אישור תשלום מאובטח

Eiji Kitamura

אישור תשלום מאובטח (SPC) הוא תקן מוצע באינטרנט, שמאפשר ללקוחות לבצע אימות מול מנפיק של כרטיס אשראי, בנק או ספק אחר של שירותי תשלומים, באמצעות מאמת פלטפורמה:

  • ביטול נעילה באמצעות התכונה 'מזהה מגע' במכשירי macOS
  • Windows Hello במכשיר Windows

בעזרת SPC, המוכרים יכולים לאפשר ללקוחות לאמת את הרכישות שלהם במהירות ובקלות, והבנקים המנפיקים יכולים להגן על הלקוחות מפני הונאה.

ל-SPC יש שני שלבים: רישום ואימות.

  • רישום: המשלם מקשר את המכשיר שלו לצד נסמך (RP). הצד הנסמך יכול להיות מנפיק של כרטיס אשראי, בנק או ספק אחר של שירות תשלומים.
  • אימות: המשלם משתמש במכשיר הרשום כדי לאמת את הזהות שלו מול ה-RP ישירות מהפלטפורמה של המוכר, לפני אישור התשלום.

אימות למניעת הונאות

לאימות יש תפקיד חשוב במניעת הונאות תשלומים. עם זאת, תהליך האימות הזה מסתמך לעיתים קרובות על מנגנונים חלשים, כמו שילוב של מספר כרטיס האשראי ושם בעל הכרטיס, או קוד אימות (CVC) נוסף שכתוב על גב הכרטיס. המנגנונים האלה נפרצים בקלות ומתחזים אליהם אם פרטי הכרטיס דלפו בגלל פרצות באבטחת מידע, כמו פריצה לחשבון או התקפות פישינג.

הופעלו מנגנונים נוספים למניעת הונאות, כמו EMV® 3-D Secure, כך שייתכן שהמשלם יתבקש לבצע אימות מול מנפיק הכרטיס או הבנק. כדי לבצע את האימות, המשתמש נכנס לחשבון באמצעות שם משתמש וסיסמה, או סיסמה חד-פעמית (OTP) שנמסרת לטלפון של המשלם באמצעות SMS. המטרה היא להגן על הלקוחות מפני הונאה, אבל הם עלולים להוות חסם בפני חלק מהלקוחות החוקיים לביצוע התשלום. המטרה של SPC היא לצמצם את נקודות החיכוך בתהליך האימות, וכך לצמצם את הנטישה של עגלות הקניות.

בינתיים, בקרוב נוסיף תקן אימות חדש – WebAuthn.

מה זה WebAuthn?

אימות אינטרנט (WebAuthn בקיצור) הוא תקן אינטרנט שמאפשר לשרתים מסתמכים (RP) של צדדים שלישיים לרשום ולאמת משתמשים בדפדפן באמצעות קריפטוגרפיה של מפתח ציבורי, במקום סיסמה.

RP מסתמכים על גורמי אימות פיזיים, כמו מפתח אבטחה. גורמים RP מבקשים את מפתח האבטחה כדי ליצור זוג מפתחות פרטיים וציבוריים, ואז לאחסן את המפתח הציבורי בשרת (רישום). המפתחות האלה שנוצרים הם ייחודיים למכשיר, ולכן תוקפים לא יכולים להתחזות למשתמש. התקן הזה עמיד בפני פישינג כי זוג המפתחות מקושר למקור.

ה-FIDO Alliance מתקן את ההתנהגות של מאמתי החשבונות. חלק ממאמתי החשבונות תומכים באימות מקומי של משתמשים באמצעות גורם ביומטרי (כמו טביעת אצבע או זיהוי פנים) או באמצעות גורם ידע (כמו קוד אימות). רבות מהן משולבות במכשירי מחשוב, כמו מחשבים ניידים או סמארטפונים, שנקראים מאמתי פלטפורמה. WebAuthn נתמך בכל הדפדפנים הנפוצים (מחשבים וניידים), ומכשירי אימות זמינים במיליארדי מכשירים. המשתמשים יכולים לרשום ולאמת את עצמם באמצעות אימות הזהות שלהם באופן מקומי בפלטפורמה.

SPC נועד לפעול עם מאמתי פלטפורמות של משתמשים (UVPA).

דוגמאות למודעות UV : Apple Touch ID ומצלמה של טלפון נייד
במכשירים רבים משולבים חיישן ביומטרי. אמצעי האימות האלה נקראים 'מאמת משתמשים לאימות פלטפורמה' (UVPA).

איך פועל אישור תשלום מאובטח?

אישור תשלום מאובטח (SPC) מבוסס על WebAuthn ותוכנן במיוחד למטרות תשלום. מכיוון שפרטי הכניסה של WebAuthn רשומים בדומיינים ספציפיים, אי אפשר להשתמש בפרטי הכניסה האלה כדי לבצע אימות באתרים לא רשומים שעלולים מתחזים למוכר. בעזרת התכונה הזו, WebAuthn יהיה יעיל נגד התקפות פישינג.

SPC מוסיפה שכבת פרטי תשלום ל-WebAuthn כדי שמנפיק הכרטיס או הבנק יוכלו לספק חוויית תשלום עקבית. אחרי שהמשלם רושם מאמת החשבונות אצל הצד הנסמך, אפשר להשתמש בו לצורך אימות באתרים שונים של מוכרים. הצד הנסמך גם יכול לבחור להשתמש בפרטי הכניסה לתשלום בתור פרטי כניסה רגילים של WebAuthn.

Stripe הפעילו ניסוי עם SPC בסביבת הייצור שלהם, כחלק מגרסאות המקור לניסיון של Chrome. בניסוי הזה השיגה Stripe שיעור המרה גבוה יותר ב-8% וקצב התשלום בקופה היה מהיר פי 3. מידע על התוצאות שלהן זמין בדוח SPC בקבוצת העבודה של W3C Web Payments.

איך המשתמשים חווים את SPC?

ממשק הקצה של SPC כולל שני שלבים: רישום ואימות.

הלקוח צריך קודם לרשום את המכשיר באמצעות מאמת הפלטפורמה (UVPA) שמאמת את המשתמש. אחרי רישום המכשיר, אפשר להשתמש בו כדי לאמת את המשתמש ולאשר תשלומים בכל פעם שמבוצע SPC באתר של המוכר.

הרשמה

משתמשים יכולים להירשם ל-SPC בשתי דרכים:

  • הרשמה ישירות באתר של הגורם המוגבל.
  • להירשם באופן עקיף באתר של מוֹכר.

הרשמה באתר של הגורם המוגבל

באתר של הגורם המוגבל, רישום SPC לא שונה מרישום WebAuthn. ההמלצה שלנו היא שהגורם המוגבל יבקש מהלקוח לרשום את ה-UVPA כחלק מתהליך הכניסה לחשבון.

תרחיש אופייני עשוי להיראות כך:

  1. הלקוח נכנס לאתר של הבנק באמצעות שם משתמש, סיסמה ושלב אימות נוסף (בדרך כלל סיסמה חד-פעמית או OTP).
  2. לאחר אימות מוצלח, מציגים בקשה להרשאה שבה מתבקשים מהלקוח לרשום את המכשיר שלו (UVPA).
  3. אחרי שמעניקים הרשאה, מוצגת בדפדפן תיבת דו-שיח להרשמה ל-WebAuthn.
  4. הלקוח מסכים לרשום את המכשיר באמצעות אימות ביומטרי.
  5. עכשיו הלקוח יכול להתחבר ולשלם באופן מאובטח באמצעות המכשיר שלו.

באמצעות reauthentication, המשתמש כבר מחובר, אבל הוא מתבקש לבצע אימות שוב כדי לוודא שאותו המשתמש עדיין נוכח. העיצוב הזה בדרך כלל מופיע בפעולה קריטית לאבטחה, כמו בקשה לשינוי סיסמה או ביצוע תשלום. באמצעות WebAuthn UVPA, האימות מחדש מהיר וחזק הרבה יותר משימוש בסיסמאות.

במאמר איך יוצרים את אפליקציית WebAuthn הראשונה שלכם מוסבר איך ליצור תהליך רישום ואימות לאימות מחדש ב-WebAuthn.

רישום באתר של מוכר במהלך התשלום

אם הלקוח לא רושם את המכשיר שלו באתר של מנפיק התשלום, הוא יכול לעשות זאת ישירות באתר של המוכר. הממשק נראה זהה, אבל רישום המשתמש מופעל על ידי הקוד של הגורם המוגבל.

המצב הזה אידיאלי כשלקוחות לא נכנסים לעיתים קרובות לאתר של הגורם המוגבל, אבל הגורם המוגבל עדיין רוצה להציע את אפשרות האימות.

אימות (אישור תשלום)

אימות נדרש כאשר המשלם מספק פרטי כניסה לתשלום במהלך עסקת תשלום.

  1. המשלם מספק פרטי כניסה לתשלום (כמו פרטי כרטיס אשראי).
  2. המוכר בודק אם הדפדפן תומך באישור תשלום מאובטח.
  3. אם הדפדפן תומך ב-SPC, צריך לקרוא ל-Payment Request API עם SPC כאמצעי תשלום. אם לא, חוזרים לשיטת האימות הקיימת.
  4. המשלם מאשר את פרטי העסקה ומשלים את האימות (למשל, באמצעות נגיעה במאמת הפלטפורמה הביומטרית שלו).

פלטפורמות נתמכות

בשלב הזה, מערכת Google Chrome תומכת ב-Secure Payment Confirmation (אישור תשלום מאובטח) ב-macOS וב-Windows. החל ממאי 2022 אין תמיכה בפלטפורמות אחרות, כולל Android, iOS ו-ChromeOS.

השלבים הבאים