Visa Passkeys: Der Visa Payment Passkey Service

Der Finanzdienstleistungssektor und die Zahlungsbranche setzen voll auf Passkeys. Nach der Einführung von Passkeys bei Banken (z. B. Revolut), Fintechs (z. B. Finom) oder Zahlungsanbietern (z. B. PayPal) und der Einführung des Token Authentication Service von Mastercard vor etwa einem Monat im April 2024, hat nun auch Visa auf seinem jährlichen Payments Forum einen eigenen Passkey-Dienst namens Visa Payment Passkey Service vorgestellt.

Zuvor haben wir bereits die Auswirkungen dieses Wandels in der Finanzwelt erörtert, insbesondere im Hinblick auf die Starke Kundenauthentifizierung (SCA), PSD2 und Dynamic Linking. Lesen Sie hier die ausführlichen Blogbeiträge:

• Banking Passkeys Report 2025
• Device-Bound vs. Synced Passkeys
• Analysis of PSD2 & SCA Requirements
• What SCA Requirements Mean for Passkeys
• PSD3 / PSR Implications for Passkeys
• PSD2 Passkeys: Phishing-Resistant PSD2-Compliant MFA
• Dynamic Linking with Passkeys: Secure Payment Confirmation (SPC)

Dieser Blogbeitrag beleuchtet den Ansatz von Visa bei Passkeys und seine Auswirkungen auf die Zukunft der Zahlungssicherheit, einschließlich Innovationen bei Zahlungs-Passkeys, die neue Standards in der Branche setzen.

Der Aufstieg von Passkeys in der Finanzdienstleistungsbranche wird maßgeblich von den Erwartungen der Verbraucher angetrieben. Aktuelle Einblicke von Visa unterstreichen diesen Trend: 62 % der Verbraucher haben schon einmal einen Online-Kauf aufgrund von Authentifizierungsproblemen abgebrochen. Auch die Sicherheit ist ein Thema: 26 % der Verbraucher geben zu, schon einmal ihre PIN geteilt zu haben, was die Schwachstellen traditioneller Authentifizierungsmethoden verdeutlicht. Besorgniserregend ist, dass die Betrugsraten bei Online-Zahlungen siebenmal höher sind als bei persönlichen Zahlungen, was den Bedarf an sichereren digitalen Transaktionsmethoden weiter unterstreicht.

Die Einführung des Visa Payment Passkey Service ist ein wichtiger Schritt, um diese Probleme anzugehen. Indem Passwörter und Einmal-Codes durch Passkeys ersetzt werden, optimieren Visa Passkeys das Online-Einkaufserlebnis, reduzieren Reibungsverluste und erhöhen die Sicherheit. Finanzinstitute, insbesondere solche, die einen Passkey für Finanzdienstleistungen integrieren, erkennen, dass diese Technologie nicht nur das Vertrauen der Verbraucher stärkt, sondern auch die allgemeine betriebliche Effizienz verbessert. Passkeys sind nicht nur benutzerfreundlich, sondern auch robust gegen Cyberangriffe wie Phishing.

Passkeys stellen eine überzeugende Lösung für Finanzinstitute dar, die ihre Sicherheit verbessern und gleichzeitig die Benutzererfahrung optimieren möchten. Diese Technologie passt perfekt zur Zweiten Zahlungsdiensterichtlinie (PSD2) in der Europäischen Union, die eine Starke Kundenauthentifizierung (SCA) vorschreibt. PSD2 verlangt, dass Transaktionen mit mindestens zwei der folgenden Faktoren authentifiziert werden: etwas, das der Nutzer weiß, besitzt oder ist. Passkeys erfüllen diese Kriterien, indem sie biometrische Daten (etwas, das der Nutzer ist) und sicher gespeicherte private Schlüssel (etwas, das der Nutzer besitzt) nutzen, wie sie beispielsweise in der Secure Enclave, der Trusted Execution Environment (TEE) oder dem Trusted Platform Module (TPM) eines Geräts gespeichert sind.

Visa war ein wichtiger Akteur bei der Entwicklung von Passkeys, insbesondere durch die Mitgliedschaft in der FIDO Alliance, der das Unternehmen 2014 beitrat, zwei Jahre nach Mastercard.

Einer der früheren Dienste von Visa, der als Vorläufer für Passkeys angesehen werden könnte, ist die Visa Biometric Authenticator App, ein Produkt mit leider eingeschränktem Zugang zu Dokumentation und Assets.

Im Jahr 2019 führte Visa eine Studie zu Biometrie und Verbraucherpräferenzen durch und befragte dazu 1.000 Kreditkarteninhaber in Deutschland. Die Ergebnisse zeigten eine starke Präferenz der Verbraucher für die biometrische Authentifizierung gegenüber herkömmlichen Passwörtern. Beeindruckende 90 % der Befragten hielten Fingerabdrücke für eine sichere Methode zur Identitätsprüfung, verglichen mit nur 77 % für PINs und 73 % für Passwörter. Zusätzlich wurden Methoden wie Iris- und Gesichtsscans als sicherer als PINs und Passwörter eingestuft. Dies hat Visa wahrscheinlich gezeigt, dass die Förderung von Biometrie – und damit auch von Passkeys – der richtige Weg ist.

Auf dem Payments Forum 2024 kündigte Visa offiziell den Visa Payment Passkey Service an. Jack Forestell, Chief Product and Strategy Officer von Visa, erklärte:

Das spezifische Branding als Visa Payment Passkey Service, das dem Ansatz von Mastercard ähnelt, ist bezeichnend. Es rahmt die Technologie bewusst in den Kontext von Finanztransaktionen ein. Im Gegensatz zu allgemeinen Login-Passkeys muss die Zahlungsauthentifizierung strengere Vorschriften einhalten, insbesondere die PSD2 SCA, einschließlich der Anforderung des Dynamic Linking – die kryptografische Verknüpfung der Authentifizierung mit den spezifischen Transaktionsdetails. Dieses Branding signalisiert, dass der Visa Payment Passkey Service nicht nur für Bequemlichkeit, sondern auch zur Erfüllung dieser anspruchsvollen zahlungsspezifischen Sicherheits- und Compliance-Anforderungen entwickelt wurde.

Der Visa Payment Passkey Service wird zunächst in die Click to Pay-Plattform von Visa integriert, um ein nahtloses und sicheres Checkout-Erlebnis in großem Maßstab zu bieten. Darüber hinaus ebnet dieser Dienst den Weg für Innovationen wie die Ein-Klick-Zahlung von Visa, die den Bedarf an manueller Eingabe weiter reduziert und das Verbrauchererlebnis verbessert. Visa plant auch, mit Issuern in verschiedenen Märkten zusammenzuarbeiten, um Click to Pay und den Visa Payment Passkey Service auf neuen Visa-Karten zu ermöglichen. Diese Integration wird die Notwendigkeit der manuellen Eingabe von Kartendetails und Passwörtern von dem Moment an, an dem die Karte ankommt, reduzieren und so die Benutzererfahrung weiter vereinfachen.

Die Einführung des Visa Payment Passkey Service ist ein bedeutender Fortschritt für Passkeys im Zahlungsbereich, da Visa der zweite der drei großen Kreditkarten-Issuer ist, der einen dedizierten Passkey-Dienst anbietet.

Mit dem Visa Payment Passkey Service kann die traditionelle passwortbasierte Authentifizierung vollständig ersetzt werden. Wir erwarten (ähnlich wie beim Token Authentication Service von Mastercard / Mastercard Payment Passkeys), dass der Payment Passkey Service von Visa sicherstellt, dass ein bei Visa erstellter Passkey zur Authentifizierung von Transaktionen auf der Website jedes teilnehmenden Händlers verwendet werden kann, ohne dass bei jedem Besuch einer neuen Händlerseite neue Passkeys erstellt werden müssen. Darüber hinaus unterstützt diese Technologie Zahlungs-Passkeys, die die digitalen Checkout-Prozesse neu definieren werden.

Ein zentrales strategisches Element des Ansatzes von Visa ist seine Infrastruktur. Visa hat einen eigenen FIDO-Server aufgebaut und betreibt diesen, um den Visa Payment Passkey Service zu betreiben. Dies untermauert das, was Visa als sein „föderiertes Modell“ bezeichnet. In diesem Modell übernimmt Visa die Verantwortung für die direkte Authentifizierung und Verifizierung der Kundenidentitäten mithilfe seines FIDO-Servers. Dies ist eine wesentliche Abkehr von Modellen, bei denen Händler oder Issuer Teile des FIDO-Authentifizierungsprozesses selbst implementieren und verwalten müssten. Für Händler vereinfacht dieser föderierte Ansatz die Integration drastisch. Sie müssen sich nur einmal mit dem Visa Payment Passkey Service integrieren. Visa kümmert sich um die zugrunde liegende FIDO-Authentifizierungskomplexität und erspart den Händlern den Aufbau eigener Server, die Verwaltung komplizierter technischer Integrationen oder das individuelle Onboarding von Issuern für Authentifizierungszwecke. Diese bewusste Designentscheidung senkt die Eintrittsbarriere und zielt darauf ab, die Akzeptanz im gesamten riesigen Händlernetzwerk von Visa zu beschleunigen.

Für Händler bietet die Einführung des Payment Passkey Service von Visa mehrere entscheidende Vorteile:

• Weniger Betrug und Chargebacks: Der Authentifizierungsprozess nutzt die biometrischen Daten des Nutzers, was das Risiko von Betrug und Chargebacks erheblich senkt.
• Minimierte Reibung beim Checkout: Ein reibungsloserer Transaktionsprozess führt zu höheren Genehmigungs- und Conversion-Raten.

Für Käufer bietet dieser Dienst:

• Nahtloses Checkout-Erlebnis: Ein optimierter Checkout-Prozess über verschiedene Geräte und Händlershops hinweg.
• Erhöhte Sicherheit: Phishing-resistente Multi-Faktor-Authentifizierung (MFA) stärkt die Abwehr gegen Kreditkartenbetrug und Phishing-Angriffe. In einigen Fällen erfüllt der Dienst sogar Kriterien, die denen eines Visa Consumer Authentication Service ähneln, und gewährleistet so höchste Sicherheit bei Online-Transaktionen.

Für Issuer ergeben sich folgende Vorteile:

• Geringere Betrugsverluste: Niedrigere allgemeine Betrugsraten kommen den Issuern direkt zugute, indem sie die finanziellen Verluste durch nicht autorisierte Transaktionen reduzieren.
• Niedrigere Authentifizierungskosten: Der Übergang von SMS-OTPs könnte potenziell die Betriebskosten für den Versand von Nachrichten und die Verwaltung dieser Infrastruktur senken.
• Verbessertes Kundenerlebnis: Ein reibungsloses und sicheres Zahlungserlebnis führt zu höherer Zufriedenheit und Loyalität der Karteninhaber.
• Von Visa verwalteter Authentifizierungs-Support: Issuer können davon profitieren, dass Visa die Kerninfrastruktur und den Support für die Authentifizierung verwaltet, was potenziell ihren eigenen Wartungsaufwand reduziert.

Wir werden eine detailliertere technische Analyse zur Integration des Mastercard Token Authentication Service in bestehende Systeme schreiben, sobald Mastercard weitere Informationen veröffentlicht. Um auf dem Laufenden zu bleiben, abonnieren Sie unseren Passkeys Substack oder treten Sie unserer Passkey Community auf Slack bei, um keine Updates zu verpassen.

Bis dahin empfehlen wir, sich das Ankündigungsvideo von Visa anzusehen, das das Konzept genauer erklärt.

Es ist wichtig, den neuen Visa Payment Passkey Service vom bestehenden Visa Consumer Authentication Service (VCAS) zu unterscheiden.

• VCAS ist Visas etablierte, gehostete Access Control Server (ACS)-Lösung, die Issuern zur Unterstützung ihrer EMV 3-D Secure-Programme bereitgestellt wird.
• VCAS basiert hauptsächlich auf risikobasierter Authentifizierung (RBA). Es analysiert umfangreiche Transaktionsdaten (angeblich bis zu 150 Datenpunkte) mithilfe proprietärer Risikobewertungs-Engines, um festzustellen, ob eine Transaktion ein geringes Risiko aufweist (was einen reibungslosen Ablauf ermöglicht) oder ein hohes Risiko (was eine Step-up-Challenge erfordert).
• Wenn VCAS eine Challenge erfordert, kann es verschiedene Methoden unterstützen, einschließlich OTPs (per SMS oder E-Mail gesendet) oder potenziell Biometrie, wenn der Issuer die begleitende biometrische Authenticator-App von Visa verwendet.
• Der Visa Payment Passkey Service hingegen ist Visas neuer, dedizierter Dienst, der grundlegend auf FIDO-/Passkey-Technologie aufbaut. Er nutzt direkt die nativen FIDO-Fähigkeiten des Geräts zur Authentifizierung, unter Verwendung kryptografischer Schlüssel und lokaler Biometrie/PIN.

Obwohl beide Dienste darauf abzielen, die Sicherheit zu erhöhen und die Reibung bei der E-Commerce-Authentifizierung zu reduzieren, stellt der Visa Payment Passkey Service einen technologischen Wandel hin zu passwortlosen, Phishing-resistenten, FIDO-basierten Standards als primäre Authentifizierungsmethode dar, anstatt sich hauptsächlich auf RBA mit OTPs als gängige Fallback-Challenge zu verlassen.

Die Einführung von Passkeys in der Zahlungsanbieterlandschaft durch den Visa Payment Passkey Service markiert einen weiteren großen Meilenstein für die gesamte Branche. Dieser innovative Ansatz erhöht nicht nur die Transaktionssicherheit durch biometrische Authentifizierung, sondern bietet auch ein nahtloses und reibungsloses Benutzererlebnis und adressiert damit zwei der kritischsten Aspekte in der heutigen Zahlungsbranche.

Für Händler bedeutet die Integration von Visa Passkeys eine deutliche Reduzierung von Betrug und Chargebacks. Für Verbraucher verspricht es einen sichereren und optimierten Checkout-Prozess. Entwickler und Produktmanager sind aufgefordert, diese Technologie zu erkunden, um an der Spitze der Zahlungssicherheit und Benutzererfahrung zu bleiben.

Eine offene Frage bleibt: Da Visa (und kürzlich auch Mastercard) Passkeys einführen, was plant American Express in Bezug auf Passkeys, um mit Mastercard und Visa gleichzuziehen?

Bei Corbado haben wir uns verpflichtet, die Werkzeuge und das Fachwissen bereitzustellen, die für eine mühelose Integration von Passkeys erforderlich sind, egal ob Sie Zahlungs-Passkeys auf digitalen Plattformen implementieren oder Passkey-Lösungen für Finanzdienstleistungen erkunden. Bleiben Sie dran für weitere Einblicke und detaillierte Analysen darüber, wie Passkeys die digitale Authentifizierung gestalten.