--- url: 'https://www.corbado.com/de/blog/mastercard-passkeys' title: 'Mastercard Passkeys: Der Mastercard Payment Passkey Service' description: 'Mastercard Payment Passkeys und der zugrundeliegende Token Authentication Service verbessern die Zahlungssicherheit durch passwortloses Login und bieten eine nahtlose, sichere User Experience.' lang: 'de' author: 'Vincent Delitz' date: '2025-07-15T13:23:05.233Z' lastModified: '2026-03-27T07:03:02.638Z' keywords: 'mastercard, mastercard payment passkey service, mastercard passkeys' category: 'Passkeys Reviews' --- # Mastercard Passkeys: Der Mastercard Payment Passkey Service ## 1. Einführung: Mastercard Passkeys In den letzten Jahren ist im Finanzsektor das Interesse an innovativen Authentifizierungsmethoden zur Verbesserung von [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) und User Experience stark gestiegen. Passkeys entwickeln sich dabei zunehmend zu einer überzeugenden und immer beliebteren Lösung bei Banken (z. B. [Revolut](https://www.corbado.com/blog/revolut-passkeys)), Fintechs (z. B. [Finom](https://www.corbado.com/blog/finom-passkeys)) und [Zahlungsanbietern](https://www.corbado.com/passkeys-for-payment) (z. B. [PayPal](https://www.corbado.com/blog/paypal-passkeys)). Unsere letzten Blogbeiträge haben die Auswirkungen dieses Technologiewandels ausführlich beleuchtet, insbesondere im Kontext von [PSD2](https://www.corbado.com/blog/psd2-passkeys) / **Starker Kundenauthentifizierung (SCA)**: - Gerätegebundene und synchronisierte Passkeys - Analyse der [PSD2](https://www.corbado.com/blog/psd2-passkeys)- & SDA-Anforderungen - Was die [SCA](https://www.corbado.com/de/blog/passkeys-fuer-zahlungsanbieter-drittanbieter-sdk)-Anforderungen für Passkeys bedeuten - Auswirkungen von [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys) / [PSR](https://www.corbado.com/blog/psd3-psr-passkeys) auf Passkeys - [Dynamic Linking](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) Während wir die Welt der sicheren Authentifizierung weiter analysieren, hat Mastercard einen neuen Service für Passkeys eingeführt: **Mastercard Payment Passkeys**. Dieser Dienst, der unter seinem technischen Framework-Namen **Mastercard Token Authentication Service (TAS)** bekannt ist, stellt einen strategischen Schritt dar, um veraltete Authentifizierungsmethoden durch einen sicheren, nahtlosen und benutzerfreundlichen Ansatz zu ersetzen, der auf [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) (z. B. [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Touch ID) setzt. Der Service zielt darauf ab, den Online-Checkout-Prozess zu optimieren und dabei [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) mit Komfort für Millionen von Käufern weltweit zu verbinden. Die doppelte Namensgebung selbst scheint strategisch zu sein. **Payment Passkeys** kommuniziert klar den Nutzen des vereinfachten, biometrischen Logins für Verbraucher und Händler, während **Token Authentication Service** die technischen Implementierungsdetails anspricht, die für Entwickler und Partner bei der Integration des Systems relevant sind. [Watch on YouTube](https://www.youtube.com/watch?v=2SWPK7C24Fc) Dieser Blogbeitrag analysiert den Ansatz von Mastercard und untersucht die Technologie, die User Experience, die Vorteile und die Auswirkungen von [Payment](https://www.corbado.com/passkeys-for-payment) Passkeys auf die Branche. ## 2. Der Aufstieg von Passkeys im Finanzwesen Die Integration von Passkeys in den [Finanzdienstleistungssektor](https://www.corbado.com/passkeys-for-banking) ist ein Wandel hin zu einer sichereren und benutzerfreundlicheren Authentifizierung. ### 2.1 Verbraucher hassen Passwörter Die treibende Kraft dahinter sind die Erwartungen der Verbraucher. Wie Mastercard in früheren Mitteilungen bekannt gab, hassen Verbraucher Passwörter: - **7 von 10 Verbrauchern fühlen sich überfordert** von der Anzahl der Passwörter, die sie verwalten müssen. - Mehr als **80 % der bestätigten Datenschutzverletzungen waren auf Passwörter zurückzuführen**. Mastercard hat erkannt, dass jedes geteilte Geheimnis, einschließlich OTPs, zu einem Ziel für Cyberkriminelle wird. Deshalb will Mastercard das Passwort durch personenbezogene Faktoren ersetzen. Passkeys, die auf [Gerätebiometrie](https://www.corbado.com/de/blog/passkeys-lokale-biometrie-native-apps) (z. B. [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Touch ID) zurückgreifen, erfüllen diesen Bedarf effektiv. ### 2.2 Passwörter sind ein Sicherheitsrisiko Darüber hinaus beseitigen Passkeys traditionelle Sicherheitsprobleme, die mit Passwörtern verbunden sind, wie z. B. [Phishing](https://www.corbado.com/glossary/phishing)-Risiken. Indem sie Passwörter durch kryptografische Schlüssel ersetzen, die einfach zu verwenden, aber schwer auszunutzen ([exploit](https://www.corbado.com/glossary/exploit)) sind, bieten Passkeys eine überzeugende Lösung für Finanzinstitute, die sowohl die [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) erhöhen als auch die Benutzerinteraktionen optimieren wollen. ### 2.3 Regulatorische Anforderungen für Payment Passkeys Das Sicherheitsmodell von Passkeys steht im Einklang mit den strengen Anforderungen von Finanzvorschriften wie der [Starken Kundenauthentifizierung](https://www.corbado.com/blog/psd2-sca-requirements) (SCA) im Rahmen von [PSD2](https://www.corbado.com/blog/psd2-passkeys). [SCA](https://www.corbado.com/de/blog/passkeys-fuer-zahlungsanbieter-drittanbieter-sdk) schreibt für die meisten elektronischen [Zahlungen](https://www.corbado.com/de/blog/digitale-nachweise-zahlungen) und den Kontozugriff eine Multi-Faktor-Authentifizierung vor, die eine Validierung mit mindestens zwei unabhängigen Elementen aus drei Kategorien erfordert: - Wissen (etwas, das der Nutzer weiß) - Besitz (etwas, das der Nutzer besitzt) - Inhärenz (etwas, das der Nutzer ist) Passkeys erfüllen diese Anforderungen auf natürliche Weise: Der auf dem Gerät gespeicherte sichere private Schlüssel stellt den Faktor „Besitz“ dar, während die zur Entsperrung verwendete [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) den Faktor „Inhärenz“ repräsentiert. Wird eine Geräte-PIN verwendet, kann diese den Faktor „Wissen“ erfüllen. Es gibt jedoch eine anhaltende Diskussion in der Branche, ob synchronisierte Passkeys eine zusätzliche Zusicherung bezüglich der Gerätebindung bieten müssen. Darüber hinaus erfordern [Zahlungsvorschriften](https://www.corbado.com/passkeys-for-payment) oft ein Dynamic Linking, das sicherstellt, dass der Authentifizierungsprozess den spezifischen Transaktionsbetrag und den Zahlungsempfänger kryptografisch an die Zustimmung des Nutzers bindet. Passkey-Implementierungen, insbesondere in Verbindung mit Protokollen wie EMV 3DS oder bei Verwendung von Erweiterungen wie der [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC), sind so konzipiert, dass sie diese Transaktionsdetails in die kryptografische Signatur einbeziehen und so diese kritische Anforderung erfüllen. > Wenn Sie an technischen Details für Passkeys im Zahlungsverkehr interessiert sind, z. B. > wie man als Zahlungsanbieter iframes nutzt, lesen Sie bitte diesen Artikel über Passkeys > und iframes. ## 3. Mastercards Weg zu Passkeys Die Einführung von [Payment Passkeys](https://www.corbado.com/faq/payment-passkeys) durch Mastercard ist kein isoliertes Ereignis, sondern der Höhepunkt eines langfristigen strategischen Engagements zur Förderung der Zahlungssicherheit und zur Übernahme von Standards für die [passwortlose Authentifizierung](https://www.corbado.com/de/glossary/ctap). ### 3.1 Mastercard als frühes Mitglied der FIDO Alliance Mastercard ist eines der frühen Mitglieder der [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), der treibenden Kraft hinter Passkeys & WebAuthn, der sie bereits 2012 beigetreten sind. ### 3.2 Mastercard Biometric Authentication Service In der Vergangenheit hat Mastercard bereits den **Mastercard Biometric Authentication Service** eingeführt, der ein erster Schritt in Richtung Passkeys war. Dieser Dienst war bereits auf die Einhaltung der [FIDO](https://www.corbado.com/de/blog/emv-3ds-acs-passkeys-fido-und-spc)-Standards ausgelegt. ### 3.3 Mastercard & Secure Payment Confirmation (SPC) Im September 2023 gab Mastercard ein Update zu Passkeys und der [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC). Darin teilte Mastercard seine Sicht auf die potenziellen Prozesse von **Standard-Passkey vs. SPC-Passkey**. Die Mockups waren bereits sehr detailliert (wie Sie unten sehen werden). ### 3.4 Start des Mastercard Payment Passkey Service in Indien im August 2024 Im August 2024 [startete Mastercard seinen Payment Passkey Service in Indien](https://newsroom.mastercard.com/news/press/2024/august/mastercard-selects-india-for-the-global-launch-of-its-payment-passkey-service-accelerating-secure-online-checkout-for-millions-of-shoppers/), einem Markt, der durch hohes digitales Zahlungsvolumen und eine starke mobile Nutzung gekennzeichnet ist. Dieser erste Start diente wahrscheinlich als groß angelegter Test für Skalierbarkeit und Effektivität, insbesondere in einer Umgebung, in der OTP-basierter Betrug ein bekanntes Problem ist. ### 3.5 Expansion in die Regionen APAC, Lateinamerika & MEA Nach dem Start in Indien erweiterte Mastercard den Service auf andere Schlüsselregionen, darunter [Asien-Pazifik](https://newsroom.mastercard.com/news/ap/en/newsroom/press-releases/en/2024/mastercard-goes-otp-free-in-apac-for-faster-safer-online-transactions/) (zunächst Singapur), [Lateinamerika](https://www.biometricupdate.com/202412/mastercard-brings-payment-passkey-service-to-latin-america) (beginnend mit Brasilien) und den Nahen Osten und Afrika (MEA), beginnend mit den Vereinigten Arabischen Emiraten. Dieser regionenweise Ansatz ermöglicht es Mastercard, seine Implementierung und Partnerschaften an die lokalen Marktdynamiken und regulatorischen Gegebenheiten anzupassen. Ein entscheidendes Element dieser Strategie ist die Betonung von Partnerschaften. In jeder Startregion hat Mastercard eng mit wichtigen lokalen Akteuren zusammengearbeitet, einschließlich Zahlungsaggregatoren: - Zahlungsaggregatoren: - Indien: Juspay, Razorpay oder PayU - Lateinamerika: Yuno - MEA: noon Payments, Tap Payments - Online-Händler: - Indien: bigbasket - Lateinamerika: Sympla - Führende Banken: (wie - Indien: Axis Bank - Singapur: DBS oder UOB Diese Partnerschaften sind unerlässlich, um den [Payment Passkey Service](https://www.corbado.com/de/blog/visa-passkeys) in bestehende Zahlungssysteme zu integrieren, lokale Vorschriften zu berücksichtigen und eine breite Kundenbasis zu erreichen. Dies zeigt ein flexibles, kollaboratives Modell anstelle eines Top-Down-Ansatzes, der für alle gleich ist. ### 3.6 Mastercard führt Passkey-Authentifizierung in Europa im Juni 2025 ein Seit Juni 2025 hat Mastercard seine Strategie für sichere Checkouts in ganz Europa erheblich vorangetrieben. Das Unternehmen erzielte wesentliche Fortschritte, die hauptsächlich durch die breite Einführung der Tokenisierung angetrieben wurden, wobei fast [50 % der europäischen E-Commerce-Transaktionen](https://mobileidworld.com/mastercard-launches-passkey-authentication-in-europe-achieves-50-e-commerce-adoption/) nun diese Technologie nutzen. Die Tokenisierung ersetzt sensible Zahlungskartennummern durch sichere digitale Token, was die Offenlegung von Kundenzahlungsdetails reduziert und die Sicherheit erheblich erhöht. Parallel dazu hat Mastercard mit der Einführung von [Payment Passkeys](https://www.corbado.com/faq/payment-passkeys) begonnen, mit namhaften frühen Partnern wie Dintero, Netopia und Solidgate. Obwohl [Payment Passkeys](https://www.corbado.com/faq/payment-passkeys) im Vergleich zur Tokenisierung noch in den Anfängen stecken, steht ihre Einführung im Einklang mit der umfassenderen Vision von Mastercard für einen passwortlosen, reibungslosen [E-Commerce](https://www.corbado.com/passkeys-for-e-commerce). **Wichtige Erfolge in Europa:** - **Einführung der Tokenisierung:** Fast die Hälfte des europäischen [E-Commerce](https://www.corbado.com/passkeys-for-e-commerce) ist jetzt durch Tokenisierung gesichert. - **Breite Abdeckung:** - Tokenisierung in 45 europäischen Ländern eingeführt. - Click to Pay (passwortloser Checkout) in 26 Märkten aktiv, mit einer Verdopplung der Anmeldungen innerhalb eines Jahres. - **Frühe Passkey-Implementierung:** Payment Passkeys mit ausgewählten europäischen Zahlungsanbietern eingeführt. > „Ein Jahr nach Beginn unserer Reise zur 100%igen Tokenisierung und Authentifizierung > gewinnt Europa stark an Dynamik. Unser oberstes Ziel bleibt klar: ein nahtloses, > sicheres und passwortloses Checkout-Erlebnis in jedem europäischen Markt bis 2030.“ – > Brice van de Walle, EVP bei Mastercard Diese Entwicklungen unterstreichen die zweigleisige Strategie von Mastercard: ein robuster Ausbau der Tokenisierung heute, ergänzt durch die strategische, zukunftsorientierte Einführung von Payment Passkeys. ## 4. Wie Mastercard Payment Passkeys funktionieren: Ein technischer Einblick Mastercard Payment Passkeys werden durch den **Mastercard Token Authentication Service (TAS)** ermöglicht. TAS ist die zugrundeliegende [Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure), die es Händlern und digitalen Wallets ermöglicht, Verbrauchern die Möglichkeit zu bieten, ihre Online-Transaktionen mithilfe von [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) zu authentifizieren, die mit ihrem Mastercard-Passkey verknüpft ist, und so traditionelle Passwörter oder OTPs zu ersetzen. Dieser Dienst arbeitet nicht isoliert. Er ist tief in andere Kerntechnologien von Mastercard integriert, insbesondere in die Tokenisierung und potenziell in das EMV 3DS-Framework, und hält sich dabei an globale Standards. ### 4.1 Integration mit dem Tokenisierungsdienst von Mastercard Ein wesentlicher Aspekt des Dienstes ist seine Integration mit dem Tokenisierungsdienst von Mastercard, oft als MDES (Mastercard Digital Enablement Service) bezeichnet. Die Tokenisierung ist eine entscheidende Sicherheitsmaßnahme, die die tatsächliche 16-stellige Primary Account Number (PAN) des Verbrauchers durch einen eindeutigen digitalen Identifikator oder „Token“ ersetzt. Dieser Token ist spezifisch für ein bestimmtes Gerät, einen Händler oder einen Transaktionskontext. Wenn eine Transaktion stattfindet, wird nur der Token übertragen, was bedeutet, dass der Händler die echte [PAN](https://www.corbado.com/glossary/pan) niemals speichern oder handhaben muss, was das Risiko im Zusammenhang mit Datenschutzverletzungen erheblich reduziert. Mastercard Payment Passkeys dienen dann als Mechanismus, um die Absicht des legitimen Nutzers zu authentifizieren, diese tokenisierte Anmeldeinformation für eine bestimmte Transaktion zu verwenden. ### 4.2 Biometrische Daten werden niemals mit Mastercard oder Händlern geteilt Die Authentifizierung selbst nutzt den auf dem Gerät des Nutzers gespeicherten Passkey, der über [Gerätebiometrie](https://www.corbado.com/de/blog/passkeys-lokale-biometrie-native-apps) (Fingerabdruck, Gesichtsscan) oder die Geräte-PIN/den Passcode entsperrt wird. Es ist wichtig zu verstehen, dass die zur Entsperrung des Passkeys verwendeten biometrischen Daten sicher auf dem Gerät des Nutzers verbleiben und niemals mit Mastercard, dem Händler oder einer anderen dritten Partei geteilt werden. Der Passkey-Mechanismus bestätigt lediglich die erfolgreiche lokale Authentifizierung (z. B. [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Touch ID), bevor der kryptografische Signaturprozess fortgesetzt werden kann. ### 4.3 Mastercard Payment Passkeys & EMV 3DS Obwohl die spezifischen Implementierungsdetails variieren, arbeiten Payment Passkeys wahrscheinlich innerhalb oder neben dem **EMV 3-D Secure (3DS)**-Framework, dem Industriestandard zur Sicherung von **Card-Not-Present (CNP)-Transaktionen**. EMV 3DS erleichtert den Austausch von umfangreichen Transaktionsdaten zwischen dem Händler und dem Karten-Herausgeber, sodass der Herausgeber Risikobewertungen durchführen kann. Wenn die Transaktion als hochriskant eingestuft wird, kann der Herausgeber den Nutzer zu einer zusätzlichen Authentifizierung (SCA) auffordern („Challenge“). Mastercard Payment Passkeys bieten eine sichere und potenziell viel reibungslosere Methode zur Erfüllung dieser [SCA](https://www.corbado.com/de/blog/passkeys-fuer-zahlungsanbieter-drittanbieter-sdk)-Challenge im Vergleich zu traditionellen Methoden wie OTPs. Die verwandten Dienste von Mastercard, wie Identity Check Express und [Delegated Authentication](https://www.corbado.com/blog/delegated-sca-psd3-passkeys) für Händler, nutzen explizit [FIDO](https://www.corbado.com/de/blog/emv-3ds-acs-passkeys-fido-und-spc)/WebAuthn-Funktionen innerhalb des EMV 3DS-Flows, was es Händlern (mit Erlaubnis des Herausgebers) ermöglicht, die Authentifizierung im Namen des Herausgebers mit diesen modernen Methoden durchzuführen. Die Synergie zwischen Passkeys und Tokenisierung schafft eine mehrschichtige Sicherheitsarchitektur. Passkeys sichern den Schritt der Benutzerauthentifizierung und verhindern, dass unbefugte Personen Transaktionen initiieren. Die Tokenisierung schützt die zugrundeliegenden Zahlungsdaten und minimiert den Wert von Daten, die bei potenziellen Sicherheitsverletzungen offengelegt werden könnten. Dieser kombinierte Ansatz bekämpft Betrug aus mehreren Blickwinkeln und macht den gesamten Transaktionsprozess deutlich widerstandsfähiger. Darüber hinaus ist die Integration der [Passkey-Authentifizierung](https://www.corbado.com/de/blog/passkey-anbieter) in die etablierte EMV 3DS-[Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure) ein pragmatischer Ansatz, der die Einführung erleichtert. Er ermöglicht es Kartenherausgebern und Acquirern, Sicherheit und User Experience zu verbessern, indem sie ihre bestehenden Investitionen in die 3DS-Technologie nutzen, anstatt die Bereitstellung völlig separater Authentifizierungssysteme zu erfordern. > **EMV 3DS (3-Domain Secure)** mit Authentifizierung durch den Kartenherausgeber ist ein > Sicherheitsprotokoll, das die Sicherheit von Online-Kartenzahlungen erhöhen soll. Es > beinhaltet einen zusätzlichen Schritt, bei dem der Karten-Herausgeber (z. B. Mastercard, > [Visa](https://www.corbado.com/blog/visa-passkeys), American Express) die > [Identität](https://www.corbado.com/de/blog/digital-credentials-api) des Karteninhabers überprüft, oft durch > Methoden wie ein Passwort, einen biometrischen Scan oder ein an sein Mobiltelefon > gesendetes OTP. Dieser Prozess hilft, Betrug zu reduzieren und die > Transaktionssicherheit zu erhöhen, indem sichergestellt wird, dass der tatsächliche > Karteninhaber den Kauf autorisiert. ## 5. Optimierter Checkout: User Experience mit Mastercard Passkeys Ein Hauptziel von Mastercard Payment Passkeys ist es, das Online-Checkout-Erlebnis zu revolutionieren, indem es schneller, einfacher und sicherer wird, indem die mit Passwörtern und OTPs verbundene Reibung beseitigt wird. Die User Journey umfasst sowohl die erstmalige Erstellung des Passkeys als auch dessen anschließende Verwendung zur Authentifizierung von [Zahlungen](https://www.corbado.com/de/blog/digitale-nachweise-zahlungen). ### 5.1 Beispiel: Passkey-Erstellung während des Checkouts Benutzer können an mehreren Stellen ihrer Interaktion mit Mastercard-Diensten aufgefordert werden, einen Mastercard [Payment](https://www.corbado.com/passkeys-for-payment) Passkey zu erstellen. Gängige Szenarien sind: - **Während des Checkouts:** Oft wird die Option, einen Passkey zu erstellen, angeboten, nachdem ein Benutzer einen traditionellen Authentifizierungsschritt für eine Transaktion erfolgreich abgeschlossen hat, wie z. B. eine EMV 3DS-Challenge mit einem OTP oder einer anderen Methode. Dieses kontextbezogene Onboarding nutzt die unmittelbare Erfahrung des Benutzers mit potenziell reibungsintensiveren Methoden, um den Vorteil eines reibungsloseren zukünftigen Checkouts hervorzuheben. - **Innerhalb von Issuer-Anwendungen:** Banken, die Mastercards ausgeben, können den Passkey-Erstellungsprozess direkt in ihre mobilen [Banking](https://www.corbado.com/de/blog/revolut-passkeys-analyse)-Apps integrieren, sodass Benutzer proaktiv einen Passkey mit ihrer Karte verknüpfen können. - **Beim Hinzufügen einer Karte:** Die Option kann auch angeboten werden, wenn ein Benutzer seine Mastercard zu einer digitalen Geldbörse hinzufügt oder sie als Card-on-File (CoF) bei einem Händler oder einem Dienst wie Click to Pay speichert. Lassen Sie uns kurz das Beispiel der Passkey-Erstellung während des Checkouts analysieren. Nach dem Klick auf den „Bezahlen“-Button wird der Nutzer vom Beispiel-Shop (`https://decorshop.com`) auf eine von Mastercard gehostete Webseite (`https://verify.mastercard.com`) weitergeleitet. Diese Seite ist Teil des EMV 3DS-Authentifizierungsprozesses. Nachdem dieser Prozess erfolgreich abgeschlossen wurde, hat der Nutzer die Möglichkeit, einen Passkey zu erstellen. Beachten Sie, dass dieser Passkey für die [Relying Party](https://www.corbado.com/glossary/relying-party) ID von Mastercard (z. B. `verify.mastercard.com` oder `mastercard.com`) erstellt wird. Der Passkey wird also nicht bei dem Händler registriert, an den der Nutzer das Geld überweisen möchte. Dies ermöglicht es, denselben Passkey bei jedem Händler zu verwenden, der den [Payment Passkey Service](https://www.corbado.com/de/blog/visa-passkeys) von Mastercard nutzt, und nicht nur bei diesem speziellen Händler. ![Mastercard Passkeys Registration during Checkout](https://www.corbado.com/website-assets/mastercard_passkeys_registration_after_authentication_1_25207ee37b.png) _Entnommen aus [https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf](https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf)_ Nach der Entscheidung, einen Passkey zu erstellen, wird die lokale Authentifizierung durchgeführt (hier ein [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)-Smartphone, das den Passkey im [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) gespeichert hat). Nach Abschluss der Passkey-Erstellung wird der Nutzer von der Mastercard-Website zurück zum Shop geleitet. ![Mastercard Passkeys Registration Complete after Authentication](https://www.corbado.com/website-assets/mastercard_passkeys_registration_after_authentication_2_aaff36e0e8.png) _Entnommen aus [https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf](https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf)_ ### 5.2 Beispiel: Passkey-Login während des Checkouts Sobald ein Benutzer einen Mastercard [Payment](https://www.corbado.com/passkeys-for-payment) Passkey mit seinen Kartendaten verknüpft hat, wird der Checkout-Prozess bei teilnehmenden Händlern erheblich optimiert: 1. **Kartenauswahl:** Der Benutzer initiiert den Checkout und wählt seine Mastercard aus. Dies kann eine sicher über den **Click to Pay**-Service von Mastercard gespeicherte Karte sein, die direkt beim Händler gespeichert ist (**Secure Card on File - SCOF**) oder sogar während eines Gast-Checkouts eingegeben wird. 2. **Authentifizierungsaufforderung:** Anstatt nach einem Passwort, CVV oder OTP gefragt zu werden, wird der Benutzer aufgefordert, sich mit seinem Mastercard Payment Passkey zu authentifizieren. Der genaue Ablauf kann variieren: - **Standard-Passkey-Ablauf:** Der Benutzer könnte eine kurze, nahtlose Weiterleitung zu einer von Mastercard kontrollierten Domain (z. B. `verify.mastercard.com`) erleben. Hier erscheint die Standard-WebAuthn-Aufforderung, die den Benutzer bittet, die Transaktion mit dem biometrischen Sensor oder der PIN seines Geräts zu bestätigen. Nach erfolgreicher lokaler Authentifizierung wird er zur Händlerseite zurückgeleitet, um den Kauf abzuschließen. Dieser Ablauf findet in einem Erstanbieter-Kontext statt, bei dem sich der Benutzer direkt bei Mastercard authentifiziert. - **Secure Payment Confirmation (SPC)-Ablauf (potenziell):** Ein alternativer, potenziell nahtloserer Ablauf beinhaltet [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc). In diesem Szenario bleibt der Benutzer auf der Website des Händlers. Ein browser-natives Pop-up erscheint, das wichtige Transaktionsdetails (Händlername, Betrag, teilweise Karteninformationen) anzeigt und direkt zur [Passkey-Authentifizierung](https://www.corbado.com/de/blog/passkey-anbieter) auffordert. Dies eliminiert die Weiterleitung vollständig und bietet ein starkes [Dynamic Linking](https://www.corbado.com/blog/dynamic-linking-passkeys-spc), indem Transaktionsdetails in die Authentifizierungsanfrage eingebettet werden. Bitte beachten Sie, dass [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc)-Passkeys sich noch in einer Konzeptphase befinden und es nicht entschieden ist, ob sie jemals allgemein verfügbar sein werden (hauptsächlich, weil Apple es nicht vorantreibt). Dieser Ablauf würde in einem Drittanbieter-Kontext funktionieren, bei dem der Händler die Authentifizierung für den Mastercard-Passkey aufruft, wahrscheinlich unter Verwendung von Anmeldeinformationen, die über EMV 3DS geteilt werden. ![Mastercard Passkeys Authentication During Checkout](https://www.corbado.com/website-assets/mastercard_passkeys_authentication_during_checkout_3073ff1c16.png) _Entnommen aus [https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf](https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf)_ ### 5.3 Integration mit Click to Pay Die Synergie zwischen **Mastercard Payment Passkeys** und **Click to Pay** ist besonders bemerkenswert. Click to Pay bietet Verbrauchern eine standardisierte, sichere Möglichkeit, ihre tokenisierten Kartendetails für einen einfacheren Online-Checkout bei teilnehmenden Händlern zu speichern. Payment Passkeys dienen als moderne, biometrische Authentifizierungsschicht für den Zugriff auf und die Verwendung dieser gespeicherten Click to Pay-Anmeldeinformationen. Diese Kombination ist der Schlüssel zu einem echten „Ein-Klick“-Checkout-Erlebnis, das sowohl die manuelle Karteneingabe als auch Passwort-/OTP-Abfragen überflüssig macht. Der weltweit erste Start eines integrierten Click to Pay mit Payment Passkey-Service durch Mastercard und Tap Payments unterstreicht diese strategische Ausrichtung. Dies nutzt die bestehende Click to Pay-[Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure) und das Händlernetzwerk und bietet einen leistungsstarken Skalierungsmechanismus für die Einführung von Payment Passkeys. Die folgende Tabelle fasst die Hauptmerkmale der potenziellen Authentifizierungsabläufe zusammen: | **Merkmal** | **Standard-Passkey-Ablauf** | **SPC-Passkey-Ablauf** | | ----------------------------- | ------------------------------------------------- | ------------------------------------------------------------ | | **Standort des Nutzers** | Kurze Weiterleitung zur Mastercard-Domain | Bleibt auf der Händler-Domain | | **Authentifizierungskontext** | Erstanbieter (Nutzer authentifiziert sich bei MC) | Drittanbieter (Händler ruft Auth für MC auf) | | **User Experience** | Nahtlose Weiterleitung, WebAuthn-Aufforderung | Keine Weiterleitung, Browser-Pop-up mit Details | | **Dynamic Linking** | Erreicht durch EMV 3DS-Datenaustausch | In SPC-Aufforderung/Signatur integriert | | **Aktueller Status** | Weit verbreitet über WebAuthn anwendbar | Potenziell begrenzte/sich entwickelnde Browser-Unterstützung | ## 6. Vorteile von Mastercard Passkeys für Händler und Verbraucher Für Händler bedeutet die Einführung des Mastercard [Payment Passkey Service](https://www.corbado.com/de/blog/visa-passkeys) / Token Authentication Service: - **Weniger Betrug und Chargebacks**: Dies ist wohl der größte Vorteil. Indem die Authentifizierung direkt an die einzigartige Biometrie oder Geräte-PIN des Nutzers über [Phishing](https://www.corbado.com/glossary/phishing)-resistente Passkeys gebunden wird, sinkt das Risiko von unautorisierten Transaktionen drastisch. Die zugrundeliegende Verwendung der Tokenisierung schützt die Kartendaten zusätzlich. Diese stärkere Authentifizierung kann auch zu einer Haftungsverschiebung bei bestimmten Betrugsarten führen, ähnlich den Vorteilen, die bei der Einführung von EMV 3DS zu beobachten sind. Fallstudien, wie die von noon Payments, berichten explizit von einer verringerten Betrugsinzidenz nach der Implementierung von Payment Passkeys und Click to Pay. - **Erhöhte Genehmigungs- und Konversionsraten**: Reibung beim Checkout ist eine Hauptursache für Warenkorbabbrüche. Die Beseitigung der Notwendigkeit, sich an Passwörter zu erinnern oder OTPs einzugeben, glättet den Zahlungsvorgang und führt zu höheren Abschlussraten. Darüber hinaus gibt das starke Authentifizierungssignal von Passkeys den ausgebenden Banken mehr Vertrauen, Transaktionen zu genehmigen, was die Wahrscheinlichkeit kostspieliger fälschlicher Ablehnungen verringert. Höhere Genehmigungsraten führen direkt zu mehr Umsatz und Einnahmen. Partner wie Yuno haben festgestellt, dass Passkeys höhere Konversionsraten bewirken. - **Verbesserte Kundenerfahrung und Markenimage**: Das Angebot eines hochmodernen, sicheren und mühelosen Checkout-Prozesses steigert die Kundenzufriedenheit und baut Vertrauen in die Marke des Händlers auf. Eine nachweislich sicherere Zahlungsmethode anzubieten, kann ein Wettbewerbsvorteil sein. Für Verbraucher ermöglicht dieser Service: - **Nahtloser und schnellerer Checkout**: Der unmittelbarste Vorteil ist die Beseitigung von Aufwand. Benutzer müssen sich keine komplexen Passwörter mehr merken oder auf OTPs warten und diese manuell eingeben. Die Authentifizierung erfolgt schnell mit denselben vertrauten biometrischen Daten (z. B. Face ID, Touch ID), die zum Entsperren ihres Telefons verwendet werden. Die Natur „einmal anmelden, überall verwenden“ bei teilnehmenden Händlern sorgt für erheblichen Komfort. - **Erhöhte Sicherheit und Sorgenfreiheit**: Payment Passkeys bieten eine grundlegend stärkere Sicherheit als Passwörter oder OTPs. Sie sind resistent gegen [Phishing](https://www.corbado.com/glossary/phishing) und viele Formen des Online-Betrugs. Das Wissen, dass Transaktionen durch Biometrie geschützt sind, gibt den Verbrauchern mehr Vertrauen und Sorgenfreiheit beim Online-Einkauf. - **Datenschutz**: Da biometrische Daten auf dem Gerät verbleiben und die Tokenisierung die tatsächliche Kartennummer schützt, werden während der Transaktion weniger sensible Informationen übertragen. Die folgende Tabelle fasst das Wertversprechen für jede [Stakeholder](https://www.corbado.com/blog/passkeys-stakeholder)-Gruppe zusammen: | **Vorteilskategorie** | **Vorteil für Händler** | **Vorteil für Verbraucher** | | --------------------- | ------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------ | | **Sicherheit** | Reduzierter Betrug & Chargebacks, Geringeres Risiko, Potenzielle Haftungsverschiebung | Phishing-resistente MFA, Biometrische Sicherheit, Sorgenfreiheit | | **Effizienz** | Höhere Genehmigungs-/Konversionsraten, Schnellerer Checkout, Weniger Warenkorbabbrüche | Schnellerer & nahtloser Checkout, Keine Passwörter/OTPs | | **Komfort** | Vereinfachte Integration (über TAS/Click to Pay) | Einmalige Anmeldung, Nutzung bei verschiedenen Händlern, Vertraute Geräteentsperrung | | **Kosten** | Reduzierte Betrugsverluste, Potenziell niedrigere Betriebskosten (z. B. weniger Supportanrufe für Passwort-Resets/Betrug) | (Indirekter Vorteil durch Sicherheit, Zeitersparnis, potenziell weniger Probleme im Zusammenhang mit Betrug oder fehlgeschlagenen Authentifizierungen) | ## 7. Auswirkungen für Händler und Entwickler Für Händler und Entwickler, die die Vorteile von Mastercard Payment Passkeys nutzen möchten, erfolgt die Integration über den Mastercard Token Authentication Service (TAS). TAS ist so konzipiert, dass es in Verbindung mit den bestehenden Tokenisierungs- und Checkout-Lösungen von Mastercard, hauptsächlich **Click to Pay** und **Secure Card on File (SCOF)**, funktioniert. Im Wesentlichen bietet TAS die fortschrittliche biometrische Authentifizierungsschicht für Transaktionen, die Anmeldeinformationen verwenden, die bereits über diese Dienste tokenisiert und gespeichert wurden. > Wenn Sie an technischen Details für Passkeys im Zahlungsverkehr interessiert sind, z. B. > wie man als Zahlungsanbieter iframes nutzt, lesen Sie bitte diesen Artikel über Passkeys > und iframes. Dieser Ansatz, die [Passkey-Authentifizierung](https://www.corbado.com/de/blog/passkey-anbieter) in etablierte Dienste wie Click to Pay und SCOF zu integrieren, zielt darauf ab, die Störungen für Händler zu minimieren. Anstatt einen völlig neuen Integrationsweg zu erfordern, könnten Unternehmen, die diese Mastercard-Lösungen bereits nutzen, feststellen, dass das Hinzufügen von Passkey-Unterstützung ein optimierterer Prozess ist, der ihre bestehende Infrastruktur nutzt. Mastercard stellt Ressourcen für die Integration über das Mastercard Developers Portal (developer.mastercard.com) zur Verfügung. Diese Ressourcen umfassen SDKs und APIs, die die Implementierung von TAS-Funktionalitäten erleichtern sollen. Während detaillierte technische Spezifikationen den Zugriff auf das Portal erfordern, zeigen Dokumentationsausschnitte spezifische Anwendungsfälle und API-Aufrufe im Zusammenhang mit der Passkey-Verwaltung im Zahlungskontext, wie z. B. „Create Passkey after ID\&V“ (Identity & Verification), „Create Passkey after Transaction Authentication“ und „Use Passkey for Transaction Authentication“. Das Vorhandensein dieser definierten Funktionen deutet darauf hin, dass für Entwickler ein strukturiertes und ausgereiftes Integrationsframework verfügbar ist. Ein offizielles Video, das das Konzept erklärt, ist ebenfalls verfügbar: [Watch on YouTube](https://www.youtube.com/watch?v=qaBEFt-Axx8) Händler und Entwickler, die an der Implementierung von Mastercard Payment Passkeys interessiert sind, sollten das Mastercard Developers Portal für detaillierte Dokumentationen, SDKs, APIs und spezifische Integrationsleitfäden konsultieren, die für ihre gewählte Plattform (z. B. Click to Pay, SCOF) und technische Umgebung relevant sind. ## 8. Die Zukunft der Zahlungsauthentifizierung: Mastercard, Visa & American Express Die Einführung des Payment Passkey Service von Mastercard ist eine bedeutende Entwicklung und markiert ein klares Bekenntnis eines großen Zahlungsnetzwerks, über Passwörter und OTPs hinauszugehen und sich in Richtung einer sichereren und benutzerfreundlicheren biometrischen Authentifizierung zu bewegen. Dies steht im Einklang mit der umfassenderen Vision von Mastercard für die Zukunft des [E-Commerce](https://www.corbado.com/passkeys-for-e-commerce), die vorsieht, die manuelle Karteneingabe in Regionen wie Europa bis 2030 vollständig abzuschaffen und stattdessen auf Tokenisierung und nahtlose Authentifizierungsmethoden wie Passkeys zu setzen. Mastercard ist bei diesem Unterfangen nicht allein. [Visa](https://www.corbado.com/blog/visa-passkeys) hat seinen eigenen, ähnlich benannten [Visa](https://www.corbado.com/blog/visa-passkeys) Payment Passkey Service eingeführt. Wie das Angebot von Mastercard basiert auch der Service von Visa auf [FIDO](https://www.corbado.com/de/blog/emv-3ds-acs-passkeys-fido-und-spc)-Standards, nutzt [Gerätebiometrie](https://www.corbado.com/de/blog/passkeys-lokale-biometrie-native-apps), zielt darauf ab, Passwörter/OTPs zu ersetzen, integriert sich mit Tokenisierung und Click to Pay und betont die doppelten Vorteile von erhöhter Sicherheit (Betrugsreduzierung) und verbesserter User Experience. Visa hebt potenzielle Betrugsratenreduzierungen von bis zu 50 % im Vergleich zu SMS-OTPs hervor und weist auf eine breite Betriebssystem- und Browser-Unterstützung für FIDO hin. Eine potenzielle Unterscheidung, die in den Materialien von Visa erwähnt wird, ist das Konzept der „von Visa verwalteten Authentifizierungsunterstützung“ oder eines „föderierten Modells“, bei dem Visa die Kernkomplexität der FIDO-Authentifizierung übernimmt, was die Integration für Händler und Kartenherausgeber potenziell vereinfacht. Die parallelen Strategien und sogar ähnlichen Namenskonventionen, die von den beiden größten Kartennetzwerken übernommen wurden, deuten stark auf eine branchenweite Konvergenz hin zu FIDO-Passkeys als zukünftigem Standard für die Authentifizierung von Online-[Zahlungen](https://www.corbado.com/de/blog/digitale-nachweise-zahlungen) hin. Dieser koordinierte Vorstoß kommt dem gesamten Ökosystem zugute, indem er die Interoperabilität fördert und die Fragmentierung reduziert. American Express integriert ebenfalls aktiv moderne Authentifizierungstechnologien. Obwohl sie (Stand Mai 2025) keine eigenständige Marke „Payment Passkey Service“ wie Visa und Mastercard eingeführt haben, haben sie FIDO/WebAuthn-basierte biometrische Funktionen (Gesichts- und Fingerabdruckerkennung) direkt in ihre bestehende SafeKey-Plattform integriert. SafeKey selbst basiert auf dem EMV [3-D Secure](https://www.corbado.com/glossary/3d-secure)-Standard. American Express, ebenfalls Vorstandsmitglied der [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), nutzt also dieselbe Kerntechnologie für die [passwortlose Authentifizierung](https://www.corbado.com/de/glossary/ctap), bettet sie aber in ihr etabliertes Sicherheitsframework ein. Dies könnte eine andere Markenstrategie widerspiegeln, die die Bekanntheit von SafeKey nutzt, oder potenziell architektonische Unterschiede, die sich aus ihrem Netzwerkmodell ergeben. Dennoch ist die Richtung konsistent: Nutzung von geräteinterner Biometrie und FIDO-Standards für eine stärkere, reibungslosere Online-Authentifizierung. ## 9. Fazit Die Einführung des **Mastercard Payment Passkey Service** stellt einen Wendepunkt in der Entwicklung der Online-Zahlungssicherheit und UX dar. Durch die Übernahme von FIDO-Passkey-Standards und deren enge Integration mit Tokenisierung und bestehenden Checkout-Lösungen wie Click to Pay begegnet Mastercard den entscheidenden Schwächen der traditionellen passwort- und OTP-basierten Authentifizierung. Diese Initiative bietet erhebliche Vorteile für das gesamte Zahlungsökosystem. Für **Händler** verspricht sie eine signifikante Reduzierung von Betrugsverlusten und Chargebacks, gepaart mit höheren Transaktionsgenehmigungsraten und einer verbesserten Konversion durch einen reibungslosen Checkout-Prozess. Für **Verbraucher** bietet sie eine schnellere, bequemere und nachweislich sicherere Möglichkeit, online zu bezahlen, indem sie vertraute Gerätebiometrie nutzt und gleichzeitig die Notwendigkeit der Passwortverwaltung oder des Umgangs mit OTPs beseitigt. Die technologischen Grundlagen – die Kombination von Phishing-resistenter Authentifizierung mit der Datenminimierung der Tokenisierung, alles im Rahmen etablierter EMVCo-Standards – schaffen eine starke, mehrschichtige Verteidigung gegen Betrug. Der strategische, partnerschaftsgetriebene globale Rollout von Mastercard signalisiert zudem die Bedeutung und das langfristige Engagement hinter dieser Technologie. Da Visa mit seinem eigenen Payment Passkey Service einen parallelen Weg einschlägt und American Express ähnliche biometrische Funktionen in SafeKey integriert, ist die Richtung klar: Passkeys werden schnell zum neuen Standard für die Sicherung digitaler Zahlungen.