PayPal Passkeys: Passkeys wie PayPal implementieren

• Zuerst in Q4/2022 in den USA verfügbar und dann schrittweise in verschiedenen Ländern und auf verschiedenen Plattformen eingeführt
• PayPal Passkeys erhöhen die Sicherheit beim PayPal-Login gegen Phishing und Credential Stuffing und bieten gleichzeitig ein bequemeres Erlebnis.
• Derzeit dienen Passkeys hauptsächlich für Logins in bestehende Konten, nicht für die erstmalige Registrierung von vollständig passwortlosen Konten.
• Die Einrichtung von PayPal Passkeys erfolgt manuell über den Bereich „Login und Sicherheit“ in den Kontoeinstellungen.
• PayPal war Vorreiter bei der Synchronisierung von Passkeys zwischen seiner Website und den nativen Apps und unterstützt sowohl synchronisierte als auch gerätegebundene Passkeys (wobei synchronisierte häufiger sind).
• Obwohl weltweit ein optimiertes Erlebnis geboten wird, entspricht die Implementierung in Europa den PSD2/SCA-Anforderungen, was trotz der Verwendung eines Passkeys manchmal zusätzliche Verifizierungsschritte erfordert (im Kontext von PayPal Passkey 2FA). PayPal nutzt Conditional UI für einen nahtlosen Auto-Fill-Login und bietet eine klare Nutzeraufklärung. Frühe Erfolge umfassen verbesserte Login-Raten und reduzierten Betrug, was PayPal als Vorbild für andere Finanzinstitute positioniert.

Immer mehr Unternehmen aus den verschiedensten Branchen betreten eine passwortfreie Welt und implementieren Passkeys. Mit dieser Artikelserie möchten wir einen umfassenden Überblick über die Passkey-Benutzererfahrung dieser Unternehmen geben. Dies soll Ihnen ermöglichen, diese Erkenntnisse zu nutzen und den Login für Ihr Produkt entsprechend zu verbessern. In jedem Artikel konzentrieren wir uns auf ein einzelnes Unternehmen. Heute tauchen wir in die Welt von PayPal ein.

Seit Oktober 2022 können PayPal-Nutzer in den USA Passkeys für ihre Konten erstellen, was einen bedeutenden Schritt in Richtung passwortlose Authentifizierung in der Zahlungsbranche darstellt. Nach diesem ersten Start wurden PayPal Passkeys seit Anfang 2023 schrittweise in weiteren Ländern eingeführt. Als eine der weltweit führenden digitalen Zahlungsplattformen mit über 400 Millionen Nutzern zeigt die Einführung von Passkeys durch PayPal ein starkes Engagement, Online-Zahlungen und -Überweisungen sicherer und benutzerfreundlicher zu machen. PayPal sticht als früher Pionier im Zahlungsbereich hervor und setzt ein positives Beispiel für andere Banken und Finanzinstitute.

Haftungsausschluss:

1. Der ursprüngliche Analysestatus war August 2023. Dieser Blogbeitrag wurde Ende April 2025 aktualisiert, um die neuesten Änderungen in der Passkey-Implementierung von PayPal widerzuspiegeln und aufzuzeigen, was sich seit der ersten Analyse geändert hat.
2. Bitte beachten Sie die Anwendungsfälle, um die für die Analyse verwendeten Geräte zu finden.
3. In diesem neuesten Update (April 2025) haben wir uns auf die wichtigsten Betriebssystem- und Plattformkombinationen konzentriert und nicht jede einzelne Variante im Detail getestet.

Die Entscheidung von PayPal, Passkeys einzuführen, basiert auf einer klaren strategischen Notwendigkeit, die sich aus den inhärenten Herausforderungen der traditionellen passwortbasierten Authentifizierung in der digitalen Zahlungslandschaft ergibt.

• Bekämpfung von Cyber-Bedrohungen: Die digitale Zahlungsumgebung ist ständigen Angriffen durch Phishing, Credential Stuffing (Verwendung gestohlener Passwortlisten für Login-Versuche auf anderen Websites) und Account Takeover (ATO)-Betrug ausgesetzt. Passwörter sind das schwächste Glied und anfällig für diese allgegenwärtigen Bedrohungen. Durch die Einführung von Passkeys, die kryptografisch an die spezifische Website und das Gerät gebunden sind, reduziert PayPal die Angriffsfläche für diese gängigen Betrugsformen drastisch.
• Reduzierung von Benutzerreibung und Abbrüchen: Traditionelle Anmeldevorgänge, die oft komplexe Passwörter gefolgt von Einmalpasswörtern (OTPs) oder Sicherheitsfragen beinhalten, schaffen erhebliche Reibung für die Nutzer. Vergessene Passwörter führen zu frustrierenden Wiederherstellungsprozessen, und mehrstufige Authentifizierungen können dazu führen, dass Nutzer Transaktionen abbrechen, insbesondere auf mobilen Geräten. Diese Reibung schadet direkt den Conversion Rates beim Checkout. Passkeys bieten ein optimiertes Ein-Klick-Login-Erlebnis unter Verwendung vertrauter biometrischer Authentifizierung oder Geräte-PIN und reduzieren diese Probleme drastisch.
• Verbesserung von Sicherheit und Benutzererfahrung: Grundsätzlich versucht PayPal, die langjährige Spannung zwischen Sicherheit und Komfort zu lösen. Passkeys bieten eine Möglichkeit, eine deutlich stärkere Sicherheit als Passwörter zu liefern und gleichzeitig eine einfachere, schnellere Benutzererfahrung zu bieten. Dieser doppelte Vorteil ist für eine Plattform, die sensible Finanztransaktionen abwickelt, von entscheidender Bedeutung.
• Branchenführerschaft: Als Gründungsmitglied der FIDO Alliance, der treibenden Kraft hinter dem Passkey-Standard, ist PayPal bestrebt, die Branche in Richtung einer sichereren und benutzerfreundlicheren Authentifizierung zu führen. Als eine der ersten großen Zahlungsplattformen, die Passkeys einführt, stärkt dies ihre Führungsposition und setzt einen Maßstab für Wettbewerber und Partner.

Indem PayPal diese zentralen Herausforderungen angeht und seine Position als FIDO-Führer nutzt, positionierte es Passkeys als eine grundlegende Technologie für seine zukünftige Authentifizierungsstrategie.

Die Implementierung von Passkeys durch PayPal umfasst mehrere bemerkenswerte Merkmale und Designentscheidungen, die die Benutzererfahrung und Sicherheit beeinflussen.

PayPal begann seine Passkey-Reise mit einem stufenweisen Rollout. Die Verfügbarkeit wurde erstmals im 4. Quartal 2022 in den USA eingeführt, zunächst für eine Untergruppe von Nutzern mittels A/B-Tests, wobei der Schwerpunkt auf Apple-Geräten (iOS, iPadOS, macOS) lag, die auf die Website zugriffen. Diese erste Phase ermöglichte es PayPal, Feedback zu sammeln und potenzielle Probleme in einer kontrollierten Umgebung zu identifizieren.

Weitere Rollouts begannen Anfang 2023 und wurden auf Android-Geräte (Android 9+) in den USA und später Mitte 2023 auf wichtige europäische Märkte wie Deutschland und Großbritannien ausgeweitet. Diese schrittweise Expansionsstrategie ermöglichte es PayPal, sich an verschiedene Plattformen und regionale regulatorische Anforderungen anzupassen und gleichzeitig das Risiko zu minimieren. Der Rollout wurde seitdem fortgesetzt, wobei PayPal aktiv daran arbeitet, die globale Verfügbarkeit im Laufe des Jahres 2025 zu beschleunigen, und dabei positive Ergebnisse aus der frühen Einführung anführt.

Ein wesentliches Highlight der Implementierung von PayPal ist die Möglichkeit, Passkeys innerhalb ihrer nativen mobilen Apps für Apple- und Android-Geräte zu erstellen und zu verwenden. Darüber hinaus war PayPal einer der Ersten, der eine nahtlose Synchronisierung von Passkeys zwischen der über einen Browser aufgerufenen Website und der entsprechenden nativen mobilen App auf demselben oder verschiedenen Geräten ermöglichte (über Cloud-Schlüsselbunde wie iCloud Keychain oder Google Password Manager).

Diese Synchronisierung bedeutet, dass ein Benutzer, der einen Passkey auf seinem iPhone in der PayPal-App erstellt, denselben Passkey dann verwenden kann, um sich über Safari auf seinem MacBook oder sogar über Chrome auf einem Windows-PC anzumelden (sofern über den Google Password Manager synchronisiert), vorausgesetzt, er hat sein iPhone in der Nähe, um den geräteübergreifenden PayPal-Login zu genehmigen. Dies erhöht den Benutzerkomfort und die Flexibilität erheblich. Benutzer können auch gerätegebundene Passkeys verwenden, die potenziell auf einem Hardware-Sicherheitsschlüssel gespeichert sind, obwohl synchronisierte Passkeys aufgrund der einfachen Handhabung und Verfügbarkeit über Geräteschlüsselbunde für die meisten Benutzer der gängigere Ansatz sind.

PayPal hat schnell Conditional UI integriert, was das PayPal-Login-Erlebnis erheblich verbessert. Wenn ein Benutzer zur PayPal-Anmeldeseite navigiert und auf das Eingabefeld für den Benutzernamen klickt, erscheint automatisch die native Passkey-Aufforderung des Browsers oder Betriebssystems und schlägt den für diese Website gespeicherten Passkey vor.

Dies erspart dem Benutzer die manuelle Eingabe seines Benutzernamens, geschweige denn seines Passworts. Es bietet ein optimiertes, fast Ein-Klick-Login-Erlebnis, das die in den Passkey-Standard integrierten Autofill-Funktionen nutzt. Dieser von Anfang an auf Benutzerfreundlichkeit ausgerichtete Fokus war ein Schlüsselfaktor für die Förderung der Passkey-Akzeptanz auf der PayPal-Plattform.

Innerhalb der Kontoeinstellungen, speziell im Bereich „Login und Sicherheit“, bietet PayPal den Nutzern einen klaren Überblick über ihre registrierten Passkeys. Für jeden Passkey werden Details wie das Gerät, auf dem er erstellt wurde, sein Synchronisierungsstatus (z. B. synchronisiert über iCloud Keychain) und der Erstellungszeitstempel angezeigt. Diese Transparenz hilft den Nutzern, ihre Passkeys zu verwalten und zu verstehen, wo und wann sie diese Anmeldemethode aktiviert haben.

PayPal gibt auch klare Anleitungen zum Löschen von Passkeys und erklärt, dass sie oft sowohl lokal vom Gerät/Schlüsselbund als auch vom PayPal-Server entfernt werden müssen, um vollständig abgemeldet zu werden.

Da Passkeys für viele Nutzer ein neues Konzept sind, hat PayPal in die Nutzeraufklärung investiert. Sie verwenden konsequent den Begriff „Passkeys“ und bieten detaillierte Erklärungen im Einrichtungsprozess und in ihrem speziellen FAQ-Bereich. Dazu gehören Informationen darüber, was Passkeys sind, wie sie funktionieren, der Einrichtungsprozess, die Synchronisierung und das Löschen. Durch die proaktive Beantwortung potenzieller Nutzerfragen und -bedenken möchte PayPal Vertrauen aufbauen und die Akzeptanz dieser neuen Authentifizierungsmethode fördern.

Sehen Sie sich den folgenden Screenshot an, der weitere Einblicke in den korrekten zweistufigen Löschvorgang von Passkeys gibt.

• Gelegentliche Plattform-/Browser-Einschränkungen (historisch): Wie in der ersten Analyse (August 2023) festgestellt, waren Passkeys nicht universell auf allen Geräte- und Browserkombinationen verfügbar. Beispielsweise fehlte anfangs die Unterstützung für Windows. Update April 2025: Diese Einschränkung wurde weitgehend behoben. PayPal Passkeys werden jetzt auf den meisten gängigen Betriebssystemen (iOS, macOS, Android, Windows 10+) und Browsern (Chrome, Safari, Edge, Firefox) unterstützt, was die Verfügbarkeit und Konsistenz erheblich verbessert.
• Lokales Löschen wird nicht immer erkannt: Ein kleiner technischer Nachteil, der beobachtet wurde, ist, dass, wenn ein Benutzer einen Passkey nur von seinem lokalen Gerät löscht, ohne ihn auch aus seinen PayPal-Kontoeinstellungen zu entfernen, die Ein-Klick-Anmeldeschaltfläche möglicherweise immer noch angezeigt wird, was den Benutzer verwirren könnte. Die Anzeige sollte sich idealerweise sofort nach der ersten Erkennung des lokalen Löschens aktualisieren.
• Kein echter Identifier-First-Flow auf Android (hauptsächlich Conditional UI / One-Tap): Auf Android scheint der primäre Anmeldevorgang von PayPal stark auf Conditional UI oder eine dedizierte Passkey-Schaltfläche ausgerichtet zu sein, anstatt einen traditionellen Identifier-First-Flow anzubieten, der ordnungsgemäß zurückfällt, wenn kein Passkey gefunden wird. Obwohl dies vor Account Enumeration schützt, könnte eine robustere Implementierung klarere Wege für Benutzer ohne einen auf diesem spezifischen Gerät registrierten Passkey bieten. Es ist auch unklar, warum dies auf iOS korrekt implementiert ist und auf Android nicht.

Die frühe Einführung und der Rollout von Passkeys durch PayPal haben positive Ergebnisse erbracht und die greifbaren Vorteile dieser Technologie sowohl für die Sicherheit als auch für die Benutzererfahrung gezeigt.

• Erhöhte Login-Erfolgsraten: Erste Berichte zeigten einen signifikanten Anstieg der Login-Erfolgsraten (+10 %) für Benutzer, die sich für Passkeys entschieden, im Vergleich zu traditionellen Passwortmethoden. Dies unterstreicht die reduzierte Reibung und die geringere Anzahl von Fehlern bei der Passworteingabe und -wiederherstellung.
• Reduzierter Account Takeover (ATO)-Betrug: Passkeys sind sehr widerstandsfähig gegen Phishing und Credential Stuffing, die Hauptvektoren für ATO-Betrug sind. PayPal meldete eine erhebliche Reduzierung der ATO-Betrugsversuche und -erfolge (-70 % im Jahr 2023 gemeldet) für Benutzer, die Passkeys aktiviert hatten, was die starken Sicherheitsvorteile unterstreicht.
• Schnellere Checkout-Zeiten: Für Benutzer, die Passkeys für den Login während des Checkout-Prozesses nutzen, reduziert der optimierte Authentifizierungsprozess die Zeit bis zum Abschluss der Transaktion erheblich. Berichten zufolge können die Checkout-Zeiten in idealen Szenarien auf etwa 5 Sekunden sinken.

Diese frühen KPIs unterstreichen den überzeugenden Business Case für Passkeys und beweisen, dass sie nicht nur die Sicherheit erhöhen, sondern auch kritische Geschäftskennzahlen wie Konversion und Betrugsreduzierung verbessern.

Die Implementierung von Passkeys in Europa als Bank, Zahlungsanbieter oder Finanzdienstleister stellt im Vergleich zu Regionen wie den USA besondere Herausforderungen dar, hauptsächlich aufgrund der strengen Anforderungen der Zweiten Zahlungsdiensterichtlinie (PSD2) der Europäischen Union und ihres Mandats für die Starke Kundenauthentifizierung (SCA).

PSD2 zielt darauf ab, die Sicherheit für elektronische Zahlungen im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich (das ähnliche Regeln übernommen hat) zu erhöhen. Ihr Eckpfeiler ist die SCA, die für die meisten elektronischen Zahlungsauslösungen und bestimmte Kontozugriffsaktionen eine Authentifizierung mit mindestens zwei unabhängigen Faktoren aus drei Kategorien vorschreibt:

• Wissen: Etwas, das nur der Benutzer weiß (z. B. Passwort, PIN – obwohl statische Passwörter allein oft nicht ausreichen).
• Besitz: Etwas, das nur der Benutzer besitzt (z. B. ein vertrauenswürdiges Gerät, ein Token, ein Telefon, das ein OTP empfängt).
• Inhärenz: Etwas, das der Benutzer ist (z. B. biometrische Daten wie Fingerabdruck oder Gesichtserkennung).

Darüber hinaus erfordert die SCA für Fernzahlungstransaktionen oft Dynamic Linking, was bedeutet, dass die Authentifizierung spezifisch mit dem Betrag und dem Zahlungsempfänger der Transaktion verknüpft sein muss.

Synchronisierte Passkeys sind technisch gut geeignet, um die SCA-Anforderungen zu erfüllen. Eine einzige Passkey-Authentifizierungsaktion kombiniert von Natur aus zwei Faktoren:

• Besitz: Der Benutzer besitzt das Gerät, auf dem der private Schlüssel gespeichert ist.
• Inhärenz (oder Wissen): Der Benutzer entsperrt dieses Gerät mit Biometrie (Inhärenz) oder einer Geräte-PIN/einem Passwort (Wissen), um die Verwendung des Passkeys zu autorisieren.

Es gibt jedoch keine offizielle Anleitung von den Regulierungsbehörden, wie die synchronisierte Natur von synchronisierten Passkeys und der Besitzfaktor zusammenpassen. Daher sehen viele europäische Finanzdienstleister aufgrund dieser Unsicherheit (noch) von der Einführung von Passkeys ab.

Bitte sehen Sie sich auch unsere anderen Blogbeiträge zu PSD2 und Passkeys für eine detaillierte Lektüre an:

• Gerätegebundene vs. synchronisierte Passkeys
• Analyse der PSD2- & SCA-Anforderungen
• Was SCA-Anforderungen für Passkeys bedeuten
• Auswirkungen von PSD3 / PSR auf Passkeys

Die Implementierung von PayPal in Europa scheint so angepasst zu sein, dass sie in ihre bestehende SCA-Compliance-Infrastruktur passt. Im Gegensatz zum Potenzial eines einstufigen Passkey-Logins in den USA können europäische Nutzer manchmal einen mehrstufigen Prozess für den Login oder sensible Aktionen erleben:

1. Authentifizierung mit Passkey: Dies ersetzt die Passworteingabe und erfüllt zwei Faktoren (Besitz + Inhärenz / Wissen).
2. Zusätzliche Verifizierung (falls ausgelöst): Abhängig von der Risikobewertung oder neuen Geräten, dem Transaktionsbetrag oder anderen SCA-Auslösern kann PayPal immer noch einen zusätzlichen Verifizierungsschritt verlangen, wie zum Beispiel:

• Eingabe eines per SMS zugestellten OTP.
• Genehmigung einer Push-Benachrichtigung über die PayPal-Mobil-App.

Das bedeutet, dass der Passkey in bestimmten europäischen Szenarien als ein Teil des Authentifizierungsprozesses fungiert, aber nicht immer die Notwendigkeit eines nachfolgenden, separaten Faktors beseitigt, um vollständig zu entsprechen, wie SCA für spezifische Anwendungsfälle interpretiert und durchgesetzt wird. Dies steht im Gegensatz zum idealen reibungslosen Erlebnis, bei dem der Passkey die gesamte Authentifizierung darstellt.

PayPal verwendet lokalen Speicher oder Cookies, um vertrauenswürdige Geräte zu speichern, auf denen ein synchronisierter Passkey verwendet wurde, was die Häufigkeit dieser zusätzlichen SCA-Prüfungen bei nachfolgenden Interaktionen reduziert, aber erstmalige oder risikoreiche Logins erfordern oft den zusätzlichen Besitznachweis.

PayPal erkennt die potenzielle Reibung, die dieser mehrschichtige Ansatz in Europa im Vergleich zu anderen Regionen mit sich bringt. Daher setzen sie sich aktiv für eine Weiterentwicklung der SCA-Regeln ein. Anfang 2025 empfahl PayPal öffentlich, dass die SCA-Vorschriften Authentifizierungsmethoden fördern sollten, die vollständig auf einem einzigen Gerät durchgeführt werden können (wie Passkeys, die über den integrierten Authenticator eines Geräts genutzt werden), ohne die Interaktion mit einem separaten Gerät (wie dem Empfang eines SMS-OTP) vorzuschreiben. PayPal nennt dies ergebnisbasierte starke Kundenauthentifizierung.

Dieses Engagement signalisiert PayPals strategisches Ziel, die Benutzererfahrung weltweit zu harmonisieren und das volle Potenzial von Passkeys zur Reibungsreduzierung innerhalb des europäischen regulatorischen Rahmens zu erreichen.

Es ist wichtig, die Passkeys von PayPal von der rein lokalen biometrischen Authentifizierung innerhalb der nativen PayPal iOS / Android App zu unterscheiden. Während Passkeys oft auf biometrische Authentifizierung (wie Face ID oder Touch ID auf Apple-Geräten oder Fingerabdruck-/Gesichtsscan auf Android) angewiesen sind, um die Verwendung des sicher auf dem Gerät gespeicherten privaten Schlüssels zu autorisieren, ist der Passkey selbst mehr als nur ein biometrischer Scan.

• Lokale biometrische Authentifizierung: Diese Methode authentifiziert den Benutzer gegenüber dem lokalen Gerät oder der App mittels Biometrie. Dies allein verifiziert jedoch nicht kryptografisch die Identität des Benutzers gegenüber einem Online-Dienst wie PayPal auf eine Phishing-resistente Weise. Es beweist nur, dass die Person, die das Gerät verwendet, der rechtmäßige Besitzer ist.
• PayPal Passkeys: Passkeys verwenden Public-Key-Kryptografie. Der biometrische Scan (oder die Geräte-PIN) entsperrt die Secure Enclave auf dem Gerät, um auf den privaten Schlüssel zuzugreifen. Dieser private Schlüssel wird dann verwendet, um eine Challenge vom PayPal-Server zu signieren, was den Besitz des Schlüsselpaars beweist. Dieser kryptografische Prozess ist Phishing-resistent und verifiziert die Identität des Benutzers gegenüber PayPal.

Obwohl Biometrie oft der benutzerfreundliche Auslöser für einen Passkey-Login ist, bietet die zugrunde liegende Technologie des Passkeys die starke, Phishing-resistente Online-Authentifizierung, im Gegensatz zur alleinigen lokalen biometrischen Authentifizierung.

Siehe auch unseren Blogbeitrag über Passkeys vs. lokale Biometrie für weitere Details.

Die Passkey-Authentifizierung von PayPal ist nicht auf direkte PayPal-Kontologins beschränkt. Sie kann auch über das Zahlungsanbieter-SDK von PayPal in den Checkout-Prozessen von Drittanbieter-Händlern auf Websites und in Apps verwendet werden. Dies ermöglicht es Händlern, die PayPal für die Zahlungsabwicklung nutzen, ihren Kunden ein nahtloses, sicheres und passwortloses Authentifizierungserlebnis direkt in ihren Checkout-Prozessen anzubieten. Die Nutzung von Passkeys über das SDK von PayPal optimiert den Zahlungsprozess erheblich, reduziert die Reibung und erhöht die Sicherheit, indem Phishing-Risiken und Credential-Stuffing-Angriffe gemindert werden. Für eine umfassende Anleitung und technische Details zur Implementierung von Passkeys in Drittanbieter-Kontexten verweisen wir auf unseren speziellen Artikel zur Integration von Drittanbieter-SDKs mit Passkeys.

Die technische Implementierung von PayPal konzentriert sich stark auf die Nutzung moderner Passkey-Funktionen, um die Benutzererfahrung zu optimieren, hauptsächlich durch Conditional UI und dedizierte Passkey-Schaltflächen.

• Conditional UI / One-Tap-Login: Wie bereits erwähnt, aktiviert PayPal Conditional UI auf seiner Anmeldeseite. Wenn ein Benutzer das Eingabefeld für den Benutzernamen fokussiert, bietet der Browser/das Betriebssystem automatisch den Passkey als Autofill-Option an und zeigt die mit dem Passkey verknüpfte E-Mail-Adresse des Benutzers an. PayPal verwendet auch eine dedizierte „Mit Passkey einloggen“-Schaltfläche, die besonders sichtbar ist, wenn kein Benutzername vorausgefüllt ist oder bei nachfolgenden Logins. Dies ermöglicht einen PayPal-Login, ohne zuerst eine Kennung eingeben zu müssen.
• Kein traditioneller Identifier-First-Flow auf Android: Auf Android scheint der Flow von PayPal so konzipiert zu sein, dass der Passkey die primäre Methode ist, wenn einer existiert. Es gibt keinen prominenten, expliziten Identifier-First-Flow, bei dem ein Benutzer seine E-Mail-Adresse eingibt und das System dann nach einem Passkey sucht und möglicherweise auf ein Passwort zurückfällt, wenn keiner gefunden wird. Obwohl dieses Design hilft, Account Enumeration (Angreifer, die gültige E-Mail-Adressen erraten) zu verhindern, könnte es für Benutzer, die ihre Kennung angeben und dann eine Anmeldemethode wählen müssen (oder im Fall von PayPal keine Passkeys, sondern nur ein Passwort verwenden können), weniger intuitiv sein. Für iOS wurde der Identifier-First-Flow mit automatischem Passkey-Login-Start korrekt implementiert.
• Implementierung in nativen Apps: In den nativen PayPal-Apps ist das Passkey-Erlebnis noch stärker integriert. Conditional UI wird oft automatisch ausgelöst, wenn die App geöffnet wird oder zum Anmeldebildschirm navigiert, und präsentiert sofort die mit dem Passkey verknüpfte E-Mail-Adresse des Benutzers und fordert zur biometrischen Authentifizierung oder PIN auf.
• Geräte-Erinnerung und nachfolgende SCA: PayPal implementiert eine Logik, um ein vertrauenswürdiges Gerät nach einem erfolgreichen Passkey-Login zu „erinnern“, insbesondere in Europa, um die SCA-Konformität zu verwalten. Dies basiert auf lokalem Speicher (Cookies oder App-Speicher). Wenn der Benutzer den Speicher löscht oder die Funktion „Dieses Gerät merken“ explizit deaktiviert, können nachfolgende Passkey-Logins auf diesem Gerät zusätzliche SCA-Schritte auslösen.

PayPal hat eine umfassende FAQ veröffentlicht, die eine detaillierte Erklärung zu Passkeys bietet und Benutzer durch den Einrichtungsprozess führt. Dies spiegelt die Erkenntnis wider, dass Benutzer über die Technologie und Funktionalität hinter Passkeys aufgeklärt werden müssen, da nicht jeder damit vertraut sein mag.

Um neue Passkeys für Ihr PayPal-Konto zu registrieren, folgen Sie diesen Schritten:

1. Klicken Sie auf das Einstellungssymbol (Webbrowser) oder das Profilsymbol (App) in der oberen rechten Ecke
2. Klicken Sie auf Sicherheit (Webbrowser) oder Login und Sicherheit (App)

3. Klicken Sie auf Passkey

4. Klicken Sie auf die Schaltfläche Passkey erstellen

August 2023 Erklärung zur Passkey-Erstellung

Im Laufe der Zeit hat PayPal seine Nachrichten und den Benutzertext bei der Erstellung eines Passkeys wie folgt verbessert

April 2025 Erklärung zur Passkey-Erstellung

Beachten Sie, dass wir die Anwendungsfälle nur mit Passkey-fähigen Geräten durchgeführt haben (z. B. kein iPhone vor iOS 16.0, kein MacBook vor macOS Ventura, kein Windows-Gerät vor Windows 10). Wir verwenden für jeden Anwendungsfall dasselbe PayPal-Konto.

Um den ersten Passkey für unser PayPal-Konto einzurichten, klicken wir auf ‚Passkey erstellen‘, wie zuvor in Abschnitt 3 gezeigt.

Bemerkenswert ist, dass der Nutzer an dieser Stelle erneut darüber informiert wird, was es mit Passkeys auf sich hat. Dies zeigt, dass PayPal Nutzer aufklären möchte, die Passkeys noch nicht kennen.

Nach dem Klick auf ‚Passkey erstellen‘ verlangt PayPal die Bestätigung unserer Identität durch eine Zwei-Faktor-Authentifizierung.

August 2023

April 2025

Sobald dies erfolgreich verifiziert wurde, kann ein Passkey erstellt werden, und das standardmäßige Apple-Passkey-Pop-up erscheint, das uns auffordert, Face ID zu verwenden.

Nach erfolgreicher Registrierung erhalten wir eine Benachrichtigung, die die erfolgreiche Erstellung des Passkeys bestätigt.

In den ‚Login und Sicherheit‘-Einstellungen können wir nun Details zum Passkey einsehen oder ihn sogar wieder entfernen. Die Eigenschaften umfassen Informationen über das Gerät, auf dem der Passkey erstellt wurde, und ob er synchronisiert wurde, zusammen mit einem Zeitstempel für die Erstellung.

Wenn Sie einen Passkey löschen möchten, bietet PayPal den Nutzern eine hervorragende Anleitung, dass Passkeys lokal und serverseitig gelöscht werden müssen.

Bei Verwendung derselben Browser-Betriebssystem-Kombination, für die bereits ein Passkey gespeichert wurde, erkennt PayPal dies und zeigt die Option ‚Passkey erstellen‘ nicht an. Erst nachdem der Passkey wieder vom Gerät entfernt wurde, können Sie einen neuen installieren.

Wenn wir uns in die PayPal iOS-App einloggen möchten, verwenden wir den zuvor auf diesem Gerät erstellten Passkey. Sobald wir die App öffnen, erscheint das standardmäßige Apple-Passkey-Pop-up, das uns auffordert, uns mit Face ID einzuloggen. Wenn das Eingabefeld für den Benutzernamen leer ist, erscheint das Passkey-Fenster nicht sofort, aber aufgrund der aktivierten Conditional UI wird der gespeicherte Passkey automatisch vorgeschlagen und vorausgefüllt, sobald wir auf das Feld klicken.

Nach der Überprüfung unserer Identität mit Face ID wird der Passkey erfolgreich abgerufen, was uns Zugang zu unserem Konto gewährt.

Im August 2023 war es noch nicht möglich, einen Passkey auf einem MacBook zu erstellen (dies wurde im April 2025 behoben). Wir konnten uns jedoch mit einem einloggen, der im Apple Keychain synchronisiert ist. In diesem Anwendungsfall haben wir den Passkey abgerufen, den wir in Anwendungsfall 1 auf unserem iPhone registriert haben.

Sobald wir die PayPal-Seite im Browser aufrufen, wird uns das bekannte Safari-Passkey-Pop-up angezeigt. Hier haben wir ‚iPhone, iPad oder Android-Gerät‘ ausgewählt, was das iPhone im Schlüsselbund einschließt, das den Passkey aus Anwendungsfall 1 enthält.

Wir scannen den QR-Code mit dem Gerät, auf dem unser Passkey gespeichert ist (in diesem Fall aus Anwendungsfall 1).

Nach dem Einloggen mit dem Passkey auf dem iPhone müssen wir unsere Identität noch mit 2FA bestätigen, wenn wir es zum ersten Mal auch für unser MacBook verwenden, bevor wir dann in unser PayPal-Konto eingeloggt sind.

In diesem Anwendungsfall generieren wir einen Passkey auf einem Android-Gerät mit der PayPal-App und speichern ihn im Google Password Manager. Der Prozess zur Generierung des Passkeys für die Android PayPal-App ist derselbe wie für die iPhone PayPal iOS-App, mit dem einzigen Unterschied, dass wir den Passkey auf Android mit den biometrischen Touch-Funktionen von Android anstelle von Face ID erstellen und dass es in diesem Schritt möglich ist, das Google-Konto anzugeben, in dem der erstellte Hauptschlüssel gespeichert wird. Sobald unser Fingerabdruck erfolgreich registriert wurde, erhalten wir eine Benachrichtigung, die die erfolgreiche Erstellung des Passkeys bestätigt. Der Passkey wird nun im Abschnitt Passkeys in den Login- und Sicherheitseinstellungen angezeigt.

Im Gegensatz zum iPhone erkennt das Android-Telefon nicht, dass bereits ein Passkey auf dem Gerät vorhanden ist, und zeigt weiterhin die Option ‚Passkey erstellen‘ an. Wenn Benutzer dann einen Passkey einrichten möchten, erkennt PayPal dies und verhindert die Erstellung eines neuen und das Überschreiben eines bestehenden Passkeys.

Weiterhin erkannte das Telefon im August 2023 nicht, ob bereits ein Passkey für ein anderes Android-Telefon im Google Password Manager gespeichert ist, und erlaubte die Erstellung eines zweiten Passkeys. Dies wurde bis April 2025 behoben.

Wenn wir uns in die PayPal Android-App einloggen möchten, verwenden wir den zuvor auf diesem Gerät erstellten Passkey. Sobald wir die App öffnen, erscheint das standardmäßige Android-Passkey-Pop-up, das uns auffordert, uns mit Touch ID einzuloggen. Wenn das Eingabefeld für den Benutzernamen leer ist, erscheint das Passkey-Fenster nicht sofort, aber aufgrund der aktivierten Conditional UI wird der gespeicherte Passkey automatisch vorgeschlagen und vorausgefüllt, sobald wir auf das Feld klicken.

Android und Chrome

Native iOS-App

iOS und Safari beim Beginn der Benutzernameneingabe

iOS und Safari beim Laden der Seite

Nach der Überprüfung unserer Identität mit Face ID wird der Passkey erfolgreich abgerufen, was uns Zugang zu unserem Konto gewährt.

PayPal hat sich als klarer Vorreiter bei der Einführung von Passkeys in der Finanzdienstleistungs- und Zahlungsbranche etabliert. Ihr früher Start, der schrittweise globale Rollout und das Engagement für zentrale Passkey-Funktionen wie Conditional UI und das Angebot eines Ein-Klick-Passkey-Logins zeigen einen zukunftsorientierten Ansatz zur Verbesserung von Sicherheit und Benutzererfahrung.

Indem PayPal Passkeys strategisch als Ersatz für Passwörter positioniert, begegnet es direkt verbreiteten Bedrohungen wie Phishing und Credential Stuffing, was zu greifbaren Vorteilen wie reduziertem Betrug und erhöhten Login-Erfolgsraten führt. Der optimierte PayPal-Login-Prozess, der oft nur einen schnellen biometrischen Scan erfordert, bietet eine erhebliche Verbesserung der Benutzerfreundlichkeit gegenüber traditionellen Passwort- und OTP-Flows.

Obwohl die Integration von Passkeys in Europa die Bewältigung der Komplexität von PSD2 und SCA erfordert, was manchmal zu mehrstufigen Authentifizierungsabläufen führt, die vom idealen Passkey-Erlebnis abweichen, unterstreicht PayPals aktives Eintreten für eine regulatorische Weiterentwicklung ihr Engagement für eine harmonisiertere und reibungslosere globale Erfahrung. Ihre technische Implementierung, die sich auf Conditional UI und die Integration in native Apps konzentriert, zeigt Best Practices für den Einsatz von Passkeys.

PayPals Weg mit Passkeys bietet eine überzeugende Blaupause für andere Banken, Zahlungsanbieter und Finanzinstitute. Es zeigt, dass die Einführung dieses modernen Authentifizierungsstandards nicht nur in einem stark regulierten Umfeld machbar ist, sondern auch erhebliche Vorteile in Bezug auf Sicherheit, Geschäft und Benutzererfahrung bietet. Während PayPal seinen globalen Passkey-Rollout im Jahr 2025 und darüber hinaus weiter beschleunigt, ebnen sie den Weg für eine sicherere und passwortlose Zukunft für Online-Zahlungen. Hoffentlich werden viele andere ihrem Beispiel folgen. Zögern Sie nicht, uns bei Fragen zu zahlungsbezogenen Passkeys zu kontaktieren.

Was sind PayPal Passkeys?

PayPal Passkeys sind eine moderne, sichere Methode, um sich ohne Passwort in Ihr PayPal-Konto einzuloggen. Sie verwenden Kryptografie und werden sicher auf Ihrem Gerät (wie Ihrem Smartphone oder Computer) oder in einem Cloud-synchronisierten Passkey-Manager (wie iCloud Keychain oder Google Password Manager) gespeichert.

Wie verbessern PayPal Passkeys die Sicherheit?

PayPal Passkeys sind Phishing-resistent, da sie an die spezifische PayPal-Website gebunden sind und nicht dazu verleitet werden können, auf gefälschten Seiten zu funktionieren. Sie schützen auch vor Credential Stuffing und Datenlecks, da Ihr privater Schlüssel Ihr Gerät niemals verlässt. Dies bietet eine stärkere Sicherheit als herkömmliche Passwörter und kann weniger sichere Methoden wie SMS-OTPs ersetzen, wodurch sie als robuste Form der 2FA fungieren.

Wie richte ich einen PayPal Passkey ein?

Sie können einen Passkey im Bereich „Login und Sicherheit“ in Ihren PayPal-Kontoeinstellungen auf der PayPal-Website oder in der nativen mobilen App einrichten. Der Prozess umfasst die Überprüfung Ihrer Identität und die anschließende Verwendung der Bildschirmsperrmethode Ihres Geräts (wie Fingerabdruck- oder Gesichtsscan oder Geräte-PIN), um den Passkey zu erstellen und zu speichern.

Kann ich PayPal Passkeys auf mehreren Geräten verwenden?

Ja, wenn Sie einen Passkey-Manager verwenden, der über Geräte hinweg synchronisiert (wie iCloud Keychain für Apple-Geräte oder Google Password Manager für Android und Chrome), kann Ihr PayPal Passkey für einen nahtlosen PayPal-Login auf all Ihren synchronisierten Geräten verwendet werden. In einigen Fällen müssen Sie den Login möglicherweise auf einem anderen Gerät in der Nähe genehmigen.

Ersetzen PayPal Passkeys Passwörter vollständig?

Für Benutzer, die einen Passkey eingerichtet haben, bietet dieser einen passwortlosen PayPal-Login. Derzeit dienen Passkeys hauptsächlich zum Einloggen in bestehende Konten, und Sie können sich nicht für ein neues PayPal-Konto anmelden, ohne zunächst ein Passwort festzulegen. Das strategische Ziel ist jedoch, sich in eine passwortlose Zukunft zu bewegen, in der Passkeys die primäre Authentifizierungsmethode sind.

Sind PayPal Passkeys eine Art von 2FA?

Passkeys bieten von Natur aus eine Multi-Faktor-Authentifizierung (etwas, das Sie haben – das Gerät mit dem Schlüssel, und etwas, das Sie sind – Biometrie, oder etwas, das Sie wissen – Geräte-PIN). Wenn sie für den PayPal-Login verwendet werden, ersetzen sie das Passwort und dienen als sehr starke Authentifizierungsmethode, die 2FA-Anforderungen erfüllen kann. In Europa kann aufgrund der SCA-Regeln manchmal auch nach der Verwendung eines Passkeys ein zusätzlicher Schritt erforderlich sein.

Kann ich einen physischen Sicherheitsschlüssel als PayPal Passkey verwenden?

Ja, der Passkey-Standard unterstützt die Verwendung von FIDO2-Sicherheitsschlüsseln (wie YubiKeys) zum Speichern von Passkeys. Obwohl dies für den durchschnittlichen Benutzer im Vergleich zu Cloud-synchronisierten Passkeys weniger verbreitet ist, ist dies eine unterstützte Methode für diejenigen, die einen hardwaregestützten Passkey bevorzugen.

Sind PayPal Passkeys in meinem Land verfügbar?

PayPal begann Ende 2022 mit der Einführung von Passkeys in den USA und hat diese schrittweise auf andere Länder ausgeweitet, einschließlich wichtiger europäischer Märkte wie Deutschland und Großbritannien seit Mitte 2023. PayPal beschleunigt den globalen Rollout im Jahr 2025. Überprüfen Sie Ihre Kontoeinstellungen oder das Hilfe-Center von PayPal für die neueste Verfügbarkeit in Ihrer Region.

Was soll ich tun, wenn mein PayPal Passkey nicht funktioniert?

Wenn Ihr PayPal Passkey nicht funktioniert, überprüfen Sie zunächst die Kompatibilität Ihres Geräts und Browsers (Chrome, Safari, Edge, Firefox mit den neuesten Updates). Versuchen Sie, Ihren Passkey über Ihre Kontoeinstellungen zu entfernen und erneut hinzuzufügen. Das Leeren des Caches oder ein Neustart Ihres Browsers/Geräts kann ebenfalls häufige Probleme beheben.

Sind PayPal Passkeys in Australien verfügbar?

Ja, PayPal hat die Verfügbarkeit von Passkeys seit Anfang 2024 schrittweise auf Australien ausgeweitet. Australische Benutzer können Passkeys über den Bereich „Login und Sicherheit“ in ihren PayPal-Kontoeinstellungen aktivieren. Stellen Sie sicher, dass Ihr Gerät Passkeys unterstützt (iOS 16+, Android 9+, macOS Ventura, Windows 10+), um das beste Erlebnis zu gewährleisten.

Welche Browser unterstützen PayPal Passkeys?

PayPal Passkeys werden von modernen Browsern wie Chrome, Safari, Edge und Firefox weitgehend unterstützt. Stellen Sie sicher, dass Ihr Browser auf die neueste Version aktualisiert ist, um optimale Kompatibilität und Sicherheit zu gewährleisten.

Wie aktiviere ich den Passkey-Login für PayPal?

Um PayPal Passkeys zu aktivieren, loggen Sie sich in Ihr Konto ein, navigieren Sie zu „Login und Sicherheit“, wählen Sie „Passkeys“ und folgen Sie den Anweisungen, um Ihren Passkey mit der integrierten biometrischen Authentifizierung oder PIN Ihres Geräts zu erstellen und zu registrieren.

Kann ich PayPal Passkeys mit Firefox verwenden?

Ja, PayPal Passkeys werden in Firefox unterstützt. Stellen Sie sicher, dass Ihr Firefox-Browser auf die neueste Version aktualisiert ist. Sie können Passkeys über Ihre PayPal-Kontoeinstellungen erstellen und verwalten und dabei die native Passkey-Unterstützung von Firefox nutzen.

Wie funktioniert der PayPal Passkey QR-Code-Login?

Wenn Sie sich von einem Gerät ohne gespeicherten Passkey bei PayPal anmelden, können Sie einen auf dem Bildschirm angezeigten QR-Code mit einem Gerät scannen, das Ihren Passkey besitzt. Der QR-Code löst die Authentifizierung auf Ihrem primären Gerät aus und meldet Sie sicher an, ohne Passwörter eingeben zu müssen.

Ist der PayPal Passkey im Vereinigten Königreich verfügbar?

Ja, PayPal Passkeys sind seit Mitte 2023 im Vereinigten Königreich verfügbar. Britische Benutzer können Passkeys über ihre PayPal-Kontoeinstellungen einrichten und sichere, passwortlose Logins auf unterstützten Geräten genießen.

Kann ich YubiKey für Passkeys in PayPal verwenden?

Ja, PayPal unterstützt Hardware-Sicherheitsschlüssel wie YubiKey für die Passkey-Authentifizierung. Sie können Ihren YubiKey über die Passkey-Einrichtung von PayPal unter „Login und Sicherheit“ registrieren und so eine robuste, hardwaregestützte Sicherheit für Ihr Konto gewährleisten.

Warum muss ich nach der Verwendung von Passkeys einen 2FA-Code eingeben?

In bestimmten Regionen wie Europa können regulatorische Anforderungen gemäß PSD2/SCA auch nach einer erfolgreichen Passkey-Authentifizierung einen zusätzlichen Verifizierungsschritt vorschreiben. Dieser zusätzliche 2FA-Schritt gewährleistet die Einhaltung der Vorschriften und erhöht die Kontosicherheit, insbesondere bei Logins von neuen oder risikoreichen Geräten.