PSD2:欧盟的强大客户认证

已发表: 2018-05-23

这是详细介绍 PSD2:欧盟的强客户身份验证 (SCA) 的三部分系列文章中的第二部分。

在这三部分系列的第一部分中,我们介绍了名为 PSD2(第二支付服务指令的缩写)的欧盟欧洲银行管理局(或 EBA)指令,并概述了强客户身份验证(或 SCA)的一些指导原则.

谈到 SCA,EBA 指出:“感谢 PSD2,消费者在进行电子支付或交易(例如使用网上银行或在线购买)时将得到更好的保护。 如第 1 部分所述,监管技术标准 (RTS) 使强大的客户身份验证 (SCA) 成为访问个人支付账户以及在线支付的基础。”

在这篇文章中,我们将探讨实施者必须考虑的 SCA 限制和监管机构。 首先,让我们看一下生成的验证码。 请记住,这本质上是两因素身份验证或 2FA。

RTS 概述了身份验证代码的以下条件:

  • 不能从认证代码的披露中获得有关知识、拥有和继承的信息。 这意味着,如果您知道验证码,则无法推导出任何其他知识项(例如用户 ID),即用户拥有的东西(例如手机——这意味着您无法推导出手机号码)或继承——关于用户本身的方面,例如生物特征。
  • 不可能根据先前生成的任何其他验证码的知识生成新的验证码。 对于这种情况,给定任何验证码,都无法通过引用一个或多个先前的验证码来生成新的验证码。
  • 验证码不能伪造。 实施者必须创建身份验证代码,以便无法成功验证伪造或伪造的代码。
  • 在代码的有效时间内,不应尝试超过 5 次失败的身份验证尝试。 生成的每个代码都有一个过期时间或“生存时间”。 此计时器在生成代码后立即启动,包括交付时间。 一个好的经验法则是代码应该在 15 分钟或更短的时间内过期。 一些组织将此时间延长到 30 分钟或 1 小时,但这可能太长了。 如果用户尝试使用该代码进行身份验证并失败 5 次,则必须发送一个新代码。 这可以防止任何类型的蛮力尝试找出代码。
  • 付款人或用户通过在线访问其支付账户的身份验证后,最长不活动时间不得超过5分钟。 这是一个标准的不活动计时器,虽然与身份验证代码分开,但它是一个计时器,一旦用户成功通过身份验证,它就会启动并且不执行任何活动。

这些都是在 2FA 情况下生成/验证验证码的相对标准条件。

现在让我们看一下称为事务动态链接的 RTS 要求。 电子远程交易(例如通过互联网进行,无论设备是台式机还是移动设备)应包括“将交易动态链接到(支付的)特定金额特定收款人的元素。

此 SCA 要求表明应在 2FA 交易时将交易的付款金额连同付款对象一起提供给用户。

例如,用户收到的 SMS 将验证购买金额和商家,以及安全(认证)代码和该代码的到期信息。 需要注意的一点是,购买金额和商家没有加密。

另一种方法是在 SMS 消息中包含 URL 以及安全代码。 URL 想要链接的、加密的交易信息——可通过用户知道的东西以及安全代码(在用户拥有的东西上接收)访问。

由第三方 TOTP 兼容应用程序(如 Google Authenticator 和许多其他应用程序)生成的验证码与支付/商户信息完全分离。 将这些代码动态链接到交易的能力有些麻烦。

此外,这些免费应用程序中的大多数可能不包含适当的措施来支持交易数据的动态链接,并确保这些应用程序包含破坏应用程序克隆以及越狱和根检测的对策。 也就是说,有一些特殊的 SDK 和 API 可以为兼容的移动应用程序提供这些对策。

这意味着由第三方 TOTP 兼容应用程序(例如 Google Authenticator)生成的验证码与支付/商家信息分开生成,因此无法动态链接。

渠道独立性要求规定,“支付服务提供商应采取安全措施,在通过多用途设备使用强客户身份验证的任何元素或身份验证代码本身的情况下,以减轻多用途设备可能导致的风险。目的设备受到损害。”

多功能设备可以是移动设备、平板电脑或膝上型电脑。 事实上,可能会出现银行/支付应用程序和身份验证应用程序在同一设备上的情况。 在少数情况下,它们可能是同一个应用程序的一部分。 或者,支付应用程序可以依赖带外身份验证通道(如 SMS)。

渠道是指与用户交互的方式。 用户在线支付(或支付账户接入)的通道与认证使用的通道不能相同。 就当今市场上可用的设备组合而言,渠道独立性带来了许多问题。 短信带外认证部署广泛,使用方便,深受消费者喜爱; 但是,它确实存在一些安全问题。

除了 SMS 等带外解决方案之外,另一个独立于渠道且可行的良好解决方案是通过单独的云身份验证解决方案向移动身份验证应用程序甚至银行/支付/商家应用程序使用推送消息,并将支付信息作为以及唯一的代码。

包含适当对策的单独身份验证应用程序,通过加密的独立通道接收动态链接的信息是满足这些要求的另一种可能方法。

在这个三部分系列的第三部分中,我们将概述一些应满足 RTS 中概述的要求的 SCA 实施选项,以及一些可以找到更多信息的地方。

请考虑在 Twitter 上关注我:@wdudley2009

在此处了解当前的健康危机可能对业务战略、数字化转型和电子商务的未来产生什么影响。