Finom Passkeys: Eine Revolution für die Sicherheit im Banking

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Modernes Banking erfordert erstklassige Sicherheit und muss gleichzeitig das Leben der Kunden einfacher machen. Aus diesem Grund hat Finom, ein zukunftsweisendes Fintech aus Amsterdam, einen bedeutenden Schritt nach vorne gemacht und Passkeys als neue primäre Authentifizierungsmethode für seine Web-App eingeführt. Als Beweis für seine Innovationskraft stellt die Implementierung von Passkeys bei Finom nicht nur das traditionelle Passwort-Paradigma (+ traditionelle MFA via SMS-OTP) in Frage, sondern entspricht auch der wachsenden Nachfrage nach sichereren, bequemeren und datenschutzorientierten Benutzererfahrungen. Dieser Blogbeitrag befasst sich mit den technischen Einstellungen und den Vorteilen für Endnutzer bei der Implementierung von Passkeys durch Finom und gibt Einblicke, warum dieser Ansatz eine neue Ära für Passkeys im Banking und bei Finanzdienstleistungen einläuten könnte.

Passkeys stellen einen Paradigmenwechsel in der Authentifizierung dar. Sie bewegen sich weg von anfälligen passwortbasierten Systemen hin zu einer sichereren, Phishing-resistenten Authentifizierung. Die Webanwendung von Finom nutzt diese Technologie und ermöglicht es den Nutzern, sich über verschiedene Geräte zu authentifizieren – Computer, Smartphones oder Hardware-Sicherheitsschlüssel (z. B. YubiKeys). Damit werden auch plattformübergreifende / Roaming-Authenticatoren unterstützt.

Finom has introduced passkeys

Join them

Finom gewährleistet eine breite Zugänglichkeit durch die Einhaltung von Industriestandards für die Kompatibilität von Browsern und Betriebssystemen. Die folgenden Browserversionen unterstützen Passkeys (laut der offiziellen Finom Passkeys FAQ):

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

Im Gegensatz zur offiziellen Finom Passkeys FAQ funktionierte die Passkey-Authentifizierung während unserer Tests auch mit der neuesten Firefox-Version (v122) unter Windows 11 23H2 und macOS Sonoma 14.2.1.

Was die allgemeine Unterstützung von Betriebssystemen betrifft, so haben wir die Passkey-Authentifizierung auf Desktop-Geräten erfolgreich unter Windows 11 und macOS Sonoma getestet (in der FAQ ist keine offizielle Mindestversion des Betriebssystems angegeben).

Nutzer von Mobilgeräten müssen sicherstellen, dass ihre Systeme auf iOS 16+ oder Android 9+ aktualisiert sind, um die volle Passkey-Unterstützung zu gewährleisten. Das Gute daran ist, dass die Mehrheit der mobilen Geräte (über 94 %) bereits Passkeys unterstützt.

Der Erstellungsprozess von Passkeys bei Finom unterstützt die gesamte Bandbreite von Passkeys und verwendet eine Vielzahl von Transportmodi, einschließlich USB, NFC, BLE, Hybrid und interner Optionen. Diese Flexibilität stellt sicher, dass die Nutzer mehrere Authentifizierungsoptionen haben, die ihren persönlichen Vorlieben oder situativen Bedürfnissen entsprechen.

Einige Aspekte, die aus den WebAuthn-Servereinstellungen und der tieferen Analyse der PublicKeyCredentialCreationOptions hervorzuheben sind:

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• Verwendung des Parameters excludeCredentials, um die Erstellung eines neuen Passkeys auf einem Gerät mit bereits vorhandenen Passkeys zu vermeiden
• Relying Party ID auf app.finom.co gesetzt, um eine sichere, domänenspezifische Authentifizierung zu gewährleisten
• Direkte Attestation erfordert, dass Geräte Attestation-Statements bereitstellen und damit die Authentizität der Anmeldeinformationen beweisen
• userVerification ist erforderlich, um sicherzustellen, dass nur der rechtmäßige Nutzer den Authentifizierungsprozess einleiten kann
• Von residentKeys wird abgeraten, da die Conditional UI noch nicht eingeführt ist. Das Verhalten bei der Passkey-Erstellung hängt jedoch stark von den Authenticatoren ab, ob sie den Wert von residentKeys berücksichtigen (siehe diesen Artikel). Andererseits würde Finom tatsächlich davon profitieren, bereits Resident Keys für die zukünftige Unterstützung der Conditional UI zu erstellen. Auf der anderen Seite spart diese Entscheidung Speicherplatz auf Hardware-Sicherheitsschlüsseln (z. B. YubiKeys), da diese oft nur eine begrenzte Kapazität für Resident Keys haben.

Die PublicKeyCredentialRequestOptions sind ebenso wichtig und erleichtern den Authentifizierungsprozess mit Konfigurationen, die Flexibilität und Sicherheit gewährleisten:

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• allowCredentials sind gesetzt (alle Anmeldeinformationen werden unabhängig vom Gerät, das der Nutzer als Client verwendet, gesetzt), um sicherzustellen, dass nur registrierte Passkeys verwendet werden können
• Von userVerification wird abgeraten, was bei der Anmeldezeremonie interessant ist, da sie bei der Passkey-Erstellung erforderlich ist.

Ein zukunftsweisender Aspekt der Passkey-Implementierung von Finom ist das Potenzial für die geräteübergreifende Passkey-Freigabe. Durch die Analyse der Assoziationsdateien, die unter https://app.finom.co/.well-known/assetlinks.json für Android und https://app.finom.co/.well-known/apple-app-site-association für iOS bereitgestellt werden, wird deutlich, dass Finom den Grundstein für eine nahtlose Passkey-Integration über seine Web- und nativen mobilen Anwendungen legt. Die Unterstützung für die geräteübergreifende Freigabe, z. B. die Verwendung Ihres macOS-Passkeys aus der Webanwendung auch in der nativen iOS-App über die iCloud-Schlüsselbund-Synchronisierung, kann schnell hinzugefügt werden. Diese Initiative verspricht, die Benutzererfahrung durch eine mühelose Authentifizierung über verschiedene Plattformen und Geräte hinweg weiter zu verbessern.

Im Mittelpunkt der Passkey-Implementierung von Finom steht die Verpflichtung, drei grundlegende Aspekte in den Vordergrund zu stellen: unübertroffene Sicherheit, beispiellose Einfachheit und kompromissloser Datenschutz.

• Sicherheit: Das Passkey-System von Finom wurde entwickelt, um eine Barriere gegen Cyber-Bedrohungen zu errichten. Im Gegensatz zu herkömmlichen Passwörtern sind Passkeys sicher mit dem Gerät des Nutzers und der verifizierten Domain von Finom verbunden, was das Risiko von Phishing und betrügerischem Zugriff praktisch ausschließt.
• Einfachheit: Die Einfachheit der Passkey-Authentifizierung von Finom zeigt sich in ihrem sofortigen Anmeldevorgang. Durch die Verwendung von Face ID, Touch ID oder Windows Hello können Nutzer in Sekundenschnelle auf ihre Konten zugreifen, ohne lästige komplexe Passwörter eingeben zu müssen. Dieser optimierte Authentifizierungsprozess erhöht nicht nur den Nutzerkomfort, sondern verkürzt auch die Anmeldezeiten erheblich und setzt einen neuen Standard für den einfachen Zugang in der Banking-Branche.
• Datenschutz: Finom legt höchsten Wert auf den Schutz und die Sicherheit der Nutzerdaten. Durch den Einsatz eines Systems, bei dem die Passkeys an das Gerät des Nutzers gebunden bleiben, stellt Finom sicher, dass persönliche Informationen, einschließlich biometrischer Daten, unter der Kontrolle des Nutzers bleiben und niemals mit dem Server geteilt werden. Dieser Ansatz schützt nicht nur die Privatsphäre der Nutzer, sondern gibt ihnen auch die Gewissheit, dass ihre persönlichen und finanziellen Informationen vor unbefugtem Zugriff und Sicherheitsverletzungen geschützt sind.

Auf neuen Geräten muss der Nutzer die Passkey-Erstellung entweder in der nativen Finom iOS / Android App per Push-Benachrichtigung oder über einen E-Mail-Magic-Link bestätigen. Solange die Bestätigung nicht erfolgt ist, kann der Nutzer keinen Passkey erstellen.

Bestätigen Sie die Anfrage zur Passkey-Erstellung per E-Mail:

Alternativ können Sie die Anfrage zur Passkey-Erstellung per Push-Benachrichtigung bestätigen (hier die native Android-App):

Nach erfolgreicher Passkey-Erstellung sehen Sie dieses Popup:

Finom vereinfacht das Anmeldeerlebnis, indem es Passkeys zur Standard-Authentifizierungsmethode (Passkey-First) macht, sobald die E-Mail-Adresse des Nutzers eingegeben und auf „Weiter“ geklickt wird (standardmäßig wird kein Passwortfeld angezeigt). Dieser direkte Ansatz verbessert die Benutzererfahrung, indem er unnötige Auswahlmöglichkeiten eliminiert und Passwörter in den Hintergrund rückt. Das Fehlen einer Conditional UI stellt jedoch einen potenziellen Bereich für zukünftige Verbesserungen dar.

Wenn der Passkey-Anmeldeablauf im Passkey-Popup abgebrochen wird, erhält der Nutzer die folgende Warnung:

Wenn der Nutzer auf „Erneut versuchen“ klickt, startet der Passkey-Anmeldeablauf erneut und das Passkeys-Popup (z. B. Face ID, Touch ID, Windows Hello) erscheint, sodass der Nutzer seine Biometrie erneut scannen kann.

Wenn der Nutzer auf „Andere Methode versuchen“ klickt, wird er zum alten Login mit Eingabefeldern für E-Mail-Adresse und Passwort weitergeleitet:

Finom rät dringend von der Verwendung nicht-privater oder öffentlich zugänglicher Geräte für die Passkey-Authentifizierung ab (z. B. in öffentlichen Bibliotheken). Das inhärente Risiko bei solchen Geräten liegt in ihrer Zugänglichkeit; jeder, der das Gerät entsperren kann (sei es durch ein Passwort, eine Bildschirmsperre oder auf dem Gerät registrierte biometrische Daten wie Fingerabdrücke oder Gesichtserkennung), hat das Potenzial, sich als Sie zu authentifizieren und Zugang zu Ihrem Konto zu erhalten.

Finom berücksichtigt die Multi-Device-Realität der heutigen Nutzer und unterstützt die geräteübergreifende Authentifizierung (Hybrid-Transport) mittels QR-Code-Scannen und Bluetooth-Näherungsprüfungen. Diese Funktion ermöglicht ein flüssiges Authentifizierungserlebnis über verschiedene Geräte hinweg und erleichtert eine nahtlose Anmeldung von einem auf einem mobilen Gerät gespeicherten Passkey, während versucht wird, von einer Desktop-Umgebung aus auf Finom zuzugreifen (siehe auch diesen Artikel für weitere Details zur geräteübergreifenden Authentifizierung mit Passkeys).

Finom hat intuitive Passkey-Verwaltungsfunktionen eingeführt, die es den Nutzern ermöglichen, ihre Authentifizierungsmethoden anzupassen und zu steuern. Diese Funktionen, einschließlich der Möglichkeit, Passkeys umzubenennen und zu entfernen, spiegeln ein tiefes Verständnis für die Notwendigkeit von Flexibilität und Sicherheit bei der Verwaltung des digitalen Zugangs wider.

• Mehrere Passkeys für verschiedene Geräte: Finom empfiehlt die Erstellung mehrerer Passkeys auf den Geräten der Nutzer. Dieser Ansatz garantiert einen ununterbrochenen Zugang zu den Diensten von Finom über Passkeys und sorgt für ein nahtloses Multi-Device-Erlebnis.
• Intelligente Duplikatvermeidung: Durch die Nutzung des Parameters excludeCredentials in den PublicKeyCredentialCreationOptions verhindert Finom die Erstellung doppelter Passkeys auf demselben Gerät. Diese Maßnahme erhöht nicht nur die Sicherheit, sondern optimiert auch die Benutzererfahrung, indem sichergestellt wird, dass jedes Gerät einen einzigartigen Passkey hat.
• Bestätigung der Passkey-Löschung erfordert Passkey-Authentifizierung: Vor dem Entfernen eines Passkeys müssen die Nutzer die Aktion mit einem Passkey authentifizieren. Diese zusätzliche Sicherheitsebene unterstreicht die Bedeutung, die Finom dem Schutz des Nutzerzugangs beimisst, und stellt sicher, dass nur der rechtmäßige Eigentümer solch wichtige Änderungen vornehmen kann.

Beachten Sie, dass die Logik zur Symbolerkennung nicht so intelligent ist, wie es auf den ersten Blick scheinen mag. Ich habe die Passkeys für den Google Passwortmanager auf meinem Android-Gerät gespeichert, es wird jedoch als Windows angezeigt. Dasselbe gilt für plattformübergreifende / Roaming-Authenticatoren wie YubiKeys, die von Natur aus nicht an ein bestimmtes Betriebssystem gebunden sind.

Nach der erfolgreichen Erstellung eines Passkeys erhält der Nutzer eine E-Mail-Benachrichtigung:

Falls der Nutzer sein Passwort zurücksetzen muss, wird nicht nur die Gerätebindung der nativen iOS-/Android-App gelöscht, sondern auch alle Ihre Passkeys. Genauer gesagt werden die öffentlichen Schlüssel der Passkeys serverseitig gelöscht, was eine Anmeldung mit Passkeys unmöglich macht (selbst nachdem Sie die Gerätebindung wiederhergestellt haben). Die privaten Schlüssel des Passkeys verbleiben auf dem Gerät, sind aber für nachfolgende Anmeldeversuche nutzlos.

Die Passkey-Implementierung von Finom ist nicht nur eine Verbesserung der Sicherheit und der Benutzererfahrung; sie ist ein strategischer Schritt zur Kosteneinsparung gegenüber traditionellen SMS-OTP-Systemen und zur Positionierung als modernes, digital-first Fintech, das selbstbewusst mit etablierten Banken und Finanzinstituten konkurriert. Das aktuelle Design des Systems ist vielversprechend, mit Raum für Erweiterungen auf die Unterstützung von nativen Apps, die Einführung der Conditional UI und Transaktionsbestätigungen über Passkeys.

Durch die Abkehr von SMS-OTP – einer Methode, die in der Vergangenheit von Sicherheitslücken geplagt war – legt Finom den Grundstein für große Vorteile in seiner Authentifizierungs- und MFA-Strategie. Dieser Übergang mindert nicht nur die mit SMS-OTP verbundenen Risiken, sondern steht auch im Einklang mit der Mission von Finom, modernste Technologie zu nutzen, um Nutzerdaten zu schützen, die Banking-Benutzererfahrung zu verbessern und erhebliche Kosten für MFA über SMS-OTP zu sparen.

Während unserer Tests haben wir einige wichtige Bereiche für Verbesserungen identifiziert:

• Erweiterung der Passkey-Unterstützung auf native Apps: In Anbetracht der Allgegenwart des mobilen Bankings wird Finom hoffentlich bald die Passkey-Unterstützung für seine nativen iOS- und Android-Anwendungen einführen, was auch ihrer Mobile-First-Strategie entsprechen würde. Als Nutzer, insbesondere von einem macOS-Desktop-Gerät kommend, kann die Anmeldung in der iOS-App eines iPhones mit demselben verbundenen iCloud-Schlüsselbund im Vergleich zur heutigen Anmeldeerfahrung erheblich vereinfacht werden.
• Passkey-Only-Authentifizierung: Im Laufe der Zeit erwarten wir auch, dass Finom Passkeys als ersten und einzigen Faktor auf Passkey-fähigen Geräten fördern wird. Dies schließt auch die Erstellung neuer Konten mit Passkeys als einziger Authentifizierungsform ein (mit einigen Fallbacks als Backup).
• Implementierung der Conditional UI: Die Einführung der Conditional UI wäre eine weitere wichtige Optimierung für die Benutzererfahrung, die sich bei anderen Anbietern als großer Erfolg für die Akzeptanz von Passkeys erwiesen hat.
• Verwendung von Passkeys zur Zahlungsbestätigung: Während unserer Tests haben wir auch eine Testzahlung durchgeführt, um zu prüfen, ob die Zahlungsbestätigung auch mit Passkeys funktioniert. Finom verwendet jedoch immer noch Push-Benachrichtigungen von nativen Apps und SMS-OTP zur Bestätigung (letzteres ist ein erheblicher Kostentreiber). Dies könnte aus regulatorischen Gründen der Fall sein, aber wir hoffen, dass Passkeys auch hier in Zukunft eingesetzt werden können.

Become part of our Passkeys Community for updates & support.

Join

Eine Frage bleibt in Finoms Passkey-Strategie noch unbeantwortet: Wie steht Finom zur PSD2- und SCA-Konformität mit Passkeys? Dieses Thema wurde allgemein noch nicht vollständig behandelt, aber es wäre interessant gewesen, mehr über Finoms Perspektive zu dieser Angelegenheit zu erfahren. Für weitere Einblicke und Gedanken zur PSD2-Konformität von Passkeys, siehe diesen Blogbeitrag.

Die Einführung von Passkeys bei Finom ist ein Paradebeispiel für den Banken- und Finanzdienstleistungssektor und zeigt, wie Fintechs bei der Einführung fortschrittlicher Sicherheitsmaßnahmen, die den Bedürfnissen moderner Nutzer entsprechen, führend sein können. Durch eine detaillierte Analyse des Passkey-Systems von Finom soll dieser Blogbeitrag anderen Softwareentwicklern, Produktmanagern und Sicherheitsspezialisten helfen, mehr über die Implementierung von Passkeys im Finanz- und Bankensektor zu erfahren.