Diese Seite wurde von der Cloud Translation API übersetzt.

Signal API für Passkeys in Chrome für Android verfügbar

José Luis Zapata

Nina Satragno

Veröffentlicht am 5. Dezember 2025

Ab Chrome 144 ist die Signal API in Chrome für Android verfügbar. Mit dieser API können vertrauende Parteien (Relying Parties, RPs) dafür sorgen, dass die im Passkey-Anbieter eines Nutzers gespeicherten Passkeys mit den Anmeldedaten auf dem Server übereinstimmen.

Warum sollte ich die Signal API verwenden?

Wenn ein Nutzer einen Passkey erstellt, speichert der Passkey-Anbieter (z. B. der Google Passwortmanager) den privaten Schlüssel und Metadaten wie Nutzername und Anzeigename, während Ihr Server den öffentlichen Schlüssel speichert.

Im Laufe der Zeit können diese jedoch nicht mehr synchron sein. Beispiel:

Gelöschter Passkey:Ein Nutzer löscht seine Anmeldedaten auf Ihrer Website, der Passkey bleibt aber bei seinem Passkey-Anbieter. Wenn sich der Nutzer das nächste Mal anmeldet, bietet der Passkey-Anbieter einen Passkey an, der nicht mehr funktioniert.
Namensänderungen:Ein Nutzer aktualisiert seinen Nutzernamen auf Ihrer Website, der Passkey-Anbieter zeigt aber weiterhin den alten Namen an.

Die Signal API löst dieses Problem, indem sie es Ihrer Website ermöglicht, den aktuellen Status der Anmeldedaten an den Passkey-Anbieter zu „signalisieren“. Sie können den Anbieter auffordern, ungültige Passkeys zu löschen oder Metadaten zu aktualisieren, um eine reibungslose Anmeldung zu ermöglichen.

Das ist neu

Die Signal API in Chrome für Android funktioniert identisch mit der Desktop-Implementierung, mit spezifischen Verbesserungen für das mobile Ökosystem.

Unterstützung für Drittanbieter-Passwortmanager

Die Signal API ist für den Google Passwortmanager auf allen unterstützten Android-Versionen verfügbar. Unter Android 14 und höher wird die Signal API auch in den Passkey-Anbieter des Systems eingebunden. Wenn Chrome ein Signal auf diesen Geräten sendet, ist es nicht auf den Google Passwortmanager beschränkt. Chrome sendet das Signal an alle aktivierten Passkey-Anbieter auf dem Gerät.

Wenn ein Nutzer Passkeys mit einem Drittanbieter verwaltet, der die Signal-API unterstützt, erhält dieser Anbieter das Update und synchronisiert die Anmeldedaten des Nutzers.

Sicherere Synchronisierung mit der Wiederherstellung von Passkeys

Der Google Passwortmanager unterstützt einen Sicherheitsmechanismus für Signal API-Updates auf Android-Geräten und Computern.

Bisher wurde ein Passkey dauerhaft gelöscht, wenn ein RP signalisierte, dass ein Anmeldedatenpaar unbekannt oder entfernt wurde. Jetzt wird der Passkey im Google Passwortmanager ausgeblendet, anstatt gelöscht.

Ausgeblendete Passkeys:Der Passkey wird nicht mehr in Dialogfeldern für das automatische Ausfüllen oder die Anmeldung angezeigt, wodurch Anmeldefehler verhindert werden.
Wiederherstellung:Wenn das Signal fälschlicherweise gesendet wurde, kann der Passkey wiederhergestellt werden.

Signal the API verwenden

Die Signal API bietet drei Methoden zum Synchronisieren von Anmeldedaten:

Verwenden Sie signalUnknownCredential, wenn die Anmeldung mit einem Passkey fehlschlägt, weil die Anmeldedaten-ID auf Ihrem Server nicht gefunden wird. Dadurch wird der Anbieter aufgefordert, den ungültigen Passkey zu entfernen oder auszublenden.
Verwenden Sie signalAllAcceptedCredentials, nachdem sich ein Nutzer angemeldet oder seine Kontoeinstellungen verwaltet hat. Sie stellen eine Liste aller gültigen Anmeldedaten-IDs für diesen Nutzer bereit. Der Passkey-Anbieter vergleicht die Liste mit seinem lokalen Speicher für die vertrauende Partei. Alle Passkeys, die im Passkey-Anbieter gefunden werden und nicht in der Liste allAcceptedCredentialIds enthalten sind, werden als „ausgeblendet“ gekennzeichnet. Diese verborgenen Passkeys werden nicht mehr für die Anmeldung oder das automatische Ausfüllen angeboten, aber sie werden nicht sofort endgültig gelöscht, sodass sie bei Bedarf wiederhergestellt werden können. Umgekehrt werden Passkeys, die in allAcceptedCredentialIds vorhanden sind und beim Passkey-Anbieter als „verborgen“ gekennzeichnet sind, wiederhergestellt. So kann Ihre Website Passkeys wiederherstellen, die fälschlicherweise ausgeblendet wurden.
Verwenden Sie signalCurrentUserDetails, wenn ein Nutzer sein Profil (z. B. seinen Anzeigenamen) auf Ihrer Website aktualisiert und nach jeder Anmeldung. So wird sichergestellt, dass der Passkey-Anbieter bei zukünftigen Anmeldungen die richtigen Informationen anzeigt.

Zusammenfassung

Mit der Signal API können Sie eine zuverlässige und nutzerfreundliche Authentifizierung erstellen. Durch die Implementierung dieser Signale wird Verwirrung durch veraltete Passkeys vermieden und Nutzer sehen immer korrekte Kontoinformationen.

Da die Unterstützung jetzt in Chrome für Android verfügbar ist, können Sie diese synchronisierte Nutzung auf verschiedenen Geräten und Passkey-Anbietern sowie Passwortmanagern anbieten.

Weitere Informationen zur Signal API

Weitere Informationen

Aktuelle Informationen finden Sie im Chrome Developers-Blog.
Passkeys im Web verwenden

Signal API für Passkeys in Chrome für Android verfügbar Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.