最后一章:PSD2 的强客户认证 (SCA)
已发表: 2018-09-05这是详细介绍欧盟 PSD2 强客户认证 (SCA) 的三部分系列文章中的第三部分
我们已经完成了本系列的第三部分也是最后一部分。 在第一部分中,我们介绍了名为 PSD2(第二支付服务指令的缩写)的欧盟欧洲银行管理局(或 EBA)指令,并概述了强客户身份验证(或 SCA)的一些指导原则。 第二部分探讨了实施者必须考虑的 SCA 限制和规定,包括身份验证代码、交易的动态链接和通道独立性。
在这篇文章中,我们将概述应满足 PSD2 RTS(监管技术标准)中概述的要求的 SCA 实施选项,以及一些寻找更多信息的好地方。
在我们查看 SCA 的一些实现选项之前,我们还应该指出,强身份验证和动态链接存在一些例外情况。
在 PSD2 新闻稿常见问题解答中,他们指出:“[豁免] 是为了避免扰乱当今消费者、商家和支付服务提供商的运营方式。 这也是因为可能存在同样安全可靠的替代身份验证机制。 但是,“希望免于 SCA 的支付服务提供商必须首先应用监控交易的机制,以评估欺诈风险是否低。” PSD2 RTS 第 III 章概述了具体的豁免。
PSD2 中需要强客户身份验证的两个领域
- 账户访问——这是通过任何设备访问支付账户:台式机、笔记本电脑、平板电脑或手机。
- 支付——这是支付的实际验证,包括支付信息与验证方法的动态链接。
在当今多设备、多渠道的世界中,有多种银行/支付应用程序来完成身份验证,从简单的基于 SMS 的 2FA 到来自 Fido 的更复杂(和安全)的 Universal 2 nd Factor (U2F)联盟以及介于两者之间的一切。
我们今天通常有四种主要配置:
- 两台设备——一台运行银行/商户应用程序; 另一个提供身份验证。 这将包括硬件令牌以及作为身份验证设备的 U2F 设备,但也包括移动设备和笔记本电脑,笔记本电脑运行银行/商家应用程序和提供身份验证的移动设备(甚至是带外身份验证)
- 两个应用程序,一个设备——在一个设备上,通常是一部手机,我们将拥有银行/商家应用程序和一个身份验证应用程序。 身份验证应用程序可以包括一个软令牌解决方案,例如 Google Authenticator 或一个专门构建的身份验证应用程序,该应用程序将与银行/商家集成以将例如动态链接的购买信息传输到身份验证器应用程序。
- 一个应用程序,一个设备——一个例子是移动银行应用程序,它也在该应用程序中提供了身份验证功能。
- 带外(或OOB 身份验证)包括发送到手机号码的 SMS,由 SIM 卡保护。 在这种情况下,通过诸如 SMS(或什至 RCS,如果支持)等带外通道到达的移动设备将是第二个因素(占有)。
鉴于所有这些选项,支持 PSD2 SCA 并符合要求的最佳选项和方法是什么?
带外选项 (OOB) 是消费者最简单和最知名的方法。 它完全符合帐户访问规则,只要付款信息包含在 SMS 中,它就应该是付款的一个选项。 它也满足了通道独立性的要求。
当然,这些天来,SMS 存在一些安全问题; 然而,许多这些在媒体上都被夸大了(例如 SIM 交换、SMS 拦截)。 也就是说,有更好、更安全的方法。 如果使用 SMS 作为 2FA 的 OOB 通道,请考虑添加额外的知识因素以进一步保护帐户或付款。 如果发生某些 SIM 交换或 SMS 拦截情况,这将提供额外的安全性。
使用各种硬件设备进行支付验证的多设备(2 设备)验证选项的问题之一是难以将支付/商家信息的动态链接合并回该验证设备。 虽然其中许多都非常安全,例如 U2F 设备,但很难将购买/支付信息的动态链接结合起来。
一种有用的方法是使用身份验证解决方案,该解决方案仍然在云中创建标准化的 PIN 码,但使用发送到专用身份验证应用程序的加密信息。 银行/商家应用程序还可以包括支付信息以及将发送到身份验证应用程序的代码。
身份验证应用程序会将信息呈现给用户,然后回复“接受”或“拒绝”。 身份验证应用程序可以是双设备策略以及双应用程序(一个设备)策略的一部分。 该应用程序将不依赖于电话号码(例如 OOB),因此可以抵抗 SIM 交换或设备劫持。 此外,该设备必须与帐户持有人的基于知识的信息一起由帐户持有人实际拥有。
幸运的是,欧盟支付提供商有很多选择,他们需要在未来几个月内实施 PSD2 SCA。 每个都有特定的用例,应仔细检查以确定是否应应用 SCA 资源。 这里有一些提示:
- 检查每个用例
- 了解是否可以应用 SCA 豁免
- 确定与帐户访问或付款相关的用例
- 对于付款,确定您将如何向用户展示付款信息和商家(动态链接)
- 对于帐户访问,我们建议始终对登录应用双因素身份验证——这样更安全
对于大多数欧盟市场,我们预计最流行的在线购物和支付方式将是通过移动设备。 因此,这意味着该设备将用作购物/支付以及身份验证的主要设备。 不要总是期望用户会使用台式机或笔记本电脑。 移动设备(包括平板电脑)的使用只会作为主要设备增加。
PSD2 SCA 是一组复杂的法规,但对当今的身份验证挑战和选项有一些常识和理解,它可以在满足这些法规的情况下实施并保护所有相关方。 最近几个月,对 SCA 的一些要求及其施加的一些限制提出了一些批评。 事实上,未来几个月和几年可能会有后续法规(PSD3?)。
如果您参与在线支付,请不要害怕继续实施 SCA。 不要等到最后一分钟。 花时间阅读需求,研究它们,然后做出决定。 那里有很多选项,我们希望这个由 3 部分组成的系列对指导您了解 PSD2 SCA 的各种选项和元素有所帮助。