Nutzerfreundlichkeit von Passkeys in Google-Konten gestalten

Google-Konten sind jetzt sicherer und nutzerfreundlicher.

Silvia Convento
Silvia Convento
Court Jacinic
Court Jacinic
Mitchell Galavan
Mitchell Galavan
X

Passkeys sind eine einfache und sichere geräteübergreifende Authentifizierungstechnologie, mit der Sie Onlinekonten erstellen und sich darin anmelden können, ohne ein Passwort eingeben zu müssen. Wenn sich Nutzer in einem Konto anmelden möchten, werden sie einfach aufgefordert, die Displaysperre auf ihrem Gerät zu verwenden, z. B. den Fingerabdrucksensor zu berühren.

Google arbeitet seit Jahren mit der FIDO Alliance zusammen, um Passkeys gemeinsam mit Apple und Microsoft zu entwickeln. 2022 haben wir die Plattformunterstützung für Passkeys eingeführt, damit sich Nutzer von Android und Chrome auf allen ihren Geräten nahtlos in Apps und auf Websites anmelden können. Im Mai 2023 haben wir die Anmeldung in Google-Konten mit Passkeys ermöglicht. So können unsere Nutzer die Sicherheit und den Komfort von Passkeys nutzen.

Google befindet sich in einer einzigartigen Position, da wir sowohl an der Infrastruktur für Passkeys arbeiten als auch einer der größten Dienste sind, die sie verwenden. Wir führen Passkeys für Google-Konten mit Bedacht und bedacht ein, damit wir die Ergebnisse messen und dieses Feedback nutzen können, um die Passkey-Infrastruktur und die Google-Kontonutzung weiter zu verbessern.

Nutzer auf Passkeys umstellen

Passwörter sind seit der Einführung personalisierter Online-Anwendungen die Standardanmeldemethode. Wie führen wir die passwortlose Nutzung von Passkeys ein?

Studien haben gezeigt, dass Nutzer bei der Authentifizierung vor allem auf den Komfort Wert legen. Sie wünschen sich einen reibungslosen und schnellen Übergang zur eigentlichen App, der erst nach der Anmeldung erfolgt.

Die Umstellung auf Passkeys erfordert jedoch eine Änderung des Muskelgedächtnisses und Nutzer müssen davon überzeugt werden, dass sich die Umstellung lohnt.

Die Nutzerfreundlichkeit von Passkeys für Google.com wurde strategisch so konzipiert, dass in jedem Schritt des Authentifizierungsprozesses zwei Prinzipien im Vordergrund stehen: Nutzerfreundlichkeit und Sicherheit.

Mit Bequemlichkeit überzeugen

Für die meisten Nutzer ist dies das erste Mal, dass sie Passkeys sehen.
Für die meisten Nutzer ist dies das erste Mal, dass sie Passkeys sehen.

Der erste Passkey-Bildschirm, den Nutzer sehen, ist schlicht und übersichtlich. Der Titel konzentriert sich auf den Nutzervorteil: „Einfachere Anmeldung“.

Im Fließtext wird erklärt: „Mit Passkeys können Sie jetzt Ihren Fingerabdruck, Ihr Gesicht oder Ihre Displaysperre verwenden, um Ihre Identität zu bestätigen.“

Die Abbildung soll die Botschaft auf dem Nutzenversprechen der Seite begründen. Die große blaue primäre Aktion lädt den Nutzer zum Fortfahren ein. „Nicht jetzt“ ist als sekundäre Aktion enthalten, damit Nutzer entscheiden können, ob sie die Funktion jetzt aktivieren möchten oder nicht. „Weitere Informationen“ richtet sich an besonders neugierige Nutzer, die sich vor dem Fortfahren genauer über Passkeys informieren möchten.

Wir haben viele Versionen der Seiten getestet, auf denen Passkeys bei der Anmeldung vorgestellt werden. Dazu gehörten Inhalte, in denen die Sicherheit, die Technologie und andere Aspekte von Passkeys hervorgehoben wurden. Am besten kam jedoch die Nutzerfreundlichkeit an. Die Inhaltsstrategie, die Illustration und das Interaktionsdesign von Google veranschaulichen dieses Grundprinzip für unsere Implementierung von Passkeys.

Der Begriff „Passkeys“ wird mit bekannten Sicherheitsmaßnahmen verknüpft

Passkeys sind für die meisten Nutzer ein neuer Begriff. Wir möchten sie daher langsam an den Begriff heranführen, damit sie sich mit ihm vertraut machen können. Basierend auf internen Studien verknüpfen wir Passkeys strategisch mit Sicherheit.

Das Wort „Passkey“ wird während des gesamten Anmeldevorgangs an einer weniger auffälligen Stelle im Fließtext verwendet. Sie werden immer in den bekannten Sicherheitsoptionen angezeigt, die die Verwendung von Passkeys ermöglichen: Fingerabdruck, Gesichtserkennung oder andere Displaysperren.

Unsere Forschung hat gezeigt, dass viele Nutzer biometrische Verfahren mit Sicherheit in Verbindung bringen. Für Passkeys sind keine biometrischen Verfahren erforderlich (ein Passkey kann beispielsweise mit einer Geräte-PIN verwendet werden). Wir möchten Passkeys jedoch mit biometrischen Verfahren verknüpfen, um die Nutzerwahrnehmung der Sicherheitsvorteile von Passkeys zu verbessern.

Die zusätzlichen Inhalte unter „Weitere Informationen“ enthalten viele wertvolle Informationen für Nutzer. Sie werden unter anderem beruhigt, dass ihre sensiblen biometrischen Daten auf ihrem persönlichen Gerät verbleiben und beim Erstellen oder Verwenden von Passkeys niemals gespeichert oder weitergegeben werden. Wir haben diesen Ansatz gewählt, weil die meisten Nutzer den praktischen Aspekt von Passkeys ansprechend fanden, aber nur wenige das biometrische Element bei den Tests berücksichtigten.

Passkeys nur dann anbieten, wenn sie für den Nutzer relevant sind

Anhand der Heuristiken von Google wird sorgfältig bestimmt, wer den Einführungsbildschirm sieht. Zu diesen Faktoren gehört, ob ein Nutzer die 2-Faktor-Authentifizierung aktiviert hat und ob er regelmäßig von demselben Gerät auf das Konto zugreift.

Zuerst werden Nutzer ausgewählt, bei denen Passkeys am ehesten erfolgreich sind. Im Laufe der Zeit werden weitere Nutzer hinzukommen. Unter g.co/passkeys können Sie schon heute loslegen.

Ausgewählte Nutzer werden aufgefordert, einen Passkey zu erstellen, nachdem sie sich mit einem Nutzernamen und Passwort angemeldet haben. Es gibt einige Gründe, warum wir diesen Punkt in der User Journey ausgewählt haben:

  • Der Nutzer hat sich gerade angemeldet und kennt seine Anmeldedaten und den zweiten Schritt.
  • Wir sind sicher, dass sich der Nutzer auf seinem Gerät befindet. Er hat sich gerade angemeldet, daher ist es unwahrscheinlich, dass er weggegangen oder sein Gerät abgelegt hat.
  • Statistisch gesehen gelingt die Anmeldung nicht immer beim ersten Mal. Eine Nachricht, dass es beim nächsten Mal einfacher wird, hat also einen konkreten Wert.

Passkeys als Alternative zu
Passwörtern und nicht als Ersatz positionieren

Erste Nutzerstudien haben gezeigt, dass viele Nutzer weiterhin Passwörter als Back-up-Anmeldemethode wünschen. Außerdem haben nicht alle Nutzer die Technologie, die für die Nutzung von Passkeys erforderlich ist.

Während die Branche, einschließlich Google, also auf eine „zukunftssichere Welt ohne Passwörter“ hinarbeitet, positioniert Google Passkeys als einfache und sichere Alternative zu Passwörtern. Die Benutzeroberfläche von Google konzentriert sich auf die Vorteile von Passkeys und verwendet keine Formulierungen, die darauf hindeuten, dass Passwörter nicht mehr benötigt werden.

Der Moment der Erstellung

Wenn sich Nutzer registrieren, wird ein browserspezifisches modales UI angezeigt, über das sie einen Passkey erstellen können.

Der Passkey selbst wird mit dem branchenüblichen Symbol und den Informationen angezeigt, die zum Erstellen verwendet wurden. Dazu gehören der Anzeigename (ein freundlicher Name für Ihren Passkey, z. B. der echte Name des Nutzers) und der Nutzername (ein eindeutiger Name in Ihrem Dienst – eine E-Mail-Adresse eignet sich hier gut). Für das Passkeys-Symbol empfiehlt die FIDO Alliance die Verwendung des bewährten Passkeys-Symbols und ermutigt dazu, es mit Anpassungen zu personalisieren.

Das Symbol für Passkeys wird während der gesamten User Journey einheitlich angezeigt, damit Nutzer wissen, was sie bei der Verwendung oder Verwaltung des Passkeys sehen werden. Das Passkey-Symbol wird nie ohne Kontext oder ergänzende Materialien angezeigt.

Wenn Nutzer ihren Passkey erstellen, wird diese Seite angezeigt.
Wenn Nutzer ihren Passkey erstellen, wird diese Seite angezeigt.

Oben haben wir beschrieben, wie Nutzer und die Plattform zusammenarbeiten, um einen Passkey zu erstellen. Wenn der Nutzer auf „Weiter“ klickt, wird ihm je nach Plattform eine individuelle Benutzeroberfläche angezeigt.

In diesem Zusammenhang haben wir durch interne Studien gelernt, dass ein Bestätigungsbildschirm nach dem Erstellen des Passkeys sehr hilfreich sein kann, um den Nutzer in diesem Schritt des Prozesses besser zu informieren und ihm das Gefühl zu geben, dass alles in Ordnung ist.

Nachdem der Passkey erstellt wurde, sehen Nutzer diese Seite.
Nachdem der Passkey erstellt wurde, sehen Nutzer diese Seite.

Der Bestätigungsbildschirm ist eine bewusste Pause, um die Einführung von Passkeys für Nutzer abzurunden und sie durch den Prozess der Erstellung eines eigenen Passkeys zu führen. Da es sich (wahrscheinlich) um das erste Mal handelt, dass ein Nutzer Passkeys verwendet, soll diese Seite einen klaren Abschluss bieten. Wir haben uns für eine eigenständige Seite entschieden, nachdem wir einige andere Tools wie kleinere Benachrichtigungen und sogar eine E-Mail nach der Erstellung ausprobiert hatten. So wollten wir eine strukturierte, stabile End-to-End-Lösung bieten.

Wenn der Nutzer hier auf „Weiter“ klickt, wird er zum Ziel weitergeleitet.

Wenn sich Nutzer wieder anmelden, wird ihnen wahrscheinlich diese Seite angezeigt.
Wenn sich Nutzer wieder anmelden, sehen sie wahrscheinlich diese Seite.

Anmelden

Wenn der Nutzer das nächste Mal versucht, sich anzumelden, wird ihm diese Seite angezeigt. Hier werden dasselbe Layout, dieselbe Abbildung und derselbe primäre Call-to-Action verwendet, um die oben beschriebene erste „Erstellung“ zu evozieren. Nachdem sich der Nutzer für die Registrierung von Passkeys entschieden hat, sollte diese Seite ihm vertraut sein und er sollte wissen, welche Schritte er zur Anmeldung ausführen muss.

Der Nutzer meldet sich über diese WebAuthn-Benutzeroberfläche an.
Über diese WebAuthn-Benutzeroberfläche meldet sich der Nutzer an.

Hier gilt dasselbe Prinzip der Vertrautheit. Hier werden bewusst dieselben Symbole, Illustrationen, Layouts und Texte verwendet. Der Text in der WebAuthn-Benutzeroberfläche ist kurz, allgemein und wiederverwendbar, sodass er sowohl für die Authentifizierung als auch für die erneute Authentifizierung verwendet werden kann.

Passkeys verwalten

Die Einführung einer ganz neuen Seite in den Google-Kontoeinstellungen erforderte eine sorgfältige Überlegung, um eine einheitliche, intuitive und konsistente Nutzererfahrung zu gewährleisten.

Dazu haben wir die Muster in Bezug auf Navigation, Inhalte, Hierarchie, Struktur und etablierte Erwartungen analysiert, die im Google-Konto vorhanden waren.

Seite „Passkeys verwalten“ im Google-Konto
Seite „Passkeys verwalten“ im Google-Konto

Passkeys nach Ökosystem beschreiben

Um ein übergeordnetes Kategoriensystem zu erstellen, das logisch verständlich ist, haben wir uns entschieden, Passkeys nach Ökosystem zu beschreiben. So kann ein Nutzer erkennen, wo ein Passkey erstellt und wo er verwendet wird. Jeder Identitätsanbieter (Google, Apple und Microsoft) hat einen Namen für sein Ökosystem. Wir haben uns daher entschieden, diese zu verwenden (Google Passwortmanager, iCloud-Schlüsselbund und Windows Hello).

Dazu haben wir zusätzliche Metadaten hinzugefügt, z. B. wann sie erstellt wurde, wann sie zuletzt verwendet wurde und auf welchem Betriebssystem sie verwendet wurde. Was die Nutzerverwaltung betrifft, unterstützt die API nur das Umbenennen, Widerrufen und Erstellen.

Durch das Umbenennen können Nutzer Passkeys persönlich relevante Namen zuweisen, was bestimmten Nutzergruppen helfen kann, den Überblick zu behalten und sie leichter zu verstehen.

Wenn Sie einen Passkey widerrufen, wird er nicht aus dem persönlichen Anmeldedaten-Manager des Nutzers (z. B. Google Passwortmanager) gelöscht, sondern kann erst wieder verwendet werden, wenn er neu eingerichtet wurde. Deshalb haben wir uns für ein Kreuz anstelle eines Papierkorb- oder Löschsymbols entschieden, um das Widerrufen eines Passkeys darzustellen.

Bei der Beschreibung der Aktion, mit der einem Konto ein Passkey hinzugefügt wird, fand die Formulierung „Passkey erstellen“ bei den Nutzern mehr Anklang als „Passkey hinzufügen“. Diese subtile Wortwahl soll Passkeys von physischen Hardware-Sicherheitsschlüsseln unterscheiden. Beachten Sie jedoch, dass Passkeys auf einigen Hardware-Sicherheitsschlüsseln gespeichert werden können.

Zusätzliche Inhalte bereitstellen

Interne Studien haben gezeigt, dass die Verwendung von Passkeys relativ nahtlos und vertraut ist. Wie bei jeder neuen Technologie gibt es jedoch noch Fragen und Bedenken, die bei einigen Nutzern aufkommen.

Wie die Technologie hinter der Displaysperre funktioniert, was sie sicherer macht und welche „Was-wäre-wenn“-Szenarien Google bei den Tests am häufigsten begegnet sind, wird in den Hilfeartikeln zu Passkeys von Google erläutert. Supportinhalte sind für eine einfache Umstellung für Nutzer auf jeder Website unerlässlich.

Rückfall auf Passkeys

Wenn ein Nutzer aufgefordert wird, sich mit einem Passkey zu authentifizieren, kann er einfach auf „Andere Option wählen“ klicken, um zum alten System zurückzukehren. Wenn Nutzer die WebAuthn-Benutzeroberfläche schließen, können sie ihren Passkey noch einmal versuchen oder sich auf herkömmliche Weise in ihrem Google-Konto anmelden.

Fazit

Passkeys befinden sich noch in der Anfangsphase. Berücksichtigen Sie beim Entwerfen der Nutzererfahrung daher einige Grundsätze:

  • Passkeys sollten nur dann präsentiert werden, wenn sie für den Nutzer relevant sind.
  • Heben Sie die Vorteile von Passkeys hervor.
  • Nutzen Sie die Gelegenheit, um das Konzept von Passkeys bekannter zu machen.
  • Passkeys sind eine Alternative zu Passwörtern, kein Ersatz.

Bei der Auswahl der Passkeys für Google-Konten haben wir Best Practices und interne Studien berücksichtigt. Wir werden die Nutzerfreundlichkeit kontinuierlich weiterentwickeln, sobald wir neue Erkenntnisse von Nutzern in der Praxis erhalten.