Potwierdzenie bezpiecznej płatności

Potwierdzenie bezpiecznej płatności (SPC) to proponowany standard internetowy, który umożliwia klientom uwierzytelnianie przy użyciu wydawcy karty kredytowej, banku lub innego dostawcy usług płatniczych za pomocą narzędzia uwierzytelniającego platformy:

  • Odblokuj funkcję, w tym Touch ID na urządzeniu z macOS
  • Windows Hello na urządzeniu z systemem Windows

Dzięki SPC sprzedawcy mogą umożliwić klientom szybkie i łatwe uwierzytelnianie zakupów, a banki wystawiające karty chronią klientów przed oszustwami.

Proces SPC składa się z 2 etapów: rejestracji i uwierzytelniania.

  • Rejestracja: płatnik łączy swoje urządzenie z osobą uzależnioną (RP). Podmiotem uzależnionym może być wydawca karty kredytowej, bank lub inny dostawca usług płatniczych.
  • Uwierzytelnianie: przed potwierdzeniem płatności płatnik używa zarejestrowanego urządzenia, aby potwierdzić swoją tożsamość w grupie objętej ograniczeniami bezpośrednio na platformie sprzedawcy.

Uwierzytelnianie w celu zapobiegania oszustwom

Uwierzytelnianie odgrywa ważną rolę w zapobieganiu oszustwom związanym z płatnościami. Proces weryfikacji często opiera się na słabych mechanizmach, np. połączeniu numeru karty kredytowej z nazwiskiem właściciela karty lub dodatkowego kodu CVC znajdującego się na odwrocie karty. Jeśli dane karty wyciekną z powodu naruszenia bezpieczeństwa danych, takiego jak kradzież konta lub ataki w celu wyłudzenia informacji, mogą łatwo zostać przejęte i przejęte przez te mechanizmy.

Wprowadziliśmy dodatkowe mechanizmy zapobiegające oszustwom, takie jak EMV® 3-D Secure, w których płatnik może zostać poproszony o uwierzytelnienie za pomocą karty lub banku. Aby uwierzytelnić się, użytkownik loguje się za pomocą nazwy użytkownika i hasła lub hasła jednorazowego przesłanego SMS-em na telefon. Ma to na celu ochronę klientów przed oszustwami, ale może też stanowić przeszkodę dla niektórych prawidłowych klientów do zrealizowania płatności. SPC ma na celu ograniczenie problemów z uwierzytelnianiem, co pozwala ograniczyć liczbę porzuceń koszyka.

Pojawił się jednak nowy standard uwierzytelniania o nazwie WebAuthn.

Co to jest WebAuthn?

Web Authentication (w skrócie WebAuthn) to standard internetowy, który umożliwia serwerom uzależnionym (RP) rejestrowanie i uwierzytelnianie użytkowników w przeglądarce przy użyciu kryptografii klucza publicznego zamiast hasła.

Strony RP opierają się na fizycznych elementach uwierzytelniających, np. kluczach bezpieczeństwa. Stron RP żąda klucza bezpieczeństwa w celu wygenerowania pary kluczy prywatnych i publicznych, a następnie zapisze klucz publiczny na serwerze (rejestracja). Wygenerowane klucze są unikalne dla danego urządzenia, co uniemożliwia osobom przeprowadzającym atak podszywanie się pod użytkownika. Ten standard jest odporny na phishing, ponieważ para kluczy jest powiązana ze źródłem.

FIDO Alliance standaryzuje sposób działania aplikacji uwierzytelniających. Niektóre systemy uwierzytelniające obsługują lokalną weryfikację użytkownika za pomocą czynnika biometrycznego (np. odcisku palca czy rozpoznawania twarzy) lub czynnika wiedzy (np. kodu PIN). Wiele z nich jest zintegrowanych z urządzeniami komputerowymi, takimi jak laptopy czy smartfony, tzw. mechanizmami uwierzytelniania platform. WebAuthn jest obsługiwany przez wszystkie popularne przeglądarki (na komputerach i urządzeniach mobilnych), a usługi uwierzytelniania są dostępne na miliardach urządzeń. Użytkownicy mogą się zarejestrować i uwierzytelnić się, weryfikując swoją tożsamość lokalnie na platformie.

SPC zaprojektowano z myślą o współpracy z aplikacjami do weryfikacji użytkowników (UVPA).

Przykładowe UVPA to Apple Touch ID i aparat w telefonie komórkowym
Wiele urządzeń ma czujnik biometryczny. Są to tzw. narzędzie uwierzytelniające platformę do weryfikacji użytkowników (UVPA).

Jak działa potwierdzenie bezpiecznej płatności?

Potwierdzenie bezpiecznej płatności (SPC) jest oparte na WebAuthn i zostało zaprojektowane specjalnie z myślą o płatnościach. Ponieważ dane logowania WebAuthn są rejestrowane dla określonych domen, nie można ich używać do uwierzytelniania w niezarejestrowanych witrynach, które mogą podszywać się pod sprzedawców. Ta funkcja sprawia, że protokół WebAuthn jest skuteczny w przypadku ataków phishingowych.

SPC dodaje do WebAuthn warstwę danych karty, aby wydawca karty lub bank mógł zapewnić spójne metody płatności. Gdy płatnik zarejestruje narzędzie uwierzytelniające u strony uzależnionej, może być on używany do uwierzytelniania w różnych witrynach sprzedawców. Podmiot uzależniony może też użyć danych uwierzytelniających płatności jako zwykłych danych uwierzytelniających WebAuthn.

Firma Stripe przeprowadziła eksperyment z SPC w środowisku produkcyjnym w ramach testów origin Chrome. W ramach tego eksperymentu firma Stripe uzyskała o 8% wyższy współczynnik konwersji, a współczynnik płatności był trzykrotnie szybszy. Informacje o ich wynikach znajdziesz w raporcie SPC w grupie roboczej W3C Web Payments Group (w języku angielskim).

Jak użytkownicy doświadczają SPC?

Interfejs SPC składa się z 2 etapów: rejestracji i uwierzytelniania.

Klient musi najpierw zarejestrować swoje urządzenie za pomocą modułu uwierzytelniającego platformy do weryfikacji użytkowników (UVPA). Po zarejestrowaniu urządzenia może ono służyć do uwierzytelniania użytkownika i potwierdzania płatności za każdym razem, gdy w witrynie sprzedawcy jest wykonywane SPC.

Rejestracja

Użytkownicy mogą zarejestrować się w SPC na 2 sposoby:

  • Możesz zarejestrować się bezpośrednio na stronie RP.
  • zarejestrować się pośrednio na stronie sprzedawcy.

Rejestracja na stronie RP

Rejestracja SPC na stronie RP niczym nie różni się od rejestracji WebAuthn. Zalecamy, aby organizacja RP prosiła klienta o zarejestrowanie UVPA w ramach procesu logowania.

Typowy scenariusz może wyglądać tak:

  1. Klient loguje się w witrynie Twojego banku za pomocą nazwy użytkownika, hasła i dodatkowego etapu weryfikacji (zwykle jest to hasło jednorazowe lub hasło jednorazowe).
  2. Po pomyślnym uwierzytelnieniu wyświetl prośbę o uprawnienia, która zawiera prośbę o zarejestrowanie urządzenia (UVPA).
  3. Po przyznaniu uprawnień w przeglądarce wyświetli się okno rejestracji w aplikacji WebAuthn.
  4. Klient wyraża zgodę na zarejestrowanie urządzenia za pomocą uwierzytelniania biometrycznego.
  5. Klient może się teraz zalogować i bezpiecznie zapłacić za pomocą swojego urządzenia.

W przypadku reauthentication użytkownik jest już zalogowany, ale pojawia się prośba o ponowne uwierzytelnienie w celu sprawdzenia, czy ten sam użytkownik nadal jest obecny. Jest to zwykle zauważalne w przypadku działań o dużym znaczeniu dla bezpieczeństwa, takich jak prośba o zmianę hasła lub dokonanie płatności. W przypadku protokołu WebAuthn UVPA ponowne uwierzytelnianie jest szybsze i silniejsze niż używanie haseł.

Z artykułu Tworzenie pierwszej aplikacji WebAuthn dowiesz się, jak utworzyć proces rejestracji i uwierzytelniania WebAuthn na potrzeby ponownego uwierzytelniania.

Rejestracja na stronie sprzedawcy podczas płatności

Jeśli klient nie zarejestruje swojego urządzenia w witrynie wydawcy płatności, może to zrobić bezpośrednio na stronie sprzedawcy. Interfejs wygląda tak samo, ale rejestracja użytkownika jest inicjowana przez kod grupy objętej ograniczeniami.

Jest to idealne rozwiązanie, gdy klienci rzadko odwiedzają witrynę RP, ale jej przedstawiciele nadal chcą oferować opcję uwierzytelniania.

Uwierzytelnianie (potwierdzenie płatności)

Uwierzytelnianie jest wymagane, gdy płatnik poda dane uwierzytelniające płatność podczas transakcji płatności.

  1. Płatnik udostępnia dane uwierzytelniające płatność (np. dane karty kredytowej).
  2. Sprzedawca sprawdza, czy przeglądarka obsługuje Potwierdzenie bezpieczeństwa płatności.
  3. Jeśli przeglądarka obsługuje SPC, wywołaj Payment Request API, używając SPC jako formy płatności. W przeciwnym razie wróć do istniejącej metody uwierzytelniania.
  4. Płatnik potwierdza szczegóły transakcji i przeprowadza uwierzytelnianie (np. dotykając modułu uwierzytelniania platformy biometrycznej).

Obsługiwane platformy

Potwierdzenie bezpiecznej płatności jest obecnie obsługiwane przez Google Chrome na systemy macOS i Windows. Inne platformy, w tym Android, iOS i ChromeOS, nie będą obsługiwane od maja 2022 r.

Dalsze kroki