Nutzerfreundlichkeit von Passkeys in Google-Konten gestalten

Google-Konten sind jetzt sicherer und nutzerfreundlicher.

Silvia Convento
Silvia Convento
Court Jacinic
Court Jacinic
Mitchell Galavan
Mitchell Galavan
X

Passkeys sind eine einfache und sichere Technologie zur geräteübergreifenden Authentifizierung, mit der Onlinekonten erstellt und sich ohne Passwort anmelden können. Wenn sich Nutzer in einem Konto anmelden möchten, werden sie einfach aufgefordert, die Displaysperre auf ihrem Gerät zu verwenden, z. B. den Fingerabdrucksensor zu berühren.

Google arbeitet seit Jahren mit der FIDO Alliance zusammen, um Passkeys gemeinsam mit Apple und Microsoft zu entwickeln. 2022 haben wir die Plattformunterstützung für Passkeys eingeführt, damit sich Nutzer von Android und Chrome auf allen ihren Geräten nahtlos in Apps und auf Websites anmelden können. Im Mai 2023 haben wir die Anmeldung in Google-Konten mit Passkeys ermöglicht. So können unsere Nutzer die Sicherheit und den Komfort von Passkeys nutzen.

Google befindet sich in einer einzigartigen Position, da wir sowohl an der Infrastruktur für Passkeys arbeiten als auch einer der größten Dienste sind, die sie verwenden. Wir führen Passkeys für Google-Konten überlegt und bewusst ein, damit wir die Ergebnisse messen und dieses Feedback nutzen können, um die Passkey-Infrastruktur und die Nutzerfreundlichkeit von Google-Konten weiter zu verbessern.

Nutzer auf Passkeys umstellen

Seit der Einführung personalisierter Online-Funktionen sind Passwörter die Standard-Anmeldemethode. Wie führen wir die passwortlose Nutzung von Passkeys ein?

Untersuchungen haben gezeigt, dass Nutzer bei der Authentifizierung vor allem auf den Komfort Wert legen. Sie wünschen sich einen reibungslosen und schnellen Übergang zur eigentlichen App, der erst nach der Anmeldung erfolgt.

Die Umstellung auf Passkeys erfordert jedoch eine Änderung des Muskelgedächtnisses und Nutzer müssen davon überzeugt werden, dass sich die Umstellung lohnt.

Die Nutzererfahrung von Passkeys für Google.com wurde strategisch so konzipiert, dass bei jedem Schritt des Authentifizierungsprozesses zwei Prinzipien betont werden: Nutzerfreundlichkeit und Sicherheit.

Mit Bequemlichkeit beginnen

Die meisten Nutzer sehen Passkeys zum ersten Mal
Für die meisten Nutzer ist dies das erste Mal, dass sie Passkeys sehen.

Der erste Passkey-Bildschirm, den Nutzer sehen, ist leicht und leicht verständlich. Die Überschrift konzentriert sich auf den Vorteil für den Nutzer: „Anmeldung vereinfachen“.

Im Haupttext wird erläutert: „Mit Passkeys können Sie jetzt Ihre Identität mit Ihrem Fingerabdruck, Ihrem Gesicht oder Ihrer Displaysperre bestätigen.“

Die Abbildung soll die Botschaft auf dem Nutzenversprechen der Seite begründen. Die große blaue primäre Aktion lädt den Nutzer zum Fortfahren ein. „Nicht jetzt“ ist als sekundäre Aktion enthalten, damit Nutzer entscheiden können, ob sie die Funktion jetzt aktivieren möchten oder nicht. „Weitere Informationen“ richtet sich an besonders neugierige Nutzer, die Passkeys besser verstehen möchten, bevor sie fortfahren.

Wir haben viele Iterationen der Seiten untersucht, auf denen Nutzer bei der Anmeldung Passkeys vorgestellt werden. Dazu gehörten Inhalte, in denen die Sicherheit, die Technologie und andere Aspekte von Passkeys hervorgehoben wurden. Am besten kam jedoch die Nutzerfreundlichkeit an. Die Inhaltsstrategie, die Illustration und das Interaktionsdesign von Google veranschaulichen dieses Grundprinzip für unsere Implementierung von Passkeys.

Der Begriff „Passkeys“ wird mit bekannten Sicherheitsmaßnahmen verknüpft

Passkeys sind für die meisten Nutzer ein neuer Begriff. Wir möchten sie daher langsam an den Begriff heranführen, damit sie sich mit ihm vertraut machen können. Basierend auf internen Studien verknüpfen wir Passkeys strategisch mit Sicherheit.

Das Wort „Passkey“ wird während des gesamten Anmeldevorgangs an einer weniger auffälligen Stelle im Textkörper verwendet. Passkeys werden immer in Kombination mit den bekannten Sicherheitsfunktionen verwendet, die die Verwendung von Passkeys ermöglichen: Fingerabdruck, Gesichtserkennung oder andere Displaysperren.

Unsere Forschung hat gezeigt, dass viele Nutzende biometrische Sicherheit mit Sicherheit in Verbindung bringen. Passkeys erfordern keine biometrischen Daten (z. B. kann ein Passkey mit einer Geräte-PIN verwendet werden). Wir konzentrieren uns jedoch darauf, Passkeys mit biometrischen Verfahren zu verknüpfen, um die Sicherheitsvorteile von Passkeys zu verbessern.

Die zusätzlichen Inhalte unter „Weitere Informationen“ enthalten viele wertvolle Informationen für Nutzer. Sie werden unter anderem beruhigt, dass ihre sensiblen biometrischen Daten auf ihrem persönlichen Gerät verbleiben und beim Erstellen oder Verwenden von Passkeys niemals gespeichert oder weitergegeben werden. Wir haben diesen Ansatz gewählt, da die meisten Nutzer den praktischen Aspekt von Passkeys attraktiv fanden, aber nur wenige das biometrische Element bei den Tests berücksichtigten.

Passkeys nur dann anbieten, wenn sie für den Nutzer relevant sind

Anhand der Heuristiken von Google wird sorgfältig bestimmt, wer den Einführungsbildschirm sieht. Zu diesen Faktoren gehört, ob ein Nutzer die 2-Faktor-Authentifizierung aktiviert hat und ob er regelmäßig von demselben Gerät auf das Konto zugreift.

Zuerst werden die Nutzerinnen und Nutzer ausgewählt, bei denen die Wahrscheinlichkeit der Verwendung von Passkeys am höchsten ist. Im Laufe der Zeit werden dann weitere Nutzer hinzukommen. Heute kann aber jeder unter g.co/passkeys loslegen.

Ausgewählte Nutzer werden aufgefordert, einen Passkey zu erstellen, nachdem sie sich mit einem Nutzernamen und Passwort angemeldet haben. Es gibt einige Gründe, warum wir uns für diesen Punkt im Kaufprozess entschieden haben:

  • Der Nutzer hat sich gerade angemeldet und kennt seine Anmeldedaten und den zweiten Schritt.
  • Wir sind sicher, dass sich der Nutzer auf seinem Gerät befindet. Er hat sich gerade angemeldet, daher ist es unwahrscheinlich, dass er weggegangen oder sein Gerät abgelegt hat.
  • Statistisch gesehen gelingt die Anmeldung nicht immer beim ersten Mal. Eine Nachricht, dass es beim nächsten Mal einfacher wird, hat also einen konkreten Wert.

Passkeys als Alternative zu
Passwörtern positionieren

Erste Nutzerstudien haben gezeigt, dass viele Nutzer weiterhin Passwörter als Back-up-Anmeldemethode wünschen. Außerdem haben nicht alle Nutzer die Technologie, die für die Nutzung von Passkeys erforderlich ist.

Während die Branche, einschließlich Google, also auf eine „zukunftssichere Welt ohne Passwörter“ hinarbeitet, positioniert Google Passkeys als einfache und sichere Alternative zu Passwörtern. Die Benutzeroberfläche von Google konzentriert sich auf die Vorteile von Passkeys und verwendet keine Formulierungen, die darauf hindeuten, dass Passwörter nicht mehr benötigt werden.

Der Moment der Erstellung

Wenn sich Nutzer registrieren, wird ein browserspezifisches modales UI angezeigt, über das sie einen Passkey erstellen können.

Der Passkey selbst wird mit dem branchenüblichen Symbol und den Informationen angezeigt, die zum Erstellen verwendet wurden. Dazu gehören der Anzeigename (ein freundlicher Name für Ihren Passkey, z. B. der echte Name des Nutzers) und der Nutzername (ein eindeutiger Name in Ihrem Dienst – eine E-Mail-Adresse eignet sich hier gut). Für das Passkeys-Symbol empfiehlt die FIDO Alliance die Verwendung des bewährten Passkeys-Symbols und ermutigt dazu, es mit Anpassungen zu personalisieren.

Das Symbol für Passkeys wird während der gesamten User Journey konsistent angezeigt, damit Nutzer wissen, was sie bei der Verwendung oder Verwaltung des Passkeys sehen werden. Das Passkey-Symbol wird niemals ohne Kontext oder unterstützendes Material dargestellt.

Wenn Nutzer einen Passkey erstellen, wird diese Seite angezeigt.
Diese Seite wird angezeigt, wenn Nutzer einen Passkey erstellen.

Oben wurde beschrieben, wie der Nutzer und die Plattform zusammenarbeiten, um einen Passkey zu erstellen. Wenn der Nutzer auf „Weiter“ klickt, wird ihm je nach Plattform eine individuelle Benutzeroberfläche angezeigt.

Vor diesem Hintergrund haben wir durch interne Forschung herausgefunden, dass ein Bestätigungsbildschirm nach dem Erstellen des Passkeys in diesem Schritt des Prozesses für das Verständnis und das Schließen sehr hilfreich sein kann.

Nachdem der Passkey erstellt wurde, sehen Nutzer diese Seite.
Nachdem der Passkey erstellt wurde, sehen Nutzer diese Seite.

Der Bestätigungsbildschirm ist eine bewusste Pause, um die Einführung von Passkeys für Nutzer abzurunden und sie durch den Prozess der Erstellung eines eigenen Passkeys zu führen. Da es sich wahrscheinlich um das erste Mal handelt, dass ein Nutzer Passkeys verwendet, soll diese Seite einen klaren Abschluss bieten. Wir haben uns für eine eigenständige Seite entschieden, nachdem wir einige andere Tools wie kleinere Benachrichtigungen und sogar eine E-Mail nach der Erstellung ausprobiert hatten. So wollten wir eine strukturierte, stabile End-to-End-Lösung bieten.

Wenn der Nutzer hier auf „Weiter“ klickt, wird er zu seinem Ziel weitergeleitet.

Wenn sich Nutzer wieder anmelden, wird ihnen wahrscheinlich diese Seite angezeigt.
Wenn sich Nutzer wieder anmelden, sehen sie wahrscheinlich diese Seite.

Anmelden

Wenn der Nutzer das nächste Mal versucht, sich anzumelden, wird ihm diese Seite angezeigt. Hier werden dasselbe Layout, dieselbe Abbildung und derselbe primäre Call-to-Action verwendet, um die oben beschriebene erste „Erstellung“ zu evozieren. Nachdem sich der Nutzer für die Registrierung von Passkeys entschieden hat, sollte diese Seite ihm vertraut sein und er sollte wissen, welche Schritte er zur Anmeldung ausführen muss.

Der Nutzer meldet sich über diese WebAuthn-UI an
Über diese WebAuthn-Benutzeroberfläche meldet sich der Nutzer an.

Das Prinzip der Vertrautheit gilt auch hier. Hier werden bewusst dieselben Symbole, Illustrationen, Layouts und Texte verwendet. Der Text in der WebAuthn-Benutzeroberfläche ist kurz, allgemein und wiederverwendbar, sodass er sowohl für die Authentifizierung als auch für die erneute Authentifizierung verwendet werden kann.

Passkeys verwalten

Die Einführung einer ganz neuen Seite in den Google-Kontoeinstellungen erforderte eine sorgfältige Überlegung, um eine einheitliche, intuitive und konsistente Nutzererfahrung zu gewährleisten.

Dazu haben wir die Muster in Bezug auf Navigation, Inhalt, Hierarchie und Struktur analysiert und ermittelt, welche Erwartungen für das Google-Konto galten.

Seite „Passkeys verwalten“ im Google-Konto
Seite „Passkeys verwalten“ im Google-Konto

Passkeys nach Ökosystem beschreiben

Um ein übergeordnetes Kategoriensystem zu erstellen, das logisch verständlich ist, haben wir uns entschieden, Passkeys nach Ecosystem zu beschreiben. So kann ein Nutzer erkennen, wo ein Passkey erstellt und wo er verwendet wird. Jeder Identitätsanbieter (Google, Apple und Microsoft) hat einen Namen für sein Ökosystem. Wir haben uns daher entschieden, diese zu verwenden (Google Passwortmanager, iCloud-Schlüsselbund und Windows Hello).

Dazu haben wir zusätzliche Metadaten hinzugefügt, z. B. wann sie erstellt wurde, wann sie zuletzt verwendet wurde und auf welchem Betriebssystem sie verwendet wurde. Was die Nutzerverwaltung betrifft, unterstützt die API nur das Umbenennen, Widerrufen und Erstellen.

Durch das Umbenennen können Nutzer Passkeys mit aussagekräftigen Namen versehen. Dadurch können bestimmte Kohorten von Nutzern sie leichter verfolgen und verstehen.

Wenn Sie einen Passkey widerrufen, wird er nicht aus dem persönlichen Anmeldedaten-Manager des Nutzers (z. B. Google Passwortmanager) gelöscht, sondern kann erst wieder verwendet werden, wenn er neu eingerichtet wurde. Deshalb haben wir uns für ein Kreuz anstelle eines Papierkorb- oder Löschsymbols entschieden, um das Widerrufen eines Passkeys darzustellen.

Bei der Beschreibung der Aktion, mit der einem Konto ein Passkey hinzugefügt wird, fand die Formulierung „Passkey erstellen“ bei den Nutzern mehr Anklang als „Passkey hinzufügen“. Diese subtile Wortwahl soll Passkeys von physischen Hardware-Sicherheitsschlüsseln unterscheiden. Beachten Sie jedoch, dass Passkeys auf einigen Hardware-Sicherheitsschlüsseln gespeichert werden können.

Zusätzliche Inhalte bereitstellen

Interne Untersuchungen haben gezeigt, dass die Verwendung von Passkeys eine relativ nahtlose und vertraute Erfahrung ist. Wie bei jeder neuen Technologie gibt es jedoch immer wieder neue Fragen und Bedenken, die einigen Nutzern auftauchen werden.

Wie die Technologie hinter der Displaysperre funktioniert, was sie sicherer macht und welche häufigen „Was-wäre-wenn-Szenarien“ Google bei den Tests festgestellt hat, wird in den Passkey-Hilfeartikeln von Google erläutert. Supportinhalte sind für eine einfache Umstellung für Nutzer auf jeder Website unerlässlich.

Zurückfallen auf Passkeys

Wenn ein Nutzer aufgefordert wird, sich mit einem Passkey zu authentifizieren, kann er einfach auf „Andere Option wählen“ klicken, um zum alten System zurückzukehren. Wenn Nutzer die WebAuthn-Benutzeroberfläche verlassen, können sie es noch einmal mit ihrem Passkey versuchen oder sich auf herkömmliche Weise in ihrem Google-Konto anmelden.

Fazit

Passkeys befinden sich noch in der Anfangsphase. Beachten Sie beim Entwerfen der Nutzererfahrung daher einige Grundsätze:

  • Passkeys sollten nur dann angezeigt werden, wenn sie für den Nutzer relevant sind.
  • Heben Sie die Vorteile von Passkeys hervor.
  • Nutzen Sie Gelegenheiten, um sich mit dem Konzept der Passkeys vertraut zu machen.
  • Passkeys sind eine Alternative zu Passwörtern, kein Ersatz.

Die Auswahl, die wir für Passkeys für Google-Konten getroffen haben, basiert auf Best Practices und internen Studien. Wir werden die Nutzererfahrung ständig weiterentwickeln, wenn wir neue Erkenntnisse von Nutzern aus der realen Welt gewinnen.