Nutzerfreundlichkeit von Passkeys in Google-Konten gestalten

Mehr Sicherheit und Nutzerfreundlichkeit für Google-Konten

Silvia Convento
Silvia Convento
Court Jacinic
Court Jacinic
Mitchell Galavan
Mitchell Galavan
X

Passkeys sind eine einfache und sichere Technologie zur geräteübergreifenden Authentifizierung, mit der Onlinekonten erstellt und sich ohne Passwort anmelden können. Zur Anmeldung in einem Konto wird Nutzern einfach eine Aufforderung angezeigt, die Displaysperre auf ihrem Gerät zu verwenden, z. B. das Berühren des Fingerabdrucksensors.

Google arbeitet seit Jahren mit der FIDO Alliance zusammen, zusammen mit Apple und Microsoft, um Passkeys weltweit verfügbar zu machen. 2022 haben wir die Plattformunterstützung für Passkeys eingeführt, damit sich Android- und Chrome-Nutzer auf allen ihren Geräten nahtlos in Apps und Websites anmelden können. Im Mai 2023 haben wir die Anmeldung in Google-Konten mit Passkeys aktiviert, um unseren Nutzern die Sicherheit und den Komfort von Passkeys zu bieten.

Google befindet sich in einer einzigartigen Position, da wir beide an der Infrastruktur für Passkeys arbeiten und einer der größten Dienste sind, die diese verwenden. Wir führen Passkeys für Google-Konten überlegt und bewusst ein, damit wir die Ergebnisse messen und dieses Feedback nutzen können, um die Passkey-Infrastruktur und die Nutzerfreundlichkeit von Google-Konten weiter zu verbessern.

Nutzer auf Passkeys umstellen

Seit der Einführung personalisierter Online-Funktionen sind Passwörter die Standard-Anmeldemethode. Wie führen wir die passwortlose Nutzung von Passkeys ein?

Untersuchungen haben ergeben, dass Nutzer den Komfort bei der Authentifizierung am meisten schätzen. Sie wünschen sich einen reibungslosen und schnellen Übergang zur echten Umgebung, die erst nach der Anmeldung erfolgt.

Für die Umstellung auf Passkeys ist jedoch ein Wechsel des Muskelspeichers erforderlich und Nutzer müssen davon überzeugt sein, dass sich ein Wechsel lohnt.

Die Nutzererfahrung von Passkeys für Google.com wurde strategisch so konzipiert, dass bei jedem Schritt des Authentifizierungsprozesses zwei Prinzipien betont werden: Nutzerfreundlichkeit und Sicherheit.

Mit Bequemlichkeit beginnen

Die meisten Nutzer sehen Passkeys zum ersten Mal
Die meisten Nutzer sehen Passkeys zum ersten Mal.

Der erste Passkey-Bildschirm, den Nutzer sehen, ist leicht und leicht verständlich. Die Überschrift konzentriert sich auf den Vorteil für den Nutzer: „Anmeldung vereinfachen“.

Im Haupttext wird erläutert: „Mit Passkeys können Sie jetzt Ihre Identität mit Ihrem Fingerabdruck, Ihrem Gesicht oder Ihrer Displaysperre bestätigen.“

Die Abbildung soll die Botschaft im Nutzenversprechen der Seite untermauern. Die große blaue primäre Aktion lädt den Nutzer ein, fortzufahren. „Jetzt nicht“ ist als sekundäre Aktion enthalten, bei der Nutzer selbst entscheiden können, ob sie die Funktion aktivieren möchten. Der Nutzer behält dann die Kontrolle. „Weitere Informationen“ wird für die neugierigen Nutzer angeboten, die Passkeys besser verstehen möchten, bevor sie fortfahren.

Wir haben viele Iterationen der Seiten untersucht, auf denen Nutzern bei der Anmeldung Passkeys vorgestellt werden. Dazu gehörten das Ausprobieren von Inhalten, in denen die Sicherheit, die Technologie und andere Aspekte von Passkeys betont wurden – doch am meisten kam Bequemlichkeit heraus. Die Inhaltsstrategie, die Illustration und das Interaktionsdesign von Google zeigen dieses Grundprinzip für die Implementierung von Passkeys.

Zuordnung des Begriffs „Passkeys“ zu bekannten Sicherheitsfunktionen

Passkeys sind für die meisten Nutzer ein neuer Begriff. Deshalb machen wir sie bewusst mit diesem Begriff vertraut, damit sie sich vertraut machen. In internen Studien verknüpfen wir Passkeys strategisch mit der Sicherheit.

Das Wort „Passkey“ ist während des gesamten Anmeldevorgangs an der weniger auffälligen Position im Haupttext enthalten. Sie ist durchweg in die vertrauten Sicherheitsfunktionen integriert, die die Verwendung von Passkeys ermöglichen, z. B. Fingerabdruck, Gesichtserkennung oder Displaysperre von anderen Geräten.

Unsere Forschung hat gezeigt, dass viele Nutzende biometrische Sicherheit mit Sicherheit in Verbindung bringen. Passkeys erfordern kein biometrisches Verfahren (ein Passkey kann beispielsweise mit einer Geräte-PIN verwendet werden), aber wir konzentrieren uns auf die Verknüpfung von Passkeys mit biometrischen Daten, um die Nutzerwahrnehmung der Sicherheitsvorteile von Passkeys zu verbessern.

Die zusätzlichen Inhalte, die hinter dem Abschnitt „Weitere Informationen“ stehen, enthalten viele wertvolle Informationen für Nutzer, einschließlich der Gewissheit, dass ihre vertraulichen biometrischen Daten auf ihrem privaten Gerät verbleiben und niemals beim Erstellen oder Verwenden von Passkeys gespeichert oder weitergegeben werden. Wir haben diesen Ansatz gewählt, da die meisten Nutzer den Vorteil von Passkeys als praktisch empfinden, aber nur wenige das biometrische Element beim Testen berücksichtigten.

Einführung von Passkeys, wenn sie für den Nutzer relevant sind

Mithilfe der Heuristik von Google wird genau bestimmt, wer den Einführungsbildschirm sehen kann. Dazu gehören unter anderem, ob ein Nutzer die 2-Faktor-Authentifizierung aktiviert hat und ob er regelmäßig über dasselbe Gerät auf das Konto zugreift.

Zuerst werden Nutzer ausgewählt, die am ehesten mit Passkeys erfolgreich sind, und im Laufe der Zeit werden weitere Nutzer hinzukommen. Heute kann aber jeder unter g.co/passkeys loslegen.

Ausgewählte Nutzer werden nach der Anmeldung mit einem Nutzernamen und Passwort aufgefordert, einen Passkey zu erstellen. Es gibt mehrere Gründe, warum wir diesen Punkt in der User Journey gewählt haben:

  • Der Nutzer hat sich gerade angemeldet. Er kennt seine Anmeldedaten und den zweiten Schritt.
  • Wir sind zuversichtlich, dass der Nutzer sein Gerät gerade verwendet und sich gerade angemeldet hat. Es ist also unwahrscheinlich, dass er sich entfernt oder das Gerät beiseitegelegt hat.
  • Statistisch gesehen ist die Anmeldung beim ersten Mal nicht immer erfolgreich. Eine Mitteilung, die das nächste Mal einfacher macht, hat also einen spürbaren Wert.

Passkeys als Alternative zu
Passwörtern positionieren

Erste Nutzerstudien zeigen, dass viele Nutzer weiterhin Passwörter als alternative Anmeldemethode verwenden möchten. Außerdem verfügen nicht alle Nutzer über die für die Übernahme von Passkeys erforderliche Technologie.

Während die Branche, einschließlich Google, auf eine „passwortlose Zukunft“ hinarbeitet, positioniert Google Passkeys bewusst als einfache und sichere Alternative zu Passwörtern. Die Benutzeroberfläche von Google konzentriert sich auf die Vorteile von Passkeys und vermeidet Ausdrücke, die das Löschen von Passwörtern implizieren.

Im Moment der Entstehung

Wenn Nutzer sich registrieren, sehen sie ein browserspezifisches UI-Fenster, über das sie einen Passkey erstellen können.

Der Passkey selbst wird mit dem branchenspezifischen Symbol und den Informationen, die zu seiner Erstellung verwendet wurden, angezeigt. Dazu gehören der Anzeigename (ein Anzeigename für Ihren Passkey, z. B. der richtige Name Ihres Nutzers) und der Nutzername (ein eindeutiger Name für Ihren Dienst – hier kann eine E-Mail-Adresse gut funktionieren). Wenn es um die Verwendung des Passkey-Symbols geht, empfiehlt die FIDO-Allianz, das Symbol für bewährte Passkeys zu verwenden und empfiehlt, es mit Anpassungen an Ihre Anforderungen anzupassen.

Das Passkeys-Symbol wird während des gesamten Kaufprozesses immer wieder angezeigt, um einen Eindruck davon zu vermitteln, was der Nutzer bei der Verwendung oder Verwaltung eines Passkeys sieht. Das Passkey-Symbol wird niemals ohne Kontext oder unterstützendes Material dargestellt.

Diese Seite wird angezeigt, wenn Nutzer einen Passkey erstellen
Diese Seite wird angezeigt, wenn Nutzer einen Passkey erstellen.

Oben wurde beschrieben, wie der Nutzer und die Plattform zusammenarbeiten, um einen Passkey zu erstellen. Wenn der Nutzer auf „Weiter“ klickt, wird je nach Plattform eine eindeutige UI angezeigt.

Vor diesem Hintergrund haben wir durch interne Forschung herausgefunden, dass ein Bestätigungsbildschirm nach dem Erstellen des Passkeys in diesem Schritt des Prozesses für das Verständnis und das Schließen sehr hilfreich sein kann.

Sobald der Passkey erstellt wurde, sehen Nutzer diese Seite
Sobald der Passkey erstellt wurde, sehen Nutzer diese Seite.

Der Bestätigungsbildschirm ist eine absichtliche „Pause“, um die Einführung eines Passkeys für den Nutzer zu beenden und einen eigenen Passkey zu erstellen. Da es sich (wahrscheinlich) das erste Mal handelt, dass ein Nutzer Passkeys verwendet, soll diese Seite einen klaren Überblick über den Prozess bieten. Wir haben uns für eine eigenständige Seite entschieden, nachdem wir einige andere Tools ausprobiert hatten, z. B. kleinere Benachrichtigungen und sogar eine E-Mail nach der Erstellung – so einfach, um eine strukturierte, stabile Benutzeroberfläche zu bieten.

Wenn der Nutzer hier auf „Weiter“ klickt, wird er zu seinem Ziel weitergeleitet.

Wenn Nutzer sich wieder anmelden, wird ihnen wahrscheinlich diese Seite angezeigt
Wenn Nutzer sich wieder anmelden, wird ihnen wahrscheinlich diese Seite angezeigt.

Anmeldung läuft

Wenn ein Nutzer das nächste Mal versucht, sich anzumelden, wird er mit dieser Seite begrüßt. Dabei werden das gleiche Layout, die gleiche Darstellung und der gleiche primäre Call-to-Action verwendet, um das erste oben beschriebene Erlebnis zur „Erstellung“ zu erwähnen. Sobald sich der Nutzer für die Anmeldung mit Passkeys entschieden hat, sollte Ihnen diese Seite vertraut vorkommen und er erkennen, welche Schritte er zur Anmeldung ausführen muss.

Der Nutzer meldet sich über diese WebAuthn-UI an
Der Nutzer verwendet diese WebAuthn-UI zur Anmeldung.

Das Prinzip der Vertrautheit gilt auch hier. Ikonografie, Illustration, Layout und Text sind bewusst identisch. Der Text auf der WebAuthn-UI ist kurz, breit und wiederverwendbar, sodass jeder sie sowohl zur Authentifizierung als auch zur erneuten Authentifizierung verwenden kann.

Passkeys-Verwaltung

Die Einführung einer komplett neuen Seite auf den Google-Kontoeinstellungsseiten musste sorgfältig abgewogen werden, um für eine kohärente, intuitive und einheitliche Nutzererfahrung zu sorgen.

Dazu haben wir die Muster in Bezug auf Navigation, Inhalt, Hierarchie und Struktur analysiert und ermittelt, welche Erwartungen für das Google-Konto galten.

Passkeys-Verwaltungsseite im Google-Konto
Seite zur Passkey-Verwaltung im Google-Konto

Passkeys nach System beschreiben

Um ein übergeordnetes Kategoriesystem zu erstellen, das logisch zu verstehen ist, haben wir uns auf die Beschreibung von Passkeys nach Ökosystem entschieden. Auf diese Weise könnte ein Nutzer erkennen, wo ein Passkey erstellt wurde und wo er verwendet wird. Jeder Identitätsanbieter (Google, Apple und Microsoft) hat einen Namen für sein Ökosystem, also haben wir uns für diesen verwendet (Google Passwortmanager, iCloud-Schlüsselbund und Windows Hello).

Dazu haben wir zusätzliche Metadaten hinzugefügt, z. B. wann sie erstellt wurde, wann sie zuletzt verwendet wurde und welches Betriebssystem sie verwendet hat. Was die Nutzerverwaltung betrifft, unterstützt die API nur das Umbenennen, Widerrufen und Erstellen.

Durch das Umbenennen können Nutzer Passkeys mit aussagekräftigen Namen versehen. Dadurch können bestimmte Kohorten von Nutzern sie leichter verfolgen und verstehen.

Wenn Sie einen Passkey widerrufen, wird er nicht aus dem persönlichen Anmeldedaten-Manager des Nutzers (z. B. Google Passwortmanager) gelöscht. Er kann erst wieder verwendet werden, wenn er neu eingerichtet wird. Deshalb haben wir ein Kreuz anstelle eines Papierkorbsymbols oder Löschsymbols ausgewählt, um den Widerruf eines Passkeys darzustellen.

Bei der Beschreibung des Hinzufügens eines Passkeys zu ihrem Konto kam der Satz „Passkey erstellen“ bei Nutzern besser an als „Passkey hinzufügen“. Dies ist eine subtile Sprachwahl, um Passkeys von materiellen Hardware-Sicherheitsschlüsseln zu unterscheiden. Es ist jedoch zu beachten, dass Passkeys auf einigen Hardware-Sicherheitsschlüsseln gespeichert werden können.

Zusätzliche Inhalte bereitstellen

Interne Untersuchungen haben gezeigt, dass die Verwendung von Passkeys eine relativ nahtlose und vertraute Erfahrung ist. Wie bei jeder neuen Technologie gibt es jedoch auch hier zusammenhängende Fragen und Bedenken, die einigen Nutzern auffallen werden.

Wie die Technologie hinter der Displaysperre funktioniert, was sie sicherer macht, und die häufigsten Was-wäre-wenn-Szenarien, die Google beim Testen begegnet, werden in der Passkey-Hilfe von Google behandelt. Es ist wichtig, dass Sie bei der Einführung von Passkeys Supportinhalte parat haben, damit Nutzer auf jeder Website eine einfache Umstellung vornehmen können.

Fallback auf Passkeys

Wenn Sie zum alten System zurückkehren möchten, müssen Sie nur auf „Andere Option wählen“ klicken, wenn ein Nutzer aufgefordert wird, sich mit einem Passkey zu authentifizieren. Wenn Nutzer die WebAuthn-Benutzeroberfläche verlassen, können sie es noch einmal mit ihrem Passkey versuchen oder sich auf herkömmliche Weise in ihrem Google-Konto anmelden.

Fazit

Passkeys sind noch ganz am Anfang, daher sollten Sie bei der Gestaltung der Nutzererfahrung einige Prinzipien beachten:

  • Verwenden Sie Passkeys, wenn dies für den Nutzer relevant ist.
  • Hebe die Vorteile von Passkeys hervor.
  • Nutzen Sie Gelegenheiten, um sich mit dem Konzept der Passkeys vertraut zu machen.
  • Stellen Sie Passkeys als Alternative zu Passwörtern und nicht als Ersatz dar.

Die Auswahl, die wir für Passkeys für Google-Konten getroffen haben, basiert auf Best Practices und internen Studien. Wir werden die Nutzererfahrung ständig weiterentwickeln, wenn wir neue Erkenntnisse von Nutzern aus der realen Welt gewinnen.