تأیید پرداخت امن (SPC) یک استاندارد وب پیشنهادی است که به مشتریان اجازه میدهد با استفاده از تأییدکننده پلتفرم با صادرکننده کارت اعتباری، بانک یا سایر ارائهدهندگان خدمات پرداخت احراز هویت کنند:
- قابلیت باز کردن قفل از جمله Touch ID در دستگاه macOS
- Windows Hello در یک دستگاه ویندوز
با SPC، بازرگانان می توانند به مشتریان اجازه دهند تا به سرعت و به طور یکپارچه خریدهای خود را تأیید کنند، در حالی که بانک های صادرکننده از مشتریان خود در برابر کلاهبرداری محافظت می کنند.
SPC دو مرحله دارد: ثبت نام و احراز هویت.
- ثبت : پرداخت کننده دستگاه خود را به یک طرف متکی (RP) پیوند می دهد. طرف متکی ممکن است صادرکننده کارت اعتباری، بانک یا سایر ارائه دهندگان خدمات پرداخت باشد.
- احراز هویت : پرداخت کننده از دستگاه ثبت شده برای تأیید هویت خود با RP به طور مستقیم از پلت فرم تاجر قبل از تأیید پرداخت استفاده می کند.
احراز هویت برای جلوگیری از تقلب
احراز هویت نقش مهمی در جلوگیری از تقلب در پرداخت دارد. با این حال، این فرآیند تأیید اغلب بر مکانیسمهای ضعیفی مانند ترکیبی از شماره کارت اعتباری و نام صاحب کارت یا یک کد CVC اضافی که در پشت کارت نوشته شده است، متکی است. اگر اطلاعات کارت به دلیل نقض امنیت داده ها مانند سرقت حساب یا حملات فیشینگ فاش شود، این مکانیسم ها به راحتی در معرض خطر قرار می گیرند و جعل هویت می شوند.
مکانیسمهای دیگری برای جلوگیری از کلاهبرداری معرفی شدهاند، مانند EMV® 3-D Secure ، که در آن ممکن است از پرداختکننده خواسته شود در برابر صادرکننده کارت یا بانک احراز هویت کند. برای احراز هویت، کاربر با یک نام کاربری و رمز عبور یا یک رمز عبور یکبار مصرف (OTP) که از طریق پیامک به تلفن پرداخت کننده تحویل داده می شود، وارد سیستم می شود. این برای محافظت از مشتریان در برابر کلاهبرداری کار می کند، اما می تواند مانعی برای برخی از مشتریان معتبر برای تکمیل پرداخت شود. هدف SPC کاهش اصطکاک احراز هویت، بنابراین کاهش رها شدن سبد خرید است.
در همین حال، یک استاندارد احراز هویت جدید به نام WebAuthn در حال افزایش است.
WebAuthn چیست؟
Web Authentication (به طور خلاصه WebAuthn) یک استاندارد وب است که به سرورهای وابسته (RP) اجازه می دهد تا کاربران را در مرورگر با استفاده از رمزنگاری کلید عمومی به جای رمز عبور ثبت و احراز هویت کنند.
RP ها به احراز هویت فیزیکی مانند کلید امنیتی متکی هستند. RPها کلید امنیتی را درخواست می کنند تا یک جفت کلید خصوصی-عمومی ایجاد کند و سپس کلید عمومی را در سرور ذخیره کند ( ثبت نام ). این کلیدهای تولید شده منحصر به دستگاه هستند که مانع از جعل هویت کاربر توسط مهاجمان می شود. این استاندارد در برابر فیشینگ مقاوم است زیرا جفت کلید به مبدا متصل است.
اتحاد FIDO رفتار احراز هویت را استاندارد می کند. برخی از احراز هویت از تأیید کاربر محلی با یک عامل بیومتریک (مانند اثر انگشت یا تشخیص چهره) یا یک عامل دانش (مانند کد پین) پشتیبانی می کنند. بسیاری از آنها در دستگاههای محاسباتی مانند لپتاپ یا تلفنهای هوشمند که به عنوان تأییدکننده پلتفرم شناخته میشوند، ادغام میشوند. WebAuthn در همه مرورگرهای اصلی (دسکتاپ و موبایل) پشتیبانی می شود و احراز هویت در میلیاردها دستگاه در دسترس است. کاربران می توانند با تایید هویت محلی خود در پلتفرم ثبت نام و احراز هویت کنند.
SPC برای کار با تأیید کننده های پلتفرم تأیید کننده کاربر (UVPA) طراحی شده است.
تأیید پرداخت امن چگونه کار می کند؟
تأیید پرداخت امن (SPC) بر اساس WebAuthn ساخته شده است و به طور خاص برای اهداف پرداخت طراحی شده است. از آنجایی که اعتبارنامه WebAuthn برای دامنههای خاصی ثبت میشود، نمیتوان از این اعتبارنامهها برای احراز هویت در سایتهای ثبتنشده که ممکن است جعل هویت یک تاجر باشند، استفاده کرد. این ویژگی WebAuthn را در برابر حملات فیشینگ موثر می کند.
SPC یک لایه اطلاعات پرداخت را در بالای WebAuthn اضافه میکند تا صادرکننده کارت یا بانک بتوانند تجربه پرداخت ثابتی را ارائه دهند. هنگامی که پرداخت کننده یک احراز هویت را نزد طرف متکی ثبت کرد، می توان از آن برای احراز هویت در سایت های تجاری مختلف استفاده کرد. طرف متکی نیز می تواند استفاده از اعتبار پرداخت را به عنوان یک اعتبار WebAuthn معمولی انتخاب کند.
Stripe آزمایشی را با SPC در محیط تولید خود، به عنوان بخشی از آزمایشهای اولیه Chrome ، اجرا کرد. در این آزمایش، Stripe به نرخ تبدیل 8 درصدی بهتری دست یافت و نرخ پرداخت سه برابر سریعتر بود. نتایج آنها را در گزارش SPC در گروه کاری پرداخت وب W3C بخوانید.
کاربران چگونه SPC را تجربه می کنند؟
SPC front-end از دو مرحله تشکیل شده است: ثبت نام و احراز هویت.
مشتری باید ابتدا دستگاه خود را با استفاده از تأیید کننده پلتفرم تأیید کننده کاربر (UVPA) ثبت کند. هنگامی که دستگاه ثبت شد، می توان از آن برای احراز هویت کاربر و تأیید پرداخت ها هر زمان که SPC در سایت یک تاجر انجام می شود استفاده کرد.
ثبت نام
کاربران می توانند به دو روش برای SPC ثبت نام کنند:
- ثبت نام مستقیم در وب سایت RP.
- ثبت نام غیر مستقیم در وب سایت تجاری
ثبت نام در سایت RP
در وب سایت RP، ثبت SPC هیچ تفاوتی با ثبت WebAuthn ندارد. توصیه ما این است که RP از مشتری بخواهد که UVPA خود را به عنوان بخشی از جریان ورود به سیستم ثبت کند.
یک سناریوی معمولی ممکن است به این صورت باشد:
- یک مشتری با استفاده از یک نام کاربری، رمز عبور و یک مرحله تأیید اضافی (معمولاً یک رمز عبور یک بار مصرف یا OTP) به وب سایت بانک شما وارد می شود.
- پس از احراز هویت موفقیت آمیز، درخواستی برای مجوز نمایش دهید که از مشتری می خواهد دستگاه خود را ثبت کند (UVPA).
- پس از اعطای مجوز، مرورگر یک گفتگوی ثبت نام WebAuthn را نشان می دهد.
- مشتری با انجام احراز هویت بیومتریک به ثبت دستگاه رضایت می دهد.
- مشتری اکنون می تواند با استفاده از دستگاه خود وارد سیستم شده و با خیال راحت پرداخت کند.
با احراز هویت مجدد ، یک کاربر قبلاً وارد سیستم شده است، اما از او خواسته میشود دوباره احراز هویت کند تا مطمئن شود همان کاربر همچنان حضور دارد. این طرح معمولاً در یک عملیات حیاتی امنیتی، مانند درخواست تغییر رمز عبور یا هنگام پرداخت، دیده میشود. با WebAuthn UVPA، احراز هویت مجدد بسیار سریعتر و قوی تر از استفاده از رمزهای عبور است.
در ساخت اولین برنامه WebAuthn خود، نحوه ایجاد یک جریان ثبت نام و احراز هویت WebAuthn را برای احراز هویت مجدد بیاموزید.
ثبت نام در وب سایت بازرگان در حین پرداخت
اگر مشتری شما دستگاه خود را در وبسایت صادرکننده پرداخت ثبت نمیکند، میتواند این کار را مستقیماً در وبسایت تاجر انجام دهد. رابط کاربری یکسان به نظر می رسد، اما ثبت نام کاربر توسط کد RP آغاز می شود.
این زمانی ایده آل است که مشتریان به طور مکرر از وب سایت RP بازدید نمی کنند اما RP همچنان می خواهد گزینه احراز هویت را ارائه دهد.
احراز هویت (تأیید پرداخت)
هنگامی که پرداخت کننده اعتبار پرداخت را در طول تراکنش پرداخت ارائه می دهد، احراز هویت لازم است.
- پرداخت کننده اعتبار پرداخت (مانند اطلاعات کارت اعتباری) را ارائه می دهد.
- تاجر بررسی میکند که آیا مرورگر از تأیید پرداخت امن پشتیبانی میکند یا خیر.
- اگر مرورگر از SPC پشتیبانی می کند، API درخواست پرداخت را با SPC به عنوان روش پرداخت تماس بگیرید. در غیر این صورت، به روش احراز هویت موجود برگردید.
- پرداختکننده جزئیات تراکنش را تأیید میکند و احراز هویت را کامل میکند (مانند با لمس تأییدکننده پلت فرم بیومتریک خود).
پلتفرم های پشتیبانی شده
تأیید پرداخت امن در حال حاضر توسط Google Chrome در macOS و Windows پشتیبانی میشود. پلتفرمهای دیگر، از جمله Android، iOS، و ChromeOS از ماه مه 2022 پشتیبانی نمیشوند.