Passwortlose Authentifizierung mit Passkeys

Seit den frühen 2000er Jahren werden Einmalpasswörter (OTPs) eingesetzt, um das digitale Banking sicherer zu machen. Heute verlagert sich der Zahlungsverkehr zunehmend von OTP-Passwörtern hin zu sichereren Passkey-Technologien.

Dieser Wandel hin zu Passkeys stellt eine der größten Veränderungen in der digitalen Sicherheit der letzten Jahre dar. Durch den Wegfall von Passwörtern und Einmalcodes bietet der Passkey eine schnellere und sicherere Möglichkeit der Authentifizierung und sorgt gleichzeitig für ein reibungsloseres Nutzererlebnis als je zuvor.

Passkeys nutzen fortschrittliche Kryptografie, um stärkeren und benutzerfreundlicheren Schutz als herkömmliche Passwörter zu bieten und so alle Online-Nutzer:innen zu schützen. In einer zunehmend digitalen Welt sind sie der Schlüssel zur Vereinfachung und Sicherung von Online-Transaktionen.

Wichtige Punkte zu Einmalpasswörtern (OTP):

• SMS-Einmalpasswörter weisen gravierende Sicherheitslücken auf, die sie für die moderne Banksicherheit ungeeignet machen. Sie werden leicht vergessen, wiederverwendet oder erraten.
• SIM-Swapping-Angriffe: Kriminelle können Mobilfunkanbieter dazu bringen, Telefonnummern auf neue SIM-Karten zu übertragen. 2017 bestätigte O2 Telefonica (Deutschland), dass Hacker Bank-Authentifizierungscodes erfolgreich abgefangen hatten.
• Netzwerk-Imitation: Angreifer können unautorisierte Netzwerke erstellen, um SMS-Nachrichten abzufangen. Die zugrunde liegende SMS-Routing-Technologie hat fundamentale Sicherheitslücken, die Hacker ausnutzen können.
• Abfangen von Nachrichten: Mit verschiedenen technischen Methoden können Nachrichten abgefangen werden, bevor sie die Empfänger:in erreichen. Beispielsweise kann Malware Mobilgeräte infizieren und Sicherheitscodes heimlich an Angreifer weiterleiten.
• Rückführung von Telefonnummern: Mobilfunkanbieter vergeben zuvor genutzte Nummern neu, was dazu führen kann, dass neue Nutzer:innen Zugriff auf Authentifizierungsnachrichten für Konten der Vorbesitzer:innen erhalten.

Mit der fortschreitenden Digitalisierung werden traditionelle Authentifizierungsmethoden wie Passwörter, SMS und Einmalpasswörter (OTPs) immer anfälliger für Phishing, Abfangen und Betrug. Sie sind das schwächste Glied der Online-Sicherheit, und viele Datenschutzverletzungen werden durch gestohlene oder schwache Passwörter verursacht. Es ist also längst nicht mehr nur eine Frage der Benutzerfreundlichkeit, sondern ein wachsendes Sicherheitsrisiko.

Banken stehen an einem Wendepunkt der digitalen Authentifizierung und interessieren sich zunehmend für einen Wechsel von OTP-Passwörtern hin zu sichereren Passkey-Technologien. Ein solcher Wechsel stellt einen Meilenstein in der Banksicherheit der letzten Jahre dar.
Die nahtlose Integration in bestehende Bankeninfrastrukturen ist ebenso wichtig wie die Aufklärung der Kund:innen, um Vertrauen aufzubauen und die Akzeptanz zu fördern.

Passkeys bieten Banken eine leistungsstarke, passwortlose Alternative. Basierend auf Public-Key-Kryptografie und den FIDO2/WebAuthn-Standards ermöglichen Passkeys eine sichere, phishingresistente Authentifizierung über Webportale, mobile Apps und Geldautomaten hinweg. Für Kund:innen bedeutet das die Anmeldung per Biometrie oder Geräte-Login – kein Merken komplexer Passwörter oder Warten auf Codes mehr. Das Ergebnis ist ein nahtloses, benutzerfreundliches Erlebnis, das Vertrauen und Loyalität fördert.

Europäische Banken können Passkeys schrittweise einführen und gleichzeitig die Einhaltung der PSD2-Richtlinien gewährleisten.

Passkeys verwenden kryptografische Technologien, die gängige Betrugsarten verhindern und eine sicherere und benutzerfreundlichere Authentifizierung bieten. Dies verschafft ihnen erhebliche Vorteile gegenüber passwortbasierten Systemen und herkömmlichen Einmalpasswörtern.

Ein Passkey besteht aus zwei kryptografischen Schlüsseln:

• Privater Schlüssel: Wird sicher auf der Seite der Kundschaft (Benutzers) gespeichert
• Öffentlicher Schlüssel: Wird mit der Banking-Plattform geteilt

Multi-Faktor-Authentifizierung in Aktion – Passkeys nutzen sowohl etwas, das Sie haben (Ihr Gerät), als auch etwas, das Sie sind (Biometrie), was zu folgenden Vorteilen führt:

1. Vereinfachung: Passkeys machen das Merken komplexer Kombinationen überflüssig und bieten eine einfachere und sichere Alternative, die den Komfort erhöht. Nutzer:innenprofitieren vom Schutz vor Phishing, benötigen keine Passwörter mehr und erhalten reibungslosen Zugriff über mehrere Geräte hinweg. Biometrische Daten bleiben privat auf dem Gerät, und Passkeys vereinen Multi-Faktor-Authentifizierung in einem einfachen Schritt – kein Codeeingeben oder App-Öffnen mehr.
2. Sicherheit – Public-Key-Kryptografie: Passkeys bieten durch Kryptografie stärkeren Schutz gegen gängige Betrugsarten. Sie setzen auf fortschrittliche Verschlüsselung und biometrische Authentifizierung, um das Risiko von Phishing und Passwortdiebstahl zu eliminieren.
3. Für Unternehmen: Passkeys bieten stärkeren, phishingresistenten Schutz  und reduzieren das Risiko von Sicherheitsverletzungen. Sie verbessern Konversionsraten durch ein reibungsloseres Login und senken die Wartungskosten, da Passwortrücksetzungen und -management entfallen. Die Einhaltung von Sicherheitsstandards wird erleichtert, da keine sensiblen Zugangsdaten mehr gespeichert werden müssen.
4. Nutzererlebnis – verbessert und einfach: Passkeys schützen nicht nur Transaktionen, sondern machen den gesamten Kundenprozess reibungsloser, schneller und sicherer. Und wie einfach es klingt: Wenn die Authentifizierung sicher und unkompliziert ist, kommen die Kund:innen zurück.

Die meisten modernen Geräte unterstützen bereits Passkey-Authentifizierung, die durch biometrische Verifizierung eine zusätzliche Sicherheitsebene hinzufügt. Beispiele für FIDO-zertifizierte Authentifizierer, die mit Passkeys funktionieren, sind Windows Hello, Mac Touch ID, iPhone Face ID und die Fingerabdruckerkennung von Android.

Für die Kund:in ist die Authentifizierung einfach und intuitiv: Anstatt sich ein komplexes Passwort zu merken oder zwischen Apps zu wechseln, um einen SMS-Code zu finden, genügt ein Fingertipp, ein Blick in die Kamera oder das Eingeben eines PIN-Codes am Smartphone.

Passkeys können auch für die Zahlungsfreigabe eingesetzt werden. Große Zahlungsnetzwerke pilotieren Passkey-Authentifizierung bereits in ihren Wallet-Lösungen, einschließlich „Click to Pay“.

Das World Wide Web Consortium (W3C) entwickelt eine neue API namens „Secure Payment Confirmation“, die den Authentifizierungsprozess bei Zahlungen weiter vereinfachen wird. Diese API ermöglicht es Webbrowsern, zahlungsspezifische Informationen (z. B. Händlername, Betrag und Währung) nativ anzuzeigen und gleichzeitig die Passkey-Authentifizierung anzufordern.

Geplant ist, die Zahlungsinformationen in die Authentifizierungsanfrage einzubeziehen (signiert mit dem Passkey der Verbraucher:ins), um die für den europäischen Wirtschaftsraum unter PSD2 notwendige dynamische Verknüpfung zu erfüllen.

Die FIDO-Allianz hat Arbeitsgruppen ins Leben gerufen, um zukünftige Anforderungen zu prüfen und die Interoperabilität im gesamten Authentifizierungs-Ökosystem zwischen Geräten, Clients und Servern zu gewährleisten.

Der 3-D Secure Issuer Service von G+D Netcetera ermöglicht es Banken, Karteninhaber:innen bei Online-Einkäufen mit hoher Genauigkeit zu authentifizieren.

Mit 19 Jahren Erfahrung in EMV 3-D Secure-Lösungen betreibt G+D Netcetera einen mandantenfähigen Service mit einem hochmodernen Access Control Server, der von Tausenden Banken und Kartenherausgebern genutzt wird.

Mit 19 Jahren Erfahrung in EMV 3-D Secure-Lösungen betreibt G+D Netcetera einen mandantenfähigen Service mit einem hochmodernen Access Control Server, der von Tausenden Banken und Kartenherausgebern genutzt wird.

Wichtige Funktionen:

• Access Control Server unterstützt die neuesten EMV 3DSS-Versionen und ist von allen wichtigen Kartennetzwerken zertifiziert
• Verschiedene Authentifizierungsmethoden, darunter Mobile App-Verifizierung, Einmalpasscodes und risikobasierte Authentifizierung
• Echtzeit-Bewertung des Transaktionsrisikos mit Integrationsoptionen für Drittanbieter
• Online-Registrierungsportal für die Selbstanmeldung von Karteninhaber:innen

Mit G+D Netcetera können Kartenherausgeber problemlos auf sichere Authentifizierung umstellen, während Karteninhaber:innen von sichereren Online-Einkäufen und einer bequemen Registrierung profitieren.

Möchten Sie wissen, wie Netcetera Ihrer Bank helfen kann, sicher zu bleiben? Kontaktieren Sie unsere Expert:innen.