?v=f3Vj0Dd562A)

- **Managed Automated Testing Services**: Für Enterprise-Kunden bietet Corbado als Teil unseres Enterprise-Pakets verwaltete automatisierte Tests an. Wir kümmern uns um die Komplexität der Einrichtung und Pflege automatisierter Tests für Passkeys, einschließlich der Verwendung von virtuellen Authenticatoren, um sicherzustellen, dass Ihr Authentifizierungssystem auf Dauer robust bleibt.

Einen umfassenden Überblick darüber, wie wir unsere Komponenten testen, finden Sie in einem separaten Blog-Beitrag hier.

#### 3.4.3 Umfassende Passkey Intelligence

Die [**Passkey Intelligence**](https://www.corbado.com/blog/integrate-passkeys-enterprise-stack#221-passkey-intelligence)-Engine von Corbado ist eine ausgiebig getestete Lösung, die das Authentifizierungserlebnis optimiert. Durch den Einsatz fortschrittlicher Algorithmen und Echtzeitdaten erkennt unsere Passkey Intelligence präzise die Verfügbarkeit von Passkeys und bestimmt die optimale Authentifizierungsmethode für jedes Nutzerszenario.

- **Keine zusätzlichen Tests erforderlich**: Da Passkey Intelligence von Corbado vollständig abgedeckt, getestet und erweitert wird, können Sie sich auf deren Effektivität verlassen, ohne aufwendige interne Tests durchführen zu müssen.

- **Adaptive Entscheidungsfindung**: Unsere Engine passt sich an Änderungen von Gerätefunktionen, Nutzerverhalten und Passkey-Provider-Updates an, um sicherzustellen, dass Authentifizierungsaufforderungen rechtzeitig und relevant sind.

- **Maximierte Erfolgsraten**: Durch die intelligente Entscheidung, wann die Passkey-Authentifizierung angeboten wird, helfen wir dabei, erfolgreiche Anmeldeversuche zu maximieren und Nutzerfrustration durch fehlgeschlagene Versuche zu minimieren.

- **Anpassbarkeit:** Falls Sie die Passkey Intelligence anpassen möchten, um defensiver oder proaktiver zu agieren, können Sie die Regelwerke jederzeit konfigurieren und individualisieren.

#### 3.4.4 Support und Services auf Enterprise-Niveau

Für Enterprise-Kunden bietet Corbado zusätzliche Unterstützung, um Ihren Passkey-Implementierungs- und Testprozess zu optimieren.

- **Managed Automated Testing**: Wir bieten umfassende Testing-Dienstleistungen an, die die Einrichtung automatisierter Tests, die Überwachung ihrer Leistung und die Aktualisierung nach Bedarf umfassen. Dieser Service entlastet Ihr Team von der Pflege komplexer Testumgebungen.

- **Expertenberatung vor Ort**: Unser Expertenteam steht zur Verfügung, um bei Herausforderungen während der Implementierung oder beim Testen zu helfen und maßgeschneiderte Beratung sowie Lösungen für Ihre spezifischen Bedürfnisse zu liefern. Bei großen Deployments bieten wir eine Beratung vor Ort an, einschließlich Unterstützung beim Testen auf Ihrer Seite.

- **Maßgeschneiderte Lösungen**: Wir können unsere Komponenten und Services anpassen und feinabstimmen, um sie an die spezifischen Anforderungen Ihres Unternehmens, die Corporate CI und andere Standards anzupassen.

- **Reduzierter Entwicklungsaufwand**: Durch die Verwendung unserer vorgefertigten und gut getesteten Komponenten sparen Sie erhebliche Entwicklungszeit und Ressourcen.

- **Erhöhte Zuverlässigkeit**: Unsere strengen Testpraktiken stellen sicher, dass Ihre Passkey-Implementierung zuverlässig ist und unter verschiedenen Bedingungen gut funktioniert.

- **Optimiertes Nutzererlebnis**: Mit Passkey Intelligence genießen die Nutzer einen nahtlosen Authentifizierungsprozess, was die Zufriedenheit und die Akzeptanzraten steigert.

- **Zukunftssicherheit**: Wir aktualisieren unsere Komponenten kontinuierlich, um sie an die neuesten Fortschritte der Passkey-Technologie und Standards anzupassen, wodurch langfristige Kompatibilität und Compliance gewährleistet werden.

Durch die Partnerschaft mit Corbado erhalten Sie Zugang zu einer Suite von Komponenten, Tools und Services, die das Testen und die Implementierung von Passkeys vereinfachen. Unsere gut getesteten Komponenten, die umfassende Passkey Intelligence und der Enterprise-Level-Support stellen sicher, dass Ihr Authentifizierungssystem robust, zuverlässig und bereit für den Einsatz in einer Enterprise-Umgebung ist. Diese Zusammenarbeit ermöglicht es Ihrem Team, sich auf die Schaffung von Mehrwert für Ihre Nutzer zu konzentrieren, während wir die Komplexität der Passkey-Technologie handhaben.

## 4. Nicht-funktionale Tests von Passkey-Implementierungen

Während Funktionstests sicherstellen, dass die Passkey-Implementierung alle erforderlichen Funktionen erfüllt und ein konsistentes Nutzererlebnis bietet, befassen sie sich nicht damit, wie gut das System unter realen Bedingungen performt oder wie widerstandsfähig es gegenüber verschiedenen Formen von Stress ist. Nicht-funktionale Tests konzentrieren sich auf diese Aspekte. Sie bewerten, wie sich das System bei der Verarbeitung hoher Lasten verhält, wie schnell es auf Nutzeranfragen reagiert, wie stabil es bei Spitzenauslastung bleibt und wie sicher es gegen potenzielle Angriffe ist. Bei Passkey-Einführungen im Unternehmensumfeld sind nicht-funktionale Tests essenziell, weil:

- **Hohe Nutzerzahlen**: Große Nutzerbasen und häufig aufgerufene Authentifizierungs-Flows bedeuten, dass selbst kleine Performance-Probleme erhebliche Auswirkungen auf die Nutzerzufriedenheit und das Geschäftsergebnis haben können.

- **Zuverlässigkeit unter Last**: Enterprise-Systeme müssen während Spitzen-Login-Zeiten, Geräte-Registrierungskampagnen und groß angelegten Adoptionswellen stabil und leistungsstark bleiben.

- **Sicherheitsgarantie**: Über die Funktionalität hinaus ist es entscheidend sicherzustellen, dass keine Schwachstellen in den WebAuthn- und Passkey-Workflows existieren, um Vertrauen und Compliance zu wahren.

- **Andere nicht-funktionale Tests:** Andere Arten nicht-funktionaler Tests sind je nach Unternehmen ebenfalls wichtig, aber der Fokussierung halber konzentrieren wir uns auf die kritischsten für Großunternehmen – besonders in sicherheitssensiblen Bereichen wie Regierungs-, regulierten oder [Gesundheits](https://www.corbado.com/passkeys-for-healthcare)-Branchen.

Durch die Durchführung strenger nicht-funktionaler Tests können Unternehmen souverän Passkey-Lösungen ausrollen, die sowohl robust als auch sicher sind und ein nahtloses Erlebnis für alle Nutzer unter allen Bedingungen garantieren.

### 4.1 Wie man Lasttests für Passkey-Implementierungen durchführt

Performance- und Lasttests zielen darauf ab zu verifizieren, dass die Passkey-Implementierung die erwarteten (und manchmal unerwarteten) Authentifizierungsvolumina ohne Einbußen bewältigen kann. Obwohl Passkey-Operationen – wie das Generieren und Überprüfen von WebAuthn-Challenges – generell nicht sehr ressourcenintensiv sind, bleibt ein gründliches Performance-Testing für Enterprise-Deployments entscheidend.

> Lesen Sie unseren detaillierten technischen Artikel über Performance-Tests für Passkeys.

**Wichtige Überlegungen für Performance- und Lasttests:**

1. **Festlegen einer realistischen Baseline**:\
   Beginnen Sie mit der Analyse historischer Authentifizierungsdaten, um Ihre Nutzungsmuster zu identifizieren. Überprüfen Sie beispielsweise die Login-Statistiken der letzten 12 Monate und ermitteln Sie die Stunde mit der höchsten Authentifizierungslast. Nutzen Sie diese Spitzenstunde als Baseline zur Berechnung der erfolgreich abgeschlossenen Authentifizierungen pro Sekunde und multiplizieren Sie deren Volumen mit dem Faktor drei (3x). Dieser Ansatz:
    - **Berücksichtigt Wachstum und Spitzen**: Indem Sie Ihre stärkste historische Last verdreifachen, bauen Sie eine gesunde Leistungsmarge auf, die unerwartete Spitzen (z. B. großflächiges Onboarding, gleichzeitige Logins bei Produkteinführungen oder Sicherheits-Resets) auffängt.

    - **Setzt klare Ziele**: Diese realistische, aber konservative Baseline stellt sicher, dass Ihr System die aktuelle Nachfrage bequem bedienen kann, während es auch bei unerwartet hohen Belastungen stabil bleibt.

2. **Verständnis für die Komplexität des Authentifizierungs-Flows**:\
   Mit Passkeys kann der Authentifizierungs-Flow die On-Demand-Generierung von Challenges, die Handhabung von Conditional-UI-Aufforderungen und die Interaktion mit Backend-Diensten zur Validierung von Credentials oder zur Verwaltung von MFA-Status umfassen. Diese Schritte können einzigartige Lastmuster einführen, insbesondere wenn Login-Prompts oder Challenges häufig generiert werden.

3. **Load Balancing und Skalierbarkeit**:\
   Beim Wechsel von Passwörtern zu Passkeys kann sich die Anzahl der Operationen erhöhen. Setzen Sie Strategien für Load Balancing, Caching und Datenbankoptimierung ein, um potenziell höhere Anfrageraten zu bewältigen und konsistente Antwortzeiten aufrechtzuerhalten.

4. **Auswirkungen der Conditional UI**:\
   Die Conditional UI könnte eine kontinuierliche Generierung von Challenges auslösen, wenn Login-Felder sichtbar sind oder oben auf der Seite gerendert werden, was zu einer unerwarteten Last führen kann. Testen Sie diese Muster, um sicherzustellen, dass Challenges schnell und zuverlässig ohne Verzögerungen oder Timeouts bereitgestellt werden können.

5. **Gleichzeitige Autorisierungen und Passkey-Erstellungen**:\
   Berücksichtigen Sie Szenarien, in denen viele Nutzer gleichzeitig Passkeys erstellen oder versuchen, sich zu authentifizieren. Dies kann während Onboarding-Sitzungen oder nach breit angelegten Kommunikationskampagnen auftreten. Ihre Tests sollten diese Parallelitäts-Spitzen simulieren, um zu bestätigen, dass das System robust bleibt.

6. **Test-Tools und -Ansätze**:\
   Standard-Lasttest-Tools können die Komplexität von WebAuthn-Flows möglicherweise nicht vollständig replizieren und eine WebAuthn-Ceremony nicht abschließen. Halten Sie Ausschau nach Plugins für beliebte Frameworks zur Performance-Messung wie JMeter oder K6 (bei Corbado im Einsatz).

7. **Überwachung und Metriken**:\
   Verfolgen Sie wichtige Kennzahlen wie Antwortzeiten, Durchsatz, API-Aufrufe pro Sekunde, abgeschlossene Transaktionen/Authentifizierungen pro Sekunde, Fehlerraten und Ressourcenauslastung. Nutzen Sie diese Erkenntnisse, um Engpässe zu identifizieren und Optimierungsmaßnahmen zu steuern.

8. **Iteratives Testen und Tuning**:\
   Performance-Testing ist ein iterativer Prozess. Identifizieren Sie Probleme, implementieren Sie Verbesserungen und testen Sie erneut, um zu validieren, dass die Änderungen Kapazität und Zuverlässigkeit erhöhen. Integrieren Sie diese Tests in Ihre CI/CD-Pipeline, um sicherzustellen, dass die Performance im Laufe der Zeit stabil bleibt.

Indem Unternehmen eine realistische Baseline aus historischen Daten erstellen, diese Kapazität zur Sicherheit verdreifachen und verschiedene Szenarien umfassend testen, können sie sicherstellen, dass ihre Passkey-Implementierung effizient, stabil und reaktionsschnell bleibt – selbst unter anspruchsvollen Bedingungen.

### 4.2 Wie man Pentests für Passkey-Implementierungen durchführt

Sicherheitstests sind eine kritische Komponente, um sicherzustellen, dass Ihre Passkey-Implementierung nicht nur korrekt funktioniert, sondern auch höchste Standards an Vertrauen und Integrität aufrechterhält. Während Passkeys das Authentifizierungserlebnis vereinfachen und stärken, ist es wichtig zu validieren, dass Ihre WebAuthn- und Passkey-Workflows gegen gängige Angriffsvektoren, Konfigurationsfehler und Schwachstellen, die spezifisch für hardwarebasierte Authentifizierung sind, geschützt sind.

**Hauptziele:**

- Validieren, dass alle WebAuthn-Operationen (Challenge-Generierung, Attestation, Assertion) korrekt und sicher implementiert sind.

- Sicherstellen, dass kompromittierte, manipulierte oder gelöschte Passkeys nicht zur Authentifizierung verwendet werden können.

- Bestätigen, dass User Verification, falls erforderlich, strikt durchgesetzt und bei jedem Login überprüft wird.

- Validierung der Integration mit der bestehenden MFA-Logik und Bestätigung, dass Passkeys das allgemeine Sicherheitsniveau aufrechterhalten oder verbessern, anstatt es zu schwächen.

**Vorgeschlagene Testbereiche und Ansätze:**

1. **Verwendung von WebAuthn-Challenges:**
    - **Einzigartigkeit und Aktualität von Challenges:** Überprüfen Sie, ob jede Challenge einzigartig ist und nur für einen einzigen Authentifizierungsversuch gültig ist. Dies stellt sicher, dass wiederholte Challenges nicht zu einer erfolgreichen Authentifizierung führen können.

    - **Schutz vor doppelter Verwendung:** Versuchen Sie, Challenges oder Attestation-Antworten von früheren Append- (Registrierung) oder Login- (Assertion) Ceremonies wiederzuverwenden. Bestätigen Sie, dass das System diese Versuche mit entsprechender Fehlerbehandlung ablehnt.

2. **Gelöschte, unbekannte oder manipulierte Passkeys:**
    - **Gelöschte Passkeys:** Versuchen Sie, sich mit Credentials anzumelden, die mit entfernten Passkeys verknüpft sind. Das System sollte diese Versuche ablehnen und einen Fehler zurückgeben.

    - **Unbekannte Credentials:** Präsentieren Sie Credentials, die nie im System registriert wurden (z. B. ein anderer privater Schlüssel oder eine unbekannte Credential-ID). Stellen Sie sicher, dass das System nicht dazu gebracht werden kann, diese Credentials zu validieren.

    - **Manipulierte Signaturen:** Modifizieren Sie die kryptografische Signatur oder die Authenticator-Daten in der WebAuthn-Assertion. Das System muss den Verifizierungsschritt fehlschlagen lassen und mit einem Fehler antworten, um unbefugten Zugriff zu verhindern.

3. [**Durchsetzung der User Verification (UV):**](https://www.corbado.com/blog/webauthn-user-verification)
    - **Obligatorische User Verification:** Wenn User Verification als erforderlich konfiguriert ist (was auf ein 2FA-äquivalentes Szenario hindeutet), bestätigen Sie, dass alle Authentifizierungsversuche ohne ein UV-Flag abgewiesen werden. Eine biometrische oder PIN-basierte Überprüfung darf nicht umgehbar sein (nur Nutzeranwesenheit reicht nicht).

    - **Manipulation von UV-Flags:** Versuchen Sie, ein Szenario zu erzwingen, in dem der Authenticator behauptet, der Nutzer sei verifiziert, aber tatsächlich keine User Verification stattgefunden hat. Bestätigen Sie, dass das System solche Versuche ablehnt.

4. **Integration mit bestehenden MFA- oder Sicherheitskontrollen:**
    - **Abgleich der MFA-Zustände:** Überprüfen Sie, ob das Hinzufügen oder Entfernen von Passkeys bestehende MFA-Richtlinien nicht umgeht. Wenn Passkeys beispielsweise Passwörter ersetzen oder als zweiter Faktor dienen sollen, sollte das System einem Nutzer mit einem kompromittierten Passkey nicht erlauben, übergeordnete MFA-Kontrollen zu umgehen.

    - **Fallback-Mechanismen:** Validieren Sie, dass Fallback-Methoden (z. B. Passwörter, OTPs) nur aufgerufen werden, wenn Passkeys legitimerweise nicht verfügbar sind oder nicht unterstützt werden. Angreifer dürfen nicht in der Lage sein, einen sicheren Flow auf einen schwächeren herabzustufen.

5. **Sicherstellung aktueller, standardkonformer Implementierungen:**
    - **Aktuellste WebAuthn-Spezifikationen:** Bestätigen Sie, dass Ihr WebAuthn-Server und Ihre Komponenten auf die neuesten Standards aktualisiert sind, um bekannte Schwachstellen zu patchen. Überprüfen Sie regelmäßig Vendor-Advisories und wenden Sie Sicherheitsupdates an.

    - **OWASP Top 10:** Richten Sie Ihre Tests an anerkannten Sicherheitsstandards aus. Typische Bereiche umfassen Input-Validierung, Session-Management und sichere Kommunikationskanäle (TLS). Prüfen Sie, ob alle Endpunkte, die WebAuthn-Daten verarbeiten, geschützt sind, keine sensiblen Informationen preisgeben und angemessene Security-Header durchsetzen.

6. **Pentesting gegen gängige Angriffsvektoren:**
    - **Replay-Angriffe:** Versuchen Sie, bekannte gültige Signaturen oder veraltete Challenges wiederzuverwenden. Bestätigen Sie, dass der Server sie ablehnt.

    - **Man-in-the-Middle (MitM)-Angriffe:** Testen Sie, ob ein Angreifer, der WebAuthn-Anfragen abfängt, die Challenge oder Signaturen ändern kann. Stellen Sie sicher, dass der Authentifizierungsprozess auf kryptografischen Verifizierungen basiert, die an den privaten Schlüssel des Clients gebunden sind, was MitM-Angriffe undurchführbar macht.

    - **Fuzzing und Negativtests:** Fügen Sie fehlerhafte, fehlende oder zufällige Daten in Attestation- und Assertion-Anfragen ein. Der Server sollte diese ungültigen Eingaben elegant handhaben, ohne abzustürzen oder sensible Daten preiszugeben.

7. **Zusätzliche Überlegungen für passkeyspezifische Bedrohungen:**
    - **Geräteübergreifende Authentifizierung:** Testen Sie Cross-Device-Authentifizierungsszenarien, um sicherzustellen, dass ein auf einem anderen Gerät gespeicherter Passkey nicht missbraucht werden kann. Der Server muss die Authentizität von Cross-Device-Anfragen verifizieren, um sicherzustellen, dass keine Identitätsfälschung stattfindet.

    - **Widerruf und Wiederherstellung:** Stellen Sie sicher, dass, wenn ein Nutzer oder Support-Mitarbeiter sein Konto wiederherstellt oder einen Passkey widerruft, dieser sofort ungültig wird und bei nachfolgenden Login-Versuchen nicht verwendet werden kann.

**Praktische Beispiele und Tests:**

- **Test auf manipulierte User Verification:** Versuchen Sie, sich mit einem Passkey zu authentifizieren, wenn user verification=required ist, erzwingen Sie jedoch, dass der Authenticator uv=false präsentiert. Bestätigen Sie, dass der Server die Anfrage ablehnt.

- **Challenge-Replay-Test:** Verwenden Sie eine zuvor genutzte Challenge für einen Login wieder. Der Server muss den Versuch ablehnen und so Replay-Angriffe verhindern.

- **Test auf ungültige Signatur:** Ersetzen Sie die gültige Signatur durch eine zufällige oder falsche. Stellen Sie sicher, dass der Server einen Fehler zurückgibt.

**Aufrechterhaltung kontinuierlicher Sicherheit:**

- Führen Sie regelmäßig Penetrationstests durch Dritte durch, um neue oder übersehene Schwachstellen zu identifizieren.

- Bleiben Sie informiert über aufkommende Bedrohungen, Updates der WebAuthn-Spezifikation und Anbieter-Patches für Hardware-Authenticatoren sowie clientseitige Software.

Indem Sie die oben genannten Testtechniken integrieren und sich auf die einzigartigen Aspekte der passkeybasierten Authentifizierung konzentrieren, können Sie sicherstellen, dass Ihre Enterprise-Passkey-Implementierung sicher, robust und vertrauenswürdig bleibt. Regelmäßige Überprüfungen, Updates und Penetrationstests helfen dabei, eine gehärtete Sicherheitsposition und die kontinuierliche Einhaltung von Branchenstandards aufrechtzuerhalten.

### 4.3 Wie Corbado bei Performance- und Pen-Tests von Passkey-Implementierungen helfen kann

Das Enterprise-Angebot von Corbado liefert nicht nur robuste Passkey-Lösungen, sondern umfasst auch umfassende nicht-funktionale Testing-Dienstleistungen – einschließlich Performance-Tests und Sicherheitsbewertungen oder der finalen Integration – um sicherzustellen, dass Ihre Passkey-Bereitstellung den strengsten Enterprise-Anforderungen gerecht wird.

#### 4.3.1 Performance-Tests mit realistischen Passkey-Szenarien

Corbado geht über traditionelle, generische Lasttest-Tools hinaus, indem wir fortschrittliche End-to-End-Performance-Tests mit [K6](https://k6.io/) und einer virtuellen Authenticator-Umgebung einsetzen. Dieser Ansatz simuliert tatsächliche Passkey-Authentifizierungs-Flows über unsere Komponenten (CorbadoConnectLogin), einschließlich der Generierung und Verwaltung hunderter oder gar tausender Passkeys parallel (CorbadoConnectAppend) und der Passkey-Verwaltungsfunktionalität (CorbadoConnectPasskeyList). Im Gegensatz zu Standard-Lasttests, die möglicherweise nur API-Endpunkte messen, emuliert unsere Methodik die gesamte WebAuthn-Ceremony von Ende zu Ende, wodurch die Tests reale Bedingungen weitaus besser repräsentieren. Wir führen auch ausgefeilte Concurrency-Tests durch, um sicherzustellen, dass Ihr System Spitzenlasten – wie großangelegte Onboarding-Kampagnen oder plötzliche Authentifizierungsspitzen – ohne Beeinträchtigung der Reaktionsfähigkeit oder des Nutzererlebnisses bewältigen kann.

#### 4.3.2 Sicherheitstests und spezialisierte Penetrationstests

Corbado hat sich der Bereitstellung einer sicheren Authentifizierungsumgebung verschrieben. Wir unterziehen uns regelmäßigen Penetrationstests durch vertrauenswürdige Drittanbieter, die die einzigartigen Feinheiten der Passkey-Technologie verstehen. Darüber hinaus pflegt unser Team spezialisierte sicherheitsfokussierte Unit-Tests, die darauf ausgelegt sind, Szenarien zu verhindern, in denen manipulierte oder gelöschte Passkeys wieder in das System eingeführt werden. Diese Tests und periodischen Pentests schützen vor sich entwickelnden Bedrohungen und gewährleisten, dass die Integrität Ihres Passkey-Ökosystems jederzeit gewahrt bleibt.

#### 4.3.3 Enterprise-Level Assurance

Sowohl die fortschrittlichen Performance-Tests als auch die strengen Sicherheits-Testroutinen sind Teil unseres Enterprise-Pakets. Durch die Partnerschaft mit Corbado erhalten Sie Zugang zu erprobten und bewährten Methoden, die sicherstellen, dass Ihre Passkey-Implementierung den Anforderungen hochskalierender, geschäftskritischer Enterprise-Umgebungen standhält – und dabei nicht nur ein nahtloses Nutzererlebnis, sondern auch robusten Schutz vor potenziellen Schwachstellen bietet.

## 5. Fazit

Bei groß angelegten Enterprise-Passkey-Deployments hängt der erfolgreiche Einsatz von Passkeys nicht nur von der Integration der Technologie ab, sondern auch von deren gründlicher Prüfung, um Performance, Sicherheit und Zuverlässigkeit zu gewährleisten. Wie wir gesehen haben, ist ein umfassender Testansatz – von der funktionalen Überprüfung bis hin zu nicht-funktionalen Leistungs- und Sicherheitsbewertungen – entscheidend, um ein robustes, nutzerfreundliches Authentifizierungserlebnis zu liefern. In diesem Artikel haben wir die eingangs gestellten Fragen beantwortet:

- **Wie führt man Funktionstests für Passkeys durch?** Wir haben wesentliche Funktionstests identifiziert, die sich auf die Überprüfung der Passkey-Registrierung, -Authentifizierung, Konsistenz der Benutzeroberfläche und angemessene Fehlerbehandlung konzentrieren. Durch manuelles User Acceptance Testing sowie automatisierte Ansätze bestätigen diese Tests, dass die Passkey-Workflows intuitiv, zuverlässig und auf die Erwartungen der Nutzer abgestimmt sind.

- **Wie führt man Pen- und Lasttests für Passkeys durch?** Wir haben Strategien untersucht, um sicherzustellen, dass Ihre Passkey-Implementierung strengen Leistungs- und Sicherheitsstandards entspricht. Dies umfasst Lasttests zur Bewältigung von Spitzen-Authentifizierungsvolumina, Resilienztests unter Stress und strenge Sicherheitsvalidierungen – wie die Überprüfung, dass Challenges nicht wiederverwendet werden können, manipulierte Passkeys abgelehnt werden und User Verification strikt durchgesetzt wird.

Durch die Integration sowohl funktionaler als auch nicht-funktionaler Testpraktiken können Sie Passkeys souverän ausrollen und dabei höchste Qualitäts- und Sicherheitsstandards wahren. In unserem nächsten Teil behandeln wir den folgenden Schritt: Einen schrittweisen, phasenweisen Launch von Passkeys über verschiedene Nutzersegmente hinweg und wie Corbado Sie dabei unterstützen kann.