Revolut Passkeys: Mutiger Schritt mit Verbesserungspotenzial

Beim digitalen Banking hat das Bedürfnis nach starker Sicherheit ohne Einbußen bei der Benutzererfahrung zu innovativen Lösungen geführt. Darunter stechen Passkeys als neuer Standard für die Benutzerauthentifizierung hervor. Revolut, eine führende Neo-Bank mit Sitz in London, hat kürzlich und stillschweigend damit begonnen, Passkeys für Privat- und Business-Konten einzuführen. Dieser strategische Schritt entspricht nicht nur der wachsenden Nachfrage nach sichereren und komfortableren digitalen Erlebnissen, sondern positioniert Revolut auch als Pionier bei der Einführung von Passkeys im Bankensektor.

Erhalten Sie ein kostenloses Passkey Assessment in 15 Minuten.

Kostenlose Beratung buchen

Mit der Einführung von Passkeys folgt Revolut dem Trend der Tech-Giganten, wobei Coinbase, WhatsApp, Nintendo und Uber die Passkey-Welle anführen. Im Finanzsektor ist Revolut eine der ersten Banken, wenn nicht sogar die bisher größte Bank, die Passkeys einführt.

Banking-Passkeys-Report. Praxisnahe Leitfäden, Rollout-Muster und KPIs für Passkey-Programme.

Report erhalten

Haftungsausschluss: Wir gehen davon aus, dass Passkeys in den kommenden Wochen schrittweise in größerem Umfang eingeführt und Fehler behoben werden. Wir werden den Beitrag entsprechend aktualisieren. Die aktuelle Version ist vom 7. Februar 2024.

Passkeys stellen die nächste Stufe der passwortlosen Authentifizierung dar und bieten Benutzern eine nahtlose, aber sichere Möglichkeit, auf ihre Konten zuzugreifen. Im Gegensatz zu herkömmlichen Passwörtern entfällt bei Passkeys die Notwendigkeit, sich komplexe Passwörter zu merken. Stattdessen basieren sie auf asymmetrischer Kryptografie mit Schlüsseln, die für jeden Benutzer und jedes Gerät einzigartig sind. Diese Methode erhöht nicht nur die Sicherheit, indem sie das Risiko von Phishing-Angriffen und Datenlecks verringert, sondern vereinfacht auch den Login-Prozess, da Benutzer lediglich Face ID, Touch ID oder Windows Hello verwenden müssen, was die allgemeine Benutzererfahrung verbessert.

Revolut folgt einer schrittweisen Einführung von Passkeys und führt Funktionen auch nicht gleichzeitig für Business- und Privatkonten ein. Die wichtigsten Unterschiede, die uns während unserer Recherche aufgefallen sind, werden in der folgenden Tabelle beschrieben:

Die folgenden Aspekte sind bei der Passkey-Integration von Revolut positiv hervorzuheben:

• Sichere digitale Marktführerschaft im Bankensektor: Indem Revolut bei der Einführung von Passkeys vorangeht, sichert das Unternehmen nicht nur seine Position als digitaler Marktführer in der Banking-Landschaft, sondern ermutigt auch andere Finanzinstitute, diesem Beispiel zu folgen.
• Verbesserung der Benutzererfahrung: Passkeys sind die einfachste Form der Benutzerauthentifizierung, da Benutzer kein zweites Gerät für MFA benötigen und sich keine komplexen Passwörter merken müssen.
• Einsparung von SMS-OTP-Kosten: Eine der treibenden Kräfte hinter Passkey-Initiativen auf Unternehmensebene sind oft nicht nur UX-Verbesserungen und Sicherheitsvorteile, sondern auch die Einsparung enormer Kosten für veraltete und eher unsichere SMS-OTPs (die bei Banken immer noch weit verbreitet sind).

Während Revoluts mutiger Schritt in Richtung Passkey-Integration lobenswert ist, verlief der Rollout nicht ohne Mängel.

• Mangel an informativen Passkey-Ressourcen: Das Fehlen offizieller Passkey-FAQs oder -Anleitungen für Nutzer (wir haben keine gefunden) deutet auf eine Lücke in der Kommunikation des Rollouts hin, auch wenn den Nutzern Funktionen angeboten werden. Die Bereitstellung einer detaillierten Dokumentation kann helfen, Passkeys zu entmystifizieren und allen Nutzern einen reibungsloseren Übergang zu ermöglichen.
• Inkonsistente Passkey-UX: Beobachtungen zeigen, dass die Verfügbarkeit und Funktionalität von Passkey-Funktionen je nach Gerät und Plattform variieren. Die Gewährleistung einer konsistenten Benutzererfahrung, bei der Passkey-Einstellungen zuverlässig angezeigt werden und Passkey-Werbe-Popups zu echten Passkey-Erstellungszeremonien führen (bei unseren Tests funktionierte dies nur auf Windows 11), würde das Vertrauen der Benutzer stärken.
• Fehlende Conditional UI: Die Einführung von Conditional UI könnte ein Game-Changer sein. Die Steigerung der Benutzererfahrung durch das Angebot nicht nur passwortloser, sondern auch benutzernamenloser Logins würde den Login-Prozess weiter optimieren und intuitiver machen.
• Keine native App-Integration: Derzeit erstreckt sich Revoluts Mobile-First-Ansatz nicht auf die Passkey-Unterstützung innerhalb seiner nativen iOS- und Android-Anwendungen. Die Integration von Passkeys in native Apps würde die hohe Passkey-Bereitschaft von iOS- und Android-Geräten nutzen.
• Keine einheitliche Authentifizierung über Plattformen hinweg: Die Überbrückung der Lücke zwischen Web- und nativer App-Passkey-Authentifizierung stellt eine komplexe Herausforderung dar (lesen Sie diesen Blogbeitrag für weitere technische Details zu einem Beispiel-Setup). Die Schaffung eines einheitlichen Authentifizierungsmechanismus, der gemeinsam genutzte Passkeys zwischen der Web-App, iOS-App und Android-App ermöglicht, könnte jedoch die Sicherheit und den Benutzerkomfort erhöhen.

Revolut hat Passkeys eingeführt

Mit Passkeys starten

Im Folgenden gehen wir näher auf Revolut Personal- und Business-Konten ein und wie Passkeys auf ausgewählten Geräten und Plattformen eingeführt werden.

Wir beginnen die Analyse der Revolut Business Passkeys mit einem genaueren Blick auf die Webanwendung, bevor wir die nativen Apps analysieren.

Um die Dinge im Folgenden präzise zu halten, heben wir nur bestimmte Plattform-, Geräte- und Browser-Kombinationen hervor.

Beachten Sie, dass Sie das Passkey-Popup von Revolut nur einmal erhalten, nachdem Sie sich erfolgreich mit den vorhandenen Authentifizierungsmethoden angemeldet haben. Um das Popup erneut auszulösen, müssen Sie entweder die Revolut-Cookies löschen oder im Inkognito- / privaten Browsermodus auf die Website zugreifen.

Wenn Sie die Login-Seite für Revolut Business aufrufen, fällt Ihnen sofort eine neue prominente Login-Option auf, die sich unter dem E-Mail-Eingabefeld und über den sozialen Logins von Google / Apple befindet. Sie trägt die Bezeichnung: Continue with passkey.

Das Werbe-Passkeys-Popup sieht wie folgt aus:

Interessanterweise sind die Passkeys bei Revolut Business an die Telefonnummer gebunden, obwohl die primäre Benutzerkennung die E-Mail-Adresse ist. Wahrscheinlich liegt das daran, dass Revolut Personal-Konten zunächst mit einer Telefonnummer erstellt werden.

Nachdem Sie nun erfolgreich einen Passkey auf Windows 11 und Chrome erstellt haben, können Sie sich abmelden und auf der Login-Seite auf Continue with passkey klicken. Anschließend erscheint die Browser-UI für die Passkey-Authentifizierung:

Im Gegensatz zum aktuellen Login-Verfahren für Revolut Business, bei dem Sie ein Passwort angeben und Ihre Identität per Push-Benachrichtigung in der nativen App oder per E-Mail-Magic-Link als zweiten Faktor bestätigen müssen, ist für Passkey-Logins keine zusätzliche Authentifizierungsmethode erforderlich, da Passkeys von Natur aus als 2FA dienen. Dies stellt eine deutliche Verbesserung der Benutzererfahrung dar, insbesondere auf Desktop-Geräten, da der Kontextwechsel oder die Verwendung eines zweiten Geräts entfällt.

Auf Android 14 und in Chrome 121 ist der Continue with passkey-Login-Button sehr prominent.

Unter iOS 17.3 und in Safari ist der Continue with passkey-Login-Button ebenfalls sehr prominent.

Die nativen iOS- und Android-Apps für Revolut Business unterstützen noch keine Passkeys. Daher gibt es keine Passkey-Option im Bereich "Sicherheit & Datenschutz" der iOS- (siehe Screenshot) oder Android-App:

Einer der ersten Unterschiede, die man beachten sollte, ist, dass Revolut Personal die Telefonnummer als primäre Benutzerkennung verwendet. Anstelle eines Passworts erfolgt die Authentifizierung über einen 6- bis 12-stelligen Passcode, während Revolut Business einen 4-stelligen Passcode verwendet und beim Standard-Login-Prozess auf das Passwort zurückgreift.

Um die Dinge im Folgenden präzise zu halten, heben wir nur bestimmte Plattform-, Geräte- und Browser-Kombinationen hervor.

Abonnieren Sie unseren Passkeys Substack für aktuelle News.

Abonnieren

Das folgende Werbe-Passkey-Popup wird beim ersten Login (oder nach dem Löschen Ihrer Cookies / im privaten Browsermodus) angezeigt:

Aus irgendeinem Grund wurden wir nach dem Klick auf Add passkey im vorherigen Bildschirm direkt zur eingeloggten Seite weitergeleitet, ohne die Möglichkeit zu haben, die Passkey-Erstellung mit Touch ID zu initiieren. Bei der Untersuchung des Problems fanden wir den entsprechenden API-Aufruf (https://sso.revolut.com/api/challenges /webauthn) im Netzwerk-Tab der Entwicklertools von Safari. Dieser API-Aufruf gab jedoch den HTTP-Statuscode 403 zurück, was darauf hindeutet, dass die Funktion offenbar noch nicht vollständig eingeführt wurde.

Im Gegensatz zum Revolut Business-Konto enthalten die Kontoeinstellungen in Revolut Personal einen Bereich für Passkeys:

Das folgende Werbe-Passkey-Popup wird beim ersten Login (oder nach dem Löschen Ihrer Cookies / im privaten Browsermodus) angezeigt:

Die nativen iOS- und Android-Apps für Revolut Personal unterstützen noch keine Passkeys. Sowohl die iOS-App als auch die Android-App (siehe Screenshots unten) verfügen jedoch über einen Sicherheitseinstellungsbereich für Passkeys:

Im Folgenden gehen wir genauer auf einige technische Aspekte ein.

Wir haben die technischen Implementierungsdetails untersucht. In erster Linie wird jedes Mal, wenn die Login-Seite geladen wird, eine client_id an das Backend gesendet, das dann basierend auf dem Kontotyp unterschiedliche Authentifizierungsoptionen zurückgibt:

• Business-Konto: Apple, Google, Passkeys (WebAuthn) Login
• Personal-Konto: Apple, Google Login

Interessanterweise wurde die Passkey-Option für Revolut Personal-Konten vorbereitet, ist aber noch nicht aktiviert (siehe Screenshot unten). Dies deutet darauf hin, dass ein Rollout unmittelbar bevorstehen und zügig umgesetzt werden könnte, um auch für Privatkonten einen "Continue with passkey"-Button zu ermöglichen.

Die Entscheidung über die Anzeige der Login-Optionen basiert auf der client_id. Zum Beispiel: https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde Zu experimentellen Zwecken haben wir die client_id in einen zufälligen Wert geändert. Dadurch wurden auf Windows 11 mit Chrome alle Login-Optionen (inkl. der Möglichkeit, zwischen Telefonnummer und E-Mail als Login-Kennung zu wechseln) angezeigt.

Während des Logins haben wir die PublicKeyCredentialRequestOptions analysiert. Auffällig war, dass allowCredentials nicht gesetzt wurde, während die Relying Party ID als "sso.revolut.com" festgelegt wurde. Die userVerification auf preferred zu setzen, ist aus Sicherheitssicht eine sinnvolle Wahl.

publicKeyCredentialRequestOptions.json
{
    "allowCredentials": [],
    "challenge": "WHAxZnJDaDB1VnNXMmlOQW1hVndqdTYzSzF3emR3b3gtRFRCWHVxRjJYRQ",
    "rpId": "sso.revolut.com",
    "userVerification": "preferred"
}

Wir haben auch analysiert, wie ein Rollout auf die nativen iOS- und Android-Apps aussehen könnte. Dazu haben wir die Relying Party ID sso.revolut.com verwendet und die Pfade zur assetlinks.json (Android) und apple-app-site-association (iOS) Datei angehängt, um zu sehen, welche Informationen diese Dateien möglicherweise bereits bezüglich des Passkey-Rollouts enthalten.

Der Versuch, auf https://sso.revolut.com/.well-known/assetlinks.json zuzugreifen, führt zu einem 404-Fehler von Nginx, was auf die Verwendung eines Reverse-Proxys für die Dateiverwaltung hindeutet. Durch Verwendung der Domain https://app.revolut.com haben wir die assetlinks.json unter https://app.revolut.com/.well- known/assetlinks.json lokalisiert, welche aufschlussreiche Informationen für Revolut Personal lieferte:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "11:F2:5B:D6:30:60:CE:B4:EF:EC:48:7C:C8:1F:6D:3D:D0:3A:75:C3:E9:D2:C5:32:3D:69:55:9D:C1:7F:6A:23"
            ]
        }
    },
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut.test",
            "sha256_cert_fingerprints": [
                "90:EC:5D:75:11:4E:67:B7:F1:3F:C0:D0:57:85:9B:78:0D:A0:BA:49:E2:22:4C:60:42:7E:D2:EA:00:84:D1:B7"
            ]
        }
    }
]

Über https://well-known.dev haben wir auch die Association-Datei für Revolut Business unter https://business.revolut.com/.well-known/assetlinks.json entdeckt:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.business",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "9F:07:80:54:0F:3A:C9:6F:D7:26:02:8A:37:C5:CD:48:DB:A3:67:EE:2D:93:B3:9D:DE:51:BC:F2:2E:7F:B1:88",
                "F8:F5:95:3A:C3:85:DB:0D:85:C3:56:E9:9B:37:BD:CA:4D:EE:B0:D2:52:C6:2A:36:4F:BA:C8:3B:C6:AF:3A:C2"
            ]
        }
    }
]

Da sich weder die assetlinks.json-Datei für Revolut Personal noch diejenige für Revolut Business auf dem Pfad befindet, der durch die Relying Party ID für die Verknüpfung der nativen Android-App mit der Web-App vorgesehen ist, bleibt es spannend, welche Änderungen erforderlich sind, damit Passkeys über Web- und native Android-Apps hinweg funktionieren.

Die apple-app-site-association-Datei für Revolut Personal ist unter https://revolut.com/.well-known/apple-app-site-association abrufbar. Bisher wurden keine Details zu Web Credentials hinzugefügt:

apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            }
        ]
    }
}

Im Gegensatz dazu enthält die Revolut Business apple-app-site-association-Datei umfassendere Informationen, insbesondere zu Web Credentials. Dies deutet darauf hin, dass die iOS-App QUZEZSEARC.com.revolut.business so konfiguriert ist, dass sie Anmeldeinformationen mit der Revolut Business-Webanwendung teilt. Sie ist unter https://business.revolut.com/.well-known/apple-app-site-association abrufbar.

{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.business",
                "paths": [
                    "/",
                    "/accept-payments/in-person",
                    "/accept-payments/online-requests",
                    "/accept-payments/web-integrations",
                    "/accounts",
                    "/accounts/connect-external",
                    "/accounts/connect-external/*",
                    "/accounts/new",
                    "/accounts/transactions",
                    "/account-transactions/*",
                    "/action/confirm",
                    "/add-card-to-wallet",
                    "/advances",
                    "/advances/manual-repayment",
                    "/app/*",
                    "/application",
                    "/approvals/requests",
                    "/article/*",
                    "/articles/*",
                    "/bug-report",
                    "/card-reader/order",
                    "/cards",
                    "/cards/*",
                    "/cards/*/sca-counters-exceed",
                    "/cards/*/sca-counters-warn",
                    "/cards/*/security",
                    "/cards/*/settings",
                    "/cards/*/transactions",
                    "/cashback",
                    "/catalogue/manage",
                    "/challenges/*",
                    "/consumer-tickets/*",
                    "/crypto",
                    "/e-commerce",
                    "/exchange",
                    "/expense-documents/*",
                    "/expenses",
                    "/expenses/*",
                    "/faq",
                    "/faq/*",
                    "/favourites",
                    "/form",
                    "/form/*",
                    "/help-centre",
                    "/help-centre/topic/*",
                    "/hub/integrations",
                    "/insurance",
                    "/invoices",
                    "/invoices/*",
                    "/marketplace",
                    "/merchant",
                    "/merchant/*",
                    "/new-card-acceptance-pricing",
                    "/offboarding",
                    "/open-onboarding-application-next-step",
                    "/orders",
                    "/pay-in-store/order/*",
                    "/payments",
                    "/payments/scheduled",
                    "/payments/transfers",
                    "/plan/subscriptions",
                    "/points",
                    "/pricing-plans",
                    "/qr-code-sign-in/*",
                    "/referrals",
                    "/referrals/invite-contacts",
                    "/referrals/invitee-details/*",
                    "/request-info",
                    "/request-info/merchant",
                    "/requests",
                    "/requests/request",
                    "/reset-password",
                    "/rewards",
                    "/sales/revolut-me",
                    "/statements",
                    "/savings",
                    "/send",
                    "/settings/accounts-and-documents",
                    "/settings/business-profile",
                    "/settings/manage-devices",
                    "/settings/merchant-profile",
                    "/settings/merchant-profile/branding",
                    "/settings/notifications",
                    "/settings/personal-profile",
                    "/settings/trusted-merchants",
                    "/settings/vat-number",
                    "/signup/invite",
                    "/stories/*",
                    "/story/*",
                    "/subscriptions",
                    "/team",
                    "/team/approvals",
                    "/team/member/add",
                    "/team/roles",
                    "/tip/settings",
                    "/topup",
                    "/transactions",
                    "/transactions/*/add-expense-info",
                    "/transactions/*/add-info-flow",
                    "/transactions/*/chargeback-status",
                    "/transfers",
                    "/treasury",
                    "/upgrade",
                    "/vouchers"
                ]
            }
        ]
    },
    "webcredentials": {
        "apps": ["QUZEZSEARC.com.revolut.business"]
    }
}

Genauso wie bei Android bleibt es spannend, wie das plattformübergreifende Teilen von Passkeys zwischen den nativen Apps und Web-Apps implementiert werden kann, da die Relying Party ID für die Web-App (sso.revolut.com) die Association-Dateien nicht an den erwarteten Orten aufweist.

Der Passkey-Rollout von Revolut ist einer der ehrgeizigsten im Bankwesen – er umfasst sowohl Privat- als auch Business-Konten über Web- und native Apps hinweg. Wenn Sie Passkeys in einem ähnlichen Maßstab bereitstellen möchten, bietet Corbado die Intelligenzschicht, um die damit verbundene Komplexität zu bewältigen.

Revoluts Rollout brachte Herausforderungen bei der plattformübergreifenden Konsistenz und gerätespezifische Probleme zutage. Das Device Trust Dashboard von Corbado gibt Ihnen die operative Transparenz, um solche Probleme zu erkennen, bevor sie zu Support-Tickets werden. Verfolgen Sie die Passkey-Erfolgsraten nach Gerätetyp, Betriebssystemversion und Browser – und überwachen Sie die SCA-Faktorabdeckung in Ihrer gesamten Nutzerbasis in Echtzeit.

Da 92 % der Geräte als ausschließlich von einem Benutzer genutzt klassifiziert sind und die Rate vertrauenswürdiger Geräte bei 94,7 % liegt, können Banken die tatsächliche Sicherheitslage ihrer Passkey-Bereitstellung quantifizieren, anstatt sich auf Annahmen zu verlassen.

Revoluts schrittweiser Ansatz – beginnend mit dem Web, dann Ausweitung auf native Apps – ist die richtige Strategie. Mit den Trust Policies von Corbado können Sie dies präzise umsetzen: Erlauben Sie die Erstellung von Passkeys zunächst auf Mobilgeräten (wo die Unterstützung am stärksten ist), verlangen Sie eine Step-up-Authentifizierung auf neuen Geräten und weiten Sie dies schrittweise aus, wenn sich Device Trust-Daten aufbauen. Treten bei bestimmten Gerätemodellen Probleme auf, können Sie Passkey-Abläufe für diese Geräte sofort und ohne App-Update deaktivieren.

Egal, ob Sie Revoluts „Passkeys as-is“-Ansatz folgen oder Cookie-/Session-Binding für eine konservativere SCA-Auslegung hinzufügen – Corbado passt sich Ihrer Strategie an. Kontaktieren Sie uns, um zu erfahren, wie wir Ihren Passkey-Rollout unterstützen können.

Zusammenfassend lässt sich sagen, dass der Passkey-Rollout von Revolut ein bedeutender Schritt hin zur Revolutionierung der Benutzerauthentifizierung im Banking-Sektor ist. Durch die Einführung von Passkeys verbessert Revolut nicht nur die Sicherheit, indem es sich von herkömmlichen Passwörtern verabschiedet, sondern steigert auch die UX durch einen einfacheren Login-Prozess erheblich. Trotz der Herausforderungen beim anfänglichen Rollout, einschließlich Inkonsistenzen auf verschiedenen Geräten und dem Fehlen der Unterstützung für native Apps, unterstreichen die Bemühungen von Revolut das Engagement für digitale Innovation und benutzerzentriertes Design.

Die technische Analyse zeigt, dass zwar der Grundstein für eine nahtlose Passkey-Integration gelegt ist, es aber noch verbesserungswürdige Bereiche gibt. Die Verbesserung der Kommunikation, die Gewährleistung von plattformübergreifender Konsistenz und die Ausweitung der Unterstützung auf native mobile Anwendungen sind wichtige nächste Schritte. Die Bewältigung dieser Bereiche wird nicht nur die Implementierung von Revolut verfeinern, sondern auch einen Branchenstandard setzen und andere Finanzinstitute ermutigen, bald Passkeys einzuführen (siehe auch unseren Blogbeitrag zur PSD2-Konformität von Passkeys).

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →

Revolut Business erforderte zuvor bei jedem Login ein Passwort sowie eine Push-Benachrichtigung oder einen E-Mail-Magic-Link als zweiten Faktor. Passkeys ersetzen diesen gesamten Ablauf, da sie von Natur aus als Zwei-Faktor-Authentifizierung dienen und den Wechsel zu einem zweiten Gerät oder einer App während des Logins überflüssig machen.

Native iOS- und Android-Apps sowohl für Privat- als auch für Business-Konten unterstützen noch keine Passkeys, sodass Passkeys derzeit nur im Webbrowser nutzbar sind. Revolut hat außerdem keine offiziellen Passkey-FAQs oder -Anleitungen veröffentlicht, sodass den Nutzern die Dokumentation zum Verständnis der neuen Funktion fehlt.

Revolut setzt seine Relying Party ID auf 'sso.revolut.com' und konfiguriert userVerification als 'preferred' mit einer leeren allowCredentials-Liste. Das leere allowCredentials-Feld bedeutet, dass der Browser alle für die Domain verfügbaren Passkeys anzeigt, anstatt nach bestimmten Credentials zu filtern, was eine breitere Passkey-Erkennung unterstützt.

Die apple-app-site-association-Datei von Revolut Business enthält bereits einen webcredentials-Abschnitt, der die iOS-App mit der Webanwendung verknüpft, was darauf hindeutet, dass eine native Passkey-Unterstützung in Vorbereitung ist. Die assetlinks.json-Dateien für beide Kontotypen befinden sich jedoch nicht im Pfad der Relying Party ID, was bedeutet, dass die plattformübergreifende gemeinsame Nutzung von Passkeys zwischen Web- und nativen Apps noch nicht funktioniert.