Bezpieczne potwierdzenie płatności (SPC) to proponowany standard internetowy, który umożliwia klientom uwierzytelnianie się u wydawcy karty kredytowej, banku lub innego dostawcy usług płatniczych za pomocą uwierzytelniania platformy:
- Funkcja odblokowywania, w tym Touch ID na urządzeniu z macOS
- Windows Hello na urządzeniu z systemem Windows
Dzięki SPC sprzedawcy mogą umożliwić klientom szybkie i bezproblemowe uwierzytelnianie zakupów, a banki wydające karty chronią klientów przed oszustwem.
SPC składa się z 2 etapów: rejestracji i uwierzytelniania.
- Rejestracja: płatnik łączy swoje urządzenie z usługą zaufaną (RP). Stroną polegającą może być wydawca karty kredytowej, bank lub inny dostawca usług płatności.
- Uwierzytelnianie: płatnik używa zarejestrowanego urządzenia, aby potwierdzić swoją tożsamość u RP bezpośrednio na platformie sprzedawcy przed potwierdzeniem płatności.
Uwierzytelnianie na potrzeby zapobiegania oszustwom
Uwierzytelnianie odgrywa ważną rolę w zapobieganiu oszustwom związanym z płatnościami. Jednak ten proces weryfikacji często opiera się na słabych mechanizmach, takich jak kombinacja numeru karty kredytowej i nazwiska właściciela karty lub dodatkowy kod CVC znajdujący się z tyłu karty. Te mechanizmy są łatwe do złamania i podszycia się pod kogoś, jeśli informacje o karcie zostaną ujawnione w wyniku naruszenia bezpieczeństwa danych, takiego jak przejęcie konta lub atak phishingowy.
Wprowadzono dodatkowe mechanizmy zapobiegania oszustwom, takie jak EMV® 3-D Secure, w których przypadku płatnik może zostać poproszony o uwierzytelnienie się u wydawcy karty lub banku. Aby się uwierzytelnić, użytkownik loguje się za pomocą nazwy użytkownika i hasła lub jednorazowego hasła (OTP) wysłanego SMS-em na telefon płatnika. Ma to na celu ochronę klientów przed oszustwem, ale może utrudniać dokonanie płatności przez niektórych rzetelnych klientów. SPC ma na celu zmniejszenie trudności związanych z uwierzytelnianiem, a tym samym zmniejszenie porzuceń koszyka.
W międzyczasie pojawia się nowy standard uwierzytelniania o nazwie WebAuthn.
Czym jest WebAuthn?
Uwierzytelnianie internetowe (w skrócie WebAuthn) to standard internetowy, który umożliwia serwerom stron zaufania (RP) rejestrowanie i uwierzytelnianie użytkowników w przeglądarce przy użyciu szyfrowania klucza publicznego zamiast hasła.
RP korzystają z fizycznych uwierzytelniających urządzeń, takich jak klucz bezpieczeństwa. RP prosi o klucz bezpieczeństwa, aby wygenerować parę kluczy prywatno-publicznych, a następnie przechowywać klucz publiczny na serwerze (rejestracja). Wygenerowane klucze są unikalne dla danego urządzenia, co uniemożliwia atakującym podszywanie się pod użytkownika. Ten standard jest odporny na phishing, ponieważ para kluczy jest powiązana z źródłem.
FIDO Alliance standaryzuje działanie uwierzytelniania. Niektóre uwierzytelniacze obsługują lokalną weryfikację użytkownika za pomocą czynnika biometrycznego (np. odcisku palca lub rozpoznawania twarzy) lub czynnika wiedzy (np. kodu PIN). Wiele z nich jest zintegrowanych z urządzeniami komputerowymi, takimi jak laptopy czy smartfony, i jest nazywanych uwierzytelniaczami platformowymi. WebAuthn jest obsługiwany we wszystkich głównych przeglądarkach (na komputerach i urządzeniach mobilnych), a authenticatory są dostępne na miliardach urządzeń. Użytkownicy mogą się zarejestrować i uwierzytelnić, weryfikując swoją tożsamość lokalnie na platformie.
SPC jest przeznaczony do współpracy z platformami uwierzytelniania użytkowników (UVPA).
Jak działa potwierdzenie bezpiecznej płatności?
Bezpieczne potwierdzenie płatności (SPC) jest oparte na WebAuthn i zaprojektowane specjalnie do celów płatności. Dane logowania WebAuthn są rejestrowane w przypadku określonych domen, dlatego nie można ich używać do uwierzytelniania na niezarejestrowanych stronach, które mogą podszywać się pod sprzedawcę. Ta funkcja sprawia, że WebAuthn jest skuteczny w ochronie przed phishingiem.
SPC dodaje warstwę informacji o płatności na poziomie WebAuthn, aby wydawca karty lub bank mogli zapewnić spójne płatności. Gdy płatnik zarejestruje uwierzytniacz u strony korzystającej, może go używać do uwierzytelniania się na różnych stronach sprzedawcy. Uwierzający może też użyć danych uwierzytelniających do płatności jako zwykłych danych uwierzytelniających WebAuthn.
Stripe przeprowadził eksperyment z SPC w swoim środowisku produkcyjnym w ramach testowania origin Chrome. W ramach tego eksperymentu Stripe uzyskał o 8% lepszy współczynnik konwersji, a proces płatności był 3 razy szybszy. Informacje o ich wynikach znajdziesz w raporcie SPC w grupie roboczej W3C ds. płatności internetowych.
Jak użytkownicy korzystają z serwisu SPC?
Interfejs SPC składa się z 2 etapów: rejestracji i uwierzytelniania.
Klient musi najpierw zarejestrować urządzenie za pomocą uwierzytelniającej platformy weryfikującej użytkownika (UVPA). Po zarejestrowaniu urządzenia można go używać do uwierzytelniania użytkownika i potwierdzania płatności za każdym razem, gdy w witrynie sprzedawcy wykonywane jest SPC.
Rejestracja
Użytkownicy mogą zarejestrować się w programie SPC na 2 sposoby:
- Zarejestruj się bezpośrednio na stronie RP.
- rejestrować się pośrednio na stronie sprzedawcy;
Rejestracja na stronie RP
Na stronie internetowej RP rejestracja SPC nie różni się od rejestracji WebAuthn. Zalecamy, aby RP poprosił klienta o zarejestrowanie UVPA w ramach procesu logowania.
Typowy scenariusz może wyglądać tak:
- Klient loguje się w witrynie banku, podając nazwę użytkownika, hasło i dodatkowy krok weryfikacji (zwykle hasło jednorazowe).
- Po pomyślnym uwierzytelnieniu wyświetlić prośbę o pozwolenie, w której klient zostanie poproszony o zarejestrowanie urządzenia (UVPA).
- Po udzieleniu uprawnień przeglądarka wyświetla okno rejestracji WebAuthn.
- Klient wyraża zgodę na rejestrację urządzenia, przeprowadzając uwierzytelnianie biometryczne.
- Klient może teraz zalogować się i zapłacić bezpiecznie za pomocą urządzenia.
W przypadku ponownego uwierzytelniania użytkownik jest już zalogowany, ale musi ponownie przejść proces uwierzytelniania, aby potwierdzić, że to ta sama osoba. Takie rozwiązanie jest zwykle stosowane w przypadku operacji krytycznych z poziomu bezpieczeństwa, takich jak prośba o zmianę hasła lub dokonywanie płatności. Dzięki WebAuthn UVPA ponowne uwierzytelnianie jest znacznie szybsze i bezpieczniejsze niż w przypadku haseł.
Dowiedz się, jak utworzyć proces rejestracji i uwierzytelniania WebAuthn na potrzeby ponownego uwierzytelniania w artykule Tworzenie pierwszej aplikacji WebAuthn.
Rejestracja w witrynie sprzedawcy podczas płatności
Jeśli klient nie zarejestruje urządzenia na stronie internetowej wydawcy płatności, może to zrobić bezpośrednio na stronie sprzedawcy. Interfejs wygląda tak samo, ale rejestracja użytkownika jest inicjowana przez kod RP.
Jest to idealne rozwiązanie, gdy klienci nie odwiedzają często witryny RP, ale RP chce oferować opcję uwierzytelniania.
Uwierzytelnianie (potwierdzenie płatności)
Uwierzytelnianie jest wymagane, gdy płatnik podaje dane logowania do płatności podczas transakcji płatniczej.
- płatnik podaje dane do płatności (np. informacje o karcie kredytowej);
- Sprzedawca sprawdza, czy przeglądarka obsługuje bezpieczne potwierdzenie płatności.
- Jeśli przeglądarka obsługuje SPC, wywołaj interfejs Payment Request API, podając jako formę płatności SPC. W przeciwnym razie użyj dotychczasowej metody uwierzytelniania.
- płatnik potwierdza szczegóły transakcji i kończy uwierzytelnianie (np. przez dotknięcie wiarygodnego urządzenia biometrycznego);
Obsługiwane platformy
Potwierdzenia bezpiecznej płatności są obecnie obsługiwane w Google Chrome na komputerach z systemem macOS i Windows. Inne platformy, w tym Android, iOS i ChromeOS, nie są obsługiwane od maja 2022 roku.