Veröffentlicht am 21. Mai 2026
Auf der Google I/O 2026 haben wir über ein Web gesprochen, in dem die Anmeldung keine lästige Pflicht ist. Sie sollte ein sicherer, vereinfachter Einstiegspunkt sein, bei dem sich Nutzer tatsächlich sicher fühlen. In diesem Beitrag erfahren Sie, wie Sie Ihre Kontoflows optimieren, Reibungsverluste reduzieren und Nutzer von Anfang an schützen können.
Schnellzugriff
- Warum Modernisierung wichtig ist
- Kontenerstellung optimieren
- Reibungslose Attributbestätigung
- Passkeys für eine nahtlose Anmeldung implementieren
- Strategische Einführung von Passkeys
- Passkey-Verwaltung und zuverlässige Wiederherstellung
Warum Modernisierung wichtig ist
Abläufe mit vielen Reibungsverlusten (z. B. komplizierte Registrierungsformulare, die lästige „Passwort vergessen“-Schleife oder eine Wand von Anmeldeschaltflächen) sind frustrierend. Sie sind „Kontextwechsel-Killer“, die Nutzer vergraulen. Mit herkömmlichen Passwörtern und Einmalpasswörtern (One-Time Passwords, OTPs) sind Nutzer auch anfällig für Phishing.
Jede Sekunde Reibungsverlust ist eine Gelegenheit für einen Nutzer, abzuspringen. Durch die Modernisierung Ihrer Authentifizierung schützen Sie Ihre Systeme und Ihre Nutzer. Wenn Sie jeden Touchpoint auf dem Weg zur Identität optimieren, erhöhen Sie auf natürliche Weise Ihre Conversion-Rate. So erreichte pixiv nach der Implementierung von Passkeys eine beeindruckende Anmelde-Erfolgsrate von 99% (eine Verbesserung von 29% im Vergleich zu Passwörtern). Wenn Sie von schwachen Anmeldedaten weggehen, wird alles schneller und sicherer.
Kontenerstellung optimieren
Die erste Interaktion eines Nutzers mit Ihrer App bestimmt die Stimmung. Die Optimierung der Kontenerstellung ist der erste Schritt zur Verbesserung der Akzeptanz und Sicherheit.
Identitätsföderation als primäre Methode zur Kontenerstellung
Sie können Ihren Nutzern die mühsamen Kontenerstellungsformulare ersparen, indem Sie die Identitätsföderationverwenden, so können sich Nutzer bei einem vertrauenswürdigen Anbieter wie Google registrieren. Dies bietet eine robuste und optimierte Registrierung, mit der Nutzer ohne die üblichen Mühen in Ihre App gelangen.
Bei der Föderation müssen Nutzer ihren Namen oder ihre E-Mail-Adresse nicht manuell eingeben. Da der Anbieter sie bereits bestätigt hat, können Sie überflüssige Schritte zur unabhängigen Bestätigung überspringen und mehr Nutzer gewinnen.
Wenn Sie außerdem eine föderierte Identitätslösung einführen, übernehmen Sie das Sicherheitsniveau eines dedizierten IdP (Identity Provider). Da sich IdPs auf Identität und Sicherheit spezialisiert haben, vermeiden Sie mit ihrer Infrastruktur das Risiko, die Authentifizierung von Grund auf neu zu entwickeln.
Federated Credential Management (FedCM) API einführen
Wenn Sie als IdP fungieren, empfehlen wir Ihnen, die FedCM API einzuführen. Sie verarbeitet die Interaktion über die Browser-UI, die den Datenschutz schützt, indem sie Tracking verhindert. Gleichzeitig bietet sie Nutzern eine Anmeldung mit einem Klick und sorgt für eine übersichtlichere UI, indem nur relevante Konten angezeigt werden.
Das Muster „Federate-then-upgrade“
„Federate-then-upgrade“ kombiniert die Geschwindigkeit der Föderation mit der langfristigen Sicherheit von Passkeys. Wenn Sie direkt nach einer föderierten Registrierung nach einem Passkey fragen, ist die nächste Anmeldung des Nutzers von Anfang an vor Phishing geschützt.
Formulare für Autofill optimieren
Wenn manuelle Formulare erforderlich sind, verwenden Sie beschreibende name- und id-Attribute und korrekte autocomplete-Werte, damit der Browser die Felder für den Nutzer ausfüllen kann. Dadurch werden die kognitive Belastung und das Risiko von Tippfehlern während der Registrierung reduziert. Weitere Informationen zur Formularoptimierung finden Sie in unseren Best Practices für Registrierungsformulare für mehr
Details.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
Reibungslose Attributbestätigung
Wenn Nutzer Ihre App verlassen müssen, um einen Code in ihrer E-Mail zu prüfen, sinkt die Conversion-Rate. Bei diesem Kontextwechsel werden Nutzer abgelenkt und kommen nicht wieder.
Das E-Mail-Bestätigungsprotokoll (Email Verification Protocol, EVP)
Mit dem E-Mail-Bestätigungsprotokoll (Email Verification Protocol, EVP), einer neuen Funktion, kann Ihre Anwendung eine bestätigte E-Mail-Adresse direkt über den Browser abrufen.
Wenn Sie diese Funktion nutzen möchten, fügen Sie ein ausgeblendetes Eingabefeld mit dem
autocomplete="email-verification-token" Attribut und einer challenge hinzu. Der Browser parst die E-Mail-Domain aus der Eingabe und fordert den E-Mail-Aussteller auf, zu bestätigen, dass der Nutzer die Kontrolle über diese E-Mail-Adresse hat. Nach erfolgreicher Bestätigung präsentiert der Browser einen bestätigten E-Mail-Claim, den Ihr Backend sofort bestätigen kann. Für den Nutzer erfolgt dieser Ablauf nahtlos. Er sieht nur eine Benachrichtigung nach der E-Mail-Bestätigung.
Mit EVP sind keine Reibungsverluste mehr erforderlich, die Nutzer vergraulen (z. B. Magic Links oder E-Mail-OTPs) für die Anmeldung, Registrierung und das Zurücksetzen von Passwörtern.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
Die Unterstützung von EVP liegt im Ermessen der einzelnen E-Mail-Dienstanbieter. Erkundigen Sie sich bei Ihrem Anbieter, ob er EVP unterstützen möchte. Wenn Sie Inhaber einer benutzerdefinierten Domain sind, können Sie sie mit einem unterstützenden E-Mail-Anbieter verbinden, um EVP ebenfalls zu unterstützen.
Da sich diese Funktion noch in der Testphase befindet, freuen wir uns über Ihr Feedback zu dieser Funktion im GitHub Repository.
Digital Credentials API
Für vertrauliche Details wie einen rechtsgültigen Namen oder das Alter bietet die Digital Credentials API eine Möglichkeit, bestätigte Daten aus dem Wallet eines Nutzers über die Browservermittlung mithilfe der selektiven Offenlegung anzufordern. So können Sie bestätigen, dass ein Nutzer ein bestimmtes Alter erreicht hat, ohne sein vollständiges Geburtsdatum oder seinen rechtsgültigen Namen zu erhalten. So wird seine Privatsphäre geschützt.
Weitere Informationen finden Sie unter Digital Credentials API: Secure and private identity on the web.
Passkeys für eine nahtlose Anmeldung implementieren
Passkeys sind mehr als nur ein Ersatz für Passwörter. Sie sind ein grundlegender Schritt hin zu einer nahtlosen, vor Phishing geschützten Authentifizierung.
Unmittelbarer UI-Modus
Ab Chrome 149 ist der unmittelbare UI-Modus verfügbar. So kann die Website nach Anmeldedaten suchen, sobald ein Nutzer Ihre Website aufruft. Wenn im Passwortmanager ein Passkey oder Passwort verfügbar ist, vermittelt der Browser den Ablauf sofort mit einer Liste der verfügbaren Konten in einem Anmeldedialog.
So muss ein Nutzer keine Anmeldemethode auswählen. Indem Sie proaktiv die Anmeldedaten für das ausgewählte Konto anbieten, schaffen Sie eine reibungslose „One Tap“-Erfahrung, die sich für den Nutzer wie Magie anfühlt.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
Weitere Informationen finden Sie unter Unmittelbarer UI-Modus für Anmeldungen.
Autofill für Passkey-Formulare: Autofill für Formulare verwenden, während Sie zu Passkeys wechseln
Für Nutzer auf einer Website, die von Passwörtern zu Passkeys wechselt, können Passkeys mit Autofill für Passkey-Formulare in Autofill-Vorschlägen angezeigt werden, wenn das Eingabefeld ausgewählt ist. Wenn ein Nutzer bereits einen Passkey hat, wird er also angezeigt, sobald er das Feld für den Nutzernamen in einem Anmeldeformular auswählt. Andernfalls kann er das gespeicherte Passwort verwenden.
Wenn Sie diese Funktion aktivieren möchten, fügen Sie dem Feld für den Nutzernamen autocomplete="username webauthn"
hinzu und legen Sie den mediation Wert auf 'conditional' fest, wenn Sie
navigator.credentials.get() aufrufen.
Dies ist eine wichtige Brücke beim Übergang zu einer passwortlosen Zukunft, da Nutzer so mit Passkeys in einer vertrauten Benutzeroberfläche vertraut gemacht werden.
Weitere Informationen finden Sie in der Checkliste für die Passkey-Authentifizierung.
Strategische Einführung von Passkeys
Die Einführung hängt oft vom Timing ab. Wenn Sie einen Nutzer zum richtigen Zeitpunkt auffordern, kann die Wahrscheinlichkeit, dass er einen Passkey registriert, erheblich steigen.
Automatische Passkey-Erstellung
Niemand möchte sich durch seine Sicherheitseinstellungen wühlen, nur um eine neue Anmeldemethode einzurichten. Wie und wann sollten Sie bestehende Passwortnutzer auffordern, auf Passkeys umzusteigen?
Hier kommt die automatische Passkey Erstellung ins Spiel. Mit „Conditional Create“ kann der Browser Passwortnutzer automatisch auf Passkeys umstellen, sobald sich ein Nutzer mit seinem Passwortmanager anmeldet.
Wenn Sie mediation: 'conditional' an die navigator.credentials.create()
API übergeben, die durch die letzte erfolgreiche Anmeldung des Nutzers mit dem im Passwortmanager gespeicherten Passwort ausgelöst wird, generiert der Browser einen neuen Passkey nativ, ohne dass der Nutzer zusätzliche Einrichtungsbildschirme durchlaufen muss.
Durch die reibungslose Registrierung müssen Nutzer keine bewusste Entscheidung treffen, um ihre Sicherheit zu verbessern. Das geschieht automatisch und schützt sie ohne zusätzlichen Aufwand. So konnte adidas mit dieser Strategie ohne Aufforderung eine Steigerung von 8% bei der Passkey Erstellung verzeichnen.
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
Weitere Informationen finden Sie in der Checkliste für die Passkey-Registrierung.
Passkey-Verwaltung und zuverlässige Wiederherstellung
Nutzer müssen ihre Anmeldedaten auf allen Geräten, Websites und Diensten verfügbar haben. Außerdem müssen sie sie verwalten und ihre Konten wiederherstellen können, wenn ein Gerät verloren geht oder gestohlen wird.
Plattformübergreifende Konsistenz
Wenn Sie mehrere Properties haben (z. B. eine Android-App und eine Website oder mehrere Websites), die ein gemeinsames Anmeldesystem verwenden, können Sie die Nutzererfahrung verbessern. Mit nahtloser Freigabe von Anmeldedaten können Passwortmanager dem Nutzer die richtigen Anmeldedaten für alle Ihre Properties vorschlagen.
Mit Digital Asset Links sind Passwörter, die im Web erstellt wurden, in Ihrer Android-App verfügbar und umgekehrt. Außerdem können Passwortmanager bereits gespeicherte Anmeldedaten für verschiedene Domains vorschlagen, die dasselbe Authentifizierungs-Backend verwenden.
Mit Related Origin Requests können Sie Passkeys über den Anmeldedatenmanager des Nutzers auf verschiedenen Domains und in verschiedenen Apps verfügbar machen.
Dies ist nur eine weitere Möglichkeit, die Anmeldung für Ihre Nutzer zu vereinfachen.
Nutzer mit einer Passkey-Verwaltungsseite unterstützen
Für eine ausgefeilte Passkey-Erfahrung empfehlen wir Ihnen, eine spezielle Passkey-Verwaltungsseite mit Unterstützung für eindeutige Anbieternamen, Nutzungszeiten und Steuerelementen zu erstellen. So können Nutzer ihre Einstellungen sicher verwalten. Transparenz schafft Vertrauen.
Weitere Informationen finden Sie in der Checkliste für die Passkey-Verwaltung.
Zuverlässige Kontowiederherstellung
Geräte können verloren gehen oder ersetzt werden. Passkeys sind von Natur aus robust, da sie auf Hardwareebene geschützt sind und in der Regel auch in der Cloud synchronisiert werden. So können Nutzer sie auf einem neuen Gerät wiederherstellen. Mit einer Fallback-Option wie einer bestätigten E-Mail-Adresse können Ihre Nutzer jedoch jederzeit auf ihr digitales Leben zugreifen.
Anstatt Nutzer in der Warteschleife zu lassen, können Sie mit Signalen, denen Sie bereits vertrauen, wie der Identitätsföderation oder der E-Mail-Bestätigung, nachweisen, dass sie der Inhaber sind.
Wenn Sie diese Signale in einer Wiederherstellungsstrategie kombinieren, können Sie den Zugriff sofort wiederherstellen. Sobald sie wieder Zugriff haben, lassen Sie sofort einen neuen Passkey registrieren, damit sie wieder vor Phishing geschützt sind.
Sitzungen mit DBSC schützen
Um Nutzer vor Kontodiebstahl zu schützen, ist es wichtig, ihre Sitzungscookies zu schützen. Mit Anmeldedaten für gerätegebundene Sitzungen (Device Bound Session Credentials, DBSC) können Sie eine Sitzung an die Hardware binden. So wird Sitzungs-Hijacking verhindert, denn selbst wenn ein Cookie gestohlen wird, kann nur dasselbe Gerät eine Neuausstellung des Cookies anfordern. Dadurch wird Ihrer Sitzung eine weitere Sicherheitsebene hinzugefügt.
DBSC ist eine experimentelle Funktion, die jetzt unter Windows verfügbar ist. Weitere Informationen zu diesem Update finden Sie in der Ankündigung zu Anmeldedaten für gerätegebundene Sitzungen unter Windows. Wir arbeiten auch daran, die DBSC-Unterstützung auf macOS auszuweiten.
Agenten-Skills für Passkeys
In unserem Projekt „Modern Web Guidance“ haben wir Passkey-Skills aufgenommen, die viele der in diesem Beitrag beschriebenen Aspekte abdecken. Demnächst veröffentlichen wir einen Blogbeitrag speziell zu Passkey-Skills.
Sind Sie bereit, die Zukunft der Authentifizierung zu gestalten?
Sehen Sie sich unsere ausführlichen Leitfäden an und beginnen Sie noch heute mit der Modernisierung: