WebAuthn Public Key Credential / User-Agent Hints

WebAuthn und Passkeys gewinnen stark an Dynamik und werden immer häufiger eingesetzt. Auch aus technischer Sicht entwickelt sich der WebAuthn-Standard schnell weiter. WebAuthn Public Key Credential Hints (auch User-Agent Hints genannt) sind die neueste Ergänzung der Web Authentication API. Sie sollen die Art und Weise verbessern, wie Entwickler die Passkey-Authentifizierung in ihren Anwendungen implementieren.

In diesem Artikel beantworten wir die folgenden Fragen:

• Was sind WebAuthn Public Key Credential Hints?
• Warum brauchen wir WebAuthn Public Key Credential Hints?
• Wie funktionieren WebAuthn Public Key Credential Hints?
• Welche Einschränkungen und empfohlenen Anwendungsfälle gibt es für WebAuthn Public Key Credential Hints in Ihren Projekten?

Beginnen wir zunächst mit der Motivation.

Heutzutage gibt es verschiedene Orte, an denen man einen Passkey erstellen und speichern kann:

• Drittanbieter-Passwort-Manager (z. B. 1Password, Dashlane, Bitwarden, KeePassXC)
• Google Passwortmanager / Chrome-Profil
• iCloud-Schlüsselbund / Apple Passwörter
• Windows Hello
• Ein anderes Smartphone (iOS, Android) oder Tablet (iPadOS, Android)
• Hardware-Sicherheitsschlüssel (z. B. YubiKey)

Für den Nutzer kann dies Flexibilität und Wahlfreiheit bedeuten. Einige Anwendungen und Szenarien erfordern jedoch, einige dieser Optionen einzuschränken, z. B. wenn man aufgrund erhöhter Sicherheitsanforderungen nur Hardware-Sicherheitsschlüssel zulassen möchte.

Um diese Passkey-Erstellung und -Speicherung zu beeinflussen, gab es bisher die Eigenschaft authenticatorAttachment.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

authenticatorAttachment ermöglicht es Relying Parties, einzuschränken, wo der Passkey erstellt werden kann.

platform bezeichnet einen Authenticator, der in das Gerät integriert ist, auf dem WebAuthn ausgeführt wird. WebAuthn kommuniziert mit ihm über plattformspezifische Transportmethoden, wie z. B. plattformspezifische APIs. Ein Public Key Credential, das mit einem Plattform-Authenticator verknüpft ist, wird als Plattform-Anmeldeinformation bezeichnet. Aus der obigen Liste könnten die folgenden Credential Manager / Speicherorte Plattform-Anmeldeinformationen speichern:

• Drittanbieter-Passwort-Manager (z. B. 1Password, Dashlane, Bitwarden, KeePassXC)
• Google Passwortmanager / Chrome-Profil
• iCloud-Schlüsselbund / Apple Passwörter
• Windows Hello

Windows 11 und Chrome:

macOS 15 (Sequoia) und Chrome:

Wenn man auf „Abbrechen“ klickt, erscheint das folgende Fenster:

macOS 15 (Sequoia) und Safari:

cross-platform bezeichnet einen Authenticator, der extern zum Gerät ist, auf dem WebAuthn ausgeführt wird (Roaming-Authenticator), da er auf mehreren Geräten verwendet werden kann. WebAuthn interagiert mit ihm über plattformübergreifende Transportprotokolle wie Bluetooth oder NFC. Ein Public Key Credential, das mit einem Roaming-Authenticator verknüpft ist, wird als Roaming-Anmeldeinformation bezeichnet. Aus der obigen Liste könnten die folgenden Credential Manager / Speicherorte plattformübergreifende Anmeldeinformationen speichern:

• Ein anderes Smartphone (iOS, Android) oder Tablet (iPadOS, Android)
• Hardware-Sicherheitsschlüssel (z. B. YubiKey)

Windows 11 und Chrome:

macOS 15 (Sequoia) und Chrome:

macOS 15 (Sequoia) und Safari:

Nicht spezifiziert bedeutet, dass entweder ein Plattform-Authenticator oder ein plattformübergreifender Authenticator verwendet werden kann. Hier kann der Nutzer wählen, wo er die Passkeys speichern möchte.

Windows 11 und Chrome:

macOS 15 (Sequoia) und Chrome:

macOS 15 (Sequoia) und Safari:

Wenn man auf „Abbrechen“ klickt, erscheint das folgende Fenster:

authenticatorAttachment wurde lange Zeit verwendet. Allerdings war es auch unflexibel in Bezug auf neue Entwicklungen wie die geräteübergreifende Authentifizierung (über QR-Codes und Bluetooth). Hier wird ein Passkey ebenfalls z. B. im Google Passwortmanager (Plattform-Anmeldeinformation) gespeichert, aber von der Relying Party mit cross-platform ausgelöst. Außerdem konnte eine Relying Party die Art des Passkeys, der bei einer Anmeldung (nicht Registrierung) verwendet werden sollte, nur durch Ändern des transports-Wertes einer Anmeldeinformation beeinflussen.

Genau hier kommen die WebAuthn Public Key Credential Hints ins Spiel.

Become part of our Passkeys Community for updates & support.

Join

WebAuthn Public Key Credential Hints sind ein neuer Parameter, der in der Web Authentication API (offiziell in WebAuthn Level 3) eingeführt wurde. Sie geben Browsern einen Hinweis darauf, welchen Typ von Authenticator ein Nutzer wahrscheinlich während des Authentifizierungsprozesses verwenden wird. Dies hilft, eine optimierte und intuitivere Benutzererfahrung zu schaffen, indem die Benutzeroberfläche des Browsers auf die relevantesten Optionen fokussiert wird.

Die drei Arten von Hints

Die Hints gibt es in drei Varianten:

1. security-key: Zeigt an, dass der Nutzer voraussichtlich einen Hardware-Sicherheitsschlüssel (z. B. YubiKey) verwenden wird.
2. client-device: Legt nahe, dass der Nutzer einen Plattform-Authenticator verwenden wird, der mit dem Client-Gerät verbunden ist (wie Touch ID auf macOS, Face ID auf iOS oder Windows Hello auf Windows).
3. hybrid: Deutet darauf hin, dass der Nutzer möglicherweise ein Smartphone oder Tablet für die geräteübergreifende Authentifizierung über QR-Code und Bluetooth verwendet.

Diese Hints sind keine strengen Vorgaben der Relying Party, sondern dienen als Orientierungshilfe für den Browser, um die Benutzererfahrung zu verbessern.

Im Folgenden sehen Sie Screenshots für macOS Sequoia (Edge + Chrome) und Windows 10 (Chrome) mit nicht spezifiziertem authenticatorAttachment und dem WebAuthn User-Agent Hint auf security-key gesetzt.

Hier sehen wir eine weitere Einschränkung: Der security-key-Hint wird unter Windows 10 nicht beachtet, zumindest nicht direkt. Der Ablauf ist im Grunde derselbe wie beim client-device-Hint.

Wenn man auf „Abbrechen“ klickt, erscheint das folgende Fenster:

Im Folgenden sehen Sie Screenshots für macOS Sequoia (Edge + Chrome) und Windows 10 (Chrome) mit nicht spezifiziertem authenticatorAttachment und dem WebAuthn User-Agent Hint auf client-device gesetzt.

Wenn man auf „Abbrechen“ klickt, erscheint das folgende Fenster:

Wenn man auf „Abbrechen“ klickt, erscheint das folgende Fenster:

Wenn man auf „Abbrechen“ klickt, erscheint das folgende Fenster:

Im Folgenden sehen Sie Screenshots für macOS Sequoia (Edge + Chrome) und Windows 10 (Chrome) mit nicht spezifiziertem authenticatorAttachment und dem WebAuthn User-Agent Hint auf hybrid gesetzt.

Mit der Einführung von Hints können Entwickler nun eine Reihe von Präferenzen in absteigender Priorität angeben, was mehr Flexibilität bietet.

Der folgende Codeausschnitt teilt dem Browser mit, dass der Nutzer sich wahrscheinlich mit einem Hardware-Sicherheitsschlüssel authentifizieren wird, und fokussiert die Benutzeroberfläche entsprechend.

Für die Kompatibilität mit älteren User-Agents sollte bei Verwendung dieses Hints in PublicKeyCredentialCreationOptions der authenticatorAttachment auf cross-platform gesetzt werden.

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: /* your challenge here */,
    hints: ['security-key'],
    authenticatorSelection: {
      authenticatorAttachment: 'cross-platform'
    }
  }
});

Der security-Hint ist besonders wertvoll in Hochsicherheitsfällen, in denen die Website / Relying Party nur Hardware-Sicherheitsschlüssel zulassen und den Nutzer in diese Richtung lenken möchte.

In diesem Beispiel deutet der Hint darauf hin, dass der Nutzer den integrierten Plattform-Authenticator des aktuellen Geräts verwenden könnte.

Für die Kompatibilität mit älteren User-Agents sollte bei Verwendung dieses Hints in PublicKeyCredentialCreationOptions der authenticatorAttachment auf platform gesetzt werden.

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: /* your challenge here */,
    residentKey: true,
    hints: ['client-device'],
    authenticatorSelection: {
      authenticatorAttachment: 'platform'
    }
  }
});

Das Setzen des client-device-Hints ist vorteilhaft, wenn einem Benutzerkonto mehrere Passkeys zugeordnet sind und einige davon auf dem Gerät verfügbar sein könnten, mit dem sich der Nutzer anmeldet, während andere auf verschiedenen Geräten gespeichert sind. Wenn das System (Passkey Intelligence) erkennt, dass der sich anmeldende Nutzer mit hoher Wahrscheinlichkeit einen lokalen Passkey zur Verfügung hat, kann dieser Hint in den PublicKeyCredentialRequestOptions gesetzt werden, was dem Nutzer einen Klick zur Auswahl des richtigen Passkeys erspart.

In diesem Beispiel deutet der Hint darauf hin, dass der Nutzer möglicherweise ein Smartphone oder ein ähnliches Gerät zur Authentifizierung verwendet.

Für die Kompatibilität mit älteren User-Agents sollte bei Verwendung dieses Hints in PublicKeyCredentialCreationOptions der authenticatorAttachment auf cross-platform gesetzt werden.

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: /* your challenge here */,
    residentKey: true,
    hints: ['hybrid'],
    authenticatorSelection: {
      authenticatorAttachment: 'cross-platform'
    }
  }
});

Der hybrid-Hint kann hilfreich sein, wenn der Nutzer mehrere Schlüssel hat und das System (Passkey Intelligence) erkennt, dass auf dem aktuellen Gerät wahrscheinlich kein lokaler Passkey verfügbar ist. Um die UX zu verbessern und einen Klick zu sparen, können Sie diesen WebAuthn User-Agent Hint setzen und den Nutzer direkt zur geräteübergreifenden Authentifizierung (über QR-Code und Bluetooth) auffordern. Wenn Sie außerdem versuchen, ein Mobile-First-Passkey-System aufzubauen, ist das Setzen dieses Hints sehr sinnvoll.

Um selbst mit den verschiedenen Optionen zu experimentieren, empfehlen wir einen Blick auf den Passkeys Debugger.

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

Es ist entscheidend zu verstehen, wie WebAuthn Public Key Credential Hints mit anderen WebAuthn-Parametern wie authenticatorAttachment und credential transports interagieren.

Zunächst ist es wichtig zu wissen, dass diese Hints keine strengen Vorgaben sind. Sie binden den User-Agent (Browser) nicht, sondern dienen als Orientierungshilfe, um die beste Erfahrung zu bieten, indem kontextbezogene Informationen genutzt werden, die Sie über die Anfrage haben. Das bedeutet, dass Browser die Hints berücksichtigen können, aber nicht verpflichtet sind, ihnen strikt zu folgen.

Hints werden als Array in der Reihenfolge abnehmender Präferenz angegeben. Diese Reihenfolge bestimmt, wie der Browser sie priorisieren sollte:

• Der erste Hint hat Vorrang: Wenn zwei Hints widersprüchlich sind, gibt der Browser dem ersten den Vorzug.
• Überlappende Hints: Wenn ein spezifischerer Hint möglicherweise nicht von allen Browsern erkannt wird, können Sie für eine breitere Kompatibilität weniger spezifische Hints dahinter einfügen.
• Doppelte Hints: Wenn derselbe Hint mehr als einmal vorkommt, werden alle nachfolgenden Vorkommen ignoriert.

Beispiel:

hints: ['security-key', 'hybrid', 'client-device']

In diesem Array:

1. Priorisiert der Browser zuerst security-key.
2. Wenn nicht anwendbar, berücksichtigt er hybrid.
3. Zuletzt schaut er auf client-device (Plattform-Authenticators auf dem Client-Gerät).

Hints können Informationen in authenticatorAttachment und credential transports widersprechen. In diesem Fall haben Hints Vorrang. Dies bietet mehr Flexibilität im Vergleich zur bisherigen strikten Verwendung von authenticatorAttachment, die den Authenticator entweder auf platform oder cross-platform beschränkte.

Beispiel mit widersprüchlichen Parametern:

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: /* your challenge here */,
    hints: ['hybrid'],
    authenticatorSelection: {
      authenticatorAttachment: 'platform' // Widerspricht dem Hint
    }
  }
});

In diesem Fall:

• Hint: Legt eine Präferenz für hybrid-Authenticators nahe.
• authenticatorAttachment: Gibt platform an, was normalerweise Authenticators auf das Client-Gerät beschränkt.
• Ergebnis: Der Browser priorisiert den Hint über authenticatorAttachment und konzentriert sich auf hybrid-Optionen.

Derzeit sind WebAuthn Public Key Credential Hints nur in Chrome (seit Version 128) verfügbar. Edge und Safari haben angekündigt, diese Funktion zu integrieren, während Firefox noch keinen Veröffentlichungszeitplan bestätigt hat.

Es ist wichtig zu bedenken, dass in Chrome der authenticatorAttachment-Parameter vorerst weiterhin beachtet wird. Das bedeutet, dass heute der authenticatorAttachment der entscheidende Faktor ist, egal welcher Hint gesetzt wird. Wir erwarten jedoch, dass in zukünftigen Chrome-Versionen die Public Key Credential Hints zum bevorzugten und einzigen Ansatz werden.

Obwohl die neueste Chrome-Version WebAuthn User-Agent Hints unterstützt, werden diese Hints von Windows 11 und Windows Hello / Windows Security nicht beachtet. Der Grund dafür ist, dass die Benutzeroberfläche vom Betriebssystem (Windows Hello / Windows Security) selbst gesteuert wird.

Darüber hinaus werden bei einem Passkey, der im Google Passwortmanager gespeichert und mit Windows 11 synchronisiert wird, die WebAuthn User-Agent Hints nicht beachtet, da die endgültige lokale Authentifizierung auf Windows 11 mit Windows Hello / Windows Security erfolgt. Mit der bevorstehenden Synchronisierung von Passkeys auf Windows 11 über Microsoft-Konten erwarten wir auch Verbesserungen für Windows 11 und WebAuthn User-Agent Hints.

Unter Windows 10 werden WebAuthn User-Agent Hints jedoch beachtet, da die WebAuthn-Benutzeroberfläche von Chrome und nicht von Windows Hello / Windows Security gehandhabt wird. Bei unseren Tests haben wir jedoch keinen Effekt für security-key festgestellt. Wenn dieser Hint gesetzt war, sah der Ablauf wie der für client-device aus.

WebAuthn Public Key Credential (User-Agent) Hints bringen eine Reihe von Vorteilen für Entwickler und Nutzer. Die Funktion ist noch neu und noch nicht in allen Browsern und Betriebssystemen verfügbar (Stand Oktober 2024).

Es ist wichtig, sich der aktuellen Einschränkungen bewusst zu sein, die insbesondere bei Windows 11 auftreten. In Windows 11 wird die Passkey-Benutzeroberfläche von Windows Hello (Windows Hello Sicherheitsfenster) gehandhabt, und dies hat derzeit Vorrang vor der Unterstützung von WebAuthn User-Agent Hints durch Chrome / Edge. Dies gilt auch für Passkeys, die vom Google Passwortmanager nach Windows synchronisiert werden (auch hier haben Hints noch keine Wirkung).

Das bedeutet, dass WebAuthn Public Key Credential Hints nur auf macOS und Windows 10 (von den großen Desktop-Betriebssystemen) wirklich funktionieren.

Darüber hinaus gilt ab Oktober 2024: Selbst wenn Chrome / Edge auf diesen Betriebssystemen verwendet wird und authenticatorAttachment gesetzt ist, hat dies ebenfalls Vorrang vor den WebAuthn User-Agent Hints (wie von Google angegeben).

Aus Sicht der Anwendungsfälle sehen wir die folgenden empfohlenen Szenarien, um den größten Nutzen aus dieser neuen Funktion zu ziehen.

Wenn Sie Ihr Backend und Ihre Passkey Intelligence aufbauen, versuchen Sie, die richtige Verwendung von Public Key Credential Hints zu integrieren, um die Anmeldung zu erleichtern und dem Nutzer unnötige Klicks zu ersparen. Wenn Ihr System beispielsweise erkennt, dass sich ein Nutzer auf einem Gerät anmeldet, auf dem wahrscheinlich ein lokaler Passkey verfügbar ist, verwenden Sie den client-device-Hint.

Wenn der Nutzer von einem neuen Gerät auf die Website zugreift und Ihre Passkey Intelligence weiß, dass ein Passkey auf einem mobilen Gerät des Nutzers verfügbar sein könnte, setzen Sie den Hint auf hybrid, damit der Nutzer schnell den QR-Code scannen und den hybriden Passkey nutzen kann.

Das Hauptziel hier ist es, eine nahtlosere und intuitivere Benutzererfahrung zu bieten. Indem Browsern Hinweise gegeben werden, welche Authenticatoren wahrscheinlich verwendet werden, können Entwickler die Verwirrung und Reibung der Nutzer während des Anmeldevorgangs reduzieren. Anstatt dass Nutzer mit unnötigen Authentifizierungsoptionen überfordert werden, ermöglichen Hints den Browsern, sich auf die relevantesten Optionen zu konzentrieren, was zu einer schnelleren und unkomplizierteren Erfahrung führt.

Unternehmen oder Regierungsorganisationen mit hohen Sicherheitsanforderungen, die auf Hardware-Sicherheitsschlüssel für die Benutzerauthentifizierung standardisiert haben, werden Passkey Credential Hints besonders nützlich finden. Durch die Verwendung des security-key-Hints können sie sicherstellen, dass Browser die Option für den Hardware-Sicherheitsschlüssel prominent anzeigen.

Dies ist besonders nützlich für große Organisationen, in denen Mitarbeiter Hardware-Sicherheitsschlüssel erhalten haben und andere Authentifizierungsmethoden (wie Plattform-Authenticatoren) nicht erlaubt sind. Der security-key-Hint ermöglicht es Unternehmen, ihre Authentifizierungsabläufe abzusichern, ohne ihre Flexibilität für zukünftige Verbesserungen einzuschränken.

Der hybrid-Hint glänzt in Szenarien, in denen eine geräteübergreifende Authentifizierung und damit ein Mobile-First-Ansatz erwünscht ist oder wenn Nutzer häufig zwischen Geräten oder Plattformen wechseln.

Ein Beispiel für diesen Anwendungsfall wäre eine verbraucherorientierte App, die davon ausgeht, dass die meisten ihrer Nutzer ihre Smartphones zur Authentifizierung verwenden, entweder durch biometrische Methoden oder webbasierte Authenticator-Apps (Mobile-First-Passkeys). Durch die Angabe von hybrid als Hint stellen Entwickler sicher, dass die Benutzeroberfläche des Browsers die Nutzung von Smartphones fördert, was die Bequemlichkeit und Zugänglichkeit verbessert.

WebAuthn Public Key Credential Hints bieten eine flexible Möglichkeit, die Benutzererfahrung bei der Passkey-Authentifizierung zu verbessern. Lassen Sie uns die Fragen aus der Einleitung mit den gewonnenen Erkenntnissen noch einmal betrachten:

1. Was sind WebAuthn Public Key Credential Hints?

   Sie sind optionale Vorschläge, die von der Website / App bereitgestellt werden, um Clients einen Hinweis auf die wahrscheinlichste Authentifizierungsmethode zu geben, die ein Nutzer verwenden wird – sei es ein Hardware-Sicherheitsschlüssel, ein Plattform-Authenticator oder eine hybride Lösung wie die geräteübergreifende Authentifizierung.

2. Warum brauchen wir WebAuthn Public Key Credential Hints?

   Sie optimieren den Authentifizierungsprozess, indem sie die den Nutzern präsentierten Optionen eingrenzen, unnötige Reibung / Klicks reduzieren und die Gesamterfahrung verbessern.

3. Wie funktionieren WebAuthn Public Key Credential Hints?

   Entwickler geben je nach Kontext Hints wie security-key, client-device oder hybrid an, sodass Browser die relevante Authentifizierungsmethode für den Nutzer priorisieren können. Obwohl diese Hints keine strengen Anforderungen sind, helfen sie, den UI-Ablauf während der Authentifizierung zu optimieren.

4. Welche Einschränkungen und empfohlenen Anwendungsfälle gibt es?

   Derzeit ist die volle Unterstützung für diese Hints auf Chrome und Edge beschränkt, während andere Browser und Betriebssysteme wie Windows 11 unterschiedliche Kompatibilitätsgrade aufweisen. Die effektivsten Anwendungsfälle umfassen die Verbesserung der Login-UX, die Durchsetzung der Nutzung von Hardware-Sicherheitsschlüsseln in Hochsicherheitsumgebungen und die Ermöglichung der geräteübergreifenden Authentifizierung in Mobile-First-Anwendungen.

Zusammenfassend lässt sich sagen, dass WebAuthn Public Key Credential Hints es Entwicklern ermöglichen, intuitivere und benutzerfreundlichere Authentifizierungsprozesse zu schaffen, indem sie Browser zu den am besten geeigneten Optionen für jedes Benutzerszenario leiten. Obwohl sich diese Funktion noch in der Entwicklung befindet, kann sie sowohl die Sicherheit als auch die Benutzererfahrung bei Passkey-Implementierungen erheblich verbessern.