Veröffentlicht am 30. Juni 2026

Amedia ist der größte Verlag für lokale redaktionelle Medien in Norwegen. Das Unternehmen verwaltet über 100 Zeitungstitel und erreicht täglich mehr als 2 Millionen Leser. Um ein einheitliches und nahtloses Nutzererlebnis zu bieten, verwendet Amedia aID, die eigene digitale Identitätslösung. Dieses standardbasierte föderierte Kontosystem gewährt Nutzern nicht nur Zugriff auf das gesamte Netzwerk von Amedia, sondern wird auch von anderen norwegischen und dänischen Zeitungen verwendet.
Die Herausforderung: Einführung von Passkeys für eine vielfältige Nutzerbasis
Für Amedia ist der Anmeldevorgang der Zugang zu den Inhalten. Jede Sekunde, die der Nutzer mit der Anmeldung verbringt, wirkt sich direkt auf die Leserzahlen aus. Reguläre Passwörter und die SMS-basierte 2-Faktor-Authentifizierung (2FA) sind für Nutzer unterwegs bekanntermaßen umständlich. Die direkte Einführung von Passkeys führte jedoch zu einem unerwarteten Problem: völlige Unkenntnis.
Da aID für viele Nutzer die erste Begegnung mit einem Passkey ist, führte die erzwungene abrupte Umstellung auf eine unbekannte biometrische Aufforderung zu Zögern. Amedia erkannte, dass es nicht ausreichte, die Technologie einfach nur einzuführen. Das Unternehmen musste den Nutzern helfen, Passkeys zu verwenden.
Die Lösung: Ein kombinierter WebOTP- und Passkey-Ablauf
Anstatt Nutzer zu zwingen, sich zwischen einer alten Gewohnheit (SMS) und einem völlig fremden Konzept (Passkeys) zu entscheiden, kombinierte Amedia beides zu einem einzigen, reibungslosen Onboarding-Prozess. Das Unternehmen nutzte die WebOTP API, um den bekannten SMS-Bestätigungsvorgang zu optimieren und gleichzeitig im Backend die Infrastruktur für passwortlose Anmeldungen einzurichten.
1. Reibungslose Registrierung auf allen Plattformen
Wenn sich ein Nutzer für aID registriert, gibt er seinen Namen, seine Telefonnummer und seine E-Mail-Adresse ein. Amedia sendet dann ein Einmalpasswort (OTP) per SMS. Amedia setzt speziell auf SMS-OTP anstelle von E-Mail, da es in Skandinavien selten vorkommt, dass jemand mehr als eine Telefonnummer hat. Außerdem können Nummern beim Wechsel des Mobilfunkanbieters nahtlos übertragen werden. Diese Stabilität macht Telefonnummern zu einer zuverlässigen primären ID für Anmeldungen und zu einem konsistenten Datenpunkt für die Erstellung erweiterter Nutzerprofile. Anstatt den Nutzer zu zwingen, den Browser zu verlassen, die Nachrichten-App zu öffnen, sich den Code zu merken und ihn einzugeben, verwendet Amedia die WebOTP API. In unterstützten mobilen Browsern wird dadurch eine Ansicht am unteren Rand ausgelöst, bei der der Nutzer einfach auf Bestätigen tippen kann. Der Browser ruft das OTP automatisch aus der SMS ab und sendet das Formular.
Darüber hinaus hat Amedia die SMS-Zustellung so aktualisiert, dass das standardisierte ursprungsgebundene Nachrichtenformat verwendet wird (z. B. @www.aid.no #123456). Dadurch sind reibungslose Anmeldungen im gesamten Ökosystem möglich. Dieser Standard unterstützt nicht nur
die WebOTP API in Browsern wie Chrome, Opera und Vivaldi auf Android-Geräten und
Computern, sondern aktiviert auch nahtlos die Funktion von Safari
autocomplete="one-time-code". So profitieren Nutzer auf Mobilgeräten und Computern von einem sicheren, automatisierten OTP-Ablauf, ohne dass eine plattformspezifische Backend-Logik erforderlich ist. Weitere Informationen finden Sie unter Best Practices für SMS-OTP-Formulare.
// Detect feature support using OTPCredential availability
if ('OTPCredential' in window) {
window.addEventListener('DOMContentLoaded', e => {
const input = document.querySelector('input[autocomplete="one-time-code"]');
if (!input) return;
const ac = new AbortController();
const form = input.closest('form');
if (form) {
form.addEventListener('submit', (e) => {
ac.abort();
});
}
navigator.credentials.get({
otp: { transport: ['sms'] },
signal: ac.signal
}).then(otp => {
// Automatically fill the input and submit the form
input.value = otp.code;
if (form) form.submit();
}).catch(err => {
console.error('WebOTP error:', err);
});
});
}
2. Sofortige Passkey-Registrierung
Nachdem ein Nutzer die WebOTP-Bestätigung abgeschlossen hatte, präsentierte Amedia ihm bisher eine Auswahl: Er konnte ein reguläres Passwort erstellen oder einen Passkey einrichten. Wie erwartet wählten die meisten Nutzer bei einem unbekannten technischen Begriff den Weg des geringsten Widerstands: Sie übersprangen den Schritt ganz oder griffen auf ein Standardpasswort zurück.
Mitte Februar änderte das Amedia-Team seinen Ansatz. Die Aufforderung zur Passkey-Registrierung wurde sofort in den Ablauf nach der Bestätigung integriert, bevor dem Nutzer überhaupt eine Auswahl präsentiert wurde. Um die strengen Anforderungen an Nutzergesten in Browsern wie Chrome und Safari zu erfüllen, hat Amedia die Interaktion nahtlos verkettet. Da der Nutzer zuerst das OTP bestätigt, dient dieser erste Tipp als erforderliche Nutzergeste, um die Aufforderung navigator.credentials.create() direkt aufzurufen. Indem Amedia Passkeys zur Standardeinstellung und nicht zu einer optionalen Einstellung machte, verdoppelte sich die Erfolgsrate bei der Registrierung sofort.
Diese sofortige Aufforderung erwies sich als sehr effektiv. Das Team versuchte jedoch, den Ablauf mit „Conditional Create“ noch weiter zu optimieren. Dieser Mechanismus generiert einen Passkey vollständig im Hintergrund, ohne dass eine direkte Nutzeraktion erforderlich ist. Dabei stießen sie jedoch auf ein technisches Problem: Für „Conditional Create“ ist eine vorherige Anmeldung mit einem gültigen Passwort erforderlich, das in einem Passwortmanager gespeichert ist. Da der WebOTP-Ablauf von Amedia vollständig ohne Passwort erfolgt, erfüllt er dieses Sicherheitskriterium nicht. Um diese Einschränkung zu umgehen, verwendet Amedia „Conditional Create“ jetzt nur noch für reguläre Anmeldevorgänge mit Bestätigung in zwei Schritten (Passwort und OTP-Code), während die verkettete Nutzergeste für das passwortlose Onboarding verwendet wird.
Um eine zuverlässige Nutzererfahrung zu gewährleisten, verwendet das System einen Standardregistrierungsvorgang. Dadurch wird ein Browser-UI-Dialog ausgelöst, in dem das System die Passkey-Registrierungs-UI des Browsers sicher aufruft. Der Nutzer erstellt einen Passkey mit der Displaysperre seines Geräts (biometrische Daten oder PIN). Da dies direkt nach WebOTP erfolgt, schließt der Nutzer die Einrichtung ab, ohne sich ein Passwort ausdenken zu müssen.
// Triggered immediately after successful WebOTP verification
async function registerPasskey(creationOptionsFromServer) {
try {
const credential = await navigator.credentials.create({
publicKey: {
...creationOptionsFromServer,
authenticatorSelection: {
residentKey: "required",
userVerification: "required"
}
}
});
// Send the new credential to the server for registration
await sendCredentialToServer(credential);
} catch (error) {
console.error("Passkey registration failed", error);
}
}
3. Schnelle nachfolgende Anmeldungen
Wenn der Nutzer das nächste Mal auf demselben Gerät eine Amedia-Veröffentlichung besucht, löst aID automatisch eine Passkey-Anmeldung aus. Wenn der Nutzer mit der Seite interagiert, bevor die automatische Aufforderung angezeigt wird, oder wenn die automatische Aufforderung geschlossen wird, verwendet das System automatisch das automatische Ausfüllen von Passkey-Formularen.
Dadurch wird der Anmeldevorgang beschleunigt, da der Nutzer nur mit der Browser-/Betriebssystemaufforderung oder den Vorschlägen zum automatischen Ausfüllen der Tastatur interagieren muss, um seinen Passkey auszuwählen. Die manuelle Eingabe des Formulars wird vollständig umgangen.
// Triggering conditional UI for autofill suggestions
async function authenticateWithPasskey(requestOptionsFromServer) {
try {
const credential = await navigator.credentials.get({
publicKey: requestOptionsFromServer,
mediation: "conditional" // Enables autofill integration
});
// Authenticate the user on the server
await verifyAssertionWithServer(credential);
} catch (error) {
console.error("Passkey authentication failed", error);
}
}
Die Auswirkungen: Verkettung für eine reibungslose Einführung
Durch die Innovation des Onboarding-Ablaufs konnte Amedia die Reibung für neue und wiederkehrende Leser deutlich reduzieren. Die Kombination aus WebOTP und Passkeys führte zu deutlichen Verbesserungen in Bezug auf Betrieb und Nutzererfahrung:
- Deutlich schnellere Registrierungen: Die für die Erstellung eines neuen aID-Kontos erforderliche Zeit hat sich aufgrund der automatisierten WebOTP-Eingabe und der vollständigen Entfernung der manuellen Passwortgenerierung deutlich verkürzt.
- 48% der neuen Nutzer erstellen Passkeys: Durch die Aufforderung zur Passkey-Erstellung unmittelbar nach der WebOTP-Bestätigung erzielte Amedia eine außergewöhnlich hohe Conversion-Rate für die Passkey-Registrierung. Das entspricht einer Steigerung von 100% im Vergleich zum bisherigen auswahlbasierten Onboarding-Ablauf.
- 82% schnellere Anmeldung: Wiederkehrende Nutzer authentifizieren sich mit Passkeys mehr als fünfmal schneller als mit alternativen Methoden wie Passwörtern oder der manuellen OTP-Eingabe.
| Messwert | Wert |
|---|---|
| Passkey-Erstellungsrate für neue Nutzer | 48% |
| Schnellere Anmeldung für wiederkehrende Nutzer | 82% |
| Zunahme der Passkey-Einführung | 100% |
Während das breitere digitale Ökosystem weiterhin mit Herausforderungen im Zusammenhang mit der Passkey-Terminologie und der Nutzerschulung zu kämpfen hat, bietet der proaktive Ansatz von Amedia eine erfolgreiche Vorlage. Die Integration von Passkeys in einen häufig genutzten Dienst, der täglich von Millionen von Nutzern verwendet wird, setzt einen neuen Standard für nahtlosen Zugriff in der Medienbranche und bietet ein dauerhaftes Sicherheitsupgrade, ohne die Nutzerbindung zu beeinträchtigen.