Bezpieczne potwierdzenie płatności (SPC) to proponowany standard internetowy, który umożliwia klientom uwierzytelnianie się u wystawcy karty kredytowej, banku lub innego dostawcy usług płatniczych za pomocą uwierzytelniania platformy:
- Odblokowywanie funkcji, w tym Touch ID na urządzeniu z macOS
- Windows Hello na urządzeniu z systemem Windows
Dzięki SPC sprzedawcy mogą umożliwić klientom szybkie i bezproblemowe uwierzytelnianie zakupów, a banki wydające karty chronią klientów przed oszustwem.
SPC składa się z 2 etapów: rejestracji i uwierzytelniania.
- Rejestracja: płatnik łączy swoje urządzenie z usługą zaufaną (RP). Stroną polegającą może być wydawca karty kredytowej, bank lub inny dostawca usług płatności.
- Uwierzytelnianie: płatnik używa zarejestrowanego urządzenia do potwierdzenia swojej tożsamości u RP bezpośrednio na platformie sprzedawcy przed potwierdzeniem płatności.
Uwierzytelnianie na potrzeby zapobiegania oszustwom
Uwierzytelnianie odgrywa ważną rolę w zapobieganiu oszustwom związanym z płatnościami. Jednak ten proces weryfikacji często opiera się na słabych mechanizmach, np. przez połączenie numeru karty kredytowej z imieniem i nazwiskiem właściciela karty lub dodatkowego kodu CVC umieszczonego na odwrocie karty. Mechanizmy te mogą zostać łatwo przejęte i skradzione, jeśli dane karty wyciekną w wyniku naruszenia bezpieczeństwa danych, takiego jak przejęcie konta lub ataki w celu wyłudzenia informacji.
Wprowadziliśmy dodatkowe mechanizmy zapobiegające oszustwom, takie jak EMV® 3-D Secure, zgodnie z którą płatnik może zostać poproszony o potwierdzenie danych u wydawcy karty lub banku. Aby się uwierzytelnić, użytkownik loguje się za pomocą nazwy użytkownika i hasła lub jednorazowego hasła (OTP) wysłanego SMS-em na telefon płatnika. Ma to na celu ochronę klientów przed oszustwem, ale może utrudniać dokonywanie płatności przez niektórych rzetelnych klientów. SPC ma na celu zmniejszenie trudności związanych z uwierzytelnianiem, a tym samym zmniejszenie porzuceń koszyka.
W międzyczasie pojawia się nowy standard uwierzytelniania o nazwie WebAuthn.
Czym jest WebAuthn?
Uwierzytelnianie internetowe (w skrócie WebAuthn) to standard internetowy, który umożliwia serwerom uzależnionym (RP) rejestrowanie i uwierzytelnianie użytkowników w przeglądarce za pomocą kryptografii klucza publicznego zamiast hasła.
Usługodawcy żądający uwierzytelnienia polegają na fizycznych urządzeniach uwierzytelniających, takich jak klucz bezpieczeństwa. Żądania RP żądają klucza bezpieczeństwa w celu wygenerowania pary kluczy publiczny/prywatny, a następnie zapisują klucz publiczny na serwerze (rejestracja). Wygenerowane klucze są unikalne dla danego urządzenia, co uniemożliwia atakującym podszywanie się pod użytkownika. Ten standard jest odporny na phishing, ponieważ para kluczy jest powiązana z źródłem.
FIDO Alliance standaryzuje działanie uwierzytelniania. Niektóre uwierzytelniacze obsługują lokalną weryfikację użytkownika za pomocą czynnika biometrycznego (np. odcisku palca lub rozpoznawania twarzy) lub czynnika wiedzy (np. kodu PIN). Wiele z nich jest zintegrowanych z urządzeniami komputerowymi, takimi jak laptopy czy smartfony, i jest nazywanych uwierzytelniaczami platformowymi. WebAuthn jest obsługiwany w wszystkich głównych przeglądarkach (na komputerach i urządzeniach mobilnych), a authenticatory są dostępne na miliardach urządzeń. Użytkownicy mogą się zarejestrować i uwierzytelnić, weryfikując swoją tożsamość lokalnie na platformie.
SPC jest przeznaczony do współpracy z platformami uwierzytelniania użytkowników (UVPA).
Jak działa potwierdzenie bezpiecznych płatności?
Bezpieczne potwierdzenie płatności (SPC) jest oparte na WebAuthn i zaprojektowane specjalnie do celów płatności. Dane logowania WebAuthn są rejestrowane w przypadku określonych domen, dlatego nie można ich używać do uwierzytelniania na niezarejestrowanych stronach, które mogą podszywać się pod sprzedawcę. Ta funkcja sprawia, że WebAuthn jest skuteczny w ochronie przed phishingiem.
SPC dodaje warstwę informacji o płatności na poziomie WebAuthn, aby wydawca karty lub bank mogli zapewnić spójne płatności. Gdy płatnik zarejestruje uwierzytniacz u strony korzystającej, może go używać do uwierzytelniania się na różnych stronach sprzedawcy. Uwierzający może też użyć danych uwierzytelniających do płatności jako zwykłych danych uwierzytelniających WebAuthn.
W ramach testowania origin Chrome firma Stripe przeprowadziła eksperyment ze SPC w swoim środowisku produkcyjnym. W ramach tego eksperymentu Stripe uzyskał o 8% lepszy współczynnik konwersji, a proces płatności był 3 razy szybszy. Informacje o ich wynikach znajdziesz w raporcie SPC w grupie roboczej W3C ds. płatności internetowych.
Jak użytkownicy korzystają z serwisu SPC?
Interfejs SPC składa się z 2 etapów: rejestracji i uwierzytelniania.
Klient musi najpierw zarejestrować urządzenie za pomocą uwierzytelniania na platformie z weryfikacją użytkownika (UVPA). Po zarejestrowaniu urządzenia można go używać do uwierzytelniania użytkownika i potwierdzania płatności za każdym razem, gdy w witrynie sprzedawcy wykonywane jest SPC.
Rejestracja
Użytkownicy mogą zarejestrować się w programie SPC na 2 sposoby:
- Zarejestruj się bezpośrednio na stronie RP.
- Rejestracja pośrednia na stronie sprzedawcy.
Rejestracja na stronie RP
Rejestracja SPC na stronie internetowej RP niczym się nie różni od rejestracji WebAuthn. Zalecamy, aby RP poprosił klienta o zarejestrowanie UVPA w ramach procesu logowania.
Typowy scenariusz może wyglądać tak:
- Klient loguje się w witrynie banku, podając nazwę użytkownika, hasło i dodatkowy krok weryfikacji (zwykle hasło jednorazowe).
- Po pomyślnym uwierzytelnieniu wyświetlić prośbę o pozwolenie, w której klient zostanie poproszony o zarejestrowanie urządzenia (UVPA).
- Po udzieleniu uprawnień przeglądarka wyświetla okno rejestracji WebAuthn.
- Klient wyraża zgodę na zarejestrowanie urządzenia przez uwierzytelnienie biometryczne.
- Klient może teraz się zalogować i bezpiecznie płacić za pomocą urządzenia.
Po ponownym uwierzytelnieniu użytkownik jest już zalogowany, ale otrzymuje prośbę o ponowne uwierzytelnienie w celu sprawdzenia, czy nadal jest obecny ten sam użytkownik. Takie rozwiązanie jest zwykle stosowane w przypadku operacji krytycznych z poziomu bezpieczeństwa, takich jak prośba o zmianę hasła lub dokonywanie płatności. Ponowne uwierzytelnianie dzięki WebAuthn UVPA jest znacznie szybsze i silniejsze niż używanie haseł.
Dowiedz się, jak utworzyć proces rejestracji i uwierzytelniania WebAuthn na potrzeby ponownego uwierzytelniania w artykule Tworzenie pierwszej aplikacji WebAuthn.
Rejestracja w witrynie sprzedawcy podczas płatności
Jeśli klient nie zarejestruje urządzenia na stronie internetowej wydawcy płatności, może to zrobić bezpośrednio na stronie sprzedawcy. Interfejs wygląda tak samo, ale rejestracja użytkownika jest inicjowana przez kod RP.
Jest to idealne rozwiązanie, gdy klienci rzadko odwiedzają tę stronę, ale nadal chcą oferować opcję uwierzytelniania.
uwierzytelniania (potwierdzenie płatności).
Uwierzytelnianie jest wymagane, gdy płatnik poda dane uwierzytelniające płatność podczas transakcji płatności.
- płatnik podaje dane do płatności (np. informacje o karcie kredytowej);
- Sprzedawca sprawdza, czy przeglądarka obsługuje bezpieczne potwierdzenie płatności.
- Jeśli przeglądarka obsługuje SPC, wywołaj Payment Request API z SPC jako formą płatności. W przeciwnym razie użyj dotychczasowej metody uwierzytelniania.
- płatnik potwierdza szczegóły transakcji i kończy uwierzytelnianie (np. przez dotknięcie wiarygodnego urządzenia biometrycznego);
Obsługiwane platformy
Potwierdzenie bezpiecznych płatności jest obecnie obsługiwane przez Google Chrome w systemach macOS i Windows. Od maja 2022 r. inne platformy, w tym Android, iOS i ChromeOS, nie są obsługiwane.