PSD2: AB'de Güçlü Müşteri Kimlik Doğrulaması
Yayınlanan: 2018-05-23Bu, PSD2: AB'de Güçlü Müşteri Kimlik Doğrulaması'nı (SCA) detaylandıran üç bölümden oluşan bir gönderi dizisinin ikincisidir.
Bu üç bölümlük dizinin ilk bölümünde, Avrupa Birliği'nin Avrupa Bankacılık Otoritesi (veya EBA) direktifini PSD2 (İkinci Ödeme Hizmetleri Direktifinin kısaltması) olarak tanıttık ve Güçlü Müşteri Kimlik Doğrulamasının (veya SCA) yol gösterici ilkelerinden bazılarını özetledik. .
EBA, SCA'ya atıfta bulunarak şunları belirtiyor: “PSD2 sayesinde tüketiciler elektronik ödemeler veya işlemler (çevrimiçi bankacılığı kullanmak veya çevrimiçi satın almak gibi) yaptıklarında daha iyi korunacaklar. Bölüm 1'de belirtildiği gibi, Düzenleyici Teknik Standart (RTS), güçlü müşteri kimlik doğrulamasını (SCA), kişinin ödeme hesabına erişmenin yanı sıra çevrimiçi ödeme yapmak için temel oluşturur.”
Bu yazıda, uygulayıcıların dikkate alması gereken SCA sınırlamalarını ve düzenleyicilerini inceleyeceğiz. İlk olarak, oluşturulan kimlik doğrulama kodlarına bakalım. Unutmayın, bu esasen İki Faktörlü Kimlik Doğrulama veya 2FA'dır.
RTS, kimlik doğrulama kodları için aşağıdaki koşulları özetlemektedir:
- Kimlik doğrulama kodunun açıklanmasından bilgi, sahiplik ve miras ile ilgili hiçbir bilgi elde edilemez. Bu, doğrulama kodunu biliyorsanız, kullanıcının elinde ne varsa (örneğin bir cep telefonu - yani cep telefonu numarasını elde edemezsiniz) başka herhangi bir bilgi öğesi (örneğin bir kullanıcı kimliği) elde etmenin bir yolu olmadığı anlamına gelir. veya kalıtım – biyometri gibi kullanıcıların kendileriyle ilgili hususlar.
- Daha önce oluşturulmuş başka herhangi bir kimlik doğrulama kodunun bilgisine dayalı olarak yeni bir kimlik doğrulama kodu oluşturmak mümkün değildir . Bu koşul için, herhangi bir kimlik doğrulama kodu verildiğinde, önceki bir veya daha fazla kimlik doğrulama koduna başvurarak yeni bir kimlik doğrulama kodu oluşturmanın bir yolu yoktur.
- Kimlik doğrulama kodu sahte olamaz . Uygulayıcı, sahte veya sahte kodların başarıyla doğrulanamaması için kimlik doğrulama kodları oluşturmalıdır.
- Kodun geçerlilik süresi içinde en fazla 5 başarısız kimlik doğrulama girişimi denenmelidir. Oluşturulan her kodun bir sona erme süresi veya "yaşama süresi" olacaktır. Bu zamanlayıcı, kod oluşturulduktan hemen sonra başlar ve teslim süresini içerir. İyi bir kural, kodun süresinin 15 dakika veya daha kısa sürede sona ermesidir. Bazı kuruluşlar bunu 30 dakika veya 1 saate çıkarır, ancak bu çok uzun olabilir. Kullanıcı kodla kimlik doğrulamayı dener ve 5 kez başarısız olursa, yeni bir kod gönderilmelidir. Bu, kodu çözmeye yönelik her türlü kaba kuvvet girişimini önler.
- Ödeme hesabına çevrimiçi erişim için kimlik doğrulaması yapıldıktan sonra ödeyen veya kullanıcı tarafından işlem yapılmayan maksimum süre 5 dakikayı geçemez . Bu standart bir hareketsizlik zamanlayıcısıdır ve kimlik doğrulama kodundan ayrı olmakla birlikte, kullanıcının kimliği başarılı bir şekilde doğrulandıktan sonra başlayan ve herhangi bir aktivite gerçekleştirmeyen bir zamanlayıcıdır.
Bunların tümü, 2FA durumlarında kullanılan kimlik doğrulama kodunun oluşturulması/doğrulanması için nispeten standart koşullardır.
Şimdi İşlemlerin Dinamik Bağlanması adlı RTS gereksinimine bir göz atalım. Elektronik uzaktan işlemler (örneğin, cihazın masaüstü veya mobil cihaz olmasına bakılmaksızın İnternet üzerinden yapılan), “işlemi belirli miktara (ödeme) ve belirli alacaklıya dinamik olarak bağlayan” unsurları içermelidir.
Bu SCA gerekliliği, işlemin ödeme tutarının yanı sıra ödemenin yapıldığı kullanıcıya 2FA işlemi sırasında geri verilmesi gerektiğini belirtir.
Örneğin, kullanıcı tarafından alınan bir SMS, satın alma tutarını ve satıcıyı, güvenlik (kimlik doğrulama) kodu ve bu kodun geçerlilik süresi bilgilerini doğrular. Unutulmaması gereken bir şey, satın alma tutarının ve satıcının şifrelenmemiş olmasıdır.
Bir alternatif, SMS mesajına güvenlik koduyla birlikte bir URL eklemek olabilir. URL, bağlantılı, şifreli işlem bilgilerini ister - kullanıcının bildiği bir şey aracılığıyla erişilebilir, ayrıca güvenlik kodu (kullanıcının sahip olduğu bir şey üzerinden alınır).
Google Authenticator ve diğerleri gibi üçüncü taraf TOTP uyumlu uygulamalar tarafından oluşturulan kimlik doğrulama kodları, ödeme/satıcı bilgilerinden tamamen ayrılmıştır. Bu kodları işleme dinamik olarak bağlama yeteneği biraz zahmetlidir.
Ek olarak, bu ücretsiz uygulamaların çoğu, işlem verilerinin dinamik olarak bağlanmasını desteklemek ve bu uygulamaların uygulama klonlamanın yanı sıra jailbreak ve kök algılamayı bozacak karşı önlemler içermesini sağlamak için uygun önlemleri içermeyebilir. Bununla birlikte, uyumlu mobil uygulamalara bu karşı önlemleri sağlayabilecek bazı özel SDK'lar ve API'ler vardır.
Bu, Google Authenticator gibi üçüncü taraf TOTP uyumlu bir uygulama tarafından oluşturulan bir kimlik doğrulama kodunun ödeme / satıcı bilgilerinden ayrı olarak oluşturulduğu ve bu nedenle dinamik olarak bağlanamayacağı anlamına gelir.
Kanal Bağımsızlığı gerekliliği, “ödeme hizmeti sağlayıcıları, güçlü müşteri kimlik doğrulaması unsurlarından herhangi birinin veya kimlik doğrulama kodunun kendisinin çok amaçlı bir cihaz aracılığıyla kullanıldığı durumlarda, bu çok amaçlı cihazdan kaynaklanacak riski azaltmak için güvenlik önlemleri alacaklarını belirtmektedir. amaçlı cihazın güvenliği ihlal ediliyor.”
Çok amaçlı cihaz bir mobil cihaz, tablet veya dizüstü bilgisayar olabilir. Aslında, bankacılık/ödeme uygulamasının ve kimlik doğrulama uygulamasının aynı cihazda olduğu senaryolar olabilir. Birkaç durumda, aynı uygulamanın parçası olabilirler. Alternatif olarak, ödeme uygulaması bant dışı bir kimlik doğrulama kanalına (SMS gibi) güvenebilir.
Kanallar , kullanıcıyla etkileşim kurmanın yollarını ifade eder. Kullanıcının çevrimiçi ödemesi (veya ödeme hesabı erişimi) için kullanılan kanal ile kimlik doğrulama için kullanılan kanal aynı olmamalıdır. Bugün piyasada bulunan mevcut cihaz kombinasyonları açısından, kanal bağımsızlığı bir takım sorunları beraberinde getirmektedir. SMS yoluyla bant dışı kimlik doğrulama yaygın olarak kullanılır, kullanımı kolaydır ve tüketiciler arasında oldukça popülerdir; ancak, algılanan bazı güvenlik sorunları var.
SMS gibi bant dışı çözümlerin yanı sıra, kanaldan bağımsız ve uygulanabilir başka bir iyi çözüm, ayrı bir bulut kimlik doğrulama çözümü aracılığıyla bir mobil kimlik doğrulama uygulamasına veya hatta ödeme bilgileriyle birlikte bankacılık/ödeme/tüccar uygulamasına bir anlık mesajlaşma kullanmak olabilir. yanı sıra benzersiz bir kod.
Uygun karşı önlemleri içeren, şifreli, bağımsız bir kanal aracılığıyla dinamik olarak bağlantılı bilgileri alan ayrı bir kimlik doğrulama uygulaması, bu gereksinimleri karşılamanın başka bir olası yöntemidir.
Bu üç bölümlük dizinin üçüncü bölümünde , RTS'de belirtilen gereksinimleri karşılaması gereken bazı SCA uygulama seçeneklerinin yanı sıra daha fazla bilgi bulabileceğiniz bazı yerleri özetleyeceğiz.
Lütfen beni Twitter'da takip etmeyi düşünün: @wdudley2009