---
url: 'https://www.corbado.com/de/blog/revolut-passkeys-analyse'
title: 'Revolut Passkeys: Ein mutiger Schritt mit Raum für Verbesserungen'
description: 'Revolut führt stillschweigend Passkeys ein. In unserer umfassenden Analyse erfahren Sie mehr über die Auswirkungen auf die Sicherheit im Banking, die User Experience und die Bereiche, in denen es noch Verbesserungspotenzial gibt.'
lang: 'de'
author: 'Vincent Delitz'
date: '2025-07-15T13:16:59.437Z'
lastModified: '2026-03-27T07:02:59.994Z'
keywords: 'Revolut, Passkeys, Banking, Sicherheit'
category: 'Passkeys Reviews'
---

# Revolut Passkeys: Ein mutiger Schritt mit Raum für Verbesserungen

## 1. Einführung

Im digitalen [Banking](https://www.corbado.com/de/blog/finom-passkeys-banking) hat die Notwendigkeit starker
[Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden), ohne die User Experience zu
beeinträchtigen, zu innovativen Lösungen geführt. Unter diesen stechen Passkeys als neuer
Standard für die Nutzerauthentifizierung hervor. [Revolut](https://www.corbado.com/blog/revolut-passkeys), eine
führende Neobank mit Sitz in London, hat kürzlich und ohne große Ankündigung damit
begonnen, **Passkeys sowohl für Privat- als auch für Geschäftskonten** einzuführen. Dieser
strategische Schritt entspricht nicht nur der wachsenden Nachfrage nach sichereren und
bequemeren digitalen Erlebnissen, sondern positioniert [Revolut](https://www.corbado.com/blog/revolut-passkeys)
auch als **Pionier bei der Einführung von Passkeys im Bankensektor**.

Mit der Einführung von Passkeys folgt [Revolut](https://www.corbado.com/blog/revolut-passkeys) dem Trend der
Tech-Giganten, bei dem [Coinbase](https://www.corbado.com/blog/coinbase-passkey),
[WhatsApp](https://www.corbado.com/blog/whatsapp-passkeys), [Nintendo](https://www.corbado.com/blog/nintendo-passkeys) und
[Uber](https://www.corbado.com/blog/uber-passkeys) die Passkey-Welle anführen. Im Finanzsektor ist Revolut eine
der ersten Banken, wenn nicht sogar die bisher größte, die Passkeys einführt.

![Revolut Passkeys Willkommensbildschirm](https://www.corbado.com/website-assets/65c3b888ccc7572c702533f6_revolut_business_passkeys_windows_11_chrome_login_1f03b1c7fa.jpg)

_Haftungsausschluss: Wir gehen davon aus, dass Passkeys in den kommenden Wochen
schrittweise auf breiterer Basis eingeführt und Fehler behoben werden. Wir werden diesen
Beitrag entsprechend aktualisieren. Die aktuelle Version ist vom 7. Februar 2024._

## 2. Das Wesen von Passkeys und ihre Bedeutung

Passkeys stellen die nächste Stufe der passwortlosen Authentifizierung dar und bieten
Usern eine nahtlose und dennoch sichere Möglichkeit, auf ihre Konten zuzugreifen. Im
Gegensatz zu herkömmlichen Passwörtern machen Passkeys das Merken komplexer Passwörter
überflüssig und basieren stattdessen auf asymmetrischer Kryptografie mit Schlüsseln, die
für jeden User und jedes Gerät einzigartig sind. Diese Methode erhöht nicht nur die
[Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden), indem sie das Risiko von
[Phishing](https://www.corbado.com/glossary/phishing)-Angriffen und Datenlecks verringert, sondern vereinfacht
auch den Anmeldevorgang, da die User nur [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Touch ID oder
[Windows Hello](https://www.corbado.com/glossary/windows-hello) verwenden müssen, was die allgemeine User
Experience verbessert.

## 3. Revoluts Passkey-Einführung: Eine Mischung aus Innovation und Herausforderungen

Revolut führt Passkeys schrittweise ein und rollt Funktionen für Geschäfts- und
Privatkonten nicht gleichzeitig aus. Die wesentlichen Unterschiede, die wir bei unserer
Recherche festgestellt haben, sind in der folgenden Tabelle aufgeführt:

| Funktion                                                              | Revolut Privat                                                | Revolut Business                                                                        |
| --------------------------------------------------------------------- | ------------------------------------------------------------- | --------------------------------------------------------------------------------------- |
| Passkey-Login-Button auf der Anmeldeseite angezeigt                   | Nein                                                          | Ja                                                                                      |
| Werbe-Popup für Passkeys nach erfolgreicher Anmeldung auf neuem Gerät | Ja, aber auf allen Geräten erfolglos                          | Ja, auf allen Geräten, aber die Passkey-Erstellung war nur unter Windows 11 erfolgreich |
| Passkey-Einstellungen in den Kontosicherheitseinstellungen verfügbar  | Ja, es gibt jedoch keinen Button zum Erstellen eines Passkeys | Nein                                                                                    |
| Unterstützung für Passkeys in nativer iOS-/Android-App                | Nein                                                          | Nein                                                                                    |

### 3.1 Vorteile der Passkey-Integration von Revolut

Die folgenden Aspekte der Passkey-Integration von Revolut sind positiv hervorzuheben:

- **Sichere digitale Führung im Bankensektor:** Indem Revolut bei der Einführung von
  Passkeys eine Vorreiterrolle einnimmt, sichert es nicht nur seine Position als digitaler
  Führer in der [Banking](https://www.corbado.com/de/blog/finom-passkeys-banking)-Landschaft, sondern ermutigt
  auch andere Finanzinstitute, diesem Beispiel zu folgen.
- **Verbesserte User Experience:** Passkeys sind die einfachste Form der
  Nutzerauthentifizierung, da User kein zweites Gerät für MFA benötigen und sich auch
  keine komplexen Passwörter merken müssen.
- **Einsparung von SMS-OTP-Kosten:** Eine der treibenden Kräfte hinter Passkey-Initiativen
  auf Unternehmensebene sind oft nicht nur UX-Verbesserungen und Sicherheitsvorteile,
  sondern auch die Einsparung enormer Kosten für veraltete und eher unsichere SMS-OTP (die
  bei Banken immer noch weit verbreitet sind).

### 3.2 Raum für Verbesserungen

Obwohl Revoluts mutiger Schritt zur Integration von Passkeys lobenswert ist, verlief die
Einführung nicht ohne Mängel.

- **Fehlende informative Ressourcen zu Passkeys:** Das Fehlen offizieller Passkey-FAQs
  oder Anleitungen für User (wir haben keine gefunden) deutet auf eine Lücke in der
  Kommunikation der Einführung hin, obwohl den Usern Funktionen angeboten werden. Die
  Bereitstellung detaillierter Dokumentationen kann helfen, Passkeys zu entmystifizieren
  und einen reibungsloseren Übergang für alle User zu fördern.
- **Inkonsistente Passkey-UX:** Beobachtungen zeigen, dass die Verfügbarkeit und
  Funktionalität von Passkey-Funktionen je nach Gerät und Plattform variieren. Die
  Gewährleistung einer konsistenten User Experience, bei der Passkey-Einstellungen
  zuverlässig angezeigt werden und Werbe-Popups für Passkeys zu echten
  Passkey-Erstellungszeremonien führen (während unserer Tests funktionierte dies nur unter
  [Windows 11](https://www.corbado.com/blog/passkeys-windows-11)), würde das Vertrauen der User stärken.
- **Fehlende Conditional UI:** Die Einführung von
  [Conditional UI](https://www.corbado.com/glossary/conditional-ui) könnte ein Game-Changer sein. Die
  Verbesserung der User Experience durch das Angebot nicht nur passwortloser, sondern auch
  benutzernamenloser Logins würde den Anmeldevorgang weiter optimieren und intuitiver
  gestalten.
- **Keine Integration nativer Apps:** Derzeit erstreckt sich der Mobile-First-Ansatz von
  Revolut nicht auf die Passkey-Unterstützung in seinen nativen
  [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios)- und
  [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)-Anwendungen. Die Integration von
  Passkeys in native Apps würde die hohe Passkey-Readiness von
  [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios)- und
  [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)-Geräten nutzen.
- **Keine einheitliche Authentifizierung über Plattformen hinweg:** Die Lücke zwischen der
  [Passkey-Authentifizierung](https://www.corbado.com/de/blog/passkey-anbieter) im Web und in nativen Apps zu
  schließen, stellt eine komplexe Herausforderung dar (lesen Sie diesen Blogbeitrag für
  weitere technische Details zu einem Beispiel-Setup). Die Schaffung eines einheitlichen
  Authentifizierungsmechanismus, der geteilte Passkeys zwischen der Web-App, der
  [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios)-App und der
  [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)-App ermöglicht, könnte jedoch die
  [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) und den User-Komfort erhöhen.

Im Folgenden gehen wir detaillierter auf Revolut Privat- und Geschäftskonten ein und
analysieren, wie Passkeys auf ausgewählten Geräten und Plattformen eingeführt werden.

## 4. Analyse der Revolut Business Passkeys

Wir beginnen die Analyse der Revolut Business Passkeys mit einem genaueren Blick auf die
Webanwendung, bevor wir die nativen Apps analysieren.

### 4.1 Revolut Business Webanwendung

_Um die Dinge im Folgenden kurz zu halten, heben wir nur bestimmte Plattform-, Geräte- und
Browser-Kombinationen hervor._

Beachten Sie, dass Sie das Passkey-Popup von Revolut nur einmal erhalten, nachdem Sie sich
erfolgreich mit den bestehenden Authentifizierungsmethoden angemeldet haben. Um das Popup
erneut auszulösen, müssen Sie entweder die Revolut-Cookies löschen oder die Seite im
Inkognito-/Privat-Modus aufrufen.

Wenn Sie die Anmeldeseite für Revolut Business aufrufen, werden Sie sofort eine auffällige
neue Anmeldeoption bemerken, die sich unter dem E-Mail-Eingabefeld und über den Social
Logins von Google/Apple befindet und mit **Mit Passkey fortfahren** beschriftet ist.

#### 4.1.1 Windows 11 + Chrome

Das Werbe-Popup für Passkeys sieht wie folgt aus:

![Revolut Passkeys aktivieren](https://www.corbado.com/website-assets/65c3b8cae9ae134686b7a7a6_revolut_business_passkeys_windows_11_chrome_enable_passkeys_816d565f16.jpg)

Interessanterweise sind bei Revolut Business die Passkeys an die Telefonnummer gebunden,
obwohl die primäre User-Kennung die E-Mail-Adresse ist. Dies liegt wahrscheinlich daran,
dass Revolut Privatkonten zuerst mit einer Telefonnummer erstellt werden.

![Revolut Passkeys Verwaltung Windows](https://www.corbado.com/website-assets/65c3bc1bc999dbf2a3fa1b3c_revolut_business_passkeys_windows_11_passkey_management_0203d132d5.png)

Nachdem Sie erfolgreich einen Passkey unter [Windows 11](https://www.corbado.com/blog/passkeys-windows-11) und
[Chrome](https://www.corbado.com/de/blog/digital-credentials-api) erstellt haben, können Sie sich abmelden und
auf der Anmeldeseite auf **Mit Passkey fortfahren** klicken. Anschließend erscheint die
Browser-Benutzeroberfläche zur Handhabung der
[Passkey-Authentifizierung](https://www.corbado.com/de/blog/passkey-anbieter):

![Revolut Passkeys Browser UI](https://www.corbado.com/website-assets/65c3b8e80638518c07855cc9_revolut_business_passkeys_windows_11_chrome_passkey_ui_f9cd335201.jpg)

Im Gegensatz zum aktuellen Anmeldeverfahren für Revolut Business, bei dem Sie ein Passwort
eingeben und Ihre [Identität](https://www.corbado.com/de/blog/digital-credentials-api) über eine
Push-Benachrichtigung in der nativen App oder einen E-Mail-Magic-Link als
[zweiten Faktor](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication) bestätigen
müssen, ist für Passkey-Logins keine zusätzliche Authentifizierungsmethode erforderlich,
da
[Passkeys von Natur aus als 2FA dienen](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication).
Dies stellt eine erhebliche Verbesserung der User Experience dar, insbesondere auf
Desktop-Geräten, da der Kontextwechsel oder die Verwendung eines zweiten Geräts entfällt.

#### 4.1.2 Android + Chrome

Unter Android 14 und in [Chrome](https://www.corbado.com/de/blog/digital-credentials-api) 121 ist der
Anmelde-Button **Mit Passkey fortfahren** sehr prominent platziert.

![Revolut Passkeys Android Chrome](https://www.corbado.com/website-assets/65c3b8fa021051059c632846_revolut_business_passkeys_android_14_chrome_login_c152d499f1.jpg)

#### 4.1.3 iOS + Safari

Unter [iOS 17](https://www.corbado.com/blog/apple-passkeys-integration).3 und in
[Safari](https://www.corbado.com/de/blog/digital-credentials-api) ist der Anmelde-Button **Mit Passkey
fortfahren** ebenfalls sehr prominent.

![Revolut Passkeys iOS Safari](https://www.corbado.com/website-assets/65c3b90cabca352530f53042_revolut_business_passkeys_ios_17_safari_login_6f95d7d56b.jpg)

### 4.2 Native Anwendung von Revolut Business

Die nativen iOS- und Android-Apps für Revolut Business unterstützen Passkeys noch nicht.
Daher gibt es im Bereich Sicherheit & Datenschutz der iOS- (siehe Screenshot) oder
Android-App keine Passkey-Option:

![Revolut Passkeys Android App](https://www.corbado.com/website-assets/65c3b92c21b43984c8f2acb8_revolut_business_passkeys_ios_17_app_security_settings_fb27d19770.jpg)

## 5. Revolut Privat

Einer der ersten Unterschiede ist, dass Revolut Privat die Telefonnummer als primäre
User-Kennung verwendet. Anstelle eines Passworts wird die Authentifizierung über einen 6-
bis 12-stelligen Passcode verwaltet, während Revolut Business einen 4-stelligen Passcode
verwendet und im Standard-Anmeldeprozess das Passwort nutzt.

### 5.1 Revolut Privat Webanwendung

_Um die Dinge im Folgenden kurz zu halten, heben wir nur bestimmte Plattform-, Geräte- und
Browser-Kombinationen hervor._

#### 5.1.1 macOS + Safari

Das folgende Werbe-Popup für Passkeys wird beim ersten Login angezeigt (oder nach dem
Löschen Ihrer Cookies / im Privat-Modus):

![Revolut Personal Passkeys](https://www.corbado.com/website-assets/65c3b9e2044d802d3ab75eec_revolut_personal_passkeys_macos_sonoma_safari_enable_passkeys_9256638f1c.jpg)

Aus irgendeinem Grund wurden wir nach dem Klick auf **Passkey hinzufügen** im vorherigen
Bildschirm direkt auf die eingeloggte Seite weitergeleitet, ohne die Möglichkeit zu haben,
die Passkey-Zeremonie mit Touch ID zu starten. Bei der Untersuchung des Problems fanden
wir den entsprechenden API-Aufruf
([https://sso.revolut.com/api/challenges/webauthn](https://sso.revolut.com/api/challenges/webauthn))
im Netzwerk-Tab der Entwickler-Tools von [Safari](https://www.corbado.com/de/blog/digital-credentials-api).
Dieser API-Aufruf gab jedoch einen HTTP-403-Statuscode zurück, was darauf hindeutet, dass
die Funktion anscheinend noch nicht vollständig ausgerollt ist.

![Revolut Passkeys API Call](https://www.corbado.com/website-assets/65c3b9f87c1d6ae785f1528f_revolut_personal_passkeys_macos_sonoma_safari_webauthn_api_call_cab7c3b36a.jpg)

![Revolut Passkeys API Call Response](https://www.corbado.com/website-assets/65c3ba03549be8bcd841b9b2_revolut_personal_passkeys_macos_sonoma_safari_webauthn_api_call_response_218269af50.jpg)

Im Gegensatz zum Revolut Business-Konto enthalten die Kontoeinstellungen bei Revolut
Privat einen Bereich für Passkeys:

![Revolut Passkeys Settings](https://www.corbado.com/website-assets/65c3ba1ae8267aff467b3715_revolut_personal_passkeys_macos_sonoma_chrome_app_settings_6889d2614f.jpg)

#### 5.1.2 iOS + Safari

Das folgende Werbe-Popup für Passkeys wird beim ersten Login angezeigt (oder nach dem
Löschen Ihrer Cookies / im Privat-Modus):

![Revolut Passkeys Enable Passkeys iOS](https://www.corbado.com/website-assets/65c3ba2ef21b5e046c52036d_revolut_personal_passkeys_ios_17_safari_enable_passkeys_cd37a4b676.jpg)

### 5.2 Native Anwendung von Revolut Privat

Die nativen iOS- und Android-Apps für Revolut Privat unterstützen Passkeys noch nicht.
Sowohl die iOS-App als auch die Android-App (siehe Screenshots unten) enthalten jedoch
einen Sicherheitseinstellungsbereich für Passkeys:

![Revolut Passkeys Settings iOS](https://www.corbado.com/website-assets/65c3ba4433ad6d255220a15f_revolut_personal_passkeys_android_14_app_security_settings_b52e5aff3c.jpg)

![Revolut Passkeys List iOS App](https://www.corbado.com/website-assets/65c3ba55f51cdfaa99af30f6_revolut_personal_passkeys_android_14_app_passkey_settings_82635975d6.jpg)

## 6. Technische Analyse

Im Folgenden gehen wir auf einige technische Aspekte genauer ein.

### 6.1 Unterschiedliche Anmeldeoptionen im Revolut SSO für Kontotypen

Wir haben die technischen Implementierungsdetails untersucht. Hauptsächlich wird bei jedem
Laden der Anmeldeseite eine _client_id_ an das Backend gesendet, das dann je nach Kontotyp
unterschiedliche Authentifizierungsoptionen zurückgibt:

- **Geschäftskonto:** Apple-, Google-, Passkeys- (WebAuthn) Login
- **Privatkonto:** Apple-, Google-Login

![Revolut Login Customization Business](https://www.corbado.com/website-assets/65c3ba70d75d3c460ac37cc5_revolut_business_passkeys_windows_11_chrome_login_methods_f72de374e8.jpg)

Interessanterweise wurde die Passkey-Option für Revolut Privatkonten vorbereitet, ist aber
noch nicht aktiviert (siehe Screenshot unten), was darauf hindeutet, dass eine Einführung
unmittelbar bevorstehen und schnell umgesetzt werden könnte, um auch für Privatkonten
einen **„Mit Passkey fortfahren“**-Button zu ermöglichen.

![Revolut Login Customization Personal](https://www.corbado.com/website-assets/65c3ba7f3c0cd0f4c6b948ab_revolut_personal_passkeys_windows_11_chrome_login_methods_ee1e19921f.jpg)

Die Entscheidung, welche Anmeldeoptionen angezeigt werden, basiert auf der _client_id_.
Zum Beispiel:
[https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde](https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde)
Zu experimentellen Zwecken haben wir die _client_id_ auf einen zufälligen Wert geändert,
was alle Anmeldeoptionen (inkl. der Möglichkeit, zwischen Telefonnummer und E-Mail als
Login-Kennung zu wechseln) unter [Windows 11](https://www.corbado.com/blog/passkeys-windows-11) mit
[Chrome](https://www.corbado.com/de/blog/digital-credentials-api) aufdeckte.

![Revolut Passkey All Login Methods](https://www.corbado.com/website-assets/65c3ba901e297f9c44a384ef_revolut_passkeys_windows_11_chrome_all_login_methods_9e1c0162d2.png)

### 6.2 Analyse der PublicKeyCredential-RequestOptions

Während der Anmeldezeremonie haben wir die
[PublicKeyCredentialRequestOptions](https://www.corbado.com/glossary/publickeycredentialrequestoptions)
analysiert. Bemerkenswert ist, dass [allowCredentials](https://www.corbado.com/glossary/allowcredentials) nicht
gesetzt waren, während die [relying party](https://www.corbado.com/glossary/relying-party) ID als
„[sso](https://www.corbado.com/blog/passkeys-single-sign-on-sso).revolut.com“ festgelegt wurde. Die Einstellung
von [userVerification](https://www.corbado.com/glossary/user-verification) auf „preferred“ ist aus
Sicherheitssicht eine kluge Wahl.

```json filename="publicKeyCredentialRequestOptions.json"
{
    "allowCredentials": [],
    "challenge": "WHAxZnJDaDB1VnNXMmlOQW1hVndqdTYzSzF3emR3b3gtRFRCWHVxRjJYRQ",
    "rpId": "sso.revolut.com",
    "userVerification": "preferred"
}
```

### 6.3 Analyse der Association-Dateien

Wir haben auch analysiert, wie eine Einführung in den nativen iOS- und Android-Apps
aussehen könnte und haben daher die [relying party](https://www.corbado.com/glossary/relying-party) ID von
[sso](https://www.corbado.com/blog/passkeys-single-sign-on-sso).revolut.com verwendet und die Pfade zur
assetlinks.json (Android) und apple-app-site-association (iOS) Datei angehängt, um zu
sehen, welche Informationen diese Dateien möglicherweise bereits bezüglich der
Passkey-Einführung enthalten.

#### 6.3.1 assetlinks.json

Der Versuch, auf
[https://sso.revolut.com/.well-known/assetlinks.json](https://sso.revolut.com/.well-known/assetlinks.json)
zuzugreifen, führt zu einem 404-Fehler von nginx, was auf die Verwendung eines
Reverse-Proxys für die Dateiverwaltung hindeutet. Durch die Verwendung der Domain
[https://app.revolut.com](https://app.revolut.com) haben wir die assetlinks.json unter
[https://app.revolut.com/.well-known/assetlinks.json](https://app.revolut.com/.well-known/assetlinks.json)
gefunden, die aufschlussreiche Informationen für Revolut Privat lieferte:

```json filename="assetlinks.json"
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "11:F2:5B:D6:30:60:CE:B4:EF:EC:48:7C:C8:1F:6D:3D:D0:3A:75:C3:E9:D2:C5:32:3D:69:55:9D:C1:7F:6A:23"
            ]
        }
    },
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut.test",
            "sha256_cert_fingerprints": [
                "90:EC:5D:75:11:4E:67:B7:F1:3F:C0:D0:57:85:9B:78:0D:A0:BA:49:E2:22:4C:60:42:7E:D2:EA:00:84:D1:B7"
            ]
        }
    }
]
```

Über [https://well-known.dev](https://well-known.dev) haben wir auch die Association-Datei
für Revolut Business unter
[https://business.revolut.com/.well-known/assetlinks.json](https://business.revolut.com/.well-known/assetlinks.json)
entdeckt:

```json filename="assetlinks.json"
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.business",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "9F:07:80:54:0F:3A:C9:6F:D7:26:02:8A:37:C5:CD:48:DB:A3:67:EE:2D:93:B3:9D:DE:51:BC:F2:2E:7F:B1:88",
                "F8:F5:95:3A:C3:85:DB:0D:85:C3:56:E9:9B:37:BD:CA:4D:EE:B0:D2:52:C6:2A:36:4F:BA:C8:3B:C6:AF:3A:C2"
            ]
        }
    }
]
```

Da sich weder die assetlinks.json-Datei für Revolut Privat noch die für Revolut Business
auf dem durch die [relying party](https://www.corbado.com/glossary/relying-party)-ID vorgesehenen Pfad zur
Verknüpfung der nativen Android-App mit der Web-App befindet, ist es interessant zu
überlegen, welche Änderungen notwendig sind, damit Passkeys sowohl in Web- als auch in
nativen Android-Apps funktionieren.

#### 6.3.2 apple-app-site-association

Die apple-app-site-association-Datei für Revolut Privat ist unter
[https://revolut.com/.well-known/apple-app-site-association](https://revolut.com/.well-known/apple-app-site-association)
zugänglich und enthält noch keine Details zu Web-Credentials:

```json filename="apple-app-site-association"
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            }
        ]
    }
}
```

Im Gegensatz dazu enthält die apple-app-site-association-Datei von Revolut Business
umfassendere Informationen, insbesondere zu Web-Credentials. Dies deutet darauf hin, dass
die iOS-App QUZEZSEARC.com.revolut.business so konfiguriert ist, dass sie
Anmeldeinformationen mit der Revolut Business-Webanwendung teilt. Sie ist unter
[https://business.revolut.com/.well-known/apple-app-site-association](https://business.revolut.com/.well-known/apple-app-site-association)
zugänglich.

```json
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.business",
                "paths": [
                    "/",
                    "/accept-payments/in-person",
                    "/accept-payments/online-requests",
                    "/accept-payments/web-integrations",
                    "/accounts",
                    "/accounts/connect-external",
                    "/accounts/connect-external/*",
                    "/accounts/new",
                    "/accounts/transactions",
                    "/account-transactions/*",
                    "/action/confirm",
                    "/add-card-to-wallet",
                    "/advances",
                    "/advances/manual-repayment",
                    "/app/*",
                    "/application",
                    "/approvals/requests",
                    "/article/*",
                    "/articles/*",
                    "/bug-report",
                    "/card-reader/order",
                    "/cards",
                    "/cards/*",
                    "/cards/*/sca-counters-exceed",
                    "/cards/*/sca-counters-warn",
                    "/cards/*/security",
                    "/cards/*/settings",
                    "/cards/*/transactions",
                    "/cashback",
                    "/catalogue/manage",
                    "/challenges/*",
                    "/consumer-tickets/*",
                    "/crypto",
                    "/e-commerce",
                    "/exchange",
                    "/expense-documents/*",
                    "/expenses",
                    "/expenses/*",
                    "/faq",
                    "/faq/*",
                    "/favourites",
                    "/form",
                    "/form/*",
                    "/help-centre",
                    "/help-centre/topic/*",
                    "/hub/integrations",
                    "/insurance",
                    "/invoices",
                    "/invoices/*",
                    "/marketplace",
                    "/merchant",
                    "/merchant/*",
                    "/new-card-acceptance-pricing",
                    "/offboarding",
                    "/open-onboarding-application-next-step",
                    "/orders",
                    "/pay-in-store/order/*",
                    "/payments",
                    "/payments/scheduled",
                    "/payments/transfers",
                    "/plan/subscriptions",
                    "/points",
                    "/pricing-plans",
                    "/qr-code-sign-in/*",
                    "/referrals",
                    "/referrals/invite-contacts",
                    "/referrals/invitee-details/*",
                    "/request-info",
                    "/request-info/merchant",
                    "/requests",
                    "/requests/request",
                    "/reset-password",
                    "/rewards",
                    "/sales/revolut-me",
                    "/statements",
                    "/savings",
                    "/send",
                    "/settings/accounts-and-documents",
                    "/settings/business-profile",
                    "/settings/manage-devices",
                    "/settings/merchant-profile",
                    "/settings/merchant-profile/branding",
                    "/settings/notifications",
                    "/settings/personal-profile",
                    "/settings/trusted-merchants",
                    "/settings/vat-number",
                    "/signup/invite",
                    "/stories/*",
                    "/story/*",
                    "/subscriptions",
                    "/team",
                    "/team/approvals",
                    "/team/member/add",
                    "/team/roles",
                    "/tip/settings",
                    "/topup",
                    "/transactions",
                    "/transactions/*/add-expense-info",
                    "/transactions/*/add-info-flow",
                    "/transactions/*/chargeback-status",
                    "/transfers",
                    "/treasury",
                    "/upgrade",
                    "/vouchers"
                ]
            }
        ]
    },
    "webcredentials": {
        "apps": ["QUZEZSEARC.com.revolut.business"]
    }
}
```

Genau wie bei Android bleibt es spannend, wie das plattformübergreifende Teilen von
Passkeys zwischen den nativen und Web-Apps implementiert werden kann, da die relying
party-ID für die Web-App (sso.revolut.com) die Association-Dateien nicht an den erwarteten
Speicherorten hat.

## 7. Fazit

Zusammenfassend lässt sich sagen, dass die Einführung von Passkeys bei Revolut ein
bedeutender Schritt zur Revolutionierung der Nutzerauthentifizierung im
[Banking](https://www.corbado.com/de/blog/finom-passkeys-banking)-Sektor ist. Durch die Einführung von Passkeys
verbessert Revolut nicht nur die Sicherheit durch die Abkehr von traditionellen
Passwörtern, sondern steigert auch die UX durch einen einfacheren Anmeldevorgang
erheblich. Trotz der Herausforderungen bei der ersten Einführung, einschließlich
Inkonsistenzen zwischen den Geräten und dem Fehlen von Unterstützung für native Apps,
unterstreichen die Bemühungen von Revolut ein Engagement für digitale Innovation und
nutzerzentriertes Design.

Die technische Analyse zeigt, dass zwar die Grundlagen für eine nahtlose
Passkey-Integration gelegt sind, es aber noch Bereiche mit Verbesserungspotenzial gibt.
Die Verbesserung der Kommunikation, die Gewährleistung der Konsistenz über Plattformen
hinweg und die Ausweitung der Unterstützung auf native mobile Anwendungen sind
entscheidende nächste Schritte. Die Auseinandersetzung mit diesen Bereichen wird nicht nur
die Implementierung von Revolut verfeinern, sondern auch einen Maßstab für die Branche
setzen und andere Finanzinstitute ermutigen, Passkeys bald einzuführen (siehe auch unseren
Blogbeitrag zur [PSD2](https://www.corbado.com/blog/psd2-passkeys)-Konformität von Passkeys).