Mastercard Payment Passkeys und der zugrundeliegende Token Authentication Service verbessern die Zahlungssicherheit durch passwortloses Login und bieten eine nahtlose, sichere User Experience.
Vincent
Created: July 15, 2025
Updated: August 13, 2025
Passkeys Series: Payment
See the original blog version in English here.
Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.
Get ReportIn den letzten Jahren ist im Finanzsektor das Interesse an innovativen Authentifizierungsmethoden zur Verbesserung von Sicherheit und User Experience stark gestiegen. Passkeys entwickeln sich dabei zunehmend zu einer ĂŒberzeugenden und immer beliebteren Lösung bei Banken (z. B. Revolut), Fintechs (z. B. Finom) und Zahlungsanbietern (z. B. PayPal).
Unsere letzten BlogbeitrĂ€ge haben die Auswirkungen dieses Technologiewandels ausfĂŒhrlich beleuchtet, insbesondere im Kontext von PSD2 / Starker Kundenauthentifizierung (SCA):
WĂ€hrend wir die Welt der sicheren Authentifizierung weiter analysieren, hat Mastercard einen neuen Service fĂŒr Passkeys eingefĂŒhrt: Mastercard Payment Passkeys. Dieser Dienst, der unter seinem technischen Framework-Namen Mastercard Token Authentication Service (TAS) bekannt ist, stellt einen strategischen Schritt dar, um veraltete Authentifizierungsmethoden durch einen sicheren, nahtlosen und benutzerfreundlichen Ansatz zu ersetzen, der auf Biometrie (z. B. Face ID, Touch ID) setzt. Der Service zielt darauf ab, den Online-Checkout-Prozess zu optimieren und dabei Sicherheit mit Komfort fĂŒr Millionen von KĂ€ufern weltweit zu verbinden. Die doppelte Namensgebung selbst scheint strategisch zu sein. Payment Passkeys kommuniziert klar den Nutzen des vereinfachten, biometrischen Logins fĂŒr Verbraucher und HĂ€ndler, wĂ€hrend Token Authentication Service die technischen Implementierungsdetails anspricht, die fĂŒr Entwickler und Partner bei der Integration des Systems relevant sind.
Dieser Blogbeitrag analysiert den Ansatz von Mastercard und untersucht die Technologie, die User Experience, die Vorteile und die Auswirkungen von Payment Passkeys auf die Branche.
Recent Articles
đ
So erstellst du einen Verifier fĂŒr digitale Nachweise (Entwickler-Guide)
đ
Wie man einen Issuer fĂŒr digitale Nachweise erstellt (Entwickler-Guide)
đ
WebAuthn Resident Keys: Discoverable Credentials als Passkeys
đ
Physischer Zutritt per Badge & Passkeys: Ein technischer Guide
đ
MFA-Pflicht & der Umstieg auf Passkeys: Best Practices
Die Integration von Passkeys in den Finanzdienstleistungssektor ist ein Wandel hin zu einer sichereren und benutzerfreundlicheren Authentifizierung.
Die treibende Kraft dahinter sind die Erwartungen der Verbraucher. Wie Mastercard in frĂŒheren Mitteilungen bekannt gab, hassen Verbraucher Passwörter:
Mastercard hat erkannt, dass jedes geteilte Geheimnis, einschlieĂlich OTPs, zu einem Ziel fĂŒr Cyberkriminelle wird. Deshalb will Mastercard das Passwort durch personenbezogene Faktoren ersetzen. Passkeys, die auf GerĂ€tebiometrie (z. B. Face ID, Touch ID) zurĂŒckgreifen, erfĂŒllen diesen Bedarf effektiv.
DarĂŒber hinaus beseitigen Passkeys traditionelle Sicherheitsprobleme, die mit Passwörtern verbunden sind, wie z. B. Phishing-Risiken. Indem sie Passwörter durch kryptografische SchlĂŒssel ersetzen, die einfach zu verwenden, aber schwer auszunutzen (exploit) sind, bieten Passkeys eine ĂŒberzeugende Lösung fĂŒr Finanzinstitute, die sowohl die Sicherheit erhöhen als auch die Benutzerinteraktionen optimieren wollen.
Das Sicherheitsmodell von Passkeys steht im Einklang mit den strengen Anforderungen von Finanzvorschriften wie der Starken Kundenauthentifizierung (SCA) im Rahmen von PSD2. SCA schreibt fĂŒr die meisten elektronischen Zahlungen und den Kontozugriff eine Multi-Faktor-Authentifizierung vor, die eine Validierung mit mindestens zwei unabhĂ€ngigen Elementen aus drei Kategorien erfordert:
Passkeys erfĂŒllen diese Anforderungen auf natĂŒrliche Weise: Der auf dem GerĂ€t gespeicherte sichere private SchlĂŒssel stellt den Faktor âBesitzâ dar, wĂ€hrend die zur Entsperrung verwendete Biometrie den Faktor âInhĂ€renzâ reprĂ€sentiert. Wird eine GerĂ€te-PIN verwendet, kann diese den Faktor âWissenâ erfĂŒllen. Es gibt jedoch eine anhaltende Diskussion in der Branche, ob synchronisierte Passkeys eine zusĂ€tzliche Zusicherung bezĂŒglich der GerĂ€tebindung bieten mĂŒssen.
DarĂŒber hinaus erfordern Zahlungsvorschriften oft ein Dynamic Linking, das sicherstellt, dass der Authentifizierungsprozess den spezifischen Transaktionsbetrag und den ZahlungsempfĂ€nger kryptografisch an die Zustimmung des Nutzers bindet. Passkey-Implementierungen, insbesondere in Verbindung mit Protokollen wie EMV 3DS oder bei Verwendung von Erweiterungen wie der Secure Payment Confirmation (SPC), sind so konzipiert, dass sie diese Transaktionsdetails in die kryptografische Signatur einbeziehen und so diese kritische Anforderung erfĂŒllen.
Wenn Sie an technischen Details fĂŒr Passkeys im Zahlungsverkehr interessiert sind, z. B. wie man als Zahlungsanbieter iframes nutzt, lesen Sie bitte diesen Artikel ĂŒber Passkeys und iframes.
Die EinfĂŒhrung von Payment Passkeys durch Mastercard ist kein isoliertes Ereignis, sondern der Höhepunkt eines langfristigen strategischen Engagements zur Förderung der Zahlungssicherheit und zur Ăbernahme von Standards fĂŒr die passwortlose Authentifizierung.
Mastercard ist eines der frĂŒhen Mitglieder der FIDO Alliance, der treibenden Kraft hinter Passkeys & WebAuthn, der sie bereits 2012 beigetreten sind.
In der Vergangenheit hat Mastercard bereits den Mastercard Biometric Authentication Service eingefĂŒhrt, der ein erster Schritt in Richtung Passkeys war. Dieser Dienst war bereits auf die Einhaltung der FIDO-Standards ausgelegt.
Im September 2023 gab Mastercard ein Update zu Passkeys und der Secure Payment Confirmation (SPC). Darin teilte Mastercard seine Sicht auf die potenziellen Prozesse von Standard-Passkey vs. SPC-Passkey. Die Mockups waren bereits sehr detailliert (wie Sie unten sehen werden).
Im August 2024 startete Mastercard seinen Payment Passkey Service in Indien, einem Markt, der durch hohes digitales Zahlungsvolumen und eine starke mobile Nutzung gekennzeichnet ist. Dieser erste Start diente wahrscheinlich als groĂ angelegter Test fĂŒr Skalierbarkeit und EffektivitĂ€t, insbesondere in einer Umgebung, in der OTP-basierter Betrug ein bekanntes Problem ist.
Nach dem Start in Indien erweiterte Mastercard den Service auf andere SchlĂŒsselregionen, darunter Asien-Pazifik (zunĂ€chst Singapur), Lateinamerika (beginnend mit Brasilien) und den Nahen Osten und Afrika (MEA), beginnend mit den Vereinigten Arabischen Emiraten. Dieser regionenweise Ansatz ermöglicht es Mastercard, seine Implementierung und Partnerschaften an die lokalen Marktdynamiken und regulatorischen Gegebenheiten anzupassen.
Ein entscheidendes Element dieser Strategie ist die Betonung von Partnerschaften. In jeder Startregion hat Mastercard eng mit wichtigen lokalen Akteuren zusammengearbeitet, einschlieĂlich Zahlungsaggregatoren:
Diese Partnerschaften sind unerlĂ€sslich, um den Payment Passkey Service in bestehende Zahlungssysteme zu integrieren, lokale Vorschriften zu berĂŒcksichtigen und eine breite Kundenbasis zu erreichen. Dies zeigt ein flexibles, kollaboratives Modell anstelle eines Top-Down-Ansatzes, der fĂŒr alle gleich ist.
Seit Juni 2025 hat Mastercard seine Strategie fĂŒr sichere Checkouts in ganz Europa erheblich vorangetrieben. Das Unternehmen erzielte wesentliche Fortschritte, die hauptsĂ€chlich durch die breite EinfĂŒhrung der Tokenisierung angetrieben wurden, wobei fast 50 % der europĂ€ischen E-Commerce-Transaktionen nun diese Technologie nutzen. Die Tokenisierung ersetzt sensible Zahlungskartennummern durch sichere digitale Token, was die Offenlegung von Kundenzahlungsdetails reduziert und die Sicherheit erheblich erhöht.
Parallel dazu hat Mastercard mit der EinfĂŒhrung von Payment Passkeys begonnen, mit namhaften frĂŒhen Partnern wie Dintero, Netopia und Solidgate. Obwohl Payment Passkeys im Vergleich zur Tokenisierung noch in den AnfĂ€ngen stecken, steht ihre EinfĂŒhrung im Einklang mit der umfassenderen Vision von Mastercard fĂŒr einen passwortlosen, reibungslosen E-Commerce.
Wichtige Erfolge in Europa:
âEin Jahr nach Beginn unserer Reise zur 100%igen Tokenisierung und Authentifizierung gewinnt Europa stark an Dynamik. Unser oberstes Ziel bleibt klar: ein nahtloses, sicheres und passwortloses Checkout-Erlebnis in jedem europĂ€ischen Markt bis 2030.â â Brice van de Walle, EVP bei Mastercard
Diese Entwicklungen unterstreichen die zweigleisige Strategie von Mastercard: ein robuster Ausbau der Tokenisierung heute, ergĂ€nzt durch die strategische, zukunftsorientierte EinfĂŒhrung von Payment Passkeys.
Mastercard Payment Passkeys werden durch den Mastercard Token Authentication Service (TAS) ermöglicht. TAS ist die zugrundeliegende Infrastruktur, die es HĂ€ndlern und digitalen Wallets ermöglicht, Verbrauchern die Möglichkeit zu bieten, ihre Online-Transaktionen mithilfe von Biometrie zu authentifizieren, die mit ihrem Mastercard-Passkey verknĂŒpft ist, und so traditionelle Passwörter oder OTPs zu ersetzen. Dieser Dienst arbeitet nicht isoliert. Er ist tief in andere Kerntechnologien von Mastercard integriert, insbesondere in die Tokenisierung und potenziell in das EMV 3DS-Framework, und hĂ€lt sich dabei an globale Standards.
Ein wesentlicher Aspekt des Dienstes ist seine Integration mit dem Tokenisierungsdienst von Mastercard, oft als MDES (Mastercard Digital Enablement Service) bezeichnet. Die Tokenisierung ist eine entscheidende SicherheitsmaĂnahme, die die tatsĂ€chliche 16-stellige Primary Account Number (PAN) des Verbrauchers durch einen eindeutigen digitalen Identifikator oder âTokenâ ersetzt. Dieser Token ist spezifisch fĂŒr ein bestimmtes GerĂ€t, einen HĂ€ndler oder einen Transaktionskontext. Wenn eine Transaktion stattfindet, wird nur der Token ĂŒbertragen, was bedeutet, dass der HĂ€ndler die echte PAN niemals speichern oder handhaben muss, was das Risiko im Zusammenhang mit Datenschutzverletzungen erheblich reduziert. Mastercard Payment Passkeys dienen dann als Mechanismus, um die Absicht des legitimen Nutzers zu authentifizieren, diese tokenisierte Anmeldeinformation fĂŒr eine bestimmte Transaktion zu verwenden.
Die Authentifizierung selbst nutzt den auf dem GerĂ€t des Nutzers gespeicherten Passkey, der ĂŒber GerĂ€tebiometrie (Fingerabdruck, Gesichtsscan) oder die GerĂ€te-PIN/den Passcode entsperrt wird. Es ist wichtig zu verstehen, dass die zur Entsperrung des Passkeys verwendeten biometrischen Daten sicher auf dem GerĂ€t des Nutzers verbleiben und niemals mit Mastercard, dem HĂ€ndler oder einer anderen dritten Partei geteilt werden. Der Passkey-Mechanismus bestĂ€tigt lediglich die erfolgreiche lokale Authentifizierung (z. B. Face ID, Touch ID), bevor der kryptografische Signaturprozess fortgesetzt werden kann.
Obwohl die spezifischen Implementierungsdetails variieren, arbeiten Payment Passkeys wahrscheinlich innerhalb oder neben dem EMV 3-D Secure (3DS)-Framework, dem Industriestandard zur Sicherung von Card-Not-Present (CNP)-Transaktionen. EMV 3DS erleichtert den Austausch von umfangreichen Transaktionsdaten zwischen dem HĂ€ndler und dem Karten-Herausgeber, sodass der Herausgeber Risikobewertungen durchfĂŒhren kann. Wenn die Transaktion als hochriskant eingestuft wird, kann der Herausgeber den Nutzer zu einer zusĂ€tzlichen Authentifizierung (SCA) auffordern (âChallengeâ). Mastercard Payment Passkeys bieten eine sichere und potenziell viel reibungslosere Methode zur ErfĂŒllung dieser SCA-Challenge im Vergleich zu traditionellen Methoden wie OTPs. Die verwandten Dienste von Mastercard, wie Identity Check Express und Delegated Authentication fĂŒr HĂ€ndler, nutzen explizit FIDO/WebAuthn-Funktionen innerhalb des EMV 3DS-Flows, was es HĂ€ndlern (mit Erlaubnis des Herausgebers) ermöglicht, die Authentifizierung im Namen des Herausgebers mit diesen modernen Methoden durchzufĂŒhren.
Die Synergie zwischen Passkeys und Tokenisierung schafft eine mehrschichtige Sicherheitsarchitektur. Passkeys sichern den Schritt der Benutzerauthentifizierung und verhindern, dass unbefugte Personen Transaktionen initiieren. Die Tokenisierung schĂŒtzt die zugrundeliegenden Zahlungsdaten und minimiert den Wert von Daten, die bei potenziellen Sicherheitsverletzungen offengelegt werden könnten. Dieser kombinierte Ansatz bekĂ€mpft Betrug aus mehreren Blickwinkeln und macht den gesamten Transaktionsprozess deutlich widerstandsfĂ€higer. DarĂŒber hinaus ist die Integration der Passkey-Authentifizierung in die etablierte EMV 3DS-Infrastruktur ein pragmatischer Ansatz, der die EinfĂŒhrung erleichtert. Er ermöglicht es Kartenherausgebern und Acquirern, Sicherheit und User Experience zu verbessern, indem sie ihre bestehenden Investitionen in die 3DS-Technologie nutzen, anstatt die Bereitstellung völlig separater Authentifizierungssysteme zu erfordern.
EMV 3DS (3-Domain Secure) mit Authentifizierung durch den Kartenherausgeber ist ein Sicherheitsprotokoll, das die Sicherheit von Online-Kartenzahlungen erhöhen soll. Es beinhaltet einen zusĂ€tzlichen Schritt, bei dem der Karten-Herausgeber (z. B. Mastercard, Visa, American Express) die IdentitĂ€t des Karteninhabers ĂŒberprĂŒft, oft durch Methoden wie ein Passwort, einen biometrischen Scan oder ein an sein Mobiltelefon gesendetes OTP. Dieser Prozess hilft, Betrug zu reduzieren und die Transaktionssicherheit zu erhöhen, indem sichergestellt wird, dass der tatsĂ€chliche Karteninhaber den Kauf autorisiert.
Ein Hauptziel von Mastercard Payment Passkeys ist es, das Online-Checkout-Erlebnis zu revolutionieren, indem es schneller, einfacher und sicherer wird, indem die mit Passwörtern und OTPs verbundene Reibung beseitigt wird. Die User Journey umfasst sowohl die erstmalige Erstellung des Passkeys als auch dessen anschlieĂende Verwendung zur Authentifizierung von Zahlungen.
Benutzer können an mehreren Stellen ihrer Interaktion mit Mastercard-Diensten aufgefordert werden, einen Mastercard Payment Passkey zu erstellen. GÀngige Szenarien sind:
Lassen Sie uns kurz das Beispiel der Passkey-Erstellung wÀhrend des Checkouts analysieren.
Nach dem Klick auf den âBezahlenâ-Button wird der Nutzer vom Beispiel-Shop
(https://decorshop.com
) auf eine von Mastercard gehostete Webseite
(https://verify.mastercard.com
) weitergeleitet. Diese Seite ist Teil des EMV
3DS-Authentifizierungsprozesses.
Nachdem dieser Prozess erfolgreich abgeschlossen wurde, hat der Nutzer die Möglichkeit,
einen Passkey zu erstellen. Beachten Sie, dass
dieser Passkey fĂŒr die Relying Party ID
von Mastercard (z. B. verify.mastercard.com
oder mastercard.com
) erstellt wird. Der
Passkey wird also nicht bei dem HĂ€ndler registriert, an den der
Nutzer das Geld ĂŒberweisen möchte. Dies ermöglicht es, denselben Passkey bei jedem HĂ€ndler
zu verwenden, der den Payment Passkey Service von
Mastercard nutzt, und nicht nur bei diesem speziellen HĂ€ndler.
Entnommen aus https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf
Nach der Entscheidung, einen Passkey zu erstellen, wird die lokale Authentifizierung durchgefĂŒhrt (hier ein Android-Smartphone, das den Passkey im Google Password Manager gespeichert hat). Nach Abschluss der Passkey-Erstellung wird der Nutzer von der Mastercard-Website zurĂŒck zum Shop geleitet.
Entnommen aus https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf
Sobald ein Benutzer einen Mastercard Payment Passkey mit seinen Kartendaten verknĂŒpft hat, wird der Checkout-Prozess bei teilnehmenden HĂ€ndlern erheblich optimiert:
verify.mastercard.com
)
erleben. Hier erscheint die Standard-WebAuthn-Aufforderung, die den Benutzer bittet,
die Transaktion mit dem biometrischen Sensor oder der PIN seines GerÀts zu
bestÀtigen. Nach erfolgreicher lokaler Authentifizierung wird er zur HÀndlerseite
zurĂŒckgeleitet, um den Kauf abzuschlieĂen. Dieser Ablauf findet in einem
Erstanbieter-Kontext statt, bei dem sich der Benutzer direkt bei Mastercard
authentifiziert.Entnommen aus https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf
Die Synergie zwischen Mastercard Payment Passkeys und Click to Pay ist besonders bemerkenswert. Click to Pay bietet Verbrauchern eine standardisierte, sichere Möglichkeit, ihre tokenisierten Kartendetails fĂŒr einen einfacheren Online-Checkout bei teilnehmenden HĂ€ndlern zu speichern. Payment Passkeys dienen als moderne, biometrische Authentifizierungsschicht fĂŒr den Zugriff auf und die Verwendung dieser gespeicherten Click to Pay-Anmeldeinformationen. Diese Kombination ist der SchlĂŒssel zu einem echten âEin-Klickâ-Checkout-Erlebnis, das sowohl die manuelle Karteneingabe als auch Passwort-/OTP-Abfragen ĂŒberflĂŒssig macht. Der weltweit erste Start eines integrierten Click to Pay mit Payment Passkey-Service durch Mastercard und Tap Payments unterstreicht diese strategische Ausrichtung. Dies nutzt die bestehende Click to Pay-Infrastruktur und das HĂ€ndlernetzwerk und bietet einen leistungsstarken Skalierungsmechanismus fĂŒr die EinfĂŒhrung von Payment Passkeys.
Die folgende Tabelle fasst die Hauptmerkmale der potenziellen AuthentifizierungsablÀufe zusammen:
Merkmal | Standard-Passkey-Ablauf | SPC-Passkey-Ablauf |
---|---|---|
Standort des Nutzers | Kurze Weiterleitung zur Mastercard-Domain | Bleibt auf der HĂ€ndler-Domain |
Authentifizierungskontext | Erstanbieter (Nutzer authentifiziert sich bei MC) | Drittanbieter (HĂ€ndler ruft Auth fĂŒr MC auf) |
User Experience | Nahtlose Weiterleitung, WebAuthn-Aufforderung | Keine Weiterleitung, Browser-Pop-up mit Details |
Dynamic Linking | Erreicht durch EMV 3DS-Datenaustausch | In SPC-Aufforderung/Signatur integriert |
Aktueller Status | Weit verbreitet ĂŒber WebAuthn anwendbar | Potenziell begrenzte/sich entwickelnde Browser-UnterstĂŒtzung |
FĂŒr HĂ€ndler bedeutet die EinfĂŒhrung des Mastercard Payment Passkey Service / Token Authentication Service:
FĂŒr Verbraucher ermöglicht dieser Service:
Die folgende Tabelle fasst das Wertversprechen fĂŒr jede Stakeholder-Gruppe zusammen:
Vorteilskategorie | Vorteil fĂŒr HĂ€ndler | Vorteil fĂŒr Verbraucher |
---|---|---|
Sicherheit | Reduzierter Betrug & Chargebacks, Geringeres Risiko, Potenzielle Haftungsverschiebung | Phishing-resistente MFA, Biometrische Sicherheit, Sorgenfreiheit |
Effizienz | Höhere Genehmigungs-/Konversionsraten, Schnellerer Checkout, Weniger WarenkorbabbrĂŒche | Schnellerer & nahtloser Checkout, Keine Passwörter/OTPs |
Komfort | Vereinfachte Integration (ĂŒber TAS/Click to Pay) | Einmalige Anmeldung, Nutzung bei verschiedenen HĂ€ndlern, Vertraute GerĂ€teentsperrung |
Kosten | Reduzierte Betrugsverluste, Potenziell niedrigere Betriebskosten (z. B. weniger Supportanrufe fĂŒr Passwort-Resets/Betrug) | (Indirekter Vorteil durch Sicherheit, Zeitersparnis, potenziell weniger Probleme im Zusammenhang mit Betrug oder fehlgeschlagenen Authentifizierungen) |
FĂŒr HĂ€ndler und Entwickler, die die Vorteile von Mastercard Payment Passkeys nutzen möchten, erfolgt die Integration ĂŒber den Mastercard Token Authentication Service (TAS). TAS ist so konzipiert, dass es in Verbindung mit den bestehenden Tokenisierungs- und Checkout-Lösungen von Mastercard, hauptsĂ€chlich Click to Pay und Secure Card on File (SCOF), funktioniert. Im Wesentlichen bietet TAS die fortschrittliche biometrische Authentifizierungsschicht fĂŒr Transaktionen, die Anmeldeinformationen verwenden, die bereits ĂŒber diese Dienste tokenisiert und gespeichert wurden.
Wenn Sie an technischen Details fĂŒr Passkeys im Zahlungsverkehr interessiert sind, z. B. wie man als Zahlungsanbieter iframes nutzt, lesen Sie bitte diesen Artikel ĂŒber Passkeys und iframes.
Dieser Ansatz, die Passkey-Authentifizierung in etablierte Dienste wie Click to Pay und SCOF zu integrieren, zielt darauf ab, die Störungen fĂŒr HĂ€ndler zu minimieren. Anstatt einen völlig neuen Integrationsweg zu erfordern, könnten Unternehmen, die diese Mastercard-Lösungen bereits nutzen, feststellen, dass das HinzufĂŒgen von Passkey-UnterstĂŒtzung ein optimierterer Prozess ist, der ihre bestehende Infrastruktur nutzt.
Mastercard stellt Ressourcen fĂŒr die Integration ĂŒber das Mastercard Developers Portal (developer.mastercard.com) zur VerfĂŒgung. Diese Ressourcen umfassen SDKs und APIs, die die Implementierung von TAS-FunktionalitĂ€ten erleichtern sollen. WĂ€hrend detaillierte technische Spezifikationen den Zugriff auf das Portal erfordern, zeigen Dokumentationsausschnitte spezifische AnwendungsfĂ€lle und API-Aufrufe im Zusammenhang mit der Passkey-Verwaltung im Zahlungskontext, wie z. B. âCreate Passkey after ID&Vâ (Identity & Verification), âCreate Passkey after Transaction Authenticationâ und âUse Passkey for Transaction Authenticationâ. Das Vorhandensein dieser definierten Funktionen deutet darauf hin, dass fĂŒr Entwickler ein strukturiertes und ausgereiftes Integrationsframework verfĂŒgbar ist.
Ein offizielles Video, das das Konzept erklĂ€rt, ist ebenfalls verfĂŒgbar:
HĂ€ndler und Entwickler, die an der Implementierung von Mastercard Payment Passkeys interessiert sind, sollten das Mastercard Developers Portal fĂŒr detaillierte Dokumentationen, SDKs, APIs und spezifische IntegrationsleitfĂ€den konsultieren, die fĂŒr ihre gewĂ€hlte Plattform (z. B. Click to Pay, SCOF) und technische Umgebung relevant sind.
Die EinfĂŒhrung des Payment Passkey Service von Mastercard ist eine bedeutende Entwicklung und markiert ein klares Bekenntnis eines groĂen Zahlungsnetzwerks, ĂŒber Passwörter und OTPs hinauszugehen und sich in Richtung einer sichereren und benutzerfreundlicheren biometrischen Authentifizierung zu bewegen. Dies steht im Einklang mit der umfassenderen Vision von Mastercard fĂŒr die Zukunft des E-Commerce, die vorsieht, die manuelle Karteneingabe in Regionen wie Europa bis 2030 vollstĂ€ndig abzuschaffen und stattdessen auf Tokenisierung und nahtlose Authentifizierungsmethoden wie Passkeys zu setzen.
Mastercard ist bei diesem Unterfangen nicht allein. Visa hat seinen eigenen, Ă€hnlich benannten Visa Payment Passkey Service eingefĂŒhrt. Wie das Angebot von Mastercard basiert auch der Service von Visa auf FIDO-Standards, nutzt GerĂ€tebiometrie, zielt darauf ab, Passwörter/OTPs zu ersetzen, integriert sich mit Tokenisierung und Click to Pay und betont die doppelten Vorteile von erhöhter Sicherheit (Betrugsreduzierung) und verbesserter User Experience. Visa hebt potenzielle Betrugsratenreduzierungen von bis zu 50 % im Vergleich zu SMS-OTPs hervor und weist auf eine breite Betriebssystem- und Browser-UnterstĂŒtzung fĂŒr FIDO hin. Eine potenzielle Unterscheidung, die in den Materialien von Visa erwĂ€hnt wird, ist das Konzept der âvon Visa verwalteten AuthentifizierungsunterstĂŒtzungâ oder eines âföderierten Modellsâ, bei dem Visa die KernkomplexitĂ€t der FIDO-Authentifizierung ĂŒbernimmt, was die Integration fĂŒr HĂ€ndler und Kartenherausgeber potenziell vereinfacht. Die parallelen Strategien und sogar Ă€hnlichen Namenskonventionen, die von den beiden gröĂten Kartennetzwerken ĂŒbernommen wurden, deuten stark auf eine branchenweite Konvergenz hin zu FIDO-Passkeys als zukĂŒnftigem Standard fĂŒr die Authentifizierung von Online-Zahlungen hin. Dieser koordinierte VorstoĂ kommt dem gesamten Ăkosystem zugute, indem er die InteroperabilitĂ€t fördert und die Fragmentierung reduziert.
American Express integriert ebenfalls aktiv moderne Authentifizierungstechnologien. Obwohl sie (Stand Mai 2025) keine eigenstĂ€ndige Marke âPayment Passkey Serviceâ wie Visa und Mastercard eingefĂŒhrt haben, haben sie FIDO/WebAuthn-basierte biometrische Funktionen (Gesichts- und Fingerabdruckerkennung) direkt in ihre bestehende SafeKey-Plattform integriert. SafeKey selbst basiert auf dem EMV 3-D Secure-Standard. American Express, ebenfalls Vorstandsmitglied der FIDO Alliance, nutzt also dieselbe Kerntechnologie fĂŒr die passwortlose Authentifizierung, bettet sie aber in ihr etabliertes Sicherheitsframework ein. Dies könnte eine andere Markenstrategie widerspiegeln, die die Bekanntheit von SafeKey nutzt, oder potenziell architektonische Unterschiede, die sich aus ihrem Netzwerkmodell ergeben. Dennoch ist die Richtung konsistent: Nutzung von gerĂ€teinterner Biometrie und FIDO-Standards fĂŒr eine stĂ€rkere, reibungslosere Online-Authentifizierung.
Die EinfĂŒhrung des Mastercard Payment Passkey Service stellt einen Wendepunkt in der Entwicklung der Online-Zahlungssicherheit und UX dar. Durch die Ăbernahme von FIDO-Passkey-Standards und deren enge Integration mit Tokenisierung und bestehenden Checkout-Lösungen wie Click to Pay begegnet Mastercard den entscheidenden SchwĂ€chen der traditionellen passwort- und OTP-basierten Authentifizierung.
Diese Initiative bietet erhebliche Vorteile fĂŒr das gesamte Zahlungsökosystem. FĂŒr HĂ€ndler verspricht sie eine signifikante Reduzierung von Betrugsverlusten und Chargebacks, gepaart mit höheren Transaktionsgenehmigungsraten und einer verbesserten Konversion durch einen reibungslosen Checkout-Prozess. FĂŒr Verbraucher bietet sie eine schnellere, bequemere und nachweislich sicherere Möglichkeit, online zu bezahlen, indem sie vertraute GerĂ€tebiometrie nutzt und gleichzeitig die Notwendigkeit der Passwortverwaltung oder des Umgangs mit OTPs beseitigt.
Die technologischen Grundlagen â die Kombination von Phishing-resistenter Authentifizierung mit der Datenminimierung der Tokenisierung, alles im Rahmen etablierter EMVCo-Standards â schaffen eine starke, mehrschichtige Verteidigung gegen Betrug. Der strategische, partnerschaftsgetriebene globale Rollout von Mastercard signalisiert zudem die Bedeutung und das langfristige Engagement hinter dieser Technologie.
Da Visa mit seinem eigenen Payment Passkey Service einen parallelen Weg einschlĂ€gt und American Express Ă€hnliche biometrische Funktionen in SafeKey integriert, ist die Richtung klar: Passkeys werden schnell zum neuen Standard fĂŒr die Sicherung digitaler Zahlungen.
Passkeys Series: Payment
Next Step: Ready to implement passkeys at your bank? Our 80-page Banking Passkeys Report is available. Book a 15-minute briefing and get the report for free.
Get the Report
Related Articles
Table of Contents