Nutzerauthentifizierung und Identitätsbestätigung neu gestalten

Ashima Arora
Ashima Arora
LinkedIn
Chirag Desai
Chirag Desai
X LinkedIn
Eiji Kitamura

Auf der diesjährigen Google I/O haben wir gezeigt, wie Chrome mit der Browser API die Nutzerauthentifizierung und Identitätsbestätigung im Web neu gestaltet. Unabhängig davon, ob Sie Passwörter, Passkeys oder die Anmeldung über eine Zertifizierungsstelle verwenden, bietet Chrome eine einheitliche Anmelde- und Registrierungsoberfläche, die einfacher, sicherer und nutzerfreundlicher ist.

Hier finden Sie die neuesten Tools und Best Practices zur Optimierung der Registrierung und Anmeldung auf Ihrer Website.

Auf der Seite der Sitzung oder im Folgenden finden Sie weitere Informationen zu den wichtigsten Highlights.

Der Browser als Ihr Verbündeter bei der Anmeldung

Die Authentifizierung im Web entwickelt sich weiter. Aufgrund der steigenden Erwartungen der Nutzer, neuer Bestimmungen und eines wachsenden Angebots an Tools für digitale Identitäten müssen Entwickler Anmelde- und Registrierungsabläufe anbieten, die sicher, nahtlos und datenschutzfreundlich sind. Chrome hilft Ihnen weiter.

Es gibt drei Hauptschwerpunkte:

  • Nutzerauthentifizierung: Sie können sichere Anmeldeabläufe mit einer besseren Passwortverwaltung, einer einfacheren Passkey-Einführung und integrierter Unterstützung für die Identitätsföderation durch die föderierte Anmeldedatenverwaltung (FedCM) unterstützen.
  • Identitätsbestätigung: Sie können mithilfe digitaler Anmeldedaten aus mobilen Wallets bestätigte Nutzerdetails wie Alter oder Inhaber der Ausweise anfordern.
  • Sitzungsverwaltung: Sie können Nutzer nach der Anmeldung schützen, indem Sie Sitzungen mit Anmeldedaten für gerätegebundene Sitzungen an ihr Gerät binden.

Hier finden Sie die Tools und APIs, die all das ermöglichen.

Anmeldedaten-Manager für das Web: Eine Anmeldeoberfläche für alle Anmeldedaten

Die Anmeldung sollte einfach sein. Aber mit Passwörtern, Passkeys und föderierten Optionen stehen Nutzern oft verwirrende Optionen zur Verfügung.

Chrome erweitert die Anmeldedaten-Manager-API, sodass Sie Anmeldedaten unabhängig vom Typ über eine einheitliche Oberfläche vom Browser anfordern können. Wenn Anmeldedaten über einen Passwortmanager verfügbar sind, werden sie dem Nutzer in Chrome in einem einzigen Dialogfeld angezeigt, was die Komplexität für den Nutzer reduziert.

Wenn Chrome keine Anmeldedaten findet, werden Sie benachrichtigt und können auf Ihren eigenen Anmeldevorgang zurückgreifen.

Einheitlicher Anmeldevorgang mit der neuen Credential Manager API.

Dadurch wird die Anmeldung noch einfacher.

Diese Funktion befindet sich in der Entwicklerversion. Sie können die Funktion lokal verwenden, indem Sie das Flag chrome://flags#enable-experimental-web-platform-features aktivieren und sowohl password- als auch publicKey-Anmeldedaten angeben. Mit mediation: "immediate" können Sie die sofortige Vermittlung aktivieren.

Das folgende Code-Snippet zeigt, wie es aussehen sollte:

const cred = await navigator.credentials.get({
  password: true,
  publicKey: {
    challenge,
    rpId: 'example.com'
  },
  mediation: 'immediate',
});

Weitere Informationen finden Sie in unserem Dokument So testen Sie die sofortige Vermittlung in Chrome.

Passwörter: intelligenter und sicherer

Passwörter sind immer noch die weltweit gängigste Authentifizierungsmethode. Browser und Passwortmanager bieten Tools, um die Anmeldung mit Passwörtern zu verbessern. Diese werden jedoch nicht immer von Websites unterstützt.

Chrome unterstützt sicherere Praktiken mit Funktionen über den Google Passwortmanager, z. B. die Passwortgenerierung in Anmeldeformularen oder Prüfen auf Passwortlecks, um Nutzer vor manipulierten Anmeldedaten zu warnen.

Hier sind einige Tools, mit denen Sie die Nutzung von Passwörtern auf Ihrer Website verbessern können.

Automatische Passwortänderung: Kompromittierte Passwörter mit nur einem Klick korrigieren

Die automatische Passwortänderung wird im Laufe des Jahres für einige Websites eingeführt. So können Nutzer leichter reagieren, wenn ihre Anmeldedaten gefährdet sind.

Wenn Chrome bei der Anmeldung ein kompromittiertes Passwort erkennt, wird der Nutzer vom Google Passwortmanager aufgefordert, es automatisch zu korrigieren.

Auf unterstützten Websites kann Chrome ein starkes Ersatzpasswort generieren und das Passwort für den Nutzer automatisch aktualisieren.

So wird der Aufwand für Nutzer reduziert und sie können ihr Konto schützen, ohne sich durch die Kontoeinstellungen wühlen oder den Vorgang abbrechen zu müssen.

Die automatische Passwortänderung wird verwendet.

Es gibt Möglichkeiten, Ihre Website so zu optimieren, dass sie optimal mit Browsern und Passwortmanagern funktioniert.

  • Autocomplete-Optimierung: Mit autocomplete="current-password" und autocomplete="new-password" können Sie Autofill und Speichern auslösen. Weitere Informationen finden Sie in unseren Leitfäden zur Anmeldung und Registrierung.
  • URLs zum Ändern des Passworts: Richten Sie eine Weiterleitung von <your-website-domain>/.well-known/change-password zum Formular zum Ändern des Passworts auf Ihrer Website ein (bekannte URL zum Ändern des Passworts). Wenn ein unsicheres Passwort erkannt wird, können Passwortmanager den Nutzer zur Seite zum Ändern des Passworts weiterleiten.

Nahtlose Weitergabe von Anmeldedaten: Eine Anmeldung für App und Web

Passwortmanager speichern nicht nur Passwörter. Sie tragen dazu bei, Phishing zu verhindern, indem Anmeldedaten nur angeboten werden, wenn die Domain übereinstimmt. Es kann jedoch zu Problemen kommen, wenn Ihr Dienst mehrere Domains und Plattformen umfasst.

Beispiel:

  • Ein Nutzer registriert sich in Ihrer Android-App und besucht Ihre Website später auf einem Laptop
  • Oder Sie bieten mehrere Domains oder Apps an, für die dieselbe Anmeldung verwendet werden kann.

Ohne freigegebene Anmeldedaten können wir kein gespeichertes Passwort anbieten. Daher kann es für Nutzer schwierig sein, sich anzumelden.

Die nahtlose Weitergabe von Anmeldedaten kann dieses Problem beheben. Wenn Sie Ihre Apps und Websites verknüpfen, kann der Google Passwortmanager das Passwort nahtlos für diese Assets freigeben. Das erleichtert die Anmeldung.

eBay konnte die Rate der erfolgreichen Anmeldungen um 10 % steigern. Weitere Informationen finden Sie in dieser Fallstudie: So hat eBay die Anmelderaten um 10% verbessert.

Passkeys: Eine einfachere und sicherere Anmeldemethode

Passkeys sind eine sicherere Alternative zu Passwörtern. Sie ermöglichen es Nutzern, sich mithilfe des Mechanismus zum Entsperren ihres Geräts, z. B. biometrischen Verfahren (z. B. Fingerabdruck oder Gesicht), einer PIN oder einem Muster, sicher auf Websites und in Apps anzumelden. Sie sind phishingresistent, nutzerfreundlich und ein weithin akzeptierter Standard in allen Browsern und Betriebssystemen.

Passkeys plattformübergreifend synchronisieren

Nutzer speichern Passkeys in ihrem Passwortmanager, aber einige Manager synchronisieren sie nicht. Das kann zu Problemen führen, wenn ein Nutzer versucht, sich auf einem Gerät anzumelden, auf dem der Passkey nicht verfügbar ist. In diesem Fall zeigt Chrome einen QR-Code an, damit sich der Nutzer über ein anderes Gerät mit den Anmeldedaten anmelden kann.

Um diese Probleme zu vermeiden, hat Chrome die Unterstützung für die Passkey-Synchronisierung im Google Passwortmanager hinzugefügt.

Da die Unterstützung jetzt auf iOS ausgeweitet wurde, können Passkeys im Google Passwortmanager jetzt auf allen gängigen Plattformen synchronisiert werden, darunter Android, Windows, macOS, ChromeOS und Linux. Weitere Informationen finden Sie im Artikel Unterstützte Umgebungen.

Sofortige Vermittlung: Nur verfügbare Anmeldedaten anfordern

Einige Nutzer haben nicht auf jedem Gerät Passkeys synchronisiert. Wenn ein Passkey nicht lokal gefunden wird, zeigt Chrome möglicherweise einen QR-Code an, damit der Nutzer ein anderes Gerät mit den Anmeldedaten verwenden kann. Das funktioniert, kann aber zu Problemen führen.

Um diese Hürde zu verringern, unterstützt Chrome eine neue Option: mediation: 'immediate'. So kann Ihre Website nur Anmeldedaten anfordern, die bereits auf dem aktuellen Gerät verfügbar sind. Wenn keine gefunden werden, sieht der Nutzer nichts. Keine Aufforderungen, keine QR-Codes, keine Unterbrechungen. Chrome informiert Sie darüber, damit Sie stattdessen die übliche Anmeldeoberfläche anzeigen können.

Dies verbessert die Nutzerfreundlichkeit, da QR-Code-Abläufe für Nutzer ohne Anmeldedaten vermieden werden.

Verwenden Sie diesen Ansatz, wenn ein Nutzer eine sinnvolle Aktion ausführt, z. B. auf die Schaltfläche „Anmelden“ oder „Bezahlen“ klickt. Wenn Sie navigator.credentials.get() mit mediation: 'immediate' verwenden und auf dem aktuellen Gerät ein Passkey verfügbar ist, wird der Nutzer sofort von Chrome aufgefordert. Andernfalls fährt der Nutzer ohne Unterbrechung fort und Sie können ein Passwortfeld, einen Einmalcode oder eine andere Methode anzeigen.

Sie können die Chancen für eine erfolgreiche Anmeldung des Nutzers erhöhen, indem Sie password: true festlegen. So kann Chrome gespeicherte Passwörter zusammen mit Passkeys zurückgeben, sofern verfügbar.

Im folgenden Beispiel wird gezeigt, wie du einen Passkey mit sofortiger Vermittlung anforderst:

navigator.credentials.get({
  publicKey: {
    challenge: new Uint8Array([/* your challenge here */]),
    rpId: 'example.com'
  },
  mediation: 'immediate',
  //< password: true == enable this to request passwords alongside passkeys
}).t>hen(credential = {
  // Use the credential for sign in
>}).catch(error = {
  if (error.name === 'NotAllowedError') {
    // No credential found on this device, fall back to another method
  } else {
    console.error('Error during sign-in', error);
  }
});

Diese Funktion ist in Entwickler-Trails verfügbar. Weitere Informationen finden Sie im Erläuterungsartikel zur sofortigen Vermittlung von WebAuthn.

Automatische Passkey-Erstellung

Viele Nutzer melden sich immer noch mit Passwörtern an. Um die Einführung von Passkeys zu erleichtern, wird in Chrome eine API eingeführt, mit der Sie nach einer erfolgreichen Passwort-Anmeldung automatisch einen Passkey für Ihre Nutzer erstellen können.

Sie müssen lediglich die Erstellung eines Passkeys anfordern. Wenn der Nutzer ein gespeichertes Passwort hat, das vor Kurzem verwendet wurde, erstellt der Passwortmanager einen Passkey und informiert Sie, ob dies erfolgreich war. Der Nutzer wird möglicherweise benachrichtigt, sobald der Passkey verfügbar ist. Das Passwort des Nutzers wird dadurch nicht gelöscht.

Wenn der Passkey nicht erstellt wird, stört der Browser den Nutzer nicht und zeigt keine Benutzeroberfläche an.

So können Nutzer Passkeys nach und nach einführen, ohne den Anmeldevorgang zu unterbrechen.

Diese Funktion ist ab Chrome 136 verfügbar. Weitere Informationen finden Sie im Artikel Passkeys für Nutzer einfacher einführen.

Passkeys mit der Signal API bereinigen

Wenn ein Nutzer einen Passkey von Ihrer Website oder App löscht, wird er von seinem Passwortmanager bei der Anmeldung möglicherweise weiterhin angeboten, was zu Fehlern und Verwirrung führen kann. Mit der Signal API kann Ihre App den Passwortmanager benachrichtigen, wenn ein Passkey entfernt wurde. So bleiben Anmeldedatenlisten sauber und korrekt.

Sie können auch dazu beitragen, Passkeys auf dem neuesten Stand zu halten, indem Sie eine Liste bekannter Passkeys an den Passwortmanager senden. So können alle nicht verwendeten Passkeys für den Nutzer bereinigt werden.

Die Signal API ist ab Chrome 132 verfügbar. Weitere Informationen finden Sie unter Passkeys mit Anmeldedaten auf Ihrem Server mit der Signal API abgleichen.

Importieren und exportieren: Anmeldedaten mitnehmen

Nutzer, die zwischen Passwortmanagern wechseln, haben oft Probleme, ihre Anmeldedaten zu übertragen. Chrome unterstützt jetzt den Import und Export von Passkeys und Passwörtern, basierend auf FIDO-Standards. Der Nutzer muss keine Dateien bearbeiten.

Verbesserungen bei Autofill

Damit gespeicherte Anmeldedaten nutzerfreundlich angezeigt werden, kann Chrome das Drop-down-Menü für das automatische Ausfüllen automatisch anzeigen, wenn das Anmeldeformular bereit ist. Unterstützen Sie einfach sowohl Passwörter als auch Passkeys in Ihrem Formular und wenden Sie den Autofokus auf das Eingabefeld an.

Das ist hilfreich, da Anmeldedaten angezeigt werden, ohne dass der Nutzer auf ein Feld klicken muss. Stattdessen kann der Nutzer einfach auf die Anmeldedaten tippen, die er verwenden möchte, was die Abläufe vereinfacht.

Weitere Informationen finden Sie im Artikel Über das automatische Ausfüllen von Formularen mit einem Passkey anmelden.

Aktualisierte Lernressourcen

Wir haben unsere Lernressourcen zu Passkeys überarbeitet, damit Sie Ihren Nutzern Passkeys bestmöglich anbieten können.

FedCM: Verbesserung der föderierten Identität

Mit der Federated Credential Management API (FedCM) können sich Nutzer über einen browserbasierten Ablauf bei vertrauenswürdigen Identitätsanbietern anmelden, bei dem Datenschutz und Nutzerfreundlichkeit an erster Stelle stehen. FedCM vereinfacht die Registrierung und Anmeldung im Web, sodass Entwickler die nahtlose Authentifizierung mit weniger Aufwand unterstützen können.

Intelligentere Benutzeroberfläche

Mit FedCM haben Sie jetzt mehr Kontrolle darüber, wie und wann die Aufforderung zur Anmeldung angezeigt wird. Es werden zwei Modi unterstützt:

  • Passiver Modus: Der Browser zeigt die Anmeldeanfrage für bekannte Identitätsanbieter automatisch an, wenn Nutzer zu Ihrer Website zurückkehren. Das funktioniert gut für Nutzer, die mit der App vertraut sind, kann aber aufdringlich wirken, wenn es zu früh angezeigt wird.
  • Aktiver Modus: Die Aufforderung wird erst angezeigt, nachdem der Nutzer auf eine Anmeldeschaltfläche geklickt hat.

Das ist wichtig, weil es Verwirrung reduziert und Nutzer nicht überrascht. Im aktiven Modus bleiben Nutzer auf Ihrer Website und sehen keine Weiterleitungen oder anderen Dialogfelder.

Wir arbeiten aber auch daran, den passiven Modus intelligenter zu machen. Bei zukünftigen Updates werden wir mit Methoden des maschinellen Lernens experimentieren, die Website- und Nutzersignale berücksichtigen, um zu ermitteln, wann und wie die Benutzeroberfläche angezeigt werden soll, um eine optimale Nutzererfahrung zu bieten.

Flexiblere APIs

FedCM bietet mehr Flexibilität und Kontrolle darüber, wie sich Nutzer mit einer föderierten Identität anmelden.

Mit der Unterstützung mehrerer Identitätsanbieter können Sie Ihren Nutzern beispielsweise eine Liste von Anbietern statt nur eines Anbieters anzeigen. So können Nutzer das für sie passende Konto auswählen, was die Anmelderaten verbessert und gleichzeitig den Datenschutz für Nutzer schützt.

Der Browser vermittelt weiterhin jeden Schritt. Identitätsanbieter sehen nur, was Nutzer ausdrücklich zulassen, und der Datenschutz bleibt während des gesamten Vorgangs geschützt.

Digitale Anmeldedaten: Schnelle, private Online-Identitätsbestätigung

Digitale Anmeldedaten werden weltweit immer häufiger verwendet. Sie ermöglichen es Nutzern, Attribute wie Alter, Studentenstatus oder Identität über ein digitales Wallet zu bestätigen. Mit der Digital Credentials API können Nutzer bestätigte Angaben wie Alter oder Führerscheinstatus direkt über ihr mobiles Wallet mit Websites teilen.

Wir arbeiten mit dem W3C und Branchenführern zusammen, um dies zu einem Standard zu machen. Unser Ziel ist es, eine nutzerfreundliche, sichere, private und einheitliche Nutzung auf allen Plattformen zu ermöglichen.

Einige interessante Funktionen:

Anmeldedaten für gerätegebundene Sitzung: Immer angemeldet und geschützt

Nutzersitzungen werden häufig anhand ihrer Cookies identifiziert, die von Malware vom Gerät eines Nutzers gestohlen werden können.

Mit Anmeldedaten für gerätegebundene Sitzung wird eine Sitzung mit einem bestimmten Gerät verknüpft. So wird das Risiko von Session-Hijacking verringert und der Schutz verbessert, wenn Sie in Ihren E-Mail- oder Social-Media-Konten angemeldet sind oder auf staatliche Dienstleistungen zugreifen.

DBSC hilft Entwicklern, sicherere und stabilere Sitzungen zu erstellen, indem die Authentifizierung an das Gerät gebunden wird, das bei der Anmeldung verwendet wurde.

Feedback

Wir würden uns über Ihr Feedback zu den hier vorgestellten Funktionen freuen. Probieren Sie die Funktionen aus, sehen Sie sich die Links in diesem Dokument an und teilen Sie uns Ihre Meinung mit.

Feedback geben