Mastercard Passkeys: Der Mastercard Payment Passkey Service

In den letzten Jahren ist im Finanzsektor das Interesse an innovativen Authentifizierungsmethoden zur Verbesserung von Sicherheit und User Experience stark gestiegen. Passkeys entwickeln sich dabei zunehmend zu einer überzeugenden und immer beliebteren Lösung bei Banken (z. B. Revolut), Fintechs (z. B. Finom) und Zahlungsanbietern (z. B. PayPal).

Unsere letzten Blogbeiträge haben die Auswirkungen dieses Technologiewandels ausführlich beleuchtet, insbesondere im Kontext von PSD2 / Starker Kundenauthentifizierung (SCA):

• Gerätegebundene und synchronisierte Passkeys
• Analyse der PSD2- & SDA-Anforderungen
• Was die SCA-Anforderungen für Passkeys bedeuten
• Auswirkungen von PSD3 / PSR auf Passkeys
• Dynamic Linking

Während wir die Welt der sicheren Authentifizierung weiter analysieren, hat Mastercard einen neuen Service für Passkeys eingeführt: Mastercard Payment Passkeys. Dieser Dienst, der unter seinem technischen Framework-Namen Mastercard Token Authentication Service (TAS) bekannt ist, stellt einen strategischen Schritt dar, um veraltete Authentifizierungsmethoden durch einen sicheren, nahtlosen und benutzerfreundlichen Ansatz zu ersetzen, der auf Biometrie (z. B. Face ID, Touch ID) setzt. Der Service zielt darauf ab, den Online-Checkout-Prozess zu optimieren und dabei Sicherheit mit Komfort für Millionen von Käufern weltweit zu verbinden. Die doppelte Namensgebung selbst scheint strategisch zu sein. Payment Passkeys kommuniziert klar den Nutzen des vereinfachten, biometrischen Logins für Verbraucher und Händler, während Token Authentication Service die technischen Implementierungsdetails anspricht, die für Entwickler und Partner bei der Integration des Systems relevant sind.

Dieser Blogbeitrag analysiert den Ansatz von Mastercard und untersucht die Technologie, die User Experience, die Vorteile und die Auswirkungen von Payment Passkeys auf die Branche.

Die Integration von Passkeys in den Finanzdienstleistungssektor ist ein Wandel hin zu einer sichereren und benutzerfreundlicheren Authentifizierung.

Die treibende Kraft dahinter sind die Erwartungen der Verbraucher. Wie Mastercard in früheren Mitteilungen bekannt gab, hassen Verbraucher Passwörter:

• 7 von 10 Verbrauchern fühlen sich überfordert von der Anzahl der Passwörter, die sie verwalten müssen.
• Mehr als 80 % der bestätigten Datenschutzverletzungen waren auf Passwörter zurückzuführen.

Mastercard hat erkannt, dass jedes geteilte Geheimnis, einschließlich OTPs, zu einem Ziel für Cyberkriminelle wird. Deshalb will Mastercard das Passwort durch personenbezogene Faktoren ersetzen. Passkeys, die auf Gerätebiometrie (z. B. Face ID, Touch ID) zurückgreifen, erfüllen diesen Bedarf effektiv.

Darüber hinaus beseitigen Passkeys traditionelle Sicherheitsprobleme, die mit Passwörtern verbunden sind, wie z. B. Phishing-Risiken. Indem sie Passwörter durch kryptografische Schlüssel ersetzen, die einfach zu verwenden, aber schwer auszunutzen (exploit) sind, bieten Passkeys eine überzeugende Lösung für Finanzinstitute, die sowohl die Sicherheit erhöhen als auch die Benutzerinteraktionen optimieren wollen.

Das Sicherheitsmodell von Passkeys steht im Einklang mit den strengen Anforderungen von Finanzvorschriften wie der Starken Kundenauthentifizierung (SCA) im Rahmen von PSD2. SCA schreibt für die meisten elektronischen Zahlungen und den Kontozugriff eine Multi-Faktor-Authentifizierung vor, die eine Validierung mit mindestens zwei unabhängigen Elementen aus drei Kategorien erfordert:

• Wissen (etwas, das der Nutzer weiß)
• Besitz (etwas, das der Nutzer besitzt)
• Inhärenz (etwas, das der Nutzer ist)

Passkeys erfüllen diese Anforderungen auf natürliche Weise: Der auf dem Gerät gespeicherte sichere private Schlüssel stellt den Faktor „Besitz“ dar, während die zur Entsperrung verwendete Biometrie den Faktor „Inhärenz“ repräsentiert. Wird eine Geräte-PIN verwendet, kann diese den Faktor „Wissen“ erfüllen. Es gibt jedoch eine anhaltende Diskussion in der Branche, ob synchronisierte Passkeys eine zusätzliche Zusicherung bezüglich der Gerätebindung bieten müssen.

Darüber hinaus erfordern Zahlungsvorschriften oft ein Dynamic Linking, das sicherstellt, dass der Authentifizierungsprozess den spezifischen Transaktionsbetrag und den Zahlungsempfänger kryptografisch an die Zustimmung des Nutzers bindet. Passkey-Implementierungen, insbesondere in Verbindung mit Protokollen wie EMV 3DS oder bei Verwendung von Erweiterungen wie der Secure Payment Confirmation (SPC), sind so konzipiert, dass sie diese Transaktionsdetails in die kryptografische Signatur einbeziehen und so diese kritische Anforderung erfüllen.

Die Einführung von Payment Passkeys durch Mastercard ist kein isoliertes Ereignis, sondern der Höhepunkt eines langfristigen strategischen Engagements zur Förderung der Zahlungssicherheit und zur Übernahme von Standards für die passwortlose Authentifizierung.

Mastercard ist eines der frühen Mitglieder der FIDO Alliance, der treibenden Kraft hinter Passkeys & WebAuthn, der sie bereits 2012 beigetreten sind.

In der Vergangenheit hat Mastercard bereits den Mastercard Biometric Authentication Service eingeführt, der ein erster Schritt in Richtung Passkeys war. Dieser Dienst war bereits auf die Einhaltung der FIDO-Standards ausgelegt.

Im September 2023 gab Mastercard ein Update zu Passkeys und der Secure Payment Confirmation (SPC). Darin teilte Mastercard seine Sicht auf die potenziellen Prozesse von Standard-Passkey vs. SPC-Passkey. Die Mockups waren bereits sehr detailliert (wie Sie unten sehen werden).

Im August 2024 startete Mastercard seinen Payment Passkey Service in Indien, einem Markt, der durch hohes digitales Zahlungsvolumen und eine starke mobile Nutzung gekennzeichnet ist. Dieser erste Start diente wahrscheinlich als groß angelegter Test für Skalierbarkeit und Effektivität, insbesondere in einer Umgebung, in der OTP-basierter Betrug ein bekanntes Problem ist.

Nach dem Start in Indien erweiterte Mastercard den Service auf andere Schlüsselregionen, darunter Asien-Pazifik (zunächst Singapur), Lateinamerika (beginnend mit Brasilien) und den Nahen Osten und Afrika (MEA), beginnend mit den Vereinigten Arabischen Emiraten. Dieser regionenweise Ansatz ermöglicht es Mastercard, seine Implementierung und Partnerschaften an die lokalen Marktdynamiken und regulatorischen Gegebenheiten anzupassen.

Ein entscheidendes Element dieser Strategie ist die Betonung von Partnerschaften. In jeder Startregion hat Mastercard eng mit wichtigen lokalen Akteuren zusammengearbeitet, einschließlich Zahlungsaggregatoren:

• Zahlungsaggregatoren:
  • Indien: Juspay, Razorpay oder PayU
  • Lateinamerika: Yuno
  • MEA: noon Payments, Tap Payments
• Online-Händler:
  • Indien: bigbasket
  • Lateinamerika: Sympla
• Führende Banken: (wie
  • Indien: Axis Bank
  • Singapur: DBS oder UOB

Diese Partnerschaften sind unerlässlich, um den Payment Passkey Service in bestehende Zahlungssysteme zu integrieren, lokale Vorschriften zu berücksichtigen und eine breite Kundenbasis zu erreichen. Dies zeigt ein flexibles, kollaboratives Modell anstelle eines Top-Down-Ansatzes, der für alle gleich ist.

Seit Juni 2025 hat Mastercard seine Strategie für sichere Checkouts in ganz Europa erheblich vorangetrieben. Das Unternehmen erzielte wesentliche Fortschritte, die hauptsächlich durch die breite Einführung der Tokenisierung angetrieben wurden, wobei fast 50 % der europäischen E-Commerce-Transaktionen nun diese Technologie nutzen. Die Tokenisierung ersetzt sensible Zahlungskartennummern durch sichere digitale Token, was die Offenlegung von Kundenzahlungsdetails reduziert und die Sicherheit erheblich erhöht.

Parallel dazu hat Mastercard mit der Einführung von Payment Passkeys begonnen, mit namhaften frühen Partnern wie Dintero, Netopia und Solidgate. Obwohl Payment Passkeys im Vergleich zur Tokenisierung noch in den Anfängen stecken, steht ihre Einführung im Einklang mit der umfassenderen Vision von Mastercard für einen passwortlosen, reibungslosen E-Commerce.

Wichtige Erfolge in Europa:

• Einführung der Tokenisierung: Fast die Hälfte des europäischen E-Commerce ist jetzt durch Tokenisierung gesichert.
• Breite Abdeckung:
  • Tokenisierung in 45 europäischen Ländern eingeführt.
  • Click to Pay (passwortloser Checkout) in 26 Märkten aktiv, mit einer Verdopplung der Anmeldungen innerhalb eines Jahres.
• Frühe Passkey-Implementierung: Payment Passkeys mit ausgewählten europäischen Zahlungsanbietern eingeführt.

Diese Entwicklungen unterstreichen die zweigleisige Strategie von Mastercard: ein robuster Ausbau der Tokenisierung heute, ergänzt durch die strategische, zukunftsorientierte Einführung von Payment Passkeys.

Mastercard Payment Passkeys werden durch den Mastercard Token Authentication Service (TAS) ermöglicht. TAS ist die zugrundeliegende Infrastruktur, die es Händlern und digitalen Wallets ermöglicht, Verbrauchern die Möglichkeit zu bieten, ihre Online-Transaktionen mithilfe von Biometrie zu authentifizieren, die mit ihrem Mastercard-Passkey verknüpft ist, und so traditionelle Passwörter oder OTPs zu ersetzen. Dieser Dienst arbeitet nicht isoliert. Er ist tief in andere Kerntechnologien von Mastercard integriert, insbesondere in die Tokenisierung und potenziell in das EMV 3DS-Framework, und hält sich dabei an globale Standards.

Ein wesentlicher Aspekt des Dienstes ist seine Integration mit dem Tokenisierungsdienst von Mastercard, oft als MDES (Mastercard Digital Enablement Service) bezeichnet. Die Tokenisierung ist eine entscheidende Sicherheitsmaßnahme, die die tatsächliche 16-stellige Primary Account Number (PAN) des Verbrauchers durch einen eindeutigen digitalen Identifikator oder „Token“ ersetzt. Dieser Token ist spezifisch für ein bestimmtes Gerät, einen Händler oder einen Transaktionskontext. Wenn eine Transaktion stattfindet, wird nur der Token übertragen, was bedeutet, dass der Händler die echte PAN niemals speichern oder handhaben muss, was das Risiko im Zusammenhang mit Datenschutzverletzungen erheblich reduziert. Mastercard Payment Passkeys dienen dann als Mechanismus, um die Absicht des legitimen Nutzers zu authentifizieren, diese tokenisierte Anmeldeinformation für eine bestimmte Transaktion zu verwenden.

Die Authentifizierung selbst nutzt den auf dem Gerät des Nutzers gespeicherten Passkey, der über Gerätebiometrie (Fingerabdruck, Gesichtsscan) oder die Geräte-PIN/den Passcode entsperrt wird. Es ist wichtig zu verstehen, dass die zur Entsperrung des Passkeys verwendeten biometrischen Daten sicher auf dem Gerät des Nutzers verbleiben und niemals mit Mastercard, dem Händler oder einer anderen dritten Partei geteilt werden. Der Passkey-Mechanismus bestätigt lediglich die erfolgreiche lokale Authentifizierung (z. B. Face ID, Touch ID), bevor der kryptografische Signaturprozess fortgesetzt werden kann.

Obwohl die spezifischen Implementierungsdetails variieren, arbeiten Payment Passkeys wahrscheinlich innerhalb oder neben dem EMV 3-D Secure (3DS)-Framework, dem Industriestandard zur Sicherung von Card-Not-Present (CNP)-Transaktionen. EMV 3DS erleichtert den Austausch von umfangreichen Transaktionsdaten zwischen dem Händler und dem Karten-Herausgeber, sodass der Herausgeber Risikobewertungen durchführen kann. Wenn die Transaktion als hochriskant eingestuft wird, kann der Herausgeber den Nutzer zu einer zusätzlichen Authentifizierung (SCA) auffordern („Challenge“). Mastercard Payment Passkeys bieten eine sichere und potenziell viel reibungslosere Methode zur Erfüllung dieser SCA-Challenge im Vergleich zu traditionellen Methoden wie OTPs. Die verwandten Dienste von Mastercard, wie Identity Check Express und Delegated Authentication für Händler, nutzen explizit FIDO/WebAuthn-Funktionen innerhalb des EMV 3DS-Flows, was es Händlern (mit Erlaubnis des Herausgebers) ermöglicht, die Authentifizierung im Namen des Herausgebers mit diesen modernen Methoden durchzuführen.

Die Synergie zwischen Passkeys und Tokenisierung schafft eine mehrschichtige Sicherheitsarchitektur. Passkeys sichern den Schritt der Benutzerauthentifizierung und verhindern, dass unbefugte Personen Transaktionen initiieren. Die Tokenisierung schützt die zugrundeliegenden Zahlungsdaten und minimiert den Wert von Daten, die bei potenziellen Sicherheitsverletzungen offengelegt werden könnten. Dieser kombinierte Ansatz bekämpft Betrug aus mehreren Blickwinkeln und macht den gesamten Transaktionsprozess deutlich widerstandsfähiger. Darüber hinaus ist die Integration der Passkey-Authentifizierung in die etablierte EMV 3DS-Infrastruktur ein pragmatischer Ansatz, der die Einführung erleichtert. Er ermöglicht es Kartenherausgebern und Acquirern, Sicherheit und User Experience zu verbessern, indem sie ihre bestehenden Investitionen in die 3DS-Technologie nutzen, anstatt die Bereitstellung völlig separater Authentifizierungssysteme zu erfordern.

Ein Hauptziel von Mastercard Payment Passkeys ist es, das Online-Checkout-Erlebnis zu revolutionieren, indem es schneller, einfacher und sicherer wird, indem die mit Passwörtern und OTPs verbundene Reibung beseitigt wird. Die User Journey umfasst sowohl die erstmalige Erstellung des Passkeys als auch dessen anschließende Verwendung zur Authentifizierung von Zahlungen.

Benutzer können an mehreren Stellen ihrer Interaktion mit Mastercard-Diensten aufgefordert werden, einen Mastercard Payment Passkey zu erstellen. Gängige Szenarien sind:

• Während des Checkouts: Oft wird die Option, einen Passkey zu erstellen, angeboten, nachdem ein Benutzer einen traditionellen Authentifizierungsschritt für eine Transaktion erfolgreich abgeschlossen hat, wie z. B. eine EMV 3DS-Challenge mit einem OTP oder einer anderen Methode. Dieses kontextbezogene Onboarding nutzt die unmittelbare Erfahrung des Benutzers mit potenziell reibungsintensiveren Methoden, um den Vorteil eines reibungsloseren zukünftigen Checkouts hervorzuheben.
• Innerhalb von Issuer-Anwendungen: Banken, die Mastercards ausgeben, können den Passkey-Erstellungsprozess direkt in ihre mobilen Banking-Apps integrieren, sodass Benutzer proaktiv einen Passkey mit ihrer Karte verknüpfen können.
• Beim Hinzufügen einer Karte: Die Option kann auch angeboten werden, wenn ein Benutzer seine Mastercard zu einer digitalen Geldbörse hinzufügt oder sie als Card-on-File (CoF) bei einem Händler oder einem Dienst wie Click to Pay speichert.

Lassen Sie uns kurz das Beispiel der Passkey-Erstellung während des Checkouts analysieren.

Nach dem Klick auf den „Bezahlen“-Button wird der Nutzer vom Beispiel-Shop (https://decorshop.com) auf eine von Mastercard gehostete Webseite (https://verify.mastercard.com) weitergeleitet. Diese Seite ist Teil des EMV 3DS-Authentifizierungsprozesses.

Nachdem dieser Prozess erfolgreich abgeschlossen wurde, hat der Nutzer die Möglichkeit, einen Passkey zu erstellen. Beachten Sie, dass dieser Passkey für die Relying Party ID von Mastercard (z. B. verify.mastercard.com oder mastercard.com) erstellt wird. Der Passkey wird also nicht bei dem Händler registriert, an den der Nutzer das Geld überweisen möchte. Dies ermöglicht es, denselben Passkey bei jedem Händler zu verwenden, der den Payment Passkey Service von Mastercard nutzt, und nicht nur bei diesem speziellen Händler.

Entnommen aus https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Nach der Entscheidung, einen Passkey zu erstellen, wird die lokale Authentifizierung durchgeführt (hier ein Android-Smartphone, das den Passkey im Google Password Manager gespeichert hat). Nach Abschluss der Passkey-Erstellung wird der Nutzer von der Mastercard-Website zurück zum Shop geleitet.

Entnommen aus https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Sobald ein Benutzer einen Mastercard Payment Passkey mit seinen Kartendaten verknüpft hat, wird der Checkout-Prozess bei teilnehmenden Händlern erheblich optimiert:

1. Kartenauswahl: Der Benutzer initiiert den Checkout und wählt seine Mastercard aus. Dies kann eine sicher über den Click to Pay-Service von Mastercard gespeicherte Karte sein, die direkt beim Händler gespeichert ist (Secure Card on File - SCOF) oder sogar während eines Gast-Checkouts eingegeben wird.
2. Authentifizierungsaufforderung: Anstatt nach einem Passwort, CVV oder OTP gefragt zu werden, wird der Benutzer aufgefordert, sich mit seinem Mastercard Payment Passkey zu authentifizieren. Der genaue Ablauf kann variieren:
   • Standard-Passkey-Ablauf: Der Benutzer könnte eine kurze, nahtlose Weiterleitung zu einer von Mastercard kontrollierten Domain (z. B. verify.mastercard.com) erleben. Hier erscheint die Standard-WebAuthn-Aufforderung, die den Benutzer bittet, die Transaktion mit dem biometrischen Sensor oder der PIN seines Geräts zu bestätigen. Nach erfolgreicher lokaler Authentifizierung wird er zur Händlerseite zurückgeleitet, um den Kauf abzuschließen. Dieser Ablauf findet in einem Erstanbieter-Kontext statt, bei dem sich der Benutzer direkt bei Mastercard authentifiziert.
   • Secure Payment Confirmation (SPC)-Ablauf (potenziell): Ein alternativer, potenziell nahtloserer Ablauf beinhaltet SPC. In diesem Szenario bleibt der Benutzer auf der Website des Händlers. Ein browser-natives Pop-up erscheint, das wichtige Transaktionsdetails (Händlername, Betrag, teilweise Karteninformationen) anzeigt und direkt zur Passkey-Authentifizierung auffordert. Dies eliminiert die Weiterleitung vollständig und bietet ein starkes Dynamic Linking, indem Transaktionsdetails in die Authentifizierungsanfrage eingebettet werden. Bitte beachten Sie, dass SPC-Passkeys sich noch in einer Konzeptphase befinden und es nicht entschieden ist, ob sie jemals allgemein verfügbar sein werden (hauptsächlich, weil Apple es nicht vorantreibt). Dieser Ablauf würde in einem Drittanbieter-Kontext funktionieren, bei dem der Händler die Authentifizierung für den Mastercard-Passkey aufruft, wahrscheinlich unter Verwendung von Anmeldeinformationen, die über EMV 3DS geteilt werden.

Entnommen aus https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Die Synergie zwischen Mastercard Payment Passkeys und Click to Pay ist besonders bemerkenswert. Click to Pay bietet Verbrauchern eine standardisierte, sichere Möglichkeit, ihre tokenisierten Kartendetails für einen einfacheren Online-Checkout bei teilnehmenden Händlern zu speichern. Payment Passkeys dienen als moderne, biometrische Authentifizierungsschicht für den Zugriff auf und die Verwendung dieser gespeicherten Click to Pay-Anmeldeinformationen. Diese Kombination ist der Schlüssel zu einem echten „Ein-Klick“-Checkout-Erlebnis, das sowohl die manuelle Karteneingabe als auch Passwort-/OTP-Abfragen überflüssig macht. Der weltweit erste Start eines integrierten Click to Pay mit Payment Passkey-Service durch Mastercard und Tap Payments unterstreicht diese strategische Ausrichtung. Dies nutzt die bestehende Click to Pay-Infrastruktur und das Händlernetzwerk und bietet einen leistungsstarken Skalierungsmechanismus für die Einführung von Payment Passkeys.

Die folgende Tabelle fasst die Hauptmerkmale der potenziellen Authentifizierungsabläufe zusammen:

Für Händler bedeutet die Einführung des Mastercard Payment Passkey Service / Token Authentication Service:

• Weniger Betrug und Chargebacks: Dies ist wohl der größte Vorteil. Indem die Authentifizierung direkt an die einzigartige Biometrie oder Geräte-PIN des Nutzers über Phishing-resistente Passkeys gebunden wird, sinkt das Risiko von unautorisierten Transaktionen drastisch. Die zugrundeliegende Verwendung der Tokenisierung schützt die Kartendaten zusätzlich. Diese stärkere Authentifizierung kann auch zu einer Haftungsverschiebung bei bestimmten Betrugsarten führen, ähnlich den Vorteilen, die bei der Einführung von EMV 3DS zu beobachten sind. Fallstudien, wie die von noon Payments, berichten explizit von einer verringerten Betrugsinzidenz nach der Implementierung von Payment Passkeys und Click to Pay.
• Erhöhte Genehmigungs- und Konversionsraten: Reibung beim Checkout ist eine Hauptursache für Warenkorbabbrüche. Die Beseitigung der Notwendigkeit, sich an Passwörter zu erinnern oder OTPs einzugeben, glättet den Zahlungsvorgang und führt zu höheren Abschlussraten. Darüber hinaus gibt das starke Authentifizierungssignal von Passkeys den ausgebenden Banken mehr Vertrauen, Transaktionen zu genehmigen, was die Wahrscheinlichkeit kostspieliger fälschlicher Ablehnungen verringert. Höhere Genehmigungsraten führen direkt zu mehr Umsatz und Einnahmen. Partner wie Yuno haben festgestellt, dass Passkeys höhere Konversionsraten bewirken.
• Verbesserte Kundenerfahrung und Markenimage: Das Angebot eines hochmodernen, sicheren und mühelosen Checkout-Prozesses steigert die Kundenzufriedenheit und baut Vertrauen in die Marke des Händlers auf. Eine nachweislich sicherere Zahlungsmethode anzubieten, kann ein Wettbewerbsvorteil sein.

Für Verbraucher ermöglicht dieser Service:

• Nahtloser und schnellerer Checkout: Der unmittelbarste Vorteil ist die Beseitigung von Aufwand. Benutzer müssen sich keine komplexen Passwörter mehr merken oder auf OTPs warten und diese manuell eingeben. Die Authentifizierung erfolgt schnell mit denselben vertrauten biometrischen Daten (z. B. Face ID, Touch ID), die zum Entsperren ihres Telefons verwendet werden. Die Natur „einmal anmelden, überall verwenden“ bei teilnehmenden Händlern sorgt für erheblichen Komfort.
• Erhöhte Sicherheit und Sorgenfreiheit: Payment Passkeys bieten eine grundlegend stärkere Sicherheit als Passwörter oder OTPs. Sie sind resistent gegen Phishing und viele Formen des Online-Betrugs. Das Wissen, dass Transaktionen durch Biometrie geschützt sind, gibt den Verbrauchern mehr Vertrauen und Sorgenfreiheit beim Online-Einkauf.
• Datenschutz: Da biometrische Daten auf dem Gerät verbleiben und die Tokenisierung die tatsächliche Kartennummer schützt, werden während der Transaktion weniger sensible Informationen übertragen.

Die folgende Tabelle fasst das Wertversprechen für jede Stakeholder-Gruppe zusammen:

Für Händler und Entwickler, die die Vorteile von Mastercard Payment Passkeys nutzen möchten, erfolgt die Integration über den Mastercard Token Authentication Service (TAS). TAS ist so konzipiert, dass es in Verbindung mit den bestehenden Tokenisierungs- und Checkout-Lösungen von Mastercard, hauptsächlich Click to Pay und Secure Card on File (SCOF), funktioniert. Im Wesentlichen bietet TAS die fortschrittliche biometrische Authentifizierungsschicht für Transaktionen, die Anmeldeinformationen verwenden, die bereits über diese Dienste tokenisiert und gespeichert wurden.

Dieser Ansatz, die Passkey-Authentifizierung in etablierte Dienste wie Click to Pay und SCOF zu integrieren, zielt darauf ab, die Störungen für Händler zu minimieren. Anstatt einen völlig neuen Integrationsweg zu erfordern, könnten Unternehmen, die diese Mastercard-Lösungen bereits nutzen, feststellen, dass das Hinzufügen von Passkey-Unterstützung ein optimierterer Prozess ist, der ihre bestehende Infrastruktur nutzt.

Mastercard stellt Ressourcen für die Integration über das Mastercard Developers Portal (developer.mastercard.com) zur Verfügung. Diese Ressourcen umfassen SDKs und APIs, die die Implementierung von TAS-Funktionalitäten erleichtern sollen. Während detaillierte technische Spezifikationen den Zugriff auf das Portal erfordern, zeigen Dokumentationsausschnitte spezifische Anwendungsfälle und API-Aufrufe im Zusammenhang mit der Passkey-Verwaltung im Zahlungskontext, wie z. B. „Create Passkey after ID&V“ (Identity & Verification), „Create Passkey after Transaction Authentication“ und „Use Passkey for Transaction Authentication“. Das Vorhandensein dieser definierten Funktionen deutet darauf hin, dass für Entwickler ein strukturiertes und ausgereiftes Integrationsframework verfügbar ist.

Ein offizielles Video, das das Konzept erklärt, ist ebenfalls verfügbar:

Händler und Entwickler, die an der Implementierung von Mastercard Payment Passkeys interessiert sind, sollten das Mastercard Developers Portal für detaillierte Dokumentationen, SDKs, APIs und spezifische Integrationsleitfäden konsultieren, die für ihre gewählte Plattform (z. B. Click to Pay, SCOF) und technische Umgebung relevant sind.

Die Einführung des Payment Passkey Service von Mastercard ist eine bedeutende Entwicklung und markiert ein klares Bekenntnis eines großen Zahlungsnetzwerks, über Passwörter und OTPs hinauszugehen und sich in Richtung einer sichereren und benutzerfreundlicheren biometrischen Authentifizierung zu bewegen. Dies steht im Einklang mit der umfassenderen Vision von Mastercard für die Zukunft des E-Commerce, die vorsieht, die manuelle Karteneingabe in Regionen wie Europa bis 2030 vollständig abzuschaffen und stattdessen auf Tokenisierung und nahtlose Authentifizierungsmethoden wie Passkeys zu setzen.

Mastercard ist bei diesem Unterfangen nicht allein. Visa hat seinen eigenen, ähnlich benannten Visa Payment Passkey Service eingeführt. Wie das Angebot von Mastercard basiert auch der Service von Visa auf FIDO-Standards, nutzt Gerätebiometrie, zielt darauf ab, Passwörter/OTPs zu ersetzen, integriert sich mit Tokenisierung und Click to Pay und betont die doppelten Vorteile von erhöhter Sicherheit (Betrugsreduzierung) und verbesserter User Experience. Visa hebt potenzielle Betrugsratenreduzierungen von bis zu 50 % im Vergleich zu SMS-OTPs hervor und weist auf eine breite Betriebssystem- und Browser-Unterstützung für FIDO hin. Eine potenzielle Unterscheidung, die in den Materialien von Visa erwähnt wird, ist das Konzept der „von Visa verwalteten Authentifizierungsunterstützung“ oder eines „föderierten Modells“, bei dem Visa die Kernkomplexität der FIDO-Authentifizierung übernimmt, was die Integration für Händler und Kartenherausgeber potenziell vereinfacht. Die parallelen Strategien und sogar ähnlichen Namenskonventionen, die von den beiden größten Kartennetzwerken übernommen wurden, deuten stark auf eine branchenweite Konvergenz hin zu FIDO-Passkeys als zukünftigem Standard für die Authentifizierung von Online-Zahlungen hin. Dieser koordinierte Vorstoß kommt dem gesamten Ökosystem zugute, indem er die Interoperabilität fördert und die Fragmentierung reduziert.

American Express integriert ebenfalls aktiv moderne Authentifizierungstechnologien. Obwohl sie (Stand Mai 2025) keine eigenständige Marke „Payment Passkey Service“ wie Visa und Mastercard eingeführt haben, haben sie FIDO/WebAuthn-basierte biometrische Funktionen (Gesichts- und Fingerabdruckerkennung) direkt in ihre bestehende SafeKey-Plattform integriert. SafeKey selbst basiert auf dem EMV 3-D Secure-Standard. American Express, ebenfalls Vorstandsmitglied der FIDO Alliance, nutzt also dieselbe Kerntechnologie für die passwortlose Authentifizierung, bettet sie aber in ihr etabliertes Sicherheitsframework ein. Dies könnte eine andere Markenstrategie widerspiegeln, die die Bekanntheit von SafeKey nutzt, oder potenziell architektonische Unterschiede, die sich aus ihrem Netzwerkmodell ergeben. Dennoch ist die Richtung konsistent: Nutzung von geräteinterner Biometrie und FIDO-Standards für eine stärkere, reibungslosere Online-Authentifizierung.

Die Einführung des Mastercard Payment Passkey Service stellt einen Wendepunkt in der Entwicklung der Online-Zahlungssicherheit und UX dar. Durch die Übernahme von FIDO-Passkey-Standards und deren enge Integration mit Tokenisierung und bestehenden Checkout-Lösungen wie Click to Pay begegnet Mastercard den entscheidenden Schwächen der traditionellen passwort- und OTP-basierten Authentifizierung.

Diese Initiative bietet erhebliche Vorteile für das gesamte Zahlungsökosystem. Für Händler verspricht sie eine signifikante Reduzierung von Betrugsverlusten und Chargebacks, gepaart mit höheren Transaktionsgenehmigungsraten und einer verbesserten Konversion durch einen reibungslosen Checkout-Prozess. Für Verbraucher bietet sie eine schnellere, bequemere und nachweislich sicherere Möglichkeit, online zu bezahlen, indem sie vertraute Gerätebiometrie nutzt und gleichzeitig die Notwendigkeit der Passwortverwaltung oder des Umgangs mit OTPs beseitigt.

Die technologischen Grundlagen – die Kombination von Phishing-resistenter Authentifizierung mit der Datenminimierung der Tokenisierung, alles im Rahmen etablierter EMVCo-Standards – schaffen eine starke, mehrschichtige Verteidigung gegen Betrug. Der strategische, partnerschaftsgetriebene globale Rollout von Mastercard signalisiert zudem die Bedeutung und das langfristige Engagement hinter dieser Technologie.

Da Visa mit seinem eigenen Payment Passkey Service einen parallelen Weg einschlägt und American Express ähnliche biometrische Funktionen in SafeKey integriert, ist die Richtung klar: Passkeys werden schnell zum neuen Standard für die Sicherung digitaler Zahlungen.