Ostatni rozdział: Silne uwierzytelnianie klienta (SCA) dla PSD2
Opublikowany: 2018-09-05Jest to trzeci z trzyczęściowej serii postów szczegółowo opisujących zasady silnego uwierzytelniania klienta (SCA) PSD2 w UE.
Dotarliśmy do trzeciej i ostatniej odsłony tej serii. W pierwszej części wprowadziliśmy dyrektywę Europejskiego Urzędu Nadzoru Bankowego (lub EBA) Unii Europejskiej o nazwie PSD2 (skrót od The Second Payment Services Directive) i przedstawiliśmy niektóre z przewodnich zasad silnego uwierzytelniania klienta (lub SCA). W drugiej części zbadano ograniczenia i regulacje SCA, które muszą rozważyć realizatorzy, w tym kody uwierzytelniające, dynamiczne łączenie transakcji i niezależność kanałów.
W tym poście przedstawimy opcje implementacji SCA, które powinny spełniać wymagania określone w PSD2 RTS (Regulatory Technical Standard), a także kilka dobrych miejsc, w których można znaleźć więcej informacji.
Zanim przyjrzymy się niektórym opcjom implementacji SCA, powinniśmy również zauważyć, że istnieją pewne wyjątki od silnego uwierzytelniania i dynamicznego łączenia .
W najczęściej zadawanych pytaniach dotyczących komunikatu prasowego PSD2 zauważają: „[zwolnienia] mają na celu uniknięcie zakłócania dzisiejszych sposobów działania konsumentów, sprzedawców i dostawców usług płatniczych. Dzieje się tak również dlatego, że mogą istnieć alternatywne mechanizmy uwierzytelniania, które są równie bezpieczne i bezpieczne. Jednak „dostawcy usług płatniczych, którzy chcą być zwolnieni z SCA, muszą najpierw zastosować mechanizmy monitorowania transakcji, aby ocenić, czy ryzyko oszustwa jest niskie”. Konkretne zwolnienia są opisane w rozdziale III PSD2 RTS.
Dwa obszary, w których wymagane jest silne uwierzytelnianie klienta w PSD2
- Dostęp do konta – to dostęp do rachunków płatniczych za pośrednictwem dowolnego urządzenia: komputera stacjonarnego, laptopa, tabletu lub telefonu komórkowego.
- Płatności – jest to faktyczne uwierzytelnienie płatności, w tym dynamiczne powiązanie informacji o płatności z metodą uwierzytelnienia.
W dzisiejszym świecie wielu urządzeń i wielu kanałów istnieje wiele metod uwierzytelniania przez aplikacje bankowe / płatnicze, od prostych 2FA opartych na SMS-ach do bardziej wyrafinowanych (i bezpiecznych) Universal 2nd Factor ( U2F ) z Fido Sojusz wraz ze wszystkim pomiędzy.
Obecnie mamy zazwyczaj cztery główne konfiguracje:
- Dwa urządzenia – jedno obsługujące aplikację bankową/handlowca; inny zapewniający uwierzytelnienie. Obejmuje to tokeny sprzętowe, a także urządzenia U2F jako urządzenia uwierzytelniające, ale obejmuje również urządzenie mobilne i laptop z laptopem z uruchomioną aplikacją bankową/handlową oraz urządzenie mobilne zapewniające uwierzytelnianie (nawet uwierzytelnianie poza pasmem)
- Dwie aplikacje, jedno urządzenie – na jednym urządzeniu, zazwyczaj telefonie komórkowym, mielibyśmy aplikację bankową/handlowca i aplikację uwierzytelniającą. Aplikacja uwierzytelniająca może obejmować rozwiązanie z tokenem programowym, takie jak Google Authenticator, lub specjalną aplikację uwierzytelniającą, która integrowałaby się z bankiem/sprzedawcą w celu przesyłania, na przykład, dynamicznie powiązanych informacji o zakupie do aplikacji uwierzytelniającej.
- Jedna aplikacja, jedno urządzenie – przykładem może być aplikacja bankowości mobilnej, która zapewnia również możliwość uwierzytelniania w ramach tej aplikacji.
- Out-of-Band – lub OOB Authentication – obejmuje SMS wysyłany na numer telefonu komórkowego, zabezpieczony kartą SIM. W tym przypadku urządzenie mobilne, do którego dociera się przez kanał pozapasmowy, taki jak SMS (lub nawet RCS, jeśli jest obsługiwane) będzie drugim czynnikiem (posiadaniem).
Biorąc pod uwagę wszystkie te opcje, jakie byłyby najlepsze opcje i metody obsługi PSD2 SCA i zachowania zgodności?
Opcja Out-of-Band (OOB) jest najłatwiejszą i najbardziej znaną konsumentom metodą. Jest w pełni zgodna z zasadami Dostępu do Konta i powinna być dostępna dla Płatności, o ile informacje o płatnościach są zawarte w SMS-ie. Spełnia również wymóg niezależności kanału.
Oczywiście w dzisiejszych czasach istnieją pewne problemy z bezpieczeństwem SMS-ów; jednak wiele z nich jest nieco przesadzonych w prasie (np. zamiana kart SIM, przechwytywanie SMS-ów). To powiedziawszy, istnieją lepsze, bezpieczniejsze metody. Jeśli używasz SMS-a jako kanału OOB dla 2FA, rozważ dodanie dodatkowego czynnika wiedzy, aby jeszcze bardziej zabezpieczyć konto lub płatność. Zapewni to dodatkowe zabezpieczenie przed niektórymi scenariuszami zamiany karty SIM lub przechwycenia wiadomości SMS, jeśli się pojawią.
Jednym z problemów związanych z opcją uwierzytelniania na wielu urządzeniach (2-urządzenia) przy użyciu różnych urządzeń sprzętowych do uwierzytelniania płatności jest to, że trudno jest włączyć dynamiczne łączenie informacji o płatnościach/handlowcach z powrotem do tego urządzenia uwierzytelniającego. Chociaż wiele z nich jest dość bezpiecznych, takich jak urządzenia U2F, trudno jest włączyć dynamiczne łączenie informacji o zakupie / płatności.
Jedną z metod, która byłaby przydatna, byłoby użycie rozwiązania do uwierzytelniania, które nadal tworzy ustandaryzowany kod PIN w chmurze, ale wykorzystuje zaszyfrowane informacje wysyłane do wyspecjalizowanej aplikacji uwierzytelniającej. Aplikacja bankowa/sprzedawcy może również zawierać informacje o płatności wraz z kodem, który zostanie wysłany do aplikacji uwierzytelniającej.
Aplikacja uwierzytelniająca przedstawiałaby informacje użytkownikowi, a następnie odpowiadała „Akceptuj” lub „Odrzuć”. Aplikacja uwierzytelniająca może być częścią strategii dwóch urządzeń, a także strategii dwóch aplikacji (jedno urządzenie). Aplikacja nie byłaby zależna od numerów telefonów (np. OOB), a zatem byłaby odporna na zamianę karty SIM lub przejęcie urządzenia. Dodatkowo urządzenie musiałoby znajdować się w fizycznym posiadaniu posiadacza rachunku wraz z informacjami opartymi na wiedzy posiadacza rachunku.
Na szczęście istnieje wiele opcji dostępnych dla dostawców płatności z UE, którzy będą musieli wdrożyć PSD2 SCA w nadchodzących miesiącach. Każdy z nich będzie miał określone przypadki użycia, które należy dokładnie przeanalizować, aby określić, czy należy zastosować zasoby SCA. Oto kilka wskazówek:
- Sprawdź każdy przypadek użycia
- Dowiedz się, czy można zastosować zwolnienia SCA
- Określ, czy przypadek użycia jest związany z dostępem do konta lub płatnościami
- W przypadku płatności określ, w jaki sposób przedstawisz użytkownikowi informacje o płatnościach i sprzedawcy (łączenie dynamiczne)
- W przypadku dostępu do konta sugerujemy, aby zawsze stosować uwierzytelnianie dwuskładnikowe do logowania – jest to po prostu bezpieczniejsze
Na większości rynków UE oczekujemy, że najbardziej rozpowszechnioną metodą zakupów online i płatności będzie korzystanie z urządzenia mobilnego. Oznacza to zatem, że urządzenie będzie używane zarówno jako podstawowe urządzenie do zakupów/płatności, jak i do uwierzytelniania. Nie zawsze oczekuj, że użytkownicy będą korzystać z komputerów stacjonarnych lub laptopów. Wykorzystanie urządzeń mobilnych (w tym tabletów) będzie wzrastać tylko jako urządzenia podstawowe.
PSD2 SCA to złożony zestaw przepisów, ale z pewnym zdrowym rozsądkiem i zrozumieniem dzisiejszych wyzwań i opcji uwierzytelniania, można go wdrożyć zgodnie z tymi przepisami, a także chronić wszystkie zaangażowane strony. W ostatnich miesiącach pojawiła się krytyka niektórych wymagań SCA i niektórych ograniczeń, które one nakładają. W rzeczywistości mogą pojawić się regulacje uzupełniające (PSD3?) w nadchodzących miesiącach i latach.
Nie bój się śmiało wdrażać SCA, jeśli zajmujesz się płatnościami online. Nie czekaj do ostatniej chwili. Poświęć czas na przeczytanie wymagań, przestudiowanie ich, a następnie podjęcie decyzji. Istnieje wiele opcji i mamy nadzieję, że ta trzyczęściowa seria była pomocna w przeprowadzeniu przez różne opcje i elementy PSD2 SCA.