Get your free and exclusive 80-page Banking Passkey Report
Back to Overview

Mastercard Passkeys: Der Mastercard Payment Passkey Service

Mastercard Payment Passkeys und der zugrundeliegende Token Authentication Service verbessern die Zahlungssicherheit durch passwortloses Login und bieten eine nahtlose, sichere User Experience.

Vincent Delitz

Vincent

Created: July 15, 2025

Updated: August 13, 2025

Mastercard Passkeys

See the original blog version in English here.

WhitepaperBanking Icon

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

1. EinfĂŒhrung: Mastercard Passkeys#

In den letzten Jahren ist im Finanzsektor das Interesse an innovativen Authentifizierungsmethoden zur Verbesserung von Sicherheit und User Experience stark gestiegen. Passkeys entwickeln sich dabei zunehmend zu einer ĂŒberzeugenden und immer beliebteren Lösung bei Banken (z. B. Revolut), Fintechs (z. B. Finom) und Zahlungsanbietern (z. B. PayPal).

Unsere letzten BlogbeitrĂ€ge haben die Auswirkungen dieses Technologiewandels ausfĂŒhrlich beleuchtet, insbesondere im Kontext von PSD2 / Starker Kundenauthentifizierung (SCA):

PaymentProvider Icon

Integrate passkeys as Payment Provider via 3rd party SDK.

Read article

WĂ€hrend wir die Welt der sicheren Authentifizierung weiter analysieren, hat Mastercard einen neuen Service fĂŒr Passkeys eingefĂŒhrt: Mastercard Payment Passkeys. Dieser Dienst, der unter seinem technischen Framework-Namen Mastercard Token Authentication Service (TAS) bekannt ist, stellt einen strategischen Schritt dar, um veraltete Authentifizierungsmethoden durch einen sicheren, nahtlosen und benutzerfreundlichen Ansatz zu ersetzen, der auf Biometrie (z. B. Face ID, Touch ID) setzt. Der Service zielt darauf ab, den Online-Checkout-Prozess zu optimieren und dabei Sicherheit mit Komfort fĂŒr Millionen von KĂ€ufern weltweit zu verbinden. Die doppelte Namensgebung selbst scheint strategisch zu sein. Payment Passkeys kommuniziert klar den Nutzen des vereinfachten, biometrischen Logins fĂŒr Verbraucher und HĂ€ndler, wĂ€hrend Token Authentication Service die technischen Implementierungsdetails anspricht, die fĂŒr Entwickler und Partner bei der Integration des Systems relevant sind.

Dieser Blogbeitrag analysiert den Ansatz von Mastercard und untersucht die Technologie, die User Experience, die Vorteile und die Auswirkungen von Payment Passkeys auf die Branche.

2. Der Aufstieg von Passkeys im Finanzwesen#

Die Integration von Passkeys in den Finanzdienstleistungssektor ist ein Wandel hin zu einer sichereren und benutzerfreundlicheren Authentifizierung.

2.1 Verbraucher hassen Passwörter#

Die treibende Kraft dahinter sind die Erwartungen der Verbraucher. Wie Mastercard in frĂŒheren Mitteilungen bekannt gab, hassen Verbraucher Passwörter:

  • 7 von 10 Verbrauchern fĂŒhlen sich ĂŒberfordert von der Anzahl der Passwörter, die sie verwalten mĂŒssen.
  • Mehr als 80 % der bestĂ€tigten Datenschutzverletzungen waren auf Passwörter zurĂŒckzufĂŒhren.

Mastercard hat erkannt, dass jedes geteilte Geheimnis, einschließlich OTPs, zu einem Ziel fĂŒr Cyberkriminelle wird. Deshalb will Mastercard das Passwort durch personenbezogene Faktoren ersetzen. Passkeys, die auf GerĂ€tebiometrie (z. B. Face ID, Touch ID) zurĂŒckgreifen, erfĂŒllen diesen Bedarf effektiv.

Mastercard-logo

Mastercard has introduced passkeys

Join them

2.2 Passwörter sind ein Sicherheitsrisiko#

DarĂŒber hinaus beseitigen Passkeys traditionelle Sicherheitsprobleme, die mit Passwörtern verbunden sind, wie z. B. Phishing-Risiken. Indem sie Passwörter durch kryptografische SchlĂŒssel ersetzen, die einfach zu verwenden, aber schwer auszunutzen (exploit) sind, bieten Passkeys eine ĂŒberzeugende Lösung fĂŒr Finanzinstitute, die sowohl die Sicherheit erhöhen als auch die Benutzerinteraktionen optimieren wollen.

2.3 Regulatorische Anforderungen fĂŒr Payment Passkeys#

Das Sicherheitsmodell von Passkeys steht im Einklang mit den strengen Anforderungen von Finanzvorschriften wie der Starken Kundenauthentifizierung (SCA) im Rahmen von PSD2. SCA schreibt fĂŒr die meisten elektronischen Zahlungen und den Kontozugriff eine Multi-Faktor-Authentifizierung vor, die eine Validierung mit mindestens zwei unabhĂ€ngigen Elementen aus drei Kategorien erfordert:

  • Wissen (etwas, das der Nutzer weiß)
  • Besitz (etwas, das der Nutzer besitzt)
  • InhĂ€renz (etwas, das der Nutzer ist)

Passkeys erfĂŒllen diese Anforderungen auf natĂŒrliche Weise: Der auf dem GerĂ€t gespeicherte sichere private SchlĂŒssel stellt den Faktor „Besitz“ dar, wĂ€hrend die zur Entsperrung verwendete Biometrie den Faktor „InhĂ€renz“ reprĂ€sentiert. Wird eine GerĂ€te-PIN verwendet, kann diese den Faktor „Wissen“ erfĂŒllen. Es gibt jedoch eine anhaltende Diskussion in der Branche, ob synchronisierte Passkeys eine zusĂ€tzliche Zusicherung bezĂŒglich der GerĂ€tebindung bieten mĂŒssen.

DarĂŒber hinaus erfordern Zahlungsvorschriften oft ein Dynamic Linking, das sicherstellt, dass der Authentifizierungsprozess den spezifischen Transaktionsbetrag und den ZahlungsempfĂ€nger kryptografisch an die Zustimmung des Nutzers bindet. Passkey-Implementierungen, insbesondere in Verbindung mit Protokollen wie EMV 3DS oder bei Verwendung von Erweiterungen wie der Secure Payment Confirmation (SPC), sind so konzipiert, dass sie diese Transaktionsdetails in die kryptografische Signatur einbeziehen und so diese kritische Anforderung erfĂŒllen.

Wenn Sie an technischen Details fĂŒr Passkeys im Zahlungsverkehr interessiert sind, z. B. wie man als Zahlungsanbieter iframes nutzt, lesen Sie bitte diesen Artikel ĂŒber Passkeys und iframes.

3. Mastercards Weg zu Passkeys#

Die EinfĂŒhrung von Payment Passkeys durch Mastercard ist kein isoliertes Ereignis, sondern der Höhepunkt eines langfristigen strategischen Engagements zur Förderung der Zahlungssicherheit und zur Übernahme von Standards fĂŒr die passwortlose Authentifizierung.

3.1 Mastercard als frĂŒhes Mitglied der FIDO Alliance#

Mastercard ist eines der frĂŒhen Mitglieder der FIDO Alliance, der treibenden Kraft hinter Passkeys & WebAuthn, der sie bereits 2012 beigetreten sind.

3.2 Mastercard Biometric Authentication Service#

In der Vergangenheit hat Mastercard bereits den Mastercard Biometric Authentication Service eingefĂŒhrt, der ein erster Schritt in Richtung Passkeys war. Dieser Dienst war bereits auf die Einhaltung der FIDO-Standards ausgelegt.

Substack Icon

Subscribe to our Passkeys Substack for the latest news.

Subscribe

3.3 Mastercard & Secure Payment Confirmation (SPC)#

Im September 2023 gab Mastercard ein Update zu Passkeys und der Secure Payment Confirmation (SPC). Darin teilte Mastercard seine Sicht auf die potenziellen Prozesse von Standard-Passkey vs. SPC-Passkey. Die Mockups waren bereits sehr detailliert (wie Sie unten sehen werden).

3.4 Start des Mastercard Payment Passkey Service in Indien im August 2024#

Im August 2024 startete Mastercard seinen Payment Passkey Service in Indien, einem Markt, der durch hohes digitales Zahlungsvolumen und eine starke mobile Nutzung gekennzeichnet ist. Dieser erste Start diente wahrscheinlich als groß angelegter Test fĂŒr Skalierbarkeit und EffektivitĂ€t, insbesondere in einer Umgebung, in der OTP-basierter Betrug ein bekanntes Problem ist.

3.5 Expansion in die Regionen APAC, Lateinamerika & MEA#

Nach dem Start in Indien erweiterte Mastercard den Service auf andere SchlĂŒsselregionen, darunter Asien-Pazifik (zunĂ€chst Singapur), Lateinamerika (beginnend mit Brasilien) und den Nahen Osten und Afrika (MEA), beginnend mit den Vereinigten Arabischen Emiraten. Dieser regionenweise Ansatz ermöglicht es Mastercard, seine Implementierung und Partnerschaften an die lokalen Marktdynamiken und regulatorischen Gegebenheiten anzupassen.

Ein entscheidendes Element dieser Strategie ist die Betonung von Partnerschaften. In jeder Startregion hat Mastercard eng mit wichtigen lokalen Akteuren zusammengearbeitet, einschließlich Zahlungsaggregatoren:

  • Zahlungsaggregatoren:
    • Indien: Juspay, Razorpay oder PayU
    • Lateinamerika: Yuno
    • MEA: noon Payments, Tap Payments
  • Online-HĂ€ndler:
    • Indien: bigbasket
    • Lateinamerika: Sympla
  • FĂŒhrende Banken: (wie
    • Indien: Axis Bank
    • Singapur: DBS oder UOB

Diese Partnerschaften sind unerlĂ€sslich, um den Payment Passkey Service in bestehende Zahlungssysteme zu integrieren, lokale Vorschriften zu berĂŒcksichtigen und eine breite Kundenbasis zu erreichen. Dies zeigt ein flexibles, kollaboratives Modell anstelle eines Top-Down-Ansatzes, der fĂŒr alle gleich ist.

3.6 Mastercard fĂŒhrt Passkey-Authentifizierung in Europa im Juni 2025 ein#

Seit Juni 2025 hat Mastercard seine Strategie fĂŒr sichere Checkouts in ganz Europa erheblich vorangetrieben. Das Unternehmen erzielte wesentliche Fortschritte, die hauptsĂ€chlich durch die breite EinfĂŒhrung der Tokenisierung angetrieben wurden, wobei fast 50 % der europĂ€ischen E-Commerce-Transaktionen nun diese Technologie nutzen. Die Tokenisierung ersetzt sensible Zahlungskartennummern durch sichere digitale Token, was die Offenlegung von Kundenzahlungsdetails reduziert und die Sicherheit erheblich erhöht.

Parallel dazu hat Mastercard mit der EinfĂŒhrung von Payment Passkeys begonnen, mit namhaften frĂŒhen Partnern wie Dintero, Netopia und Solidgate. Obwohl Payment Passkeys im Vergleich zur Tokenisierung noch in den AnfĂ€ngen stecken, steht ihre EinfĂŒhrung im Einklang mit der umfassenderen Vision von Mastercard fĂŒr einen passwortlosen, reibungslosen E-Commerce.

Wichtige Erfolge in Europa:

  • EinfĂŒhrung der Tokenisierung: Fast die HĂ€lfte des europĂ€ischen E-Commerce ist jetzt durch Tokenisierung gesichert.
  • Breite Abdeckung:
    • Tokenisierung in 45 europĂ€ischen LĂ€ndern eingefĂŒhrt.
    • Click to Pay (passwortloser Checkout) in 26 MĂ€rkten aktiv, mit einer Verdopplung der Anmeldungen innerhalb eines Jahres.
  • FrĂŒhe Passkey-Implementierung: Payment Passkeys mit ausgewĂ€hlten europĂ€ischen Zahlungsanbietern eingefĂŒhrt.

„Ein Jahr nach Beginn unserer Reise zur 100%igen Tokenisierung und Authentifizierung gewinnt Europa stark an Dynamik. Unser oberstes Ziel bleibt klar: ein nahtloses, sicheres und passwortloses Checkout-Erlebnis in jedem europĂ€ischen Markt bis 2030.“ – Brice van de Walle, EVP bei Mastercard

Diese Entwicklungen unterstreichen die zweigleisige Strategie von Mastercard: ein robuster Ausbau der Tokenisierung heute, ergĂ€nzt durch die strategische, zukunftsorientierte EinfĂŒhrung von Payment Passkeys.

Slack Icon

Become part of our Passkeys Community for updates & support.

Join

4. Wie Mastercard Payment Passkeys funktionieren: Ein technischer Einblick#

Mastercard Payment Passkeys werden durch den Mastercard Token Authentication Service (TAS) ermöglicht. TAS ist die zugrundeliegende Infrastruktur, die es HĂ€ndlern und digitalen Wallets ermöglicht, Verbrauchern die Möglichkeit zu bieten, ihre Online-Transaktionen mithilfe von Biometrie zu authentifizieren, die mit ihrem Mastercard-Passkey verknĂŒpft ist, und so traditionelle Passwörter oder OTPs zu ersetzen. Dieser Dienst arbeitet nicht isoliert. Er ist tief in andere Kerntechnologien von Mastercard integriert, insbesondere in die Tokenisierung und potenziell in das EMV 3DS-Framework, und hĂ€lt sich dabei an globale Standards.

4.1 Integration mit dem Tokenisierungsdienst von Mastercard#

Ein wesentlicher Aspekt des Dienstes ist seine Integration mit dem Tokenisierungsdienst von Mastercard, oft als MDES (Mastercard Digital Enablement Service) bezeichnet. Die Tokenisierung ist eine entscheidende Sicherheitsmaßnahme, die die tatsĂ€chliche 16-stellige Primary Account Number (PAN) des Verbrauchers durch einen eindeutigen digitalen Identifikator oder „Token“ ersetzt. Dieser Token ist spezifisch fĂŒr ein bestimmtes GerĂ€t, einen HĂ€ndler oder einen Transaktionskontext. Wenn eine Transaktion stattfindet, wird nur der Token ĂŒbertragen, was bedeutet, dass der HĂ€ndler die echte PAN niemals speichern oder handhaben muss, was das Risiko im Zusammenhang mit Datenschutzverletzungen erheblich reduziert. Mastercard Payment Passkeys dienen dann als Mechanismus, um die Absicht des legitimen Nutzers zu authentifizieren, diese tokenisierte Anmeldeinformation fĂŒr eine bestimmte Transaktion zu verwenden.

4.2 Biometrische Daten werden niemals mit Mastercard oder HĂ€ndlern geteilt#

Die Authentifizierung selbst nutzt den auf dem GerĂ€t des Nutzers gespeicherten Passkey, der ĂŒber GerĂ€tebiometrie (Fingerabdruck, Gesichtsscan) oder die GerĂ€te-PIN/den Passcode entsperrt wird. Es ist wichtig zu verstehen, dass die zur Entsperrung des Passkeys verwendeten biometrischen Daten sicher auf dem GerĂ€t des Nutzers verbleiben und niemals mit Mastercard, dem HĂ€ndler oder einer anderen dritten Partei geteilt werden. Der Passkey-Mechanismus bestĂ€tigt lediglich die erfolgreiche lokale Authentifizierung (z. B. Face ID, Touch ID), bevor der kryptografische Signaturprozess fortgesetzt werden kann.

4.3 Mastercard Payment Passkeys & EMV 3DS#

Obwohl die spezifischen Implementierungsdetails variieren, arbeiten Payment Passkeys wahrscheinlich innerhalb oder neben dem EMV 3-D Secure (3DS)-Framework, dem Industriestandard zur Sicherung von Card-Not-Present (CNP)-Transaktionen. EMV 3DS erleichtert den Austausch von umfangreichen Transaktionsdaten zwischen dem HĂ€ndler und dem Karten-Herausgeber, sodass der Herausgeber Risikobewertungen durchfĂŒhren kann. Wenn die Transaktion als hochriskant eingestuft wird, kann der Herausgeber den Nutzer zu einer zusĂ€tzlichen Authentifizierung (SCA) auffordern („Challenge“). Mastercard Payment Passkeys bieten eine sichere und potenziell viel reibungslosere Methode zur ErfĂŒllung dieser SCA-Challenge im Vergleich zu traditionellen Methoden wie OTPs. Die verwandten Dienste von Mastercard, wie Identity Check Express und Delegated Authentication fĂŒr HĂ€ndler, nutzen explizit FIDO/WebAuthn-Funktionen innerhalb des EMV 3DS-Flows, was es HĂ€ndlern (mit Erlaubnis des Herausgebers) ermöglicht, die Authentifizierung im Namen des Herausgebers mit diesen modernen Methoden durchzufĂŒhren.

Die Synergie zwischen Passkeys und Tokenisierung schafft eine mehrschichtige Sicherheitsarchitektur. Passkeys sichern den Schritt der Benutzerauthentifizierung und verhindern, dass unbefugte Personen Transaktionen initiieren. Die Tokenisierung schĂŒtzt die zugrundeliegenden Zahlungsdaten und minimiert den Wert von Daten, die bei potenziellen Sicherheitsverletzungen offengelegt werden könnten. Dieser kombinierte Ansatz bekĂ€mpft Betrug aus mehreren Blickwinkeln und macht den gesamten Transaktionsprozess deutlich widerstandsfĂ€higer. DarĂŒber hinaus ist die Integration der Passkey-Authentifizierung in die etablierte EMV 3DS-Infrastruktur ein pragmatischer Ansatz, der die EinfĂŒhrung erleichtert. Er ermöglicht es Kartenherausgebern und Acquirern, Sicherheit und User Experience zu verbessern, indem sie ihre bestehenden Investitionen in die 3DS-Technologie nutzen, anstatt die Bereitstellung völlig separater Authentifizierungssysteme zu erfordern.

EMV 3DS (3-Domain Secure) mit Authentifizierung durch den Kartenherausgeber ist ein Sicherheitsprotokoll, das die Sicherheit von Online-Kartenzahlungen erhöhen soll. Es beinhaltet einen zusĂ€tzlichen Schritt, bei dem der Karten-Herausgeber (z. B. Mastercard, Visa, American Express) die IdentitĂ€t des Karteninhabers ĂŒberprĂŒft, oft durch Methoden wie ein Passwort, einen biometrischen Scan oder ein an sein Mobiltelefon gesendetes OTP. Dieser Prozess hilft, Betrug zu reduzieren und die Transaktionssicherheit zu erhöhen, indem sichergestellt wird, dass der tatsĂ€chliche Karteninhaber den Kauf autorisiert.

5. Optimierter Checkout: User Experience mit Mastercard Passkeys#

Ein Hauptziel von Mastercard Payment Passkeys ist es, das Online-Checkout-Erlebnis zu revolutionieren, indem es schneller, einfacher und sicherer wird, indem die mit Passwörtern und OTPs verbundene Reibung beseitigt wird. Die User Journey umfasst sowohl die erstmalige Erstellung des Passkeys als auch dessen anschließende Verwendung zur Authentifizierung von Zahlungen.

5.1 Beispiel: Passkey-Erstellung wÀhrend des Checkouts#

Benutzer können an mehreren Stellen ihrer Interaktion mit Mastercard-Diensten aufgefordert werden, einen Mastercard Payment Passkey zu erstellen. GÀngige Szenarien sind:

  • WĂ€hrend des Checkouts: Oft wird die Option, einen Passkey zu erstellen, angeboten, nachdem ein Benutzer einen traditionellen Authentifizierungsschritt fĂŒr eine Transaktion erfolgreich abgeschlossen hat, wie z. B. eine EMV 3DS-Challenge mit einem OTP oder einer anderen Methode. Dieses kontextbezogene Onboarding nutzt die unmittelbare Erfahrung des Benutzers mit potenziell reibungsintensiveren Methoden, um den Vorteil eines reibungsloseren zukĂŒnftigen Checkouts hervorzuheben.
  • Innerhalb von Issuer-Anwendungen: Banken, die Mastercards ausgeben, können den Passkey-Erstellungsprozess direkt in ihre mobilen Banking-Apps integrieren, sodass Benutzer proaktiv einen Passkey mit ihrer Karte verknĂŒpfen können.
  • Beim HinzufĂŒgen einer Karte: Die Option kann auch angeboten werden, wenn ein Benutzer seine Mastercard zu einer digitalen Geldbörse hinzufĂŒgt oder sie als Card-on-File (CoF) bei einem HĂ€ndler oder einem Dienst wie Click to Pay speichert.

Lassen Sie uns kurz das Beispiel der Passkey-Erstellung wÀhrend des Checkouts analysieren.

Nach dem Klick auf den „Bezahlen“-Button wird der Nutzer vom Beispiel-Shop (https://decorshop.com) auf eine von Mastercard gehostete Webseite (https://verify.mastercard.com) weitergeleitet. Diese Seite ist Teil des EMV 3DS-Authentifizierungsprozesses.

Nachdem dieser Prozess erfolgreich abgeschlossen wurde, hat der Nutzer die Möglichkeit, einen Passkey zu erstellen. Beachten Sie, dass dieser Passkey fĂŒr die Relying Party ID von Mastercard (z. B. verify.mastercard.com oder mastercard.com) erstellt wird. Der Passkey wird also nicht bei dem HĂ€ndler registriert, an den der Nutzer das Geld ĂŒberweisen möchte. Dies ermöglicht es, denselben Passkey bei jedem HĂ€ndler zu verwenden, der den Payment Passkey Service von Mastercard nutzt, und nicht nur bei diesem speziellen HĂ€ndler.

Entnommen aus https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Nach der Entscheidung, einen Passkey zu erstellen, wird die lokale Authentifizierung durchgefĂŒhrt (hier ein Android-Smartphone, das den Passkey im Google Password Manager gespeichert hat). Nach Abschluss der Passkey-Erstellung wird der Nutzer von der Mastercard-Website zurĂŒck zum Shop geleitet.

Entnommen aus https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

5.2 Beispiel: Passkey-Login wÀhrend des Checkouts#

Sobald ein Benutzer einen Mastercard Payment Passkey mit seinen Kartendaten verknĂŒpft hat, wird der Checkout-Prozess bei teilnehmenden HĂ€ndlern erheblich optimiert:

  1. Kartenauswahl: Der Benutzer initiiert den Checkout und wĂ€hlt seine Mastercard aus. Dies kann eine sicher ĂŒber den Click to Pay-Service von Mastercard gespeicherte Karte sein, die direkt beim HĂ€ndler gespeichert ist (Secure Card on File - SCOF) oder sogar wĂ€hrend eines Gast-Checkouts eingegeben wird.
  2. Authentifizierungsaufforderung: Anstatt nach einem Passwort, CVV oder OTP gefragt zu werden, wird der Benutzer aufgefordert, sich mit seinem Mastercard Payment Passkey zu authentifizieren. Der genaue Ablauf kann variieren:
    • Standard-Passkey-Ablauf: Der Benutzer könnte eine kurze, nahtlose Weiterleitung zu einer von Mastercard kontrollierten Domain (z. B. verify.mastercard.com) erleben. Hier erscheint die Standard-WebAuthn-Aufforderung, die den Benutzer bittet, die Transaktion mit dem biometrischen Sensor oder der PIN seines GerĂ€ts zu bestĂ€tigen. Nach erfolgreicher lokaler Authentifizierung wird er zur HĂ€ndlerseite zurĂŒckgeleitet, um den Kauf abzuschließen. Dieser Ablauf findet in einem Erstanbieter-Kontext statt, bei dem sich der Benutzer direkt bei Mastercard authentifiziert.
    • Secure Payment Confirmation (SPC)-Ablauf (potenziell): Ein alternativer, potenziell nahtloserer Ablauf beinhaltet SPC. In diesem Szenario bleibt der Benutzer auf der Website des HĂ€ndlers. Ein browser-natives Pop-up erscheint, das wichtige Transaktionsdetails (HĂ€ndlername, Betrag, teilweise Karteninformationen) anzeigt und direkt zur Passkey-Authentifizierung auffordert. Dies eliminiert die Weiterleitung vollstĂ€ndig und bietet ein starkes Dynamic Linking, indem Transaktionsdetails in die Authentifizierungsanfrage eingebettet werden. Bitte beachten Sie, dass SPC-Passkeys sich noch in einer Konzeptphase befinden und es nicht entschieden ist, ob sie jemals allgemein verfĂŒgbar sein werden (hauptsĂ€chlich, weil Apple es nicht vorantreibt). Dieser Ablauf wĂŒrde in einem Drittanbieter-Kontext funktionieren, bei dem der HĂ€ndler die Authentifizierung fĂŒr den Mastercard-Passkey aufruft, wahrscheinlich unter Verwendung von Anmeldeinformationen, die ĂŒber EMV 3DS geteilt werden.

Entnommen aus https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

5.3 Integration mit Click to Pay#

Die Synergie zwischen Mastercard Payment Passkeys und Click to Pay ist besonders bemerkenswert. Click to Pay bietet Verbrauchern eine standardisierte, sichere Möglichkeit, ihre tokenisierten Kartendetails fĂŒr einen einfacheren Online-Checkout bei teilnehmenden HĂ€ndlern zu speichern. Payment Passkeys dienen als moderne, biometrische Authentifizierungsschicht fĂŒr den Zugriff auf und die Verwendung dieser gespeicherten Click to Pay-Anmeldeinformationen. Diese Kombination ist der SchlĂŒssel zu einem echten „Ein-Klick“-Checkout-Erlebnis, das sowohl die manuelle Karteneingabe als auch Passwort-/OTP-Abfragen ĂŒberflĂŒssig macht. Der weltweit erste Start eines integrierten Click to Pay mit Payment Passkey-Service durch Mastercard und Tap Payments unterstreicht diese strategische Ausrichtung. Dies nutzt die bestehende Click to Pay-Infrastruktur und das HĂ€ndlernetzwerk und bietet einen leistungsstarken Skalierungsmechanismus fĂŒr die EinfĂŒhrung von Payment Passkeys.

Die folgende Tabelle fasst die Hauptmerkmale der potenziellen AuthentifizierungsablÀufe zusammen:

MerkmalStandard-Passkey-AblaufSPC-Passkey-Ablauf
Standort des NutzersKurze Weiterleitung zur Mastercard-DomainBleibt auf der HĂ€ndler-Domain
AuthentifizierungskontextErstanbieter (Nutzer authentifiziert sich bei MC)Drittanbieter (HĂ€ndler ruft Auth fĂŒr MC auf)
User ExperienceNahtlose Weiterleitung, WebAuthn-AufforderungKeine Weiterleitung, Browser-Pop-up mit Details
Dynamic LinkingErreicht durch EMV 3DS-DatenaustauschIn SPC-Aufforderung/Signatur integriert
Aktueller StatusWeit verbreitet ĂŒber WebAuthn anwendbarPotenziell begrenzte/sich entwickelnde Browser-UnterstĂŒtzung

6. Vorteile von Mastercard Passkeys fĂŒr HĂ€ndler und Verbraucher#

FĂŒr HĂ€ndler bedeutet die EinfĂŒhrung des Mastercard Payment Passkey Service / Token Authentication Service:

  • Weniger Betrug und Chargebacks: Dies ist wohl der grĂ¶ĂŸte Vorteil. Indem die Authentifizierung direkt an die einzigartige Biometrie oder GerĂ€te-PIN des Nutzers ĂŒber Phishing-resistente Passkeys gebunden wird, sinkt das Risiko von unautorisierten Transaktionen drastisch. Die zugrundeliegende Verwendung der Tokenisierung schĂŒtzt die Kartendaten zusĂ€tzlich. Diese stĂ€rkere Authentifizierung kann auch zu einer Haftungsverschiebung bei bestimmten Betrugsarten fĂŒhren, Ă€hnlich den Vorteilen, die bei der EinfĂŒhrung von EMV 3DS zu beobachten sind. Fallstudien, wie die von noon Payments, berichten explizit von einer verringerten Betrugsinzidenz nach der Implementierung von Payment Passkeys und Click to Pay.
  • Erhöhte Genehmigungs- und Konversionsraten: Reibung beim Checkout ist eine Hauptursache fĂŒr WarenkorbabbrĂŒche. Die Beseitigung der Notwendigkeit, sich an Passwörter zu erinnern oder OTPs einzugeben, glĂ€ttet den Zahlungsvorgang und fĂŒhrt zu höheren Abschlussraten. DarĂŒber hinaus gibt das starke Authentifizierungssignal von Passkeys den ausgebenden Banken mehr Vertrauen, Transaktionen zu genehmigen, was die Wahrscheinlichkeit kostspieliger fĂ€lschlicher Ablehnungen verringert. Höhere Genehmigungsraten fĂŒhren direkt zu mehr Umsatz und Einnahmen. Partner wie Yuno haben festgestellt, dass Passkeys höhere Konversionsraten bewirken.
  • Verbesserte Kundenerfahrung und Markenimage: Das Angebot eines hochmodernen, sicheren und mĂŒhelosen Checkout-Prozesses steigert die Kundenzufriedenheit und baut Vertrauen in die Marke des HĂ€ndlers auf. Eine nachweislich sicherere Zahlungsmethode anzubieten, kann ein Wettbewerbsvorteil sein.

FĂŒr Verbraucher ermöglicht dieser Service:

  • Nahtloser und schnellerer Checkout: Der unmittelbarste Vorteil ist die Beseitigung von Aufwand. Benutzer mĂŒssen sich keine komplexen Passwörter mehr merken oder auf OTPs warten und diese manuell eingeben. Die Authentifizierung erfolgt schnell mit denselben vertrauten biometrischen Daten (z. B. Face ID, Touch ID), die zum Entsperren ihres Telefons verwendet werden. Die Natur „einmal anmelden, ĂŒberall verwenden“ bei teilnehmenden HĂ€ndlern sorgt fĂŒr erheblichen Komfort.
  • Erhöhte Sicherheit und Sorgenfreiheit: Payment Passkeys bieten eine grundlegend stĂ€rkere Sicherheit als Passwörter oder OTPs. Sie sind resistent gegen Phishing und viele Formen des Online-Betrugs. Das Wissen, dass Transaktionen durch Biometrie geschĂŒtzt sind, gibt den Verbrauchern mehr Vertrauen und Sorgenfreiheit beim Online-Einkauf.
  • Datenschutz: Da biometrische Daten auf dem GerĂ€t verbleiben und die Tokenisierung die tatsĂ€chliche Kartennummer schĂŒtzt, werden wĂ€hrend der Transaktion weniger sensible Informationen ĂŒbertragen.

Die folgende Tabelle fasst das Wertversprechen fĂŒr jede Stakeholder-Gruppe zusammen:

VorteilskategorieVorteil fĂŒr HĂ€ndlerVorteil fĂŒr Verbraucher
SicherheitReduzierter Betrug & Chargebacks, Geringeres Risiko, Potenzielle HaftungsverschiebungPhishing-resistente MFA, Biometrische Sicherheit, Sorgenfreiheit
EffizienzHöhere Genehmigungs-/Konversionsraten, Schnellerer Checkout, Weniger WarenkorbabbrĂŒcheSchnellerer & nahtloser Checkout, Keine Passwörter/OTPs
KomfortVereinfachte Integration (ĂŒber TAS/Click to Pay)Einmalige Anmeldung, Nutzung bei verschiedenen HĂ€ndlern, Vertraute GerĂ€teentsperrung
KostenReduzierte Betrugsverluste, Potenziell niedrigere Betriebskosten (z. B. weniger Supportanrufe fĂŒr Passwort-Resets/Betrug)(Indirekter Vorteil durch Sicherheit, Zeitersparnis, potenziell weniger Probleme im Zusammenhang mit Betrug oder fehlgeschlagenen Authentifizierungen)

7. Auswirkungen fĂŒr HĂ€ndler und Entwickler#

FĂŒr HĂ€ndler und Entwickler, die die Vorteile von Mastercard Payment Passkeys nutzen möchten, erfolgt die Integration ĂŒber den Mastercard Token Authentication Service (TAS). TAS ist so konzipiert, dass es in Verbindung mit den bestehenden Tokenisierungs- und Checkout-Lösungen von Mastercard, hauptsĂ€chlich Click to Pay und Secure Card on File (SCOF), funktioniert. Im Wesentlichen bietet TAS die fortschrittliche biometrische Authentifizierungsschicht fĂŒr Transaktionen, die Anmeldeinformationen verwenden, die bereits ĂŒber diese Dienste tokenisiert und gespeichert wurden.

Wenn Sie an technischen Details fĂŒr Passkeys im Zahlungsverkehr interessiert sind, z. B. wie man als Zahlungsanbieter iframes nutzt, lesen Sie bitte diesen Artikel ĂŒber Passkeys und iframes.

Dieser Ansatz, die Passkey-Authentifizierung in etablierte Dienste wie Click to Pay und SCOF zu integrieren, zielt darauf ab, die Störungen fĂŒr HĂ€ndler zu minimieren. Anstatt einen völlig neuen Integrationsweg zu erfordern, könnten Unternehmen, die diese Mastercard-Lösungen bereits nutzen, feststellen, dass das HinzufĂŒgen von Passkey-UnterstĂŒtzung ein optimierterer Prozess ist, der ihre bestehende Infrastruktur nutzt.

Mastercard stellt Ressourcen fĂŒr die Integration ĂŒber das Mastercard Developers Portal (developer.mastercard.com) zur VerfĂŒgung. Diese Ressourcen umfassen SDKs und APIs, die die Implementierung von TAS-FunktionalitĂ€ten erleichtern sollen. WĂ€hrend detaillierte technische Spezifikationen den Zugriff auf das Portal erfordern, zeigen Dokumentationsausschnitte spezifische AnwendungsfĂ€lle und API-Aufrufe im Zusammenhang mit der Passkey-Verwaltung im Zahlungskontext, wie z. B. „Create Passkey after ID&V“ (Identity & Verification), „Create Passkey after Transaction Authentication“ und „Use Passkey for Transaction Authentication“. Das Vorhandensein dieser definierten Funktionen deutet darauf hin, dass fĂŒr Entwickler ein strukturiertes und ausgereiftes Integrationsframework verfĂŒgbar ist.

Ein offizielles Video, das das Konzept erklĂ€rt, ist ebenfalls verfĂŒgbar:

HĂ€ndler und Entwickler, die an der Implementierung von Mastercard Payment Passkeys interessiert sind, sollten das Mastercard Developers Portal fĂŒr detaillierte Dokumentationen, SDKs, APIs und spezifische IntegrationsleitfĂ€den konsultieren, die fĂŒr ihre gewĂ€hlte Plattform (z. B. Click to Pay, SCOF) und technische Umgebung relevant sind.

8. Die Zukunft der Zahlungsauthentifizierung: Mastercard, Visa & American Express#

Die EinfĂŒhrung des Payment Passkey Service von Mastercard ist eine bedeutende Entwicklung und markiert ein klares Bekenntnis eines großen Zahlungsnetzwerks, ĂŒber Passwörter und OTPs hinauszugehen und sich in Richtung einer sichereren und benutzerfreundlicheren biometrischen Authentifizierung zu bewegen. Dies steht im Einklang mit der umfassenderen Vision von Mastercard fĂŒr die Zukunft des E-Commerce, die vorsieht, die manuelle Karteneingabe in Regionen wie Europa bis 2030 vollstĂ€ndig abzuschaffen und stattdessen auf Tokenisierung und nahtlose Authentifizierungsmethoden wie Passkeys zu setzen.

Mastercard ist bei diesem Unterfangen nicht allein. Visa hat seinen eigenen, Ă€hnlich benannten Visa Payment Passkey Service eingefĂŒhrt. Wie das Angebot von Mastercard basiert auch der Service von Visa auf FIDO-Standards, nutzt GerĂ€tebiometrie, zielt darauf ab, Passwörter/OTPs zu ersetzen, integriert sich mit Tokenisierung und Click to Pay und betont die doppelten Vorteile von erhöhter Sicherheit (Betrugsreduzierung) und verbesserter User Experience. Visa hebt potenzielle Betrugsratenreduzierungen von bis zu 50 % im Vergleich zu SMS-OTPs hervor und weist auf eine breite Betriebssystem- und Browser-UnterstĂŒtzung fĂŒr FIDO hin. Eine potenzielle Unterscheidung, die in den Materialien von Visa erwĂ€hnt wird, ist das Konzept der „von Visa verwalteten AuthentifizierungsunterstĂŒtzung“ oder eines „föderierten Modells“, bei dem Visa die KernkomplexitĂ€t der FIDO-Authentifizierung ĂŒbernimmt, was die Integration fĂŒr HĂ€ndler und Kartenherausgeber potenziell vereinfacht. Die parallelen Strategien und sogar Ă€hnlichen Namenskonventionen, die von den beiden grĂ¶ĂŸten Kartennetzwerken ĂŒbernommen wurden, deuten stark auf eine branchenweite Konvergenz hin zu FIDO-Passkeys als zukĂŒnftigem Standard fĂŒr die Authentifizierung von Online-Zahlungen hin. Dieser koordinierte Vorstoß kommt dem gesamten Ökosystem zugute, indem er die InteroperabilitĂ€t fördert und die Fragmentierung reduziert.

American Express integriert ebenfalls aktiv moderne Authentifizierungstechnologien. Obwohl sie (Stand Mai 2025) keine eigenstĂ€ndige Marke „Payment Passkey Service“ wie Visa und Mastercard eingefĂŒhrt haben, haben sie FIDO/WebAuthn-basierte biometrische Funktionen (Gesichts- und Fingerabdruckerkennung) direkt in ihre bestehende SafeKey-Plattform integriert. SafeKey selbst basiert auf dem EMV 3-D Secure-Standard. American Express, ebenfalls Vorstandsmitglied der FIDO Alliance, nutzt also dieselbe Kerntechnologie fĂŒr die passwortlose Authentifizierung, bettet sie aber in ihr etabliertes Sicherheitsframework ein. Dies könnte eine andere Markenstrategie widerspiegeln, die die Bekanntheit von SafeKey nutzt, oder potenziell architektonische Unterschiede, die sich aus ihrem Netzwerkmodell ergeben. Dennoch ist die Richtung konsistent: Nutzung von gerĂ€teinterner Biometrie und FIDO-Standards fĂŒr eine stĂ€rkere, reibungslosere Online-Authentifizierung.

9. Fazit#

Die EinfĂŒhrung des Mastercard Payment Passkey Service stellt einen Wendepunkt in der Entwicklung der Online-Zahlungssicherheit und UX dar. Durch die Übernahme von FIDO-Passkey-Standards und deren enge Integration mit Tokenisierung und bestehenden Checkout-Lösungen wie Click to Pay begegnet Mastercard den entscheidenden SchwĂ€chen der traditionellen passwort- und OTP-basierten Authentifizierung.

Diese Initiative bietet erhebliche Vorteile fĂŒr das gesamte Zahlungsökosystem. FĂŒr HĂ€ndler verspricht sie eine signifikante Reduzierung von Betrugsverlusten und Chargebacks, gepaart mit höheren Transaktionsgenehmigungsraten und einer verbesserten Konversion durch einen reibungslosen Checkout-Prozess. FĂŒr Verbraucher bietet sie eine schnellere, bequemere und nachweislich sicherere Möglichkeit, online zu bezahlen, indem sie vertraute GerĂ€tebiometrie nutzt und gleichzeitig die Notwendigkeit der Passwortverwaltung oder des Umgangs mit OTPs beseitigt.

Die technologischen Grundlagen – die Kombination von Phishing-resistenter Authentifizierung mit der Datenminimierung der Tokenisierung, alles im Rahmen etablierter EMVCo-Standards – schaffen eine starke, mehrschichtige Verteidigung gegen Betrug. Der strategische, partnerschaftsgetriebene globale Rollout von Mastercard signalisiert zudem die Bedeutung und das langfristige Engagement hinter dieser Technologie.

Da Visa mit seinem eigenen Payment Passkey Service einen parallelen Weg einschlĂ€gt und American Express Ă€hnliche biometrische Funktionen in SafeKey integriert, ist die Richtung klar: Passkeys werden schnell zum neuen Standard fĂŒr die Sicherung digitaler Zahlungen.

Next Step: Ready to implement passkeys at your bank? Our 80-page Banking Passkeys Report is available. Book a 15-minute briefing and get the report for free.

Get the Report

Share this article


LinkedInTwitterFacebook