Revolut Passkeys: Ein mutiger Schritt mit Raum für Verbesserungen

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Im digitalen Banking hat die Notwendigkeit starker Sicherheit, ohne die User Experience zu beeinträchtigen, zu innovativen Lösungen geführt. Unter diesen stechen Passkeys als neuer Standard für die Nutzerauthentifizierung hervor. Revolut, eine führende Neobank mit Sitz in London, hat kürzlich und ohne große Ankündigung damit begonnen, Passkeys sowohl für Privat- als auch für Geschäftskonten einzuführen. Dieser strategische Schritt entspricht nicht nur der wachsenden Nachfrage nach sichereren und bequemeren digitalen Erlebnissen, sondern positioniert Revolut auch als Pionier bei der Einführung von Passkeys im Bankensektor.

Get a free passkey assessment in 15 minutes.

Book free consultation

Mit der Einführung von Passkeys folgt Revolut dem Trend der Tech-Giganten, bei dem Coinbase, WhatsApp, Nintendo und Uber die Passkey-Welle anführen. Im Finanzsektor ist Revolut eine der ersten Banken, wenn nicht sogar die bisher größte, die Passkeys einführt.

Haftungsausschluss: Wir gehen davon aus, dass Passkeys in den kommenden Wochen schrittweise auf breiterer Basis eingeführt und Fehler behoben werden. Wir werden diesen Beitrag entsprechend aktualisieren. Die aktuelle Version ist vom 7. Februar 2024.

Passkeys stellen die nächste Stufe der passwortlosen Authentifizierung dar und bieten Usern eine nahtlose und dennoch sichere Möglichkeit, auf ihre Konten zuzugreifen. Im Gegensatz zu herkömmlichen Passwörtern machen Passkeys das Merken komplexer Passwörter überflüssig und basieren stattdessen auf asymmetrischer Kryptografie mit Schlüsseln, die für jeden User und jedes Gerät einzigartig sind. Diese Methode erhöht nicht nur die Sicherheit, indem sie das Risiko von Phishing-Angriffen und Datenlecks verringert, sondern vereinfacht auch den Anmeldevorgang, da die User nur Face ID, Touch ID oder Windows Hello verwenden müssen, was die allgemeine User Experience verbessert.

Revolut führt Passkeys schrittweise ein und rollt Funktionen für Geschäfts- und Privatkonten nicht gleichzeitig aus. Die wesentlichen Unterschiede, die wir bei unserer Recherche festgestellt haben, sind in der folgenden Tabelle aufgeführt:

Die folgenden Aspekte der Passkey-Integration von Revolut sind positiv hervorzuheben:

• Sichere digitale Führung im Bankensektor: Indem Revolut bei der Einführung von Passkeys eine Vorreiterrolle einnimmt, sichert es nicht nur seine Position als digitaler Führer in der Banking-Landschaft, sondern ermutigt auch andere Finanzinstitute, diesem Beispiel zu folgen.
• Verbesserte User Experience: Passkeys sind die einfachste Form der Nutzerauthentifizierung, da User kein zweites Gerät für MFA benötigen und sich auch keine komplexen Passwörter merken müssen.
• Einsparung von SMS-OTP-Kosten: Eine der treibenden Kräfte hinter Passkey-Initiativen auf Unternehmensebene sind oft nicht nur UX-Verbesserungen und Sicherheitsvorteile, sondern auch die Einsparung enormer Kosten für veraltete und eher unsichere SMS-OTP (die bei Banken immer noch weit verbreitet sind).

Obwohl Revoluts mutiger Schritt zur Integration von Passkeys lobenswert ist, verlief die Einführung nicht ohne Mängel.

• Fehlende informative Ressourcen zu Passkeys: Das Fehlen offizieller Passkey-FAQs oder Anleitungen für User (wir haben keine gefunden) deutet auf eine Lücke in der Kommunikation der Einführung hin, obwohl den Usern Funktionen angeboten werden. Die Bereitstellung detaillierter Dokumentationen kann helfen, Passkeys zu entmystifizieren und einen reibungsloseren Übergang für alle User zu fördern.
• Inkonsistente Passkey-UX: Beobachtungen zeigen, dass die Verfügbarkeit und Funktionalität von Passkey-Funktionen je nach Gerät und Plattform variieren. Die Gewährleistung einer konsistenten User Experience, bei der Passkey-Einstellungen zuverlässig angezeigt werden und Werbe-Popups für Passkeys zu echten Passkey-Erstellungszeremonien führen (während unserer Tests funktionierte dies nur unter Windows 11), würde das Vertrauen der User stärken.
• Fehlende Conditional UI: Die Einführung von Conditional UI könnte ein Game-Changer sein. Die Verbesserung der User Experience durch das Angebot nicht nur passwortloser, sondern auch benutzernamenloser Logins würde den Anmeldevorgang weiter optimieren und intuitiver gestalten.
• Keine Integration nativer Apps: Derzeit erstreckt sich der Mobile-First-Ansatz von Revolut nicht auf die Passkey-Unterstützung in seinen nativen iOS- und Android-Anwendungen. Die Integration von Passkeys in native Apps würde die hohe Passkey-Readiness von iOS- und Android-Geräten nutzen.
• Keine einheitliche Authentifizierung über Plattformen hinweg: Die Lücke zwischen der Passkey-Authentifizierung im Web und in nativen Apps zu schließen, stellt eine komplexe Herausforderung dar (lesen Sie diesen Blogbeitrag für weitere technische Details zu einem Beispiel-Setup). Die Schaffung eines einheitlichen Authentifizierungsmechanismus, der geteilte Passkeys zwischen der Web-App, der iOS-App und der Android-App ermöglicht, könnte jedoch die Sicherheit und den User-Komfort erhöhen.

Revolut has introduced passkeys

Join them

Im Folgenden gehen wir detaillierter auf Revolut Privat- und Geschäftskonten ein und analysieren, wie Passkeys auf ausgewählten Geräten und Plattformen eingeführt werden.

Wir beginnen die Analyse der Revolut Business Passkeys mit einem genaueren Blick auf die Webanwendung, bevor wir die nativen Apps analysieren.

Um die Dinge im Folgenden kurz zu halten, heben wir nur bestimmte Plattform-, Geräte- und Browser-Kombinationen hervor.

Beachten Sie, dass Sie das Passkey-Popup von Revolut nur einmal erhalten, nachdem Sie sich erfolgreich mit den bestehenden Authentifizierungsmethoden angemeldet haben. Um das Popup erneut auszulösen, müssen Sie entweder die Revolut-Cookies löschen oder die Seite im Inkognito-/Privat-Modus aufrufen.

Wenn Sie die Anmeldeseite für Revolut Business aufrufen, werden Sie sofort eine auffällige neue Anmeldeoption bemerken, die sich unter dem E-Mail-Eingabefeld und über den Social Logins von Google/Apple befindet und mit Mit Passkey fortfahren beschriftet ist.

Das Werbe-Popup für Passkeys sieht wie folgt aus:

Interessanterweise sind bei Revolut Business die Passkeys an die Telefonnummer gebunden, obwohl die primäre User-Kennung die E-Mail-Adresse ist. Dies liegt wahrscheinlich daran, dass Revolut Privatkonten zuerst mit einer Telefonnummer erstellt werden.

Nachdem Sie erfolgreich einen Passkey unter Windows 11 und Chrome erstellt haben, können Sie sich abmelden und auf der Anmeldeseite auf Mit Passkey fortfahren klicken. Anschließend erscheint die Browser-Benutzeroberfläche zur Handhabung der Passkey-Authentifizierung:

Im Gegensatz zum aktuellen Anmeldeverfahren für Revolut Business, bei dem Sie ein Passwort eingeben und Ihre Identität über eine Push-Benachrichtigung in der nativen App oder einen E-Mail-Magic-Link als zweiten Faktor bestätigen müssen, ist für Passkey-Logins keine zusätzliche Authentifizierungsmethode erforderlich, da Passkeys von Natur aus als 2FA dienen. Dies stellt eine erhebliche Verbesserung der User Experience dar, insbesondere auf Desktop-Geräten, da der Kontextwechsel oder die Verwendung eines zweiten Geräts entfällt.

Unter Android 14 und in Chrome 121 ist der Anmelde-Button Mit Passkey fortfahren sehr prominent platziert.

Unter iOS 17.3 und in Safari ist der Anmelde-Button Mit Passkey fortfahren ebenfalls sehr prominent.

Die nativen iOS- und Android-Apps für Revolut Business unterstützen Passkeys noch nicht. Daher gibt es im Bereich Sicherheit & Datenschutz der iOS- (siehe Screenshot) oder Android-App keine Passkey-Option:

Einer der ersten Unterschiede ist, dass Revolut Privat die Telefonnummer als primäre User-Kennung verwendet. Anstelle eines Passworts wird die Authentifizierung über einen 6- bis 12-stelligen Passcode verwaltet, während Revolut Business einen 4-stelligen Passcode verwendet und im Standard-Anmeldeprozess das Passwort nutzt.

Um die Dinge im Folgenden kurz zu halten, heben wir nur bestimmte Plattform-, Geräte- und Browser-Kombinationen hervor.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Das folgende Werbe-Popup für Passkeys wird beim ersten Login angezeigt (oder nach dem Löschen Ihrer Cookies / im Privat-Modus):

Aus irgendeinem Grund wurden wir nach dem Klick auf Passkey hinzufügen im vorherigen Bildschirm direkt auf die eingeloggte Seite weitergeleitet, ohne die Möglichkeit zu haben, die Passkey-Zeremonie mit Touch ID zu starten. Bei der Untersuchung des Problems fanden wir den entsprechenden API-Aufruf (https://sso.revolut.com/api/challenges/webauthn) im Netzwerk-Tab der Entwickler-Tools von Safari. Dieser API-Aufruf gab jedoch einen HTTP-403-Statuscode zurück, was darauf hindeutet, dass die Funktion anscheinend noch nicht vollständig ausgerollt ist.

Im Gegensatz zum Revolut Business-Konto enthalten die Kontoeinstellungen bei Revolut Privat einen Bereich für Passkeys:

Das folgende Werbe-Popup für Passkeys wird beim ersten Login angezeigt (oder nach dem Löschen Ihrer Cookies / im Privat-Modus):

Die nativen iOS- und Android-Apps für Revolut Privat unterstützen Passkeys noch nicht. Sowohl die iOS-App als auch die Android-App (siehe Screenshots unten) enthalten jedoch einen Sicherheitseinstellungsbereich für Passkeys:

Im Folgenden gehen wir auf einige technische Aspekte genauer ein.

Become part of our Passkeys Community for updates & support.

Join

Wir haben die technischen Implementierungsdetails untersucht. Hauptsächlich wird bei jedem Laden der Anmeldeseite eine client_id an das Backend gesendet, das dann je nach Kontotyp unterschiedliche Authentifizierungsoptionen zurückgibt:

• Geschäftskonto: Apple-, Google-, Passkeys- (WebAuthn) Login
• Privatkonto: Apple-, Google-Login

Interessanterweise wurde die Passkey-Option für Revolut Privatkonten vorbereitet, ist aber noch nicht aktiviert (siehe Screenshot unten), was darauf hindeutet, dass eine Einführung unmittelbar bevorstehen und schnell umgesetzt werden könnte, um auch für Privatkonten einen „Mit Passkey fortfahren“-Button zu ermöglichen.

Die Entscheidung, welche Anmeldeoptionen angezeigt werden, basiert auf der client_id. Zum Beispiel: https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde Zu experimentellen Zwecken haben wir die client_id auf einen zufälligen Wert geändert, was alle Anmeldeoptionen (inkl. der Möglichkeit, zwischen Telefonnummer und E-Mail als Login-Kennung zu wechseln) unter Windows 11 mit Chrome aufdeckte.

Während der Anmeldezeremonie haben wir die PublicKeyCredentialRequestOptions analysiert. Bemerkenswert ist, dass allowCredentials nicht gesetzt waren, während die relying party ID als „sso.revolut.com“ festgelegt wurde. Die Einstellung von userVerification auf „preferred“ ist aus Sicherheitssicht eine kluge Wahl.

publicKeyCredentialRequestOptions.json
{
    "allowCredentials": [],
    "challenge": "WHAxZnJDaDB1VnNXMmlOQW1hVndqdTYzSzF3emR3b3gtRFRCWHVxRjJYRQ",
    "rpId": "sso.revolut.com",
    "userVerification": "preferred"
}

Wir haben auch analysiert, wie eine Einführung in den nativen iOS- und Android-Apps aussehen könnte und haben daher die relying party ID von sso.revolut.com verwendet und die Pfade zur assetlinks.json (Android) und apple-app-site-association (iOS) Datei angehängt, um zu sehen, welche Informationen diese Dateien möglicherweise bereits bezüglich der Passkey-Einführung enthalten.

Der Versuch, auf https://sso.revolut.com/.well-known/assetlinks.json zuzugreifen, führt zu einem 404-Fehler von nginx, was auf die Verwendung eines Reverse-Proxys für die Dateiverwaltung hindeutet. Durch die Verwendung der Domain https://app.revolut.com haben wir die assetlinks.json unter https://app.revolut.com/.well-known/assetlinks.json gefunden, die aufschlussreiche Informationen für Revolut Privat lieferte:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "11:F2:5B:D6:30:60:CE:B4:EF:EC:48:7C:C8:1F:6D:3D:D0:3A:75:C3:E9:D2:C5:32:3D:69:55:9D:C1:7F:6A:23"
            ]
        }
    },
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut.test",
            "sha256_cert_fingerprints": [
                "90:EC:5D:75:11:4E:67:B7:F1:3F:C0:D0:57:85:9B:78:0D:A0:BA:49:E2:22:4C:60:42:7E:D2:EA:00:84:D1:B7"
            ]
        }
    }
]

Über https://well-known.dev haben wir auch die Association-Datei für Revolut Business unter https://business.revolut.com/.well-known/assetlinks.json entdeckt:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.business",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "9F:07:80:54:0F:3A:C9:6F:D7:26:02:8A:37:C5:CD:48:DB:A3:67:EE:2D:93:B3:9D:DE:51:BC:F2:2E:7F:B1:88",
                "F8:F5:95:3A:C3:85:DB:0D:85:C3:56:E9:9B:37:BD:CA:4D:EE:B0:D2:52:C6:2A:36:4F:BA:C8:3B:C6:AF:3A:C2"
            ]
        }
    }
]

Da sich weder die assetlinks.json-Datei für Revolut Privat noch die für Revolut Business auf dem durch die relying party-ID vorgesehenen Pfad zur Verknüpfung der nativen Android-App mit der Web-App befindet, ist es interessant zu überlegen, welche Änderungen notwendig sind, damit Passkeys sowohl in Web- als auch in nativen Android-Apps funktionieren.

Die apple-app-site-association-Datei für Revolut Privat ist unter https://revolut.com/.well-known/apple-app-site-association zugänglich und enthält noch keine Details zu Web-Credentials:

apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            }
        ]
    }
}

Im Gegensatz dazu enthält die apple-app-site-association-Datei von Revolut Business umfassendere Informationen, insbesondere zu Web-Credentials. Dies deutet darauf hin, dass die iOS-App QUZEZSEARC.com.revolut.business so konfiguriert ist, dass sie Anmeldeinformationen mit der Revolut Business-Webanwendung teilt. Sie ist unter https://business.revolut.com/.well-known/apple-app-site-association zugänglich.

{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.business",
                "paths": [
                    "/",
                    "/accept-payments/in-person",
                    "/accept-payments/online-requests",
                    "/accept-payments/web-integrations",
                    "/accounts",
                    "/accounts/connect-external",
                    "/accounts/connect-external/*",
                    "/accounts/new",
                    "/accounts/transactions",
                    "/account-transactions/*",
                    "/action/confirm",
                    "/add-card-to-wallet",
                    "/advances",
                    "/advances/manual-repayment",
                    "/app/*",
                    "/application",
                    "/approvals/requests",
                    "/article/*",
                    "/articles/*",
                    "/bug-report",
                    "/card-reader/order",
                    "/cards",
                    "/cards/*",
                    "/cards/*/sca-counters-exceed",
                    "/cards/*/sca-counters-warn",
                    "/cards/*/security",
                    "/cards/*/settings",
                    "/cards/*/transactions",
                    "/cashback",
                    "/catalogue/manage",
                    "/challenges/*",
                    "/consumer-tickets/*",
                    "/crypto",
                    "/e-commerce",
                    "/exchange",
                    "/expense-documents/*",
                    "/expenses",
                    "/expenses/*",
                    "/faq",
                    "/faq/*",
                    "/favourites",
                    "/form",
                    "/form/*",
                    "/help-centre",
                    "/help-centre/topic/*",
                    "/hub/integrations",
                    "/insurance",
                    "/invoices",
                    "/invoices/*",
                    "/marketplace",
                    "/merchant",
                    "/merchant/*",
                    "/new-card-acceptance-pricing",
                    "/offboarding",
                    "/open-onboarding-application-next-step",
                    "/orders",
                    "/pay-in-store/order/*",
                    "/payments",
                    "/payments/scheduled",
                    "/payments/transfers",
                    "/plan/subscriptions",
                    "/points",
                    "/pricing-plans",
                    "/qr-code-sign-in/*",
                    "/referrals",
                    "/referrals/invite-contacts",
                    "/referrals/invitee-details/*",
                    "/request-info",
                    "/request-info/merchant",
                    "/requests",
                    "/requests/request",
                    "/reset-password",
                    "/rewards",
                    "/sales/revolut-me",
                    "/statements",
                    "/savings",
                    "/send",
                    "/settings/accounts-and-documents",
                    "/settings/business-profile",
                    "/settings/manage-devices",
                    "/settings/merchant-profile",
                    "/settings/merchant-profile/branding",
                    "/settings/notifications",
                    "/settings/personal-profile",
                    "/settings/trusted-merchants",
                    "/settings/vat-number",
                    "/signup/invite",
                    "/stories/*",
                    "/story/*",
                    "/subscriptions",
                    "/team",
                    "/team/approvals",
                    "/team/member/add",
                    "/team/roles",
                    "/tip/settings",
                    "/topup",
                    "/transactions",
                    "/transactions/*/add-expense-info",
                    "/transactions/*/add-info-flow",
                    "/transactions/*/chargeback-status",
                    "/transfers",
                    "/treasury",
                    "/upgrade",
                    "/vouchers"
                ]
            }
        ]
    },
    "webcredentials": {
        "apps": ["QUZEZSEARC.com.revolut.business"]
    }
}

Genau wie bei Android bleibt es spannend, wie das plattformübergreifende Teilen von Passkeys zwischen den nativen und Web-Apps implementiert werden kann, da die relying party-ID für die Web-App (sso.revolut.com) die Association-Dateien nicht an den erwarteten Speicherorten hat.

Zusammenfassend lässt sich sagen, dass die Einführung von Passkeys bei Revolut ein bedeutender Schritt zur Revolutionierung der Nutzerauthentifizierung im Banking-Sektor ist. Durch die Einführung von Passkeys verbessert Revolut nicht nur die Sicherheit durch die Abkehr von traditionellen Passwörtern, sondern steigert auch die UX durch einen einfacheren Anmeldevorgang erheblich. Trotz der Herausforderungen bei der ersten Einführung, einschließlich Inkonsistenzen zwischen den Geräten und dem Fehlen von Unterstützung für native Apps, unterstreichen die Bemühungen von Revolut ein Engagement für digitale Innovation und nutzerzentriertes Design.

Die technische Analyse zeigt, dass zwar die Grundlagen für eine nahtlose Passkey-Integration gelegt sind, es aber noch Bereiche mit Verbesserungspotenzial gibt. Die Verbesserung der Kommunikation, die Gewährleistung der Konsistenz über Plattformen hinweg und die Ausweitung der Unterstützung auf native mobile Anwendungen sind entscheidende nächste Schritte. Die Auseinandersetzung mit diesen Bereichen wird nicht nur die Implementierung von Revolut verfeinern, sondern auch einen Maßstab für die Branche setzen und andere Finanzinstitute ermutigen, Passkeys bald einzuführen (siehe auch unseren Blogbeitrag zur PSD2-Konformität von Passkeys).