Passwortlose Authentifizierung mit Passkeys

Eine einfachere und sicherere Alternative zu Passwörtern – ein Wendepunkt in der Online-Sicherheit

Since the early 2000s, one-time passwords (OTPs) have been used to make digital banking more secure. Nowadays, there is a shift in payments from OTP passwords toward more secure passkey technology.

Seit den frühen 2000er Jahren werden Einmalpasswörter (OTPs) eingesetzt, um das digitale Banking sicherer zu machen. Heute verlagert sich der Zahlungsverkehr zunehmend von OTP-Passwörtern hin zu sichereren Passkey-Technologien.

Dieser Wandel hin zu Passkeys stellt eine der größten Veränderungen in der digitalen Sicherheit der letzten Jahre dar. Durch den Wegfall von Passwörtern und Einmalcodes bietet der Passkey eine schnellere und sicherere Möglichkeit der Authentifizierung und sorgt gleichzeitig für ein reibungsloseres Nutzererlebnis als je zuvor.

Passkeys nutzen fortschrittliche Kryptografie, um stärkeren und benutzerfreundlicheren Schutz als herkömmliche Passwörter zu bieten und so alle Online-Nutzer:innen zu schützen. In einer zunehmend digitalen Welt sind sie der Schlüssel zur Vereinfachung und Sicherung von Online-Transaktionen.

Passwörter vs. Passkeys: Was sind die wichtigsten Unterschiede?

Wichtige Punkte zu Einmalpasswörtern (OTP):

  • SMS-Einmalpasswörter weisen gravierende Sicherheitslücken auf, die sie für die moderne Banksicherheit ungeeignet machen. Sie werden leicht vergessen, wiederverwendet oder erraten.
  • SIM-Swapping-Angriffe: Kriminelle können Mobilfunkanbieter dazu bringen, Telefonnummern auf neue SIM-Karten zu übertragen. 2017 bestätigte O2 Telefonica (Deutschland), dass Hacker Bank-Authentifizierungscodes erfolgreich abgefangen hatten.
  • Netzwerk-Imitation: Angreifer können unautorisierte Netzwerke erstellen, um SMS-Nachrichten abzufangen. Die zugrunde liegende SMS-Routing-Technologie hat fundamentale Sicherheitslücken, die Hacker ausnutzen können.
  • Abfangen von Nachrichten: Mit verschiedenen technischen Methoden können Nachrichten abgefangen werden, bevor sie die Empfänger:in erreichen. Beispielsweise kann Malware Mobilgeräte infizieren und Sicherheitscodes heimlich an Angreifer weiterleiten.
  • Rückführung von Telefonnummern: Mobilfunkanbieter vergeben zuvor genutzte Nummern neu, was dazu führen kann, dass neue Nutzer:innen Zugriff auf Authentifizierungsnachrichten für Konten der Vorbesitzer:innen erhalten.

Wie die Umstellung von OTP auf Passkeys die Banksicherheit verbessert

Mit der fortschreitenden Digitalisierung werden traditionelle Authentifizierungsmethoden wie Passwörter, SMS und Einmalpasswörter (OTPs) immer anfälliger für Phishing, Abfangen und Betrug. Sie sind das schwächste Glied der Online-Sicherheit, und viele Datenschutzverletzungen werden durch gestohlene oder schwache Passwörter verursacht. Es ist also längst nicht mehr nur eine Frage der Benutzerfreundlichkeit, sondern ein wachsendes Sicherheitsrisiko.

Banken stehen an einem Wendepunkt der digitalen Authentifizierung und interessieren sich zunehmend für einen Wechsel von OTP-Passwörtern hin zu sichereren Passkey-Technologien. Ein solcher Wechsel stellt einen Meilenstein in der Banksicherheit der letzten Jahre dar.
Die nahtlose Integration in bestehende Bankeninfrastrukturen ist ebenso wichtig wie die Aufklärung der Kund:innen, um Vertrauen aufzubauen und die Akzeptanz zu fördern.

Passkeys bieten Banken eine leistungsstarke, passwortlose Alternative. Basierend auf Public-Key-Kryptografie und den FIDO2/WebAuthn-Standards ermöglichen Passkeys eine sichere, phishingresistente Authentifizierung über Webportale, mobile Apps und Geldautomaten hinweg. Für Kund:innen bedeutet das die Anmeldung per Biometrie oder Geräte-Login – kein Merken komplexer Passwörter oder Warten auf Codes mehr. Das Ergebnis ist ein nahtloses, benutzerfreundliches Erlebnis, das Vertrauen und Loyalität fördert.

Europäische Banken können Passkeys schrittweise einführen und gleichzeitig die Einhaltung der PSD2-Richtlinien gewährleisten.

Sind Passkeys sicherer als Passwörter?

Passkeys verwenden kryptografische Technologien, die gängige Betrugsarten verhindern und eine sicherere und benutzerfreundlichere Authentifizierung bieten. Dies verschafft ihnen erhebliche Vorteile gegenüber passwortbasierten Systemen und herkömmlichen Einmalpasswörtern.

Ein Passkey besteht aus zwei kryptografischen Schlüsseln:

  • Privater Schlüssel: Wird sicher auf der Seite der Kundschaft (Benutzers) gespeichert
  • Öffentlicher Schlüssel: Wird mit der Banking-Plattform geteilt
passkeys

Wie funktioniert die Passkey-Authentifizierung?

  1. Wenn Kund:innen sich auf der Bank-Website oder App anmelden, sendet die Bank eine Authentifizierungsanfrage zurück.
  2. Das Gerät der Kundschaft verwendet dann den privaten Schlüssel, um auf diese Herausforderung zu antworten.
  3. Damit wird die Identität der Benutzer:in bestätigt, ohne dass sensible Authentifizierungsdaten übertragen werden.

Im Gegensatz zu Passwörtern oder SMS-Codes können Passkeys nicht durch gefälschte Websites oder betrügerische Nachrichten kompromittiert werden. Das macht Passkeys äußerst wirksam beim Schutz vor Phishing und Betrug.

Zentrale Vorteile von Passkeys

Multi-Faktor-Authentifizierung in Aktion – Passkeys nutzen sowohl etwas, das Sie haben (Ihr Gerät), als auch etwas, das Sie sind (Biometrie), was zu folgenden Vorteilen führt:

  1. Vereinfachung: Passkeys machen das Merken komplexer Kombinationen überflüssig und bieten eine einfachere und sichere Alternative, die den Komfort erhöht. Nutzer:innenprofitieren vom Schutz vor Phishing, benötigen keine Passwörter mehr und erhalten reibungslosen Zugriff über mehrere Geräte hinweg. Biometrische Daten bleiben privat auf dem Gerät, und Passkeys vereinen Multi-Faktor-Authentifizierung in einem einfachen Schritt – kein Codeeingeben oder App-Öffnen mehr.
  2. Sicherheit – Public-Key-Kryptografie: Passkeys bieten durch Kryptografie stärkeren Schutz gegen gängige Betrugsarten. Sie setzen auf fortschrittliche Verschlüsselung und biometrische Authentifizierung, um das Risiko von Phishing und Passwortdiebstahl zu eliminieren.
  3. Für Unternehmen: Passkeys bieten stärkeren, phishingresistenten Schutz  und reduzieren das Risiko von Sicherheitsverletzungen. Sie verbessern Konversionsraten durch ein reibungsloseres Login und senken die Wartungskosten, da Passwortrücksetzungen und -management entfallen. Die Einhaltung von Sicherheitsstandards wird erleichtert, da keine sensiblen Zugangsdaten mehr gespeichert werden müssen.
  4. Nutzererlebnis – verbessert und einfach: Passkeys schützen nicht nur Transaktionen, sondern machen den gesamten Kundenprozess reibungsloser, schneller und sicherer. Und wie einfach es klingt: Wenn die Authentifizierung sicher und unkompliziert ist, kommen die Kund:innen zurück.

„Wenn ein Angreifer in eine bestimmte Datenbank einbricht, kann er alle öffentlichen Schlüssel der Nutzer:innenstehlen, aber das bringt ihm keinen Vorteil, da sie ohnehin öffentlich sind.“

Nakjo Shishkov

G+D Netcetera payment expert

Welche Geräte unterstützen Passkey-Authentifizierung?

Die meisten modernen Geräte unterstützen bereits Passkey-Authentifizierung, die durch biometrische Verifizierung eine zusätzliche Sicherheitsebene hinzufügt. Beispiele für FIDO-zertifizierte Authentifizierer, die mit Passkeys funktionieren, sind Windows Hello, Mac Touch ID, iPhone Face ID und die Fingerabdruckerkennung von Android.

Für die Kund:in ist die Authentifizierung einfach und intuitiv: Anstatt sich ein komplexes Passwort zu merken oder zwischen Apps zu wechseln, um einen SMS-Code zu finden, genügt ein Fingertipp, ein Blick in die Kamera oder das Eingeben eines PIN-Codes am Smartphone.

Passkeys können auch für die Zahlungsfreigabe eingesetzt werden. Große Zahlungsnetzwerke pilotieren Passkey-Authentifizierung bereits in ihren Wallet-Lösungen, einschließlich „Click to Pay“.

Was kommt als Nächstes für Passkeys?

Das World Wide Web Consortium (W3C) entwickelt eine neue API namens „Secure Payment Confirmation“, die den Authentifizierungsprozess bei Zahlungen weiter vereinfachen wird. Diese API ermöglicht es Webbrowsern, zahlungsspezifische Informationen (z. B. Händlername, Betrag und Währung) nativ anzuzeigen und gleichzeitig die Passkey-Authentifizierung anzufordern.

Geplant ist, die Zahlungsinformationen in die Authentifizierungsanfrage einzubeziehen (signiert mit dem Passkey der Verbraucher:ins), um die für den europäischen Wirtschaftsraum unter PSD2 notwendige dynamische Verknüpfung zu erfüllen.

Die FIDO-Allianz hat Arbeitsgruppen ins Leben gerufen, um zukünftige Anforderungen zu prüfen und die Interoperabilität im gesamten Authentifizierungs-Ökosystem zwischen Geräten, Clients und Servern zu gewährleisten.

Wie Banken auf Passkeys umsteigen können

Banken können bestehende Authentifizierungsmethoden nicht sofort vollständig abschaffen, da Altsysteme, regulatorische Anforderungen und die Gewohnheiten der Kund:innen berücksichtigt werden müssen. Durch einen schrittweisen Übergang zu Passkeys können sie jedoch einen reibungslosen Service gewährleisten und die Akzeptanz steigern.

Ein benutzerfreundlicher Übergangsprozess könnte wie folgt aussehen:

  1. Passkeys als optionale Authentifizierungsmethode einführen
  2. Kund:innen über die Sicherheitsvorteile von Passkeys aufklären
  3. Passkeys schrittweise zur Standardmethode machen, während Alternativen bestehen bleiben
  4. Schließlich weniger sichere Methoden ganz abschaffen

Um die Nutzerakzeptanz zu maximieren, können Banken Passkeys gezielt zu bestimmten Zeitpunkten einführen:

  • Während der Kontoeröffnung für Neukund:innen
  • In den Kontoeinstellungen für Bestandskund:innen
  • Nach erfolgreicher Authentifizierung mit traditionellen Methoden
  • Im Rahmen des „Passwort vergessen“-Prozesses

Banken können mit Experten wie G+D Netcetera zusammenarbeiten, um technische Herausforderungen bei der Integration in bestehende Systeme zu meistern. Ein erfahrener Anbieter minimiert komplexe Datenmigrationen und bietet die Sicherheitsfunktionen, die regulierte Finanzinstitute benötigen.

Wie G+D Netcetera Banken sicher hält

Der 3-D Secure Issuer Service von G+D Netcetera ermöglicht es Banken, Karteninhaber:innen bei Online-Einkäufen mit hoher Genauigkeit zu authentifizieren.

Mit 19 Jahren Erfahrung in EMV 3-D Secure-Lösungen betreibt G+D Netcetera einen mandantenfähigen Service mit einem hochmodernen Access Control Server, der von Tausenden Banken und Kartenherausgebern genutzt wird.

Mit 19 Jahren Erfahrung in EMV 3-D Secure-Lösungen betreibt G+D Netcetera einen mandantenfähigen Service mit einem hochmodernen Access Control Server, der von Tausenden Banken und Kartenherausgebern genutzt wird.

Wichtige Funktionen:

  • Access Control Server unterstützt die neuesten EMV 3DSS-Versionen und ist von allen wichtigen Kartennetzwerken zertifiziert
  • Verschiedene Authentifizierungsmethoden, darunter Mobile App-Verifizierung, Einmalpasscodes und risikobasierte Authentifizierung
  • Echtzeit-Bewertung des Transaktionsrisikos mit Integrationsoptionen für Drittanbieter
  • Online-Registrierungsportal für die Selbstanmeldung von Karteninhaber:innen

Mit G+D Netcetera können Kartenherausgeber problemlos auf sichere Authentifizierung umstellen, während Karteninhaber:innen von sichereren Online-Einkäufen und einer bequemen Registrierung profitieren.

 

Möchten Sie wissen, wie Netcetera Ihrer Bank helfen kann, sicher zu bleiben? Kontaktieren Sie unsere Expert:innen.

Weitere Stories

Zu diesem Thema