PSD2:歐盟的強大客戶認證
已發表: 2018-05-23這是詳細介紹 PSD2:歐盟的強客戶身份驗證 (SCA) 的三部分系列文章中的第二部分。
在這三部分系列的第一部分中,我們介紹了名為 PSD2(第二支付服務指令的縮寫)的歐盟歐洲銀行管理局(或 EBA)指令,並概述了強客戶身份驗證(或 SCA)的一些指導原則.
談到 SCA,EBA 指出:“感謝 PSD2,消費者在進行電子支付或交易(例如使用網上銀行或在線購買)時將得到更好的保護。 如第 1 部分所述,監管技術標準 (RTS) 使強大的客戶身份驗證 (SCA) 成為訪問個人支付賬戶以及在線支付的基礎。”
在這篇文章中,我們將探討實施者必須考慮的 SCA 限制和監管機構。 首先,讓我們看一下生成的驗證碼。 請記住,這本質上是兩因素身份驗證或 2FA。
RTS 概述了身份驗證代碼的以下條件:
- 不能從認證代碼的披露中獲得有關知識、擁有和繼承的信息。 這意味著,如果您知道驗證碼,則無法推導出任何其他知識項(例如用戶 ID)、用戶擁有的東西(例如手機——這意味著您無法推導出手機號碼)或繼承——關於用戶本身的方面,例如生物特徵。
- 不可能根據先前生成的任何其他驗證碼的知識生成新的驗證碼。 對於這種情況,給定任何驗證碼,都無法通過引用一個或多個先前的驗證碼來生成新的驗證碼。
- 驗證碼不能偽造。 實施者必須創建身份驗證代碼,以便無法成功驗證偽造或偽造的代碼。
- 在代碼的有效時間內,不應嘗試超過 5 次失敗的身份驗證嘗試。 生成的每個代碼都有一個過期時間或“生存時間”。 此計時器在生成代碼後立即啟動,包括交付時間。 一個好的經驗法則是代碼應該在 15 分鐘或更短的時間內過期。 一些組織將此時間延長到 30 分鐘或 1 小時,但這可能太長了。 如果用戶嘗試使用該代碼進行身份驗證並失敗 5 次,則必鬚髮送一個新代碼。 這可以防止任何類型的蠻力嘗試找出代碼。
- 付款人或用戶通過在線訪問其支付賬戶的身份驗證後,最長不活動時間不得超過5分鐘。 這是一個標準的不活動計時器,雖然與身份驗證代碼分開,但它是一個計時器,一旦用戶成功通過身份驗證,它就會啟動並且不執行任何活動。
這些都是在 2FA 情況下生成/驗證驗證碼的相對標準條件。
現在讓我們看一下稱為事務動態鏈接的 RTS 要求。 電子遠程交易(例如通過互聯網進行,無論設備是台式機還是移動設備)應包括“將交易動態鏈接到(支付的)特定金額和特定收款人的元素。
此 SCA 要求表明應在 2FA 交易時將交易的付款金額連同付款對像一起提供給用戶。
例如,用戶收到的 SMS 將驗證購買金額和商家,以及安全(認證)代碼和該代碼的到期信息。 需要注意的一點是,購買金額和商家沒有加密。
另一種方法是在 SMS 消息中包含 URL 以及安全代碼。 URL 想要鏈接的、加密的交易信息——可通過用戶知道的東西以及安全代碼(在用戶擁有的東西上接收)訪問。
由第三方 TOTP 兼容應用程序(如 Google Authenticator 和許多其他應用程序)生成的驗證碼與支付/商戶信息完全分離。 將這些代碼動態鏈接到交易的能力有些麻煩。
此外,這些免費應用程序中的大多數可能不包含適當的措施來支持交易數據的動態鏈接,並確保這些應用程序包含破壞應用程序克隆以及越獄和根檢測的對策。 也就是說,有一些特殊的 SDK 和 API 可以為兼容的移動應用程序提供這些對策。
這意味著由第三方 TOTP 兼容應用程序(例如 Google Authenticator)生成的驗證碼與支付/商家信息分開生成,因此無法動態鏈接。
渠道獨立性要求規定,“支付服務提供商應採取安全措施,在通過多用途設備使用強客戶身份驗證的任何元素或身份驗證代碼本身的情況下,以減輕多用途設備可能導致的風險。目的設備受到損害。”
多功能設備可以是移動設備、平板電腦或膝上型電腦。 事實上,可能會出現銀行/支付應用程序和身份驗證應用程序在同一設備上的情況。 在少數情況下,它們可能是同一個應用程序的一部分。 或者,支付應用程序可以依賴帶外身份驗證通道(如 SMS)。
渠道是指與用戶交互的方式。 用戶在線支付(或支付賬戶接入)的通道與認證使用的通道不能相同。 就當今市場上可用的設備組合而言,渠道獨立性帶來了許多問題。 短信帶外認證部署廣泛,使用方便,深受消費者喜愛; 但是,它確實存在一些安全問題。
除了 SMS 等帶外解決方案之外,另一個獨立於渠道且可行的良好解決方案是通過單獨的雲身份驗證解決方案向移動身份驗證應用程序甚至銀行/支付/商家應用程序使用推送消息,並將支付信息作為以及唯一的代碼。
包含適當對策的單獨身份驗證應用程序,通過加密的獨立通道接收動態鏈接的信息是滿足這些要求的另一種可能方法。
在這個三部分系列的第三部分中,我們將概述一些應滿足 RTS 中概述的要求的 SCA 實施選項,以及一些可以找到更多信息的地方。
請考慮在 Twitter 上關注我:@wdudley2009