নিরাপদ পেমেন্ট নিশ্চিতকরণ

ইজি কিতামুরা

সিকিউর পেমেন্ট কনফার্মেশন (SPC) হল একটি প্রস্তাবিত ওয়েব স্ট্যান্ডার্ড যা গ্রাহকদের একটি প্ল্যাটফর্ম প্রমাণীকরণকারী ব্যবহার করে ক্রেডিট কার্ড প্রদানকারী, ব্যাঙ্ক বা অন্য পেমেন্ট পরিষেবা প্রদানকারীর সাথে প্রমাণীকরণ করতে দেয়:

  • একটি macOS ডিভাইসে টাচ আইডি সহ আনলক বৈশিষ্ট্য
  • একটি উইন্ডোজ ডিভাইসে উইন্ডোজ হ্যালো

SPC-এর মাধ্যমে, বণিকরা গ্রাহকদের দ্রুত এবং নির্বিঘ্নে তাদের ক্রয় প্রমাণীকরণের অনুমতি দিতে পারে, যখন ইস্যু করা ব্যাঙ্কগুলি তাদের গ্রাহকদের প্রতারণা থেকে রক্ষা করে।

SPC এর দুটি ধাপ রয়েছে: নিবন্ধন এবং প্রমাণীকরণ।

  • নিবন্ধন : প্রদানকারী তাদের ডিভাইসটিকে একটি নির্ভরশীল পক্ষের (RP) সাথে লিঙ্ক করে। নির্ভরকারী পক্ষ হতে পারে ক্রেডিট কার্ড প্রদানকারী, ব্যাঙ্ক বা অন্যান্য অর্থপ্রদান পরিষেবা প্রদানকারী।
  • প্রমাণীকরণ : অর্থপ্রদানকারী পেমেন্ট নিশ্চিত করার আগে সরাসরি ব্যবসায়ীর প্ল্যাটফর্ম থেকে RP-এর সাথে তাদের পরিচয় নিশ্চিত করতে নিবন্ধিত ডিভাইস ব্যবহার করে।

জালিয়াতি প্রতিরোধের জন্য প্রমাণীকরণ

অর্থপ্রদান জালিয়াতি প্রতিরোধে প্রমাণীকরণ একটি গুরুত্বপূর্ণ ভূমিকা পালন করে। যাইহোক, এই যাচাইকরণ প্রক্রিয়াটি প্রায়শই দুর্বল প্রক্রিয়ার উপর নির্ভর করে, যেমন ক্রেডিট কার্ড নম্বর এবং কার্ডের মালিকের নামের সংমিশ্রণ বা কার্ডের পিছনে লেখা একটি অতিরিক্ত CVC কোড। অ্যাকাউন্ট হাইজ্যাক বা ফিশিং আক্রমণের মতো ডেটা সুরক্ষা লঙ্ঘনের কারণে কার্ডের তথ্য ফাঁস হলে এই প্রক্রিয়াগুলি সহজেই আপস করা হয় এবং ছদ্মবেশী হয়।

অতিরিক্ত জালিয়াতি-প্রতিরোধ ব্যবস্থা চালু করা হয়েছে, যেমন EMV® 3-D সিকিউর , যেখানে প্রদানকারীকে কার্ড প্রদানকারী বা ব্যাঙ্কের বিরুদ্ধে প্রমাণীকরণ করতে বলা হতে পারে। প্রমাণীকরণের জন্য, ব্যবহারকারী একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড দিয়ে সাইন ইন করে, অথবা একটি ওয়ান-টাইম-পাসওয়ার্ড (OTP) SMS এর মাধ্যমে প্রদানকারীর ফোনে বিতরণ করে৷ এটি গ্রাহকদের প্রতারণা থেকে রক্ষা করতে কাজ করে, কিন্তু কিছু বৈধ গ্রাহকের জন্য অর্থপ্রদান সম্পূর্ণ করতে বাধা হয়ে দাঁড়াতে পারে। SPC এর লক্ষ্য হল প্রমাণীকরণ ঘর্ষণ কমানো, তাই কার্ট পরিত্যাগ কমানো।

ইতিমধ্যে, WebAuthn নামে একটি নতুন প্রমাণীকরণ মান বৃদ্ধি পাচ্ছে।

WebAuthn কি?

ওয়েব প্রমাণীকরণ (সংক্ষেপে WebAuthn) হল একটি ওয়েব স্ট্যান্ডার্ড যা নির্ভরকারী পার্টি (RP) সার্ভারগুলিকে পাসওয়ার্ডের পরিবর্তে পাবলিক কী ক্রিপ্টোগ্রাফি ব্যবহার করে ব্রাউজারে ব্যবহারকারীদের নিবন্ধন ও প্রমাণীকরণ করতে দেয়।

RPs ফিজিক্যাল অথেনটিকেটরের উপর নির্ভর করে, যেমন একটি নিরাপত্তা কী। RPs একটি প্রাইভেট-পাবলিক কী পেয়ার তৈরি করার জন্য নিরাপত্তা কী অনুরোধ করে এবং তারপর সার্ভারে পাবলিক কী সংরক্ষণ করে ( রেজিস্ট্রেশন )। এই তৈরি করা কীগুলি ডিভাইসের জন্য অনন্য, যা আক্রমণকারীদের ব্যবহারকারীর ছদ্মবেশ ধারণ করতে বাধা দেয়৷ এই স্ট্যান্ডার্ডটি ফিশিং-প্রতিরোধী কারণ কী জোড়া মূলের সাথে আবদ্ধ।

FIDO অ্যালায়েন্স প্রমাণীকরণকারীর আচরণকে মানসম্মত করে। কিছু প্রমাণীকরণকারী একটি বায়োমেট্রিক ফ্যাক্টর (যেমন একটি আঙ্গুলের ছাপ বা মুখের স্বীকৃতি) বা একটি নলেজ ফ্যাক্টর (যেমন একটি পিন কোড) দিয়ে স্থানীয় ব্যবহারকারী যাচাইকরণ সমর্থন করে। অনেকগুলি কম্পিউটিং ডিভাইসে একত্রিত হয়, যেমন ল্যাপটপ বা স্মার্টফোন, যা প্ল্যাটফর্ম প্রমাণীকরণকারী হিসাবে পরিচিত। WebAuthn সমস্ত প্রধান ব্রাউজারে (ডেস্কটপ এবং মোবাইল) সমর্থিত, এবং প্রমাণীকরণকারী বিলিয়ন ডিভাইসে উপলব্ধ। ব্যবহারকারীরা প্ল্যাটফর্মে স্থানীয়ভাবে তাদের পরিচয় যাচাই করে নিজেদের নিবন্ধন ও প্রমাণীকরণ করতে পারেন।

SPC ইউজার ভেরিফাইং প্ল্যাটফর্ম অথেন্টিকেটর (UVPA) এর সাথে কাজ করার জন্য ডিজাইন করা হয়েছে।

উদাহরণ UVPA-এর মধ্যে রয়েছে Apple Touch ID এবং একটি মোবাইল ফোন ক্যামেরা
অনেক ডিভাইস একটি বায়োমেট্রিক সেন্সর সংহত করে। এই প্রমাণীকরণকারীদের ব্যবহারকারী যাচাইকরণ প্ল্যাটফর্ম প্রমাণীকরণকারী (UVPA) বলা হয়।

কিভাবে নিরাপদ পেমেন্ট নিশ্চিতকরণ কাজ করে?

সিকিউর পেমেন্ট কনফার্মেশন (SPC) WebAuthn-এর উপর নির্মিত এবং পেমেন্টের উদ্দেশ্যে বিশেষভাবে ডিজাইন করা হয়েছে। যেহেতু WebAuthn শংসাপত্রগুলি নির্দিষ্ট ডোমেনের জন্য নিবন্ধিত হয়, তাই এই শংসাপত্রগুলি অনিবন্ধিত সাইটগুলিতে প্রমাণীকরণের জন্য ব্যবহার করা যাবে না যা একজন বণিকের ছদ্মবেশ ধারণ করতে পারে৷ এই বৈশিষ্ট্যটি WebAuthnকে ফিশিং আক্রমণের বিরুদ্ধে কার্যকর করে তোলে।

SPC WebAuthn-এর উপরে একটি অর্থপ্রদান তথ্য স্তর যুক্ত করে যাতে কার্ড প্রদানকারী বা ব্যাঙ্ক একটি ধারাবাহিক অর্থপ্রদানের অভিজ্ঞতা প্রদান করতে পারে। একবার একজন অর্থদাতা নির্ভরকারী পক্ষের সাথে একটি প্রমাণীকরণকারী নিবন্ধন করলে, এটি বিভিন্ন বণিক সাইটে প্রমাণীকরণ করতে ব্যবহার করা যেতে পারে। নির্ভরকারী পক্ষ একটি নিয়মিত WebAuthn শংসাপত্র হিসাবে অর্থপ্রদানের শংসাপত্র ব্যবহার করতেও বেছে নিতে পারে।

স্ট্রাইপ তাদের উৎপাদন পরিবেশের উপর SPC-এর সাথে একটি পরীক্ষা চালিয়েছে, Chrome এর অরিজিন ট্রায়ালের অংশ হিসেবে। এই পরীক্ষায়, স্ট্রাইপ একটি 8% ভাল রূপান্তর হার অর্জন করেছে এবং চেকআউট হার তিনগুণ দ্রুত ছিল। W3C ওয়েব পেমেন্ট ওয়ার্কিং গ্রুপে SPC রিপোর্টে তাদের ফলাফল সম্পর্কে পড়ুন।

ব্যবহারকারীরা SPC এর অভিজ্ঞতা কেমন?

SPC ফ্রন্ট-এন্ড দুটি পর্যায় নিয়ে গঠিত: নিবন্ধন এবং প্রমাণীকরণ।

গ্রাহককে প্রথমে ব্যবহারকারী-যাচাই প্ল্যাটফর্ম প্রমাণীকরণকারী (UVPA) ব্যবহার করে তাদের ডিভাইসটি নিবন্ধন করতে হবে। একবার ডিভাইসটি নিবন্ধিত হয়ে গেলে, এটি ব্যবহারকারীকে প্রমাণীকরণ করতে এবং যখনই কোনও ব্যবসায়ীর সাইটে SPC করা হয় তখন অর্থপ্রদান নিশ্চিত করতে ব্যবহার করা যেতে পারে।

নিবন্ধন

ব্যবহারকারীরা দুটি উপায়ে SPC-এর জন্য নিবন্ধন করতে পারেন:

  • RP ওয়েবসাইটে সরাসরি নিবন্ধন করুন।
  • একটি বণিক ওয়েবসাইটে পরোক্ষভাবে নিবন্ধন করুন.

RP ওয়েবসাইটে নিবন্ধন

RP-এর ওয়েবসাইটে, SPC রেজিস্ট্রেশন WebAuthn রেজিস্ট্রেশনের থেকে আলাদা নয়। আমাদের সুপারিশ হল যে RP গ্রাহককে সাইন-ইন প্রবাহের অংশ হিসাবে তাদের UVPA নিবন্ধন করতে বলে৷

একটি সাধারণ দৃশ্যকল্প এই মত দেখতে হতে পারে:

  1. একজন গ্রাহক একটি ব্যবহারকারীর নাম, পাসওয়ার্ড এবং একটি অতিরিক্ত যাচাইকরণ পদক্ষেপ (সাধারণত একটি এককালীন পাসওয়ার্ড বা OTP) ব্যবহার করে আপনার ব্যাঙ্কের ওয়েবসাইটে সাইন ইন করে।
  2. একটি সফল প্রমাণীকরণের পরে, অনুমতির জন্য একটি অনুরোধ প্রদর্শন করুন যা গ্রাহককে তাদের ডিভাইস (UVPA) নিবন্ধন করতে বলে।
  3. একবার অনুমতি দেওয়া হলে, ব্রাউজার একটি WebAuthn রেজিস্ট্রেশন ডায়ালগ দেখায়।
  4. গ্রাহক একটি বায়োমেট্রিক প্রমাণীকরণ করে ডিভাইসটি নিবন্ধন করতে সম্মত হন।
  5. গ্রাহক এখন লগইন করতে পারবেন এবং তাদের ডিভাইস ব্যবহার করে নিরাপদে অর্থ প্রদান করতে পারবেন।

পুনরায় প্রমাণীকরণের সাথে, একজন ব্যবহারকারী ইতিমধ্যেই লগ ইন করেছেন কিন্তু একই ব্যবহারকারী এখনও উপস্থিত রয়েছে তা নিশ্চিত করার জন্য তাকে আবার প্রমাণীকরণ করতে বলা হয়। এই নকশাটি সাধারণত একটি নিরাপত্তা-সমালোচনামূলক অপারেশনে দেখা যায়, যেমন একটি পাসওয়ার্ড পরিবর্তন করার অনুরোধ বা অর্থপ্রদান করার সময়। একটি WebAuthn UVPA এর সাথে, পাসওয়ার্ড ব্যবহার করার চেয়ে পুনরায় প্রমাণীকরণ অনেক দ্রুত এবং শক্তিশালী।

আপনার প্রথম WebAuthn অ্যাপ তৈরি করুন -এ পুনরায় প্রমাণীকরণের জন্য কীভাবে একটি WebAuthn নিবন্ধন এবং প্রমাণীকরণ প্রবাহ তৈরি করবেন তা শিখুন।

অর্থ প্রদানের সময় একটি বণিক ওয়েবসাইটে নিবন্ধন

আপনার গ্রাহক যদি পেমেন্ট ইস্যুকারীর ওয়েবসাইটে তাদের ডিভাইস নিবন্ধন না করে, তাহলে তারা সরাসরি একটি বণিক ওয়েবসাইটে তা করতে পারে। ইন্টারফেস একই দেখায়, কিন্তু ব্যবহারকারীর নিবন্ধন RP এর কোড দ্বারা শুরু হয়।

এটি আদর্শ যখন গ্রাহকরা ঘন ঘন RP ওয়েবসাইটে যান না কিন্তু RP এখনও প্রমাণীকরণ বিকল্পটি অফার করতে চায়।

প্রমাণীকরণ (পেমেন্ট নিশ্চিতকরণ)

অর্থপ্রদানের লেনদেনের সময় একজন প্রদানকারী একটি অর্থপ্রদানের প্রমাণপত্র প্রদান করলে প্রমাণীকরণের প্রয়োজন হয়।

  1. প্রদানকারী একটি অর্থপ্রদানের শংসাপত্র প্রদান করে (যেমন ক্রেডিট কার্ডের তথ্য)।
  2. ব্রাউজার নিরাপদ পেমেন্ট নিশ্চিতকরণ সমর্থন করে কিনা তা বণিক পরীক্ষা করে।
  3. যদি ব্রাউজারটি SPC সমর্থন করে, তাহলে অর্থপ্রদানের পদ্ধতি হিসাবে SPC সহ পেমেন্ট অনুরোধ API কল করুন। অন্যথায়, বিদ্যমান প্রমাণীকরণ পদ্ধতিতে ফিরে যান।
  4. প্রদানকারী লেনদেনের বিবরণ নিশ্চিত করে এবং প্রমাণীকরণ সম্পূর্ণ করে (যেমন তাদের বায়োমেট্রিক প্ল্যাটফর্ম প্রমাণীকরণকারীকে স্পর্শ করে)।

সমর্থিত প্ল্যাটফর্ম

নিরাপদ অর্থপ্রদান নিশ্চিতকরণ বর্তমানে Google Chrome দ্বারা macOS এবং Windows-এ সমর্থিত। Android, iOS এবং ChromeOS সহ অন্যান্য প্ল্যাটফর্মগুলি 2022 সালের মে পর্যন্ত সমর্থিত নয়।

পরবর্তী পদক্ষেপ