PayPal weitet Passkeys nach Deutschland aus
von caschy | 31 Kommentare
Vor kurzem hat das Unternehmen PayPal die Passkeys für Kunden in den USA eingeführt. In den nächsten Wochen können auch Nutzer in Deutschland, die auf Android oder iOS setzen, die Passkeys verwenden. Mit einem Passkey können sich Kunden bei PayPal anmelden, ohne ein Passwort eingeben zu müssen. Stattdessen können Kunden sich mit biometrischen Merkmalen oder einem Gerätepasswort schnell und sicher anmelden. Passkeys sind ein Industriestandard, der von der FIDO Alliance und dem World Wide Web Consortium entwickelt wurde. Er ersetzt Passwörter durch kryptografische Schlüsselpaare und digitale Anmeldeinformationen wie biometrische Sensoren, einschließlich Fingerabdruck, Gesichtserkennung und PIN oder Muster.
So erstellt man einen PayPal-Passkey auf Apple-Geräten
Das Erstellen und Verwenden eines Passkeys mit PayPal ist ein flotter Prozess auf einem Apple-Gerät. Einmal erstellt, werden die Passkeys mit dem iCloud-Schlüsselbund synchronisiert. Dies gewährleistet eine einfache Anmeldung für PayPal-Kunden mit Geräten ab iOS 16, iPadOS 16.1 oder macOS Ventura. Sobald berechtigte Kunden sich über den Safari-Browser in ihrem bestehenden PayPal-Konto anmelden, haben sie die Möglichkeit, »einen Passkey zu erstellen«. Nach erfolgreicher Überprüfung der vorhandenen Anmeldedaten werden die Kunden aufgefordert, sich mit Face ID oder Touch ID zu authentifizieren, um den Passkey zu erstellen.
So erstellen Nutzer einen PayPal-Passkey auf Android-Geräten
- Meldet euch mit dem Chrome-Browser auf einem Android 9+-Gerät bei PayPal an, indem ihr eure bestehenden Anmeldedaten verwendet.
- Die Option »Passkey erstellen« mit Informationen über Passkeys wird angezeigt. Zusätzlich zu den bestehenden Anmeldedaten, werden Anwender aufgefordert, sich auf die gleiche Weise zu authentifizieren, wie sie Ihr Gerät normalerweise entsperren. Dadurch wird die Erstellung eines Passkeys ermöglicht.
- Nach der Erstellung werden Nutzer auf den PayPal-Startbildschirm weitergeleitet. Bei der nächsten Anmeldung können sie den Passkey mit Android 9+-Geräten verwenden.
Sobald ein Passkey erstellt wurde, können sich PayPal-Kunden mit Passkey als primäre Anmeldemethode anstelle des PayPal-Passworts anmelden, wo immer dies möglich ist. Es können aber weiterhin zusätzliche Authentifizierungsmaßnahmen erforderlich sein.
- GENEHMIGUNGSFREI: Unkomplizierte, schnelle Anmeldung bei einer Leistung von weniger als 600W.
- DIY PLUG&PLAY: Kinderleichte Installation ganz ohne Ingenieurabschluss. Inklusive Schukostecker.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wenn ich das richtig verstehe, benötige ich allerdings weiterhin Passwörter. Diese Passkeys sind eine zusätzliche, alternative Möglichkeit sich anzumelden, richtig?
Was sind hier die Vorteile? Verstehe denn Sinn noch nicht ganz, da ich meine Passwörter bereits jetzt schon via FaceID oder TouchID einfüge.
Ernst gemeinte Frage.
Bei Passkeys brauchst du nicht inherent weiterhin Passwörter, nein. Das wird von den Anbietern oft aktuell (noch?) so implementiert aus verschiedensten Gründen, aber bei einer Registrierung stattdessen einen Passkey zu hinterlegen und nie ein Passwort gespeichert zu haben ist funktional problemlos möglich.
Naja du meldest dich dann halt nicht mehr mit einem Kennwort an. Autofill und ein Passkey ist ja nicht das selbe. Wenn du zB auf eine fake PayPal Seite gehst und dort Autofill machst haben die bösen dein Kennwort. Bei einem Passkey haben die gar nichts da dieser kein Passwort sendet sondern nur dein „Echtheit“ bestätigt. Soweit ich das verstehe.
Mein PW-Manager würde mir das Passwort nicht anbieten auf einer Fake-Seite. So ist man hier auch bereits geschützt.
Mehr Optionen sind trotzdem gut.
Trotzdem könntest du dazu verleitet werden, es manuell wo einzugeben. Meistens würdest du das sicherlich nicht tun, in dringenden / Notsituation aber vielleicht doch.
Außerdem wäre es auch möglich, dass das Passwort vom Server geklaut wird, bei Passkeys ist das ebenfalls schon rein aus Prinzip nicht möglich.
Passkeys sind aber auch DNS Spoofing sicher. Dein PW Manager nicht (egal welchen du hast).
Webauthn ist technologisch bedingt Phishing sicher, weil ein neues Schlüsselpaar für jede Website erstellt wird. Das ist grade für technologisch nicht so affine Menschen ne super Sache. Selbst wenn sie durch DNS Spoofing auf einer Fake Seite unter paypal.com sind, würde der Passkey Login nicht funktionieren, weil das gespoofte paypal.com kein keypair im Passkey Store hinterlegt hat. Und selbst wenn die Fake Seite aus irgendwelchen unersichtlichen Gründen ein keypair hinterlegt hätte, wäre es auf jeden fall ein anderes als das beim Originalen paypal.com. Ein Angreifer käme also unter keinen Umständen an den richtigen Account. Egal wie „blöd“ sich das Opfer anstellt (Unter der Voraussetzung, dass der private Key nicht exportierbar ist).
Nein du benötigst Passwörter nur noch auf Geräten, auf denen kein Passkey eingerichtet ist.
Der Sinn von Passkeys ergibt sich m.E. erst, wenn man sich gar nicht mehr über Passwörter einloggen kann – denn die Passwörter sind ja die Schwachstelle, die abgeschafft werden soll.
Nach knapp einem Jahr Passkey auf iOS und Android scheint die Umsetzung durch die Diensteanbieter ja äußerst bescheiden zu sein.
Habe es gerade probiert, bei mir wird nichts angezeigt.
„In den nächsten Wochen“, zweiter Satz 😉
„In den nächsten Wochen“
Siehe Text: […] In den nächsten Wochen können auch Nutzer in Deutschland […]
Ich kann mich doch jetzt schon mit einem Fingerabdruck in der app anmelden…
Same, but different. Du meldest dich nicht mehr mit Fingerabdruck an der App an sondern per Passkey, welcher zB durch deinen Fingerabdruck gesichert ist. Soweit ich das verstehe.
Ja, aber nicht auf der Website. Mit Passkeys geht sowas dann auch.
Ist das die Rettung?
Paypal merkt sich kein Gerät, kein Browser und öffnet beim Bezahlvorgang niemals die App. Jedes öffnen der App … Identifizierung. Jeder Bezahlvorgang … Identifizierung.
Ein Mehrwert für mich als Nutzer wäre es, wenn damit der zusätzliche Schritt zur 2FA entfallen würde. Ich vermute aber, das wird nix. Die PSD2 schreibt ja 2FA vor und selbst wenn man es für Paypal deaktiviert muss man sich identifizieren.
Wenn man Geräte in Paypal hinterlegen kann, dann wäre dein Gerät ja der 2FA. Also wäre es technisch möglich.
Der Wikipedia-Artikel zur PSD2 sagt, dass für die starke Kundenauthentifizierung zwei Faktoren aus den drei Bereichen Wissen, Besitz und Biometrie erforderlich sind. Bei Passkeys hat man einmal den Besitz, denn die Dinger sind an ein Gerät gebunden, dazu die Biometrie, ohne die sie sich nicht nutzen lassen. Müsste also funktionieren.
Mit den biometrischen Sicherheitsmerkmalen ist das natürlich so ein Ding: Hoffentlich kommen die nicht abhanden, denn ein einfaches Austauschen wie bei einem Kennwort/Zertifikat ist nicht möglich.
Die Biometrischen Sicherheitsmerkmale verlassen nie das Gerät. Sie dienen dazu den Passkey auf dem Gerät abzusichern. Ausgetauscht werden öffentliche Schlüssel und Rechenaufgaben 🙂
Na ja… Es wird für Kriminelle durch die Nutzung von biometrischen Daten zur Freigabe von Zahlungen immer attraktiver zu versuchen diese biometrischen Daten in die Hände zu bekommen. Und wenn denn tatsächlich – auf welchem Weg auch immer – biometrische Daten abhanden kommen, ist das Problem auf jeden Fall größer als beim Abhanden kommen eines Passwortes, das stimmt schon. mit ist dabei nicht wohl…
Ja, weil ja Versprechungen, dass Daten (also biometrische Sicherheitsmerkmale bzw. deren Abbild/Hash) ein Gerät nicht verlassen, auch immer guten Glauben geschenkt werden sollte. :-/
Das braucht man nicht „glauben“, die Technik dahinter ist dokumentiert.
Dein Gesicht als biometrisches Merkmal ist für Dritte immer Verfügbar, da braucht das Abbild/Hash das Gerät gar nicht verlassen.
Ich bin entsetzt, dass hier die Erstellung eines software basierten Passkeys empfohlen wird! Nicht nur ist dieser prinzipbedingt weniger sicher als das Hardwareäquivalent in Form eines FIDO2-Sticks, sondern man steckt auch voll im Vendor-Lock-In bei Apple bzw. Google.
Einen Vendor-Lock-In soll es nicht geben, Passkeys werden bei Apple exportiertbar sein: https://stadt-bremerhaven.de/passkeys-apple-software-bekommt-im-und-export/
Dann hoffe ich mal, das es schnell kommt Die 2FA mit Code dauert bei mir immer ewig lange bis der Code abgefragt wird und das nervt gewaltig
Kann man Passkeys auch irgendwie disablen? Bei jeder Anmeldung bei Paypal auf meinem Pixel muss ich seit ein paar Monaten erst die Meldung „Keine Passkeys verfügbar“ wegklicken…
Schade, dass kein Zeitpunkt genannt wurde wann man es denn nun wirklich aktivieren kann..
Oder hat schon jemand erfolgreich Passkeys aktiviert für Paypal?
Also, habe mich mit meinem Xiaomi 11 T pro mit Android 13 angemeldet.
Eine Benachrichtigung ist nicht erschienen und im Hilfebereich unter „passkey“ erscheint kein Treffer.