Warum sind WebViews in mobilen Apps eine Herausforderung für Passkeys?

Warum sind WebViews in mobilen Apps eine Herausforderung für Passkeys?#

WebViews, die oft in mobilen Apps verwendet werden, um Webinhalte darzustellen, bringen bei der Implementierung von Passkeys einige Hürden mit sich. Diese Herausforderungen liegen meist in der eingeschränkten Unterstützung von WebAuthn-Funktionen innerhalb vieler WebView-Umgebungen.

Die größten Herausforderungen von WebViews für Passkeys#

1. Eingeschränkter WebAuthn-Support#

• Viele WebViews unterstützen WebAuthn-APIs nicht vollständig, was es schwierig macht, Passkey-Funktionen zu aktivieren.
• Native Browser wie Chrome oder Safari sind oft besser für Passkeys gerüstet als WebViews. Alternativ ist eine native Implementierung von Passkeys in der iOS- oder Android-App möglich.

2. Inkonsistente Implementierungen#

Die Funktionen von WebViews variieren je nach Plattform und Version:

• WKWebView unter iOS bietet eine bessere Unterstützung, lässt aber manchmal wichtige WebAuthn-Funktionen vermissen.
• Android-WebView-Implementierungen sind oft weniger einheitlich und erfordern manchmal spezielle Konfigurationen.

3. Sicherheitsbeschränkungen#

• WebViews laufen oft in eingeschränkten Umgebungen, die den Zugriff auf lokale Authenticatoren wie Face ID, Touch ID oder die biometrischen Pendants unter Android einschränken.
• Das kann die nahtlose Erstellung oder Nutzung von Passkeys innerhalb der App verhindern.

4. Probleme mit der User Experience (UX)#

Wenn Passkeys innerhalb von WebViews nicht funktionieren, müssen User zur Authentifizierung oft zu einem externen Browser oder einer anderen App wechseln. Das unterbricht den Login-Prozess. Die beste Passkey-UX erreichen wir meist, wenn wir die native Passkey-Implementierung im jeweiligen Entwicklungsframework (z. B. Kotlin, Swift) der iOS- oder Android-App nutzen.

Lösungsansätze für WebView-Herausforderungen#

1. WebView-Kompatibilität testen:
   • Daten von State of Passkeys helfen dabei, WebView-Einschränkungen zu identifizieren.
   • Es ist wichtig, die spezifischen WebView-Typen (z. B. WKWebView vs. Android WebView) zu bewerten, die in der App genutzt werden.

2. Fallback-Optionen:

   • User bei unzureichendem WebView-Support für die Authentifizierung auf native Browser umleiten.
   • Alternative MFA-Methoden während der Übergangsphase beibehalten.

3. Native Implementierung bevorzugen: Wo immer es möglich ist, sollten native App-Komponenten für Passkey-Funktionen genutzt werden, anstatt sich auf WebViews zu verlassen.

4. Zusammenarbeit mit Anbietern: Der Austausch mit WebView- und Plattformanbietern hilft dabei, sich für einen besseren WebAuthn-Support in zukünftigen Updates einzusetzen.

Fazit#

WebViews stellen aufgrund von begrenztem WebAuthn-Support und Sicherheitsbeschränkungen echte Herausforderungen für Passkeys dar. Wenn wir diese Hürden kennen und Strategien wie Fallback-Optionen und native App-Komponenten einsetzen, gelingt die Einführung von Passkeys wesentlich reibungsloser.

Den ganzen Artikel lesen#

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →