Passkey-Authentifizierungserfolgsrate
Die Passkey-Authentifizierungserfolgsrate zeigt, wie zuverlässig bestehende Passkeys zu erfolgreichen Logins führen. Sie fokussiert sich auf die Nutzungsebene nach der Erstellung, wo Einstiegsdesign, Fallback-Verhalten und geräteübergreifende Abdeckung entscheiden, ob Passkeys zum Standard-Login-Pfad werden.
Erfolgsraten nach Gerätekontext: unbekannt vs. bekannt
Der Erfolg wird ab dem Moment gemessen, in dem die Passkey-Zeremonie tatsächlich beginnt, d. h. die Relying Party hat die WebAuthn-Challenge an den Client gesendet und der Nutzer sieht den System-Passkey-Prompt (Face ID / Touch ID / Windows Hello / ein CDA-QR-Code). Dies unterteilt sich sauber in zwei Regime, je nachdem, wie gut die Relying Party den Gerätekontext klassifizieren kann. Die Lücke dazwischen ist entscheidend.
- Identifier-first
- Der Nutzer hat eine E-Mail oder einen Benutzernamen eingegeben und das System hat das Gerät noch nicht erkannt.
- % CDA
- Der Anteil dieser Passkey-Erfolge, bei denen der Nutzer sein Smartphone scannen musste (Cross-Device Authentication), anstatt einen lokalen Passkey zu verwenden.
Cookies, Konto-Speicher oder Session-Status haben das Gerät nicht klassifiziert. Der Login beginnt im Textfeld. Conditional UI kann einen Passkey-Vorschlag anzeigen, oder die Relying Party muss raten, ob überhaupt ein Passkey erreichbar ist. Sobald ein Passkey-Pfad angeboten wird, hängt der Abschluss stark davon ab, ob dieser lokal ist oder eine Brücke zu einem anderen Gerät erfordert.
Erstellen oder merken Sie sich nach einem erfolgreichen Login auf einem unbekannten Gerät (insbesondere über CDA) einen lokalen Passkey auf diesem Gerät. Das Überspringen dieses Schritts ist der Hauptgrund, warum Desktop-Nutzer bei jedem Besuch weiterhin die Discovery-Steuer zahlen.
Sobald das Gerät als bekannt eingestuft wird, leitet die Relying Party direkt in den lokalen Passkey-Pfad weiter. % CDA sinkt auf 1–5%. Die Abschlussrate nähert sich dem technischen Maximum und der Login fühlt sich unsichtbar an. Der KPI endet hier.
Die Lücke zwischen unbekannt und bekannt ist nicht nur ein Zeremonie-Problem. Es geht um den Wert, einen erfolgreichen Login eines unbekannten Geräts in eine Fast Lane für bekannte Geräte zu verwandeln. Jeder CDA-Erfolg, der keinen lokalen Passkey hinterlässt, ist ein Aufwand, den der Nutzer beim nächsten Besuch erneut zahlt.
Erfolg nach Login-Pfad
Die unten stehende Erfolgsquote schließt Fallbacks aus und beginnt, sobald ein Passkey-Pfad angeboten wird. Mobile und Desktop weichen stark voneinander ab: Mobile-Nutzer loggen sich meist auf dem Gerät ein, das den Passkey enthält, während Desktop-Nutzer oft eine Brücke zum Smartphone schlagen müssen.
| Login-Pfad | Passkey-Erfolg | % CDA |
|---|---|---|
| Unbekanntes Gerät: Identifier-first mobil | 85–95% | 0–5% |
| Unbekanntes Gerät: Identifier-first Desktop | 55–70% | 35–50% |
| Bekanntes Gerät: automatischer Return-Login | 95–99% | 1–5% |
Einstiege nur über Passkey-Buttons auf unbekannten Geräten sind aus dem Headline-Mix ausgeschlossen: Die Abschlussrate pro Versuch ist hoch, das Volumen jedoch zu gering, um als primäre Zahl veröffentlicht zu werden.
Erfolg nach Plattform
Dasselbe Identifier-first-Regime, aufgeschlüsselt nach Betriebssystem. Ein höheres % CDA bedeutet, dass der Nutzer für den Login ein separates Smartphone zur Hand nehmen musste.
| Segment | Identifier-first Erfolg | % CDA |
|---|---|---|
| iOS web | 85–95% | 0–5% |
| Android web | 70–85% | 5–10% |
| macOS web | 70–85% | 10–15% |
| Windows 11 web | 45–60% | 55–65% |
| Windows 10 web | 45–60% | 40–55% |
Das Smartphone ist das Gerät. Die Identifier-first-Abschlussrate ist hier am höchsten (85–95% auf iOS, 70–85% auf Android), da der Plattform-Passkey dort liegt, wo sich der Nutzer einloggt. Es ist so gut wie keine Brücke erforderlich.
Das Smartphone ist separat. Mehr als die Hälfte jedes erfolgreichen Windows Identifier-first Passkey-Logins ist eine Brücke zu einem Smartphone (55–65% auf Windows 11, 40–55% auf Windows 10). Jede Windows-Sitzung ohne einen gemerkten lokalen Passkey zahlt diesen Preis erneut.
Zwischen den beiden. Die meisten macOS Identifier-first-Erfolge sind lokal (70–85% Abschluss), aber ein relevanter Teil erfordert weiterhin eine Brücke zum Smartphone (10–15%), typischerweise wenn die iCloud Keychain auf dem Mac noch nicht aktiv ist oder der Nutzer ökosystemübergreifend arbeitet.
Weiterführende Literatur
Kuratierte Corbado-Forschung und Primärquellen.
- Passkey Login Best Practices Design- und Implementierungsmuster, damit bestehende Passkeys den Login zuverlässig abschließen.
- Passkey Authentication Success Rate Definition zur Messung von Passkey-Versuchen, die eine authentifizierte Sitzung erreichen.
- Passkey Design Guidelines UX-Empfehlungen für Passkey-Prompts, Fallback, Wiederherstellung und nutzerseitige Login-Abläufe.