Die Zukunft freischalten: Eine Fallstudie zur Implementierung von Passkeys auf der Grundlage der FIDO UX-Richtlinien.
Passkeys bieten eine neue, sichere und benutzerfreundliche Möglichkeit, sich anzumelden, die von immer mehr Websites unterstützt wird. Da die Unternehmen verschiedene Passkey-Implementierungen erproben, ist die Benutzerfreundlichkeit (UX) entscheidend für eine breite Akzeptanz.
Wir überprüfen die Implementierung von Passkeys auf GitHub und vergleichen sie mit den UX-Richtlinien der FIDO-Allianz, um anderen Websites zu helfen, Passkeys gut zu implementieren.
„Die Integration von Passkeys auf GitHub zeichnet sich durch eine benutzerfreundliche, sichere Implementierung aus“, sagt Rew Islam, Director of Product Engineering & Innovation von Dashlane und derzeitiges FIDO-Vorstandsmitglied für Dashlane. „Ihr präziser Ansatz nutzt nicht nur die vom Authenticator empfangenen Signale, sondern stellt auch sicher, dass die Benutzer nahtlos und transparent durch jede Phase der Passkey-Übertragung navigiert werden. Die Methode von GitHub dient als Benchmark und zeigt, wie modernste Technologie integriert werden kann, wobei der Schwerpunkt auf Benutzerfreundlichkeit und Sicherheit liegt.“
UX-Richtlinien der FIDO-Allianz für Passkeys
Die UX-Arbeitsgruppe der FIDO-Allianz, an der Dashlane aktiv beteiligt ist, setzt sich seit langem für die Erhöhung der Sicherheit und die Verbesserung der Benutzerfreundlichkeit passwortloser Authentifizierung ein. Die UX-Richtlinien der FIDO-Allianz sollen Entwicklern und Designern dabei helfen, bessere, sicherere Nutzererfahrungen mit der Passkey-Authentifizierung auf ihren Websites bzw. in ihren Apps zu schaffen.
Die UX-Richtlinien der FIDO für die Erstellung von Passkeys und Anmeldedaten zielen darauf ab, die Entscheidungsfindung zu beschleunigen, wenn Designer und Entwickler Passkeys und neue Anmeldeabläufe erstellen und implementieren. Je besser die Benutzerfreundlichkeit ist, desto wahrscheinlicher werden die Benutzer Passkeys übernehmen.
Wir gehen den Prozess des Einloggens bei GitHub mittels Passkeys auf dem Desktop durch. Dabei konzentrieren wir uns auf die vier Hauptbestandteile des Prozesses, den die FIDO UX-Richtlinien beschreiben:
Die Implementierung von Passkeys durch GitHub
GitHub hat Passkeys im Juli 2023 eingeführt, um die Kontosicherheit zu verbessern und ihre Benutzer vor Passwortrisiken zu schützen. Benutzer können zwar weiterhin Passwörter verwenden, aber die Schulungsmaterialien von GitHub machen deutlich, dass das Unternehmen sich der Förderung des Bewusstseins für Passkeys widmet und neuen Benutzern hilft, sich damit vertraut zu machen.
Wenn man sich die Passkey-Implementierung von GitHub ansieht, wird deutlich, dass das Unternehmen drei Hauptziele verfolgt: Benutzern eine bessere Möglichkeit zum Anmelden zu bieten, sie vor dem Aussperren aus ihrer Konten zu bewahren und sie letztendlich sicherer zu machen.
Die Implementierung von GitHub im Lichte der FIDO UX-Richtlinien
GitHub erfüllt alle 10 UX-Richtlinien der FIDO-Allianz.
Werfen wir jetzt einen Blick darauf, wie GitHub die oben genannten Richtlinien angewendet hat.
- FIDO UX-Richtlinie 1: Aufforderung zur Erstellung von Passkeys im Rahmen der Kontoverwaltungsaufgaben.
Die Aufforderung zur Erstellung von Passkeys bei GitHub befindet sich in den Kontoeinstellungen im Bereich Passwort und Authentifizierung, neben den Passworteinstellungen und der Zwei-Faktor-Authentifizierung (siehe Screenshot).
Benutzer, die ihr Passwort vergessen, werden durch den Ablauf der Kontowiederherstellung geführt. Dieser Screenshot zeigt Passkeys im Bereich Passwortalternativen. Das soll Nutzern dabei helfen, Passkeys als Alternative zu Passwörtern zu erkennen und zu konfigurieren.
Dank Passkeys müssen sich Benutzer weder mit vergessenen Passwörtern herumschlagen noch werden sie aus ihrem Konto ausgesperrt. Passkeys ermöglichen es einer Website und Ihrem Gerät, sich virtuell die Hand zu geben, und zwar auf eine Art und Weise, die nicht gephisht werden kann. Sie benötigen hierfür weder die Zwei-Faktor-Authentifizierung (2FA) noch müssen Sie sich ein einzigartiges Passwort merken und eintippen.
Im nächsten Bildschirm kann der Benutzer Passkeys auch als 2FA-Option konfigurieren. Dieser Ablauf schafft weiterhin Vertrautheit durch die Verwendung des Begriffs „passwortlose Authentifizierung“ in der Kopfzeile. Das verstärkt die Botschaft, dass Passkeys anstelle von Passwörtern bzw. in Verbindung mit ihnen als 2FA-Methode verwendet werden können.
- FIDO UX-Richtlinie 2: Das Neue (Passkeys) mit dem Vertrauten verbinden.
GitHub beschreibt Passkeys konsequent in Bezug auf die bekannten Konzepte der passwortlosen Authentifizierung: „Passkeys sind ein Passwort-Ersatz, der Ihre Identität mittels Fingerberührung, Gesichtserkennung, einem Passwort oder einer PIN validiert.“ Wir können diese Referenzen in vielen der Screenshots in diesem Bericht sehen.
- FIDO UX-Richtlinie 3: Bewährte Passkey-Nachrichten und -Symbole vor und nach Betriebssystem-Dialogen verwenden.
GitHub verwendet klare Nachrichten mit der Option „Passkey hinzufügen“ und verwendet außerdem eine einheitliche Passkey-Symbolik, wie im Screenshot unten zu sehen ist.
- FIDO UX-Richtlinie 4: Freiheit und Wahlmöglichkeiten in Bezug auf Passkeys zulassen.
GitHub bietet Benutzern mehrere Möglichkeiten, Passkeys zu verwenden:
– Benutzer erstellen ihre Konten ohne Passkey. Sie können jederzeit einen Passkey als Alternative zu ihrem Passwort erstellen.
– Benutzer können auch wählen, ob sie bei der Abfrage des Passkeys später noch einmal gefragt werden möchten oder nicht.
– Benutzer können den Namen ihres Passkeys anpassen, um flexibler zu sein.
- FIDO UX-Richtlinie 5: Grundsätze der Barrierefreiheit vor und nach der Verwendung von Passkeys beachten.
GitHub berücksichtigt die Standards für Barrierefreiheit bei der Eingabeaufforderung für Passkeys und bei den Einrichtungsabläufen. Das unterstützt die größtmögliche Akzeptanz von Passkeys und macht sie für alle Benutzer zugänglich.
- FIDO UX-Richtlinie 6: Einheitliche Passkey-Aufforderung durchgehend im Kundenerlebnis nutzen (Passkey Hero).
GitHub verwendet konsistente Inhalte und eine einheitliche Symbolik über den gesamten Kundenprozess hinweg. Die folgenden Screenshots zeigen zwei verschiedene Aufforderungen für dieselbe Aktion. Sie ermöglichen es Benutzern, Passkeys zu erkennen und sie mit Passwörtern in Verbindung zu bringen, dank der Formulierung „passwortlose Anmeldung“ und „passwortlose Authentifizierung“.
- FIDO UX-Richtlinie 7: Nützliche Informationen über Passkeys dauerhaft anzeigen.
Während des gesamten Ablaufs bietet GitHub Benutzern eine Vielzahl von Informationen über Passkeys.
– Standardmäßig wird eine Beschreibung der Passkeys angezeigt, in der erklärt wird, was Passkeys sind, welche Vorteile sie haben und wie man sie verwendet.
– GitHub erklärt deutlich, was passiert, wenn Benutzer einen Passkey löschen. Der Screenshot zeigt ein Pop-up-Fenster, das eine Bestätigung verlangt, wenn ein Benutzer einen Passkey löschen möchte. Wenn ein Benutzer jedoch einen Passwort-Manager verwendet, um seine Passkeys zu erstellen und zu speichern, wird der Passkey nicht automatisch aus dem Passwort-Manager gelöscht. In diesem Fall ist es wichtig zu wissen, dass der Passkey aus GitHub gelöscht wird und der Benutzer sich beim nächsten Anmelden nicht damit anmelden kann.
- FIDO UX-Richtlinie 8: Passkeys als primäre Option in den Kontoeinstellungen einrichten.
GitHub verwendet zwar weiterhin Passwörter als primären Login, aber der Benutzer kann nach der Anmeldung einen Passkey-Login erstellen. Dies ermöglicht es dem Benutzer, Passkeys in Zukunft als primäre Anmeldemethode zu verwenden.
In den Kontoeinstellungen eines Benutzers erscheint ein Abschnitt für Passkeys, ähnlich wie man es von Passwörtern gewohnt ist.
- FIDO UX-Richtlinie 9: „Passkey-Karten“ mit aussagekräftigem Inhalt anzeigen, um Passkeys eine Gestalt zu geben.
GitHub bietet alle Informationen, die man als Benutzer möglicherweise über seinen Passkey benötigt: Wann wurde er erstellt, wann wurde er zuletzt verwendet und ob der Passkey im genutzten Browser verwendet wurde. GitHub verwendet außerdem ein Label „Synchronisiert“, um dem Benutzer anzuzeigen, dass ein Credential-Manager den Passkey auf anderen Geräten verfügbar macht.
- FIDO UX-Richtlinie 10: Benutzererfahrung entsprechend den einzigartigen Sicherheits- und Geschäftsanforderungen planen.
Auf GitHub ist 2FA eine wichtige Sicherheits- und Authentifizierungseinstellung. Wenn ein Passkey hinzugefügt wird, wird dieser standardmäßig zur 2FA-Methode. Dieser Screenshot zeigt, dass er in der Einstellung sichtbar ist und dass Passkeys die Standardoption für 2FA sind.
Zusammenfassend lässt sich sagen, dass die Implementierung von Passkeys auf GitHub benutzerfreundlich und sich eng an die FIDO UX-Richtlinien hält. Indem GitHub der Benutzerfreundlichkeit und Zugänglichkeit Priorität einräumt, hat GitHub den Weg für die weitverbreitete Akzeptanz von Passkeys als sichere Form der Authentifizierung geebnet.
Sehen Sie sich hier unser von der Community erstelltes Verzeichnis von Websites und Diensten an, die Passkeys verwenden.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten