Passkeys: Sichere und passwortlose Authentifizierung

E-Commerce-Plattformen: Warenkorbabbrüche mit One-Touch-Zahlungsauthentifizierung reduzieren. Gespeicherte Zahlungsmittel ermöglichen die sofortige Freigabe für Kund:innen – ohne Passwörter oder OTPs. Conversion-Raten erhöhen und gleichzeitig die Anforderungen an PSD2 Strong Customer Authentication übertreffen.

Payment Service Provider: Nahtlose Authentifizierung für Händler beim Zugriff auf Dashboards, bei Rückerstattungen und Settlement-Management bereitstellen. Multi-User-Konten mit rollenbasierter Authentifizierung unterstützen, die sowohl sicher als auch komfortabel ist. PSP-Onboarding mit optimiertem KYC und einfacher Authentifizierungsregistrierung beschleunigen.

Vermögensverwaltung & Investment-Plattformen: Sicheren Zugang zu sensitiven Finanzinformationen und hochvolumigen Transaktionen ermöglichen. Schnelle Authentifizierung für zeitkritische Trades bei gleichzeitiger Einhaltung der Audit-Anforderungen unterstützen. Die Balance zwischen robuster Sicherheit und der Geschwindigkeit, die Finanzmärkte brauchen, sicherstellen.

Digitale Wallets: Reibungslosen Wallet-Zugriff für häufige Mikrotransaktionen ermöglichen und gleichzeitig Sicherheit für Wallet-Aufladung und Peer-to-Peer-Überweisungen gewährleisten. Unterschiedliche Gerätetypen und Betriebssysteme mit einem konsistenten Authentifizierungserlebnis unterstützen.

Im Gegensatz zu Passwörtern verwenden Passkeys gerätegebundene kryptografische Schlüssel und Biometrie statt gemeinsamer Geheimnisse – es gibt also nichts, das per Phishing abgegriffen oder wiederverwendet werden kann. Zudem wird der Anmeldeprozess schneller und sicherer, besonders im Finanzbereich. zu den Unterschieden finden Sie in unserem Vergleich „Passkeys vs. Passwörter“.

Ja, Passkeys bieten deutlich stärkere Sicherheit als traditionelle, passwortbasierte Authentifizierung.

Sicherheitsvorteile für Finanzservices:

• Phishing-Immunität: Passkeys lassen sich nicht dazu bringen, auf betrügerischen Seiten zu funktionieren, selbst wenn Kund:innen manipuliert werden.
• Resistenz gegen Datenlecks: Serverseitige Datenbank-Lecks offenbaren nur öffentliche Schlüssel, die kryptografisch nutzlos für Angreifer sind.
• Gerätegebundene Sicherheit: Private Schlüssel werden in sicheren Hardware-Bereichen des Geräts (TPM, Secure Element) geschützt und können nicht einmal durch Malware extrahiert werden.
• Schutz der biometrischen Daten: Biometrische Daten verlassen das Gerät nie – Services erhalten nur kryptografische Signaturen, niemals Fingerabdrücke oder Gesichtsscans.

Passkeys sind speziell darauf ausgelegt, strenge regulatorische Anforderungen im Finanzbereich zu erfüllen.

Regulatorische Compliance:

Passkeys erfüllen inhärent die Anforderungen an Multi-Faktor-Authentifizierung:

• Besitzfaktor: Das Gerät, auf dem der Passkey gespeichert ist
• Inhärenzfaktor: Biometrische Authentifizierung (Fingerabdruck, Face ID)
• Wissensfaktor: Geräte-PIN (Alternative zur Biometrie)

Für PSD2 Strong Customer Authentication (SCA) erfüllen Passkeys alle Anforderungen, inklusive dynamischer Verknüpfung, wenn sie via Secure Payment Confirmation (SPC) implementiert werden. Für die kommende PSD3-Regulierung erfüllen Passkeys die dort vorgesehene Anforderung an phishingsichere Authentifizierung für Hochrisiko-Transaktionen ab Oktober 2027.

Grosse Kartenschemes (Visa, Mastercard) haben Passkey-Authentifizierung für Zahlungstransaktionen zertifiziert, und Aufsichtsbehörden wie die European Banking Authority erkennen FIDO2-basierte Authentifizierung als Erfüllung der verschärften Sicherheitsstandards an.

Passkeys integrieren sich auf verschiedene Weise in EMV 3-D Secure und bieten Finanzinstituten Flexibilität, je nach Rolle im Zahlungsökosystem:

Für Kartenaussteller (über den Access Control Server):

Wenn Ihr Access Control Server (ACS) während einer 3DS-Transaktion eine Step-up-Authentifizierung benötigt, ersetzen Passkeys SMS-One-Time-Passwörter im Challenge-Flow. Anstatt 20–45 Sekunden auf einen SMS-Code zu warten, authentifizieren sich Kund:innen in 3–8 Sekunden biometrisch. Dies kann umgesetzt werden über:

• Standard-WebAuthn-Integration: Passkey-Authentifizierung innerhalb Ihrer ACS-Challenge-Seite.
• Secure Payment Confirmation (SPC): Browser-nativer Authentifizierungsdialog, der Transaktionsdetails (Betrag, Händler, Zahlungsempfänger) mit Passkey-Authentifizierung anzeigt – Erfüllung der Anforderungen an dynamische Verknüpfung ohne Umleitung der Kund:innen.

Für Händler (Delegierte Authentifizierung):

Grosse Händler, die Passkeys für den Konto-Login nutzen, können FIDO-Authentifizierungsdaten in der 3DS-Anfrage an Issuer übermitteln. Issuer erkennen diese starke Authentifizierung als Vertrauenssignal und können Transaktionen reibungslos ohne zusätzliche Challenges genehmigen – mit 15–25 % höherer Conversion bei gleichbleibender Sicherheit.

Für Payment Service Provider:

PSPs, die den 3DS-Server von G+D Netcetera einsetzen, können beide Modelle unterstützen – Verarbeitung von FIDO-Daten aus Händler-Passkeys für frictionless Flows und Integration mit Passkey-fähigen ACS-Lösungen von Issuern für Challenge-Flows.

Für Zahlungsnetzwerke:

Visa Payment Passkey und Mastercard Payment Passkey bieten netzwerkweite Passkey-Authentifizierung, die bei allen teilnehmenden Händlern funktioniert und in deren 3DS-Infrastruktur und Click-to-Pay-Services integriert ist.

Die 3-D Secure-Lösungen von G+D Netcetera (ACS für Issuer, 3DS-Server für PSPs/Acquirer) unterstützen Passkey-Integration über alle diese Szenarien hinweg, mit SPC-Readiness als Teil der Roadmap.

Moderne Passkey-Implementierungen lösen die Herausforderung Geräteverlust durch sichere Synchronisation und mehrere Recovery-Optionen – und machen Passkeys damit tatsächlich besser wiederherstellbar als Passwörter, bei gleichzeitig hoher Sicherheit.

Multi-Device-Synchronisation:

Auf einem Gerät erstellte Passkeys werden automatisch auf alle Geräte einer Person im selben Ökosystem synchronisiert – mit Ende-zu-Ende-verschlüsseltem Cloud-Speicher:

• Apple-Ökosystem: iCloud-Schlüsselbund synchronisiert Passkeys über iPhone, iPad und Mac
• Google-Ökosystem: Google Password Manager synchronisiert über Android-Geräte und Chrome-Browser
• Microsoft-Ökosystem: Microsoft-Konto synchronisiert über Windows-Geräte

Wichtig ist, dass diese Synchronisation die Sicherheit wahrt – Passkey-Material wird vor der Speicherung in der Cloud auf dem Gerät verschlüsselt, und der Cloud-Anbieter (Apple, Google, Microsoft) kann trotz Hosting der verschlüsselten Daten nicht auf private Schlüssel zugreifen.

Was das bei Geräteverlust bedeutet:

Wenn Kund:innen ihr Smartphone verlieren, bleiben ihre Passkeys auf den anderen Geräten (Tablet, Computer usw.) verfügbar. Sobald sie ein neues Smartphone erhalten und sich mit ihrer Apple-ID, ihrem Google-Konto oder Microsoft-Konto anmelden, werden die Passkeys automatisch auf das neue Gerät synchronisiert.

Recovery-Optionen für Finanzinstitute:

Für Kund:innen, die alle Geräte verlieren oder ein neues Ökosystem aufbauen, unterstützt die Passkey-Authentifizierung von G+D Netcetera mehrere Recovery-Strategien:

1. Registrierung eines zweiten Passkeys: Mehrere Passkeys (z.B. Smartphone + Laptop) bereits bei der Ersteinrichtung hinterlegen.
2. Backup-Authentifizierungsmethoden: Zeitlich begrenzter Rückgriff auf alternative Authentifizierung während der Wiederherstellungsphase.
3. Unterstützte Kontowiederherstellung: Erweiterte Identitätsprüfung (mehrere Wissensfragen, Dokumentenverifikation, Video-Identifizierung) mit anschliessender Neu-Registrierung des Passkeys.
4. Gerätebasierte Wiederherstellung: Für Mobile-Banking-Apps können Nutzer:innen Passkeys nach Neuinstallation der App und erfolgreicher starker Identitätsprüfung erneut registrieren.

Besser als Passwort-Recovery:

Klassische Passwort-Wiederherstellung basiert oft auf E-Mail oder SMS – beides angreifbar. Passkey-Recovery nutzt die Sicherheit der Geräteökosysteme und Multi-Faktor-Identitätsprüfung und bietet eine deutlich sicherere Wiederherstellung als Passwort-Reset-Flows.

Finanzinstitute können Recovery-Policies gemäss ihrer Risikobereitschaft definieren. G+D Netcetera bietet flexible Implementierungsoptionen – von hochautomatisiert (für Konten mit niedrigen Werten) bis hin zu stark unterstützten Prozessen (für vermögende Privatkund:innen oder Firmenkunden).