最後一章:PSD2 的強客戶認證 (SCA)
已發表: 2018-09-05這是詳細介紹歐盟 PSD2 強客戶認證 (SCA) 的三部分系列文章中的第三部分
我們已經完成了本系列的第三部分也是最後一部分。 在第一部分中,我們介紹了名為 PSD2(第二支付服務指令的縮寫)的歐盟歐洲銀行管理局(或 EBA)指令,並概述了強客戶身份驗證(或 SCA)的一些指導原則。 第二部分探討了實施者必須考慮的 SCA 限制和規定,包括身份驗證代碼、交易的動態鏈接和通道獨立性。
在這篇文章中,我們將概述應滿足 PSD2 RTS(監管技術標準)中概述的要求的 SCA 實施選項,以及一些尋找更多信息的好地方。
在我們查看 SCA 的一些實現選項之前,我們還應該指出,強身份驗證和動態鏈接存在一些例外情況。
在 PSD2 新聞稿常見問題解答中,他們指出:“[豁免] 是為了避免擾亂當今消費者、商家和支付服務提供商的運營方式。 這也是因為可能存在同樣安全可靠的替代身份驗證機制。 但是,“希望免於 SCA 的支付服務提供商必須首先應用監控交易的機制,以評估欺詐風險是否低。” PSD2 RTS 第 III 章概述了具體的豁免。
PSD2 中需要強客戶身份驗證的兩個領域
- 賬戶訪問——這是通過任何設備訪問支付賬戶:台式機、筆記本電腦、平板電腦或手機。
- 支付——這是支付的實際驗證,包括支付信息與驗證方法的動態鏈接。
在當今多設備、多渠道的世界中,有多種銀行/支付應用程序來完成身份驗證,從簡單的基於 SMS 的 2FA 到來自 Fido 的更複雜(和安全)的 Universal 2 nd Factor (U2F)聯盟以及介於兩者之間的一切。
我們今天通常有四種主要配置:
- 兩台設備——一台運行銀行/商戶應用程序; 另一個提供身份驗證。 這將包括硬件令牌以及作為身份驗證設備的 U2F 設備,但也包括移動設備和筆記本電腦,筆記本電腦運行銀行/商家應用程序和移動設備提供身份驗證(甚至是帶外身份驗證)
- 兩個應用程序,一個設備——在一個設備上,通常是一部手機,我們將擁有銀行/商家應用程序和一個身份驗證應用程序。 身份驗證應用程序可以包括一個軟令牌解決方案,例如 Google Authenticator 或一個專門構建的身份驗證應用程序,該應用程序將與銀行/商家集成以將例如動態鏈接的購買信息傳輸到身份驗證器應用程序。
- 一個應用程序,一個設備——一個例子是移動銀行應用程序,它也在該應用程序中提供了身份驗證功能。
- 帶外(或OOB 身份驗證)包括發送到手機號碼的 SMS,由 SIM 卡保護。 在這種情況下,通過諸如 SMS(或什至 RCS,如果支持)等帶外通道到達的移動設備將是第二個因素(佔有)。
鑑於所有這些選項,支持 PSD2 SCA 並符合要求的最佳選項和方法是什麼?
帶外選項 (OOB) 是消費者最簡單和最知名的方法。 它完全符合帳戶訪問規則,只要付款信息包含在 SMS 中,它就應該是付款的一個選項。 它也滿足了通道獨立性的要求。
當然,這些天來,SMS 存在一些安全問題; 然而,許多這些在媒體上都被誇大了(例如 SIM 交換、SMS 攔截)。 也就是說,有更好、更安全的方法。 如果使用 SMS 作為 2FA 的 OOB 通道,請考慮添加額外的知識因素以進一步保護帳戶或付款。 如果發生某些 SIM 交換或 SMS 攔截情況,這將提供額外的安全性。
使用各種硬件設備進行支付驗證的多設備(2 設備)驗證選項的問題之一是難以將支付/商家信息的動態鏈接合併回該驗證設備。 雖然其中許多都非常安全,例如 U2F 設備,但很難將購買/支付信息的動態鏈接結合起來。
一種有用的方法是使用身份驗證解決方案,該解決方案仍然在雲中創建標準化的 PIN 碼,但使用發送到專用身份驗證應用程序的加密信息。 銀行/商家應用程序還可以包括支付信息以及將發送到身份驗證應用程序的代碼。
身份驗證應用程序會將信息呈現給用戶,然後回复“接受”或“拒絕”。 身份驗證應用程序可以是雙設備策略以及雙應用程序(一個設備)策略的一部分。 該應用程序將不依賴於電話號碼(例如 OOB),因此可以抵抗 SIM 交換或設備劫持。 此外,該設備必須與帳戶持有人的基於知識的信息一起由帳戶持有人實際擁有。
幸運的是,歐盟支付提供商有很多選擇,他們需要在未來幾個月內實施 PSD2 SCA。 每個都有特定的用例,應仔細檢查以確定是否應應用 SCA 資源。 這裡有一些提示:
- 檢查每個用例
- 了解是否可以應用 SCA 豁免
- 確定與帳戶訪問或付款相關的用例
- 對於付款,確定您將如何向用戶展示付款信息和商家(動態鏈接)
- 對於帳戶訪問,我們建議始終對登錄應用雙因素身份驗證——這樣更安全
對於大多數歐盟市場,我們預計最流行的在線購物和支付方式將是通過移動設備。 因此,這意味著該設備將用作購物/支付以及身份驗證的主要設備。 不要總是期望用戶會使用台式機或筆記本電腦。 移動設備(包括平板電腦)的使用只會作為主要設備增加。
PSD2 SCA 是一組複雜的法規,但對當今的身份驗證挑戰和選項有一些常識和理解,可以在滿足這些法規的情況下實施並保護所有相關方。 最近幾個月,對 SCA 的一些要求及其施加的一些限制提出了一些批評。 事實上,未來幾個月和幾年可能會有後續法規(PSD3?)。
如果您參與在線支付,請不要害怕繼續實施 SCA。 不要等到最後一分鐘。 花時間閱讀需求,研究它們,然後做出決定。 那裡有很多選項,我們希望這個由 3 部分組成的系列對指導您了解 PSD2 SCA 的各種選項和元素有所幫助。