การยืนยันการชำระเงินที่ปลอดภัย

Eiji Kitamura

การยืนยันการชำระเงินที่ปลอดภัย (SPC) เป็นมาตรฐานเว็บที่เสนอซึ่งอนุญาตให้ลูกค้าตรวจสอบสิทธิ์กับผู้ออกบัตรเครดิต ธนาคาร หรือผู้ให้บริการชำระเงินรายอื่นโดยใช้โปรแกรมตรวจสอบสิทธิ์ของแพลตฟอร์ม ดังนี้

  • ปลดล็อกฟีเจอร์ Touch ID ในอุปกรณ์ macOS
  • Windows Hello ในอุปกรณ์ Windows

SPC ช่วยให้ผู้ขายอนุญาตให้ลูกค้าตรวจสอบสิทธิ์การซื้อได้อย่างรวดเร็วและราบรื่น ขณะที่ธนาคารผู้ออกบัตรจะปกป้องลูกค้าจากการประพฤติมิชอบ

SPC มี 2 ระยะ ได้แก่ การลงทะเบียนและการตรวจสอบสิทธิ์

  • การลงทะเบียน: ผู้ชำระเงินลิงก์อุปกรณ์ของตนกับบุคคลที่เชื่อถือ (RP) โดยบุคคลที่เชื่อถืออาจเป็นผู้ออกบัตรเครดิต ธนาคาร หรือผู้ให้บริการชำระเงินรายอื่นๆ
  • การตรวจสอบสิทธิ์: ผู้ชำระเงินใช้อุปกรณ์ที่ลงทะเบียนเพื่อยืนยันตัวตนกับ RP จากแพลตฟอร์มของผู้ขายโดยตรงก่อนยืนยันการชำระเงิน

การตรวจสอบสิทธิ์เพื่อป้องกันการประพฤติมิชอบ

การตรวจสอบสิทธิ์มีบทบาทสำคัญในการป้องกันการประพฤติมิชอบทางการชำระเงิน อย่างไรก็ตาม ขั้นตอนการยืนยันนี้มักอาศัยกลไกที่ไม่รัดกุม เช่น ชุดค่าผสมของหมายเลขบัตรเครดิตและชื่อเจ้าของบัตร หรือรหัส CVC เพิ่มเติมที่เขียนอยู่ด้านหลังบัตร กลไกเหล่านี้ถูกบุกรุกได้ง่ายและถูกแอบอ้างเป็นบุคคลอื่นหากข้อมูลบัตรรั่วไหลเนื่องจากการละเมิดด้านความปลอดภัยของข้อมูล เช่น การลักลอบใช้บัญชีหรือการโจมตีแบบฟิชชิง

มีการใช้กลไกการป้องกันการประพฤติมิชอบเพิ่มเติม เช่น EMV® 3-D Secure ซึ่งอาจมีการขอให้ผู้ชำระเงินตรวจสอบสิทธิ์กับผู้ออกบัตรหรือธนาคาร ผู้ใช้จะลงชื่อเข้าใช้ด้วยชื่อผู้ใช้และรหัสผ่าน หรือรหัสผ่านแบบใช้ครั้งเดียว (OTP) ที่ส่งไปยังโทรศัพท์ของผู้ชำระเงินทาง SMS เพื่อตรวจสอบสิทธิ์ วิธีนี้เป็นการป้องกันลูกค้าจากการฉ้อโกง แต่อาจเป็นอุปสรรคสำหรับลูกค้าที่ถูกต้องบางรายในการชำระเงิน SPC มีเป้าหมายเพื่อลดการขัดข้องในการตรวจสอบสิทธิ์ ซึ่งจะช่วยลดการละทิ้งรถเข็นช็อปปิ้ง

ขณะเดียวกันก็เริ่มมีมาตรฐานการตรวจสอบสิทธิ์ใหม่ที่ชื่อว่า WebAuthn

WebAuthn คืออะไร

Web Authentication (เรียกสั้นๆ ว่า WebAuthn) คือมาตรฐานของเว็บที่อนุญาตให้บุคคลที่พึ่งพาเซิร์ฟเวอร์ (RP) ในการลงทะเบียนและตรวจสอบสิทธิ์ผู้ใช้ในเบราว์เซอร์โดยใช้วิทยาการเข้ารหัสคีย์สาธารณะแทนการใช้รหัสผ่าน

โดย RP ต้องใช้การตรวจสอบสิทธิ์ทางกายภาพ เช่น คีย์ความปลอดภัย RP จะขอคีย์ความปลอดภัยเพื่อสร้างคู่คีย์ส่วนตัว-สาธารณะ จากนั้นจัดเก็บคีย์สาธารณะบนเซิร์ฟเวอร์ (การลงทะเบียน) คีย์ที่สร้างขึ้นเหล่านี้จะไม่ซ้ำกันในอุปกรณ์ที่ป้องกันไม่ให้ผู้โจมตีแอบอ้างว่าเป็นผู้ใช้ มาตรฐานนี้ช่วยป้องกันการฟิชชิงได้เนื่องจากมีการเชื่อมโยงคู่คีย์กับต้นทาง

FIDO Alliance กำหนดมาตรฐานลักษณะการทำงานของโปรแกรมตรวจสอบสิทธิ์ โปรแกรมตรวจสอบสิทธิ์บางรายการรองรับการยืนยันผู้ใช้ในเครื่องด้วยปัจจัยไบโอเมตริก (เช่น การจดจำลายนิ้วมือหรือการจดจำใบหน้า) หรือปัจจัยที่ผู้ใช้ทราบ (เช่น รหัส PIN) อุปกรณ์จำนวนมากผสานรวมอยู่ในอุปกรณ์คอมพิวเตอร์ เช่น แล็ปท็อปหรือสมาร์ทโฟน ซึ่งเรียกว่าโปรแกรมตรวจสอบสิทธิ์ของแพลตฟอร์ม WebAuthn ใช้งานได้ในเบราว์เซอร์หลักทั้งหมด (เดสก์ท็อปและอุปกรณ์เคลื่อนที่) และโปรแกรมตรวจสอบสิทธิ์พร้อมใช้งานในอุปกรณ์หลายพันล้านเครื่อง ผู้ใช้สามารถลงทะเบียนและตรวจสอบสิทธิ์ด้วยตนเองโดยการยืนยันตัวตนในแพลตฟอร์ม

SPC ออกแบบมาเพื่อใช้งานกับ Authenticator แพลตฟอร์มการยืนยันผู้ใช้ (UVPA)

ตัวอย่าง UVPA ได้แก่ Apple Touch ID และกล้องโทรศัพท์มือถือ
อุปกรณ์จํานวนมากผสานรวมเซ็นเซอร์ข้อมูลไบโอเมตริก โปรแกรมตรวจสอบสิทธิ์เหล่านั้นเรียกว่าโปรแกรมตรวจสอบสิทธิ์แพลตฟอร์มที่ยืนยันผู้ใช้ (UVPA)

การยืนยันการชำระเงินที่ปลอดภัยทำงานอย่างไร

การยืนยันการชำระเงินที่ปลอดภัย (SPC) สร้างขึ้นจาก WebAuthn และออกแบบมาเพื่อวัตถุประสงค์ในการชําระเงินโดยเฉพาะ เนื่องจากข้อมูลเข้าสู่ระบบ WebAuthn ได้รับการลงทะเบียนสำหรับโดเมนที่เฉพาะเจาะจง ข้อมูลเข้าสู่ระบบเหล่านี้จึงไม่สามารถใช้ในการตรวจสอบสิทธิ์ในเว็บไซต์ที่ไม่ได้ลงทะเบียนซึ่งอาจแอบอ้างเป็นผู้ให้บริการได้ ฟีเจอร์นี้ทำให้ WebAuthn มีประสิทธิภาพในการป้องกันการโจมตีแบบฟิชชิง

SPC จะเพิ่มเลเยอร์ข้อมูลการชำระเงินไว้เหนือ WebAuthn เพื่อให้ผู้ออกบัตรหรือธนาคารมอบประสบการณ์การชำระเงินที่สอดคล้องกัน เมื่อผู้ชำระเงินลงทะเบียนโปรแกรมตรวจสอบสิทธิ์กับฝ่ายที่เชื่อถือแล้ว ก็จะสามารถใช้โปรแกรมดังกล่าวเพื่อตรวจสอบสิทธิ์ในเว็บไซต์ของผู้ขายรายต่างๆ ได้ นอกจากนี้ ผู้อ้างอิงยังเลือกที่จะใช้ข้อมูลเข้าสู่ระบบการชำระเงินเป็นข้อมูลเข้าสู่ระบบ WebAuthn ปกติได้ด้วย

Stripe ทำการทดสอบ SPC ในสภาพแวดล้อมเวอร์ชันที่ใช้งานจริง ซึ่งเป็นส่วนหนึ่งของช่วงทดลองใช้จากต้นทางของ Chrome ในการทดสอบครั้งนี้ Stripe ได้รับอัตรา Conversion เพิ่มขึ้น 8% และอัตราการชําระเงินเร็วขึ้น 3 เท่า อ่านเกี่ยวกับผลลัพธ์ในรายงาน SPC ของกลุ่มทำงานด้านการชำระเงินบนเว็บของ W3C

ผู้ใช้ได้รับประสบการณ์การใช้งาน SPC อย่างไร

เฟรมเวิร์กหน้าเว็บของ SPC ประกอบด้วย 2 ระยะ ได้แก่ การลงทะเบียนและการตรวจสอบสิทธิ์

ลูกค้าต้องลงทะเบียนอุปกรณ์โดยใช้โปรแกรมตรวจสอบสิทธิ์แพลตฟอร์มที่ยืนยันตัวตนผู้ใช้ (UVPA) ก่อน เมื่อลงทะเบียนอุปกรณ์แล้ว อุปกรณ์ดังกล่าวจะใช้เพื่อตรวจสอบสิทธิ์ผู้ใช้และยืนยันการชำระเงินทุกครั้งที่ดำเนินการ SPC ในเว็บไซต์ของผู้ขายได้

การลงทะเบียน

ผู้ใช้ลงทะเบียน SPC ได้ 2 วิธีดังนี้

  • ลงทะเบียนในเว็บไซต์ของ RP โดยตรง
  • ลงทะเบียนโดยอ้อมที่เว็บไซต์ของผู้ขาย

การลงทะเบียนในเว็บไซต์ RP

การลงทะเบียน SPC ในเว็บไซต์ของ RP นั้นไม่แตกต่างจากการลงทะเบียน WebAuthn เราขอแนะนำให้ RP ขอให้ลูกค้าลงทะเบียน UVPA เป็นส่วนหนึ่งของขั้นตอนการลงชื่อเข้าใช้

สถานการณ์ทั่วไปอาจมีลักษณะดังนี้

  1. ลูกค้าลงชื่อเข้าใช้เว็บไซต์ธนาคารโดยใช้ชื่อผู้ใช้ รหัสผ่าน และขั้นตอนการตรวจสอบเพิ่มเติม (โดยปกติคือรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียวหรือ OTP)
  2. หลังจากตรวจสอบสิทธิ์สำเร็จแล้ว ให้แสดงคำขอสิทธิ์ซึ่งขอให้ลูกค้าลงทะเบียนอุปกรณ์ (UVPA)
  3. เมื่อได้รับสิทธิ์แล้ว เบราว์เซอร์จะแสดงกล่องโต้ตอบการลงทะเบียน WebAuthn
  4. ลูกค้ายินยอมที่จะลงทะเบียนอุปกรณ์โดยทำการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริก
  5. ตอนนี้ลูกค้าเข้าสู่ระบบและชำระเงินได้อย่างปลอดภัยโดยใช้อุปกรณ์แล้ว

เมื่อใช้การตรวจสอบสิทธิ์อีกครั้ง ผู้ใช้จะเข้าสู่ระบบอยู่แล้ว แต่ระบบจะขอให้ตรวจสอบสิทธิ์อีกครั้งเพื่อให้แน่ใจว่าผู้ใช้รายเดิมยังคงอยู่ การออกแบบนี้มักพบเห็นได้ในการดำเนินการที่สำคัญมากด้านความปลอดภัย เช่น การขอเปลี่ยนรหัสผ่านหรือเมื่อชำระเงิน เมื่อใช้ WebAuthn UVPA การตรวจสอบสิทธิ์อีกครั้งจะรวดเร็วและปลอดภัยกว่าการใช้รหัสผ่าน

ดูวิธีสร้างขั้นตอนการลงทะเบียนและการตรวจสอบสิทธิ์ WebAuthn เพื่อการตรวจสอบสิทธิ์อีกครั้งที่หัวข้อสร้างแอป WebAuthn รายการแรก

การลงทะเบียนในเว็บไซต์ของผู้ขายระหว่างการชำระเงิน

หากลูกค้าไม่ได้ลงทะเบียนอุปกรณ์ในเว็บไซต์ของผู้ออกบัตร ลูกค้าจะลงทะเบียนในเว็บไซต์ของผู้ขายได้โดยตรง อินเทอร์เฟซจะมีลักษณะเหมือนกัน แต่การลงทะเบียนของผู้ใช้จะเริ่มต้นโดยรหัสของ RP

ตัวเลือกนี้เหมาะสำหรับกรณีที่ลูกค้าไม่ได้เข้าชมเว็บไซต์ RP บ่อยนัก แต่ RP ยังคงต้องการเสนอตัวเลือกการตรวจสอบสิทธิ์

การตรวจสอบสิทธิ์ (การยืนยันการชําระเงิน)

ต้องมีการตรวจสอบสิทธิ์เมื่อผู้ชำระเงินระบุข้อมูลเข้าสู่ระบบการชำระเงินระหว่างทำธุรกรรมการชำระเงิน

  1. ผู้ชำระเงินให้ข้อมูลเข้าสู่ระบบการชำระเงิน (เช่น ข้อมูลบัตรเครดิต)
  2. ผู้ขายจะตรวจสอบว่าเบราว์เซอร์รองรับการยืนยันการชำระเงินที่ปลอดภัยหรือไม่
  3. หากเบราว์เซอร์รองรับ SPC ให้เรียก Payment Request API โดยใช้ SPC เป็นวิธีการชำระเงิน มิเช่นนั้น ระบบจะใช้วิธีการตรวจสอบสิทธิ์ที่มีอยู่
  4. ผู้ชำระเงินยืนยันรายละเอียดธุรกรรมและดำเนินการตรวจสอบสิทธิ์ให้เสร็จสมบูรณ์ (เช่น โดยการแตะเครื่องตรวจสอบสิทธิ์แพลตฟอร์มข้อมูลไบโอเมตริก)

แพลตฟอร์มที่รองรับ

ปัจจุบัน Google Chrome บน macOS และ Windows รองรับการยืนยันการชำระเงินที่ปลอดภัย แพลตฟอร์มอื่นๆ ซึ่งรวมถึง Android, iOS และ ChromeOS ยังไม่รองรับ ณ เดือนพฤษภาคม 2022

ขั้นตอนถัดไป