การยืนยันการชำระเงินที่ปลอดภัย

Eiji Kitamura

การยืนยันการชำระเงินที่ปลอดภัย (SPC) เป็นมาตรฐานเว็บที่เสนอซึ่งช่วยให้ลูกค้าตรวจสอบสิทธิ์กับผู้ออกบัตรเครดิต ธนาคาร หรือผู้ให้บริการชำระเงินรายอื่นได้โดยใช้โปรแกรมตรวจสอบสิทธิ์ของแพลตฟอร์ม ดังนี้

  • ฟีเจอร์ปลดล็อก รวมถึง Touch ID ในอุปกรณ์ macOS
  • Windows Hello ในอุปกรณ์ Windows

SPC ช่วยให้ผู้ขายอนุญาตให้ลูกค้าตรวจสอบสิทธิ์การซื้อได้อย่างรวดเร็วและราบรื่น ขณะที่ธนาคารผู้ออกบัตรจะปกป้องลูกค้าจากการประพฤติมิชอบ

SPC มี 2 ระยะ ได้แก่ การลงทะเบียนและการตรวจสอบสิทธิ์

  • การลงทะเบียน: ผู้ชำระเงินลิงก์อุปกรณ์ของตนกับบุคคลที่เชื่อถือ (RP) โดยบุคคลที่เชื่อถืออาจเป็นผู้ออกบัตรเครดิต ธนาคาร หรือผู้ให้บริการชำระเงินรายอื่นๆ
  • การตรวจสอบสิทธิ์: ผู้ชำระเงินใช้อุปกรณ์ที่ลงทะเบียนเพื่อยืนยันตัวตนกับ RP จากแพลตฟอร์มของผู้ขายโดยตรงก่อนยืนยันการชำระเงิน

การตรวจสอบสิทธิ์เพื่อป้องกันการประพฤติมิชอบ

การตรวจสอบสิทธิ์มีบทบาทสำคัญในการป้องกันการประพฤติมิชอบทางการชำระเงิน อย่างไรก็ตาม กระบวนการยืนยันนี้มักใช้กลไกที่ไม่น่าเชื่อถือ เช่น การรวมหมายเลขบัตรเครดิตและชื่อเจ้าของบัตร หรือรหัส CVC เพิ่มเติมที่เขียนไว้ที่ด้านหลังบัตร กลไกเหล่านี้ถูกบุกรุกและมีการแอบอ้างเป็นบุคคลอื่นได้ง่ายหากข้อมูลบัตรรั่วไหลเนื่องจากการละเมิดความปลอดภัยของข้อมูล เช่น การลักลอบใช้บัญชีหรือการโจมตีแบบฟิชชิง

ระบบได้เปิดตัวกลไกการป้องกันการประพฤติมิชอบเพิ่มเติม เช่น EMV® 3-D Secure ซึ่งอาจขอให้ผู้ชำระเงินตรวจสอบสิทธิ์กับผู้ออกบัตรหรือธนาคาร ผู้ใช้จะลงชื่อเข้าใช้ด้วยชื่อผู้ใช้และรหัสผ่าน หรือรหัสผ่านแบบใช้ครั้งเดียว (OTP) ที่ส่งไปยังโทรศัพท์ของผู้ชำระเงินทาง SMS เพื่อตรวจสอบสิทธิ์ ซึ่งช่วยปกป้องลูกค้าจากการประพฤติมิชอบ แต่ก็อาจกลายเป็นอุปสรรคที่ทำให้ลูกค้าบางรายที่ถูกต้องไม่สามารถชำระเงินให้เสร็จสมบูรณ์ได้ SPC มีเป้าหมายเพื่อลดการขัดข้องในการตรวจสอบสิทธิ์ ซึ่งจะช่วยลดการละทิ้งรถเข็นช็อปปิ้ง

ขณะเดียวกัน มาตรฐานการตรวจสอบสิทธิ์ใหม่ที่กำลังได้รับความนิยมคือ WebAuthn

WebAuthn คืออะไร

การตรวจสอบสิทธิ์ผ่านเว็บ (WebAuthn) เป็นมาตรฐานเว็บที่อนุญาตให้เซิร์ฟเวอร์ของบุคคลที่เชื่อถือ (RP) ลงทะเบียนและตรวจสอบสิทธิ์ผู้ใช้ในเบราว์เซอร์โดยใช้การเข้ารหัสคีย์สาธารณะแทนรหัสผ่าน

RP ใช้เครื่องตรวจสอบสิทธิ์ที่จับต้องได้ เช่น คีย์ความปลอดภัย RP จะขอคีย์ความปลอดภัยเพื่อสร้างคู่คีย์ส่วนตัว-สาธารณะ จากนั้นจัดเก็บคีย์สาธารณะไว้ในเซิร์ฟเวอร์ (การลงทะเบียน) คีย์ที่สร้างขึ้นเหล่านี้จะเฉพาะเจาะจงสำหรับอุปกรณ์แต่ละเครื่อง ซึ่งจะช่วยป้องกันไม่ให้ผู้โจมตีแอบอ้างเป็นผู้ใช้ มาตรฐานนี้ช่วยป้องกันการฟิชชิงได้เนื่องจากมีการเชื่อมโยงคู่คีย์กับต้นทาง

FIDO Alliance กำหนดมาตรฐานลักษณะการทำงานของโปรแกรมตรวจสอบสิทธิ์ โปรแกรมตรวจสอบสิทธิ์บางรายการรองรับการยืนยันผู้ใช้ในเครื่องด้วยปัจจัยไบโอเมตริก (เช่น การจดจำลายนิ้วมือหรือการจดจำใบหน้า) หรือปัจจัยที่ผู้ใช้ทราบ (เช่น รหัส PIN) อุปกรณ์จำนวนมากผสานรวมอยู่ในอุปกรณ์คอมพิวเตอร์ เช่น แล็ปท็อปหรือสมาร์ทโฟน ซึ่งเรียกว่าโปรแกรมตรวจสอบสิทธิ์ของแพลตฟอร์ม WebAuthn ใช้งานได้ในเบราว์เซอร์หลักทั้งหมด (เดสก์ท็อปและอุปกรณ์เคลื่อนที่) และโปรแกรมตรวจสอบสิทธิ์พร้อมใช้งานในอุปกรณ์หลายพันล้านเครื่อง ผู้ใช้สามารถลงทะเบียนและตรวจสอบสิทธิ์ด้วยตนเองโดยการยืนยันตัวตนในแพลตฟอร์ม

SPC ออกแบบมาให้ทำงานร่วมกับโปรแกรมตรวจสอบสิทธิ์แพลตฟอร์มที่ยืนยันตัวตนผู้ใช้ (UVPA)

ตัวอย่าง UVPA ได้แก่ Apple Touch ID และกล้องโทรศัพท์มือถือ
อุปกรณ์จำนวนมากผสานรวมเซ็นเซอร์ข้อมูลไบโอเมตริก โปรแกรมตรวจสอบสิทธิ์เหล่านั้นเรียกว่าโปรแกรมตรวจสอบสิทธิ์แพลตฟอร์มที่ยืนยันผู้ใช้ (UVPA)

การยืนยันการชำระเงินที่ปลอดภัยทำงานอย่างไร

การยืนยันการชำระเงินที่ปลอดภัย (SPC) สร้างขึ้นจาก WebAuthn และออกแบบมาเพื่อวัตถุประสงค์ในการชําระเงินโดยเฉพาะ เนื่องจากข้อมูลเข้าสู่ระบบ WebAuthn ได้รับการลงทะเบียนสำหรับโดเมนที่เฉพาะเจาะจง ข้อมูลเข้าสู่ระบบเหล่านี้จึงไม่สามารถใช้ในการตรวจสอบสิทธิ์ในเว็บไซต์ที่ไม่ได้ลงทะเบียนซึ่งอาจแอบอ้างเป็นผู้ให้บริการได้ ฟีเจอร์นี้ทำให้ WebAuthn มีประสิทธิภาพในการป้องกันการโจมตีแบบฟิชชิง

SPC จะเพิ่มเลเยอร์ข้อมูลการชำระเงินไว้เหนือ WebAuthn เพื่อให้ผู้ออกบัตรหรือธนาคารมอบประสบการณ์การชำระเงินที่สอดคล้องกัน เมื่อผู้ชำระเงินลงทะเบียนโปรแกรมตรวจสอบสิทธิ์กับฝ่ายที่เชื่อถือแล้ว ก็จะสามารถใช้โปรแกรมดังกล่าวเพื่อตรวจสอบสิทธิ์ในเว็บไซต์ของผู้ขายรายต่างๆ ได้ นอกจากนี้ ผู้อ้างอิงยังเลือกที่จะใช้ข้อมูลเข้าสู่ระบบการชำระเงินเป็นข้อมูลเข้าสู่ระบบ WebAuthn ปกติได้ด้วย

Stripe ทำการทดสอบ SPC ในสภาพแวดล้อมเวอร์ชันที่ใช้งานจริง ซึ่งเป็นส่วนหนึ่งของช่วงทดลองใช้จากต้นทางของ Chrome ในการทดสอบครั้งนี้ Stripe ได้รับอัตรา Conversion เพิ่มขึ้น 8% และอัตราการชําระเงินเร็วขึ้น 3 เท่า อ่านเกี่ยวกับผลลัพธ์ได้ในรายงาน SPC ของกลุ่มทำงานด้านการชำระเงินบนเว็บของ W3C

ผู้ใช้ได้รับประสบการณ์การใช้งาน SPC อย่างไร

เฟรมเวิร์กหน้าเว็บของ SPC ประกอบด้วย 2 ระยะ ได้แก่ การลงทะเบียนและการตรวจสอบสิทธิ์

ลูกค้าต้องลงทะเบียนอุปกรณ์โดยใช้โปรแกรมตรวจสอบสิทธิ์แพลตฟอร์มที่ยืนยันตัวตนผู้ใช้ (UVPA) ก่อน เมื่อลงทะเบียนอุปกรณ์แล้ว อุปกรณ์ดังกล่าวจะใช้เพื่อตรวจสอบสิทธิ์ผู้ใช้และยืนยันการชำระเงินทุกครั้งที่ดำเนินการ SPC ในเว็บไซต์ของผู้ขายได้

การลงทะเบียน

ผู้ใช้ลงทะเบียน SPC ได้ 2 วิธีดังนี้

  • ลงทะเบียนในเว็บไซต์ของ RP โดยตรง
  • ลงทะเบียนโดยอ้อมที่เว็บไซต์ของผู้ขาย

การลงทะเบียนในเว็บไซต์ RP

การลงทะเบียน SPC ในเว็บไซต์ของ RP นั้นไม่แตกต่างจากการลงทะเบียน WebAuthn เราขอแนะนำให้ RP ขอให้ลูกค้าลงทะเบียน UVPA เป็นส่วนหนึ่งของขั้นตอนการลงชื่อเข้าใช้

สถานการณ์ทั่วไปอาจมีลักษณะดังนี้

  1. ลูกค้าลงชื่อเข้าใช้เว็บไซต์ธนาคารโดยใช้ชื่อผู้ใช้ รหัสผ่าน และขั้นตอนการตรวจสอบเพิ่มเติม (โดยปกติคือรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียวหรือ OTP)
  2. หลังจากตรวจสอบสิทธิ์สำเร็จแล้ว ให้แสดงคำขอสิทธิ์ซึ่งขอให้ลูกค้าลงทะเบียนอุปกรณ์ (UVPA)
  3. เมื่อให้สิทธิ์แล้ว เบราว์เซอร์จะแสดงกล่องโต้ตอบการลงทะเบียน WebAuthn
  4. ลูกค้ายินยอมที่จะลงทะเบียนอุปกรณ์โดยทำการตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริก
  5. ตอนนี้ลูกค้าจะเข้าสู่ระบบและชำระเงินได้อย่างปลอดภัยโดยใช้อุปกรณ์ของตนเองได้แล้ว

เมื่อใช้การตรวจสอบสิทธิ์อีกครั้ง ผู้ใช้จะเข้าสู่ระบบอยู่แล้ว แต่ระบบจะขอให้ตรวจสอบสิทธิ์อีกครั้งเพื่อให้แน่ใจว่าผู้ใช้รายเดิมยังคงอยู่ โดยปกติแล้วการออกแบบนี้จะพบในการดำเนินการที่มีความละเอียดอ่อนด้านความปลอดภัย เช่น คำขอเปลี่ยนรหัสผ่านหรือเมื่อชำระเงิน เมื่อใช้ WebAuthn UVPA การตรวจสอบสิทธิ์อีกครั้งจะรวดเร็วและปลอดภัยกว่าการใช้รหัสผ่าน

ดูวิธีสร้างขั้นตอนการลงทะเบียนและการตรวจสอบสิทธิ์ WebAuthn เพื่อตรวจสอบสิทธิ์อีกครั้งได้ที่สร้างแอป WebAuthn รายการแรก

การลงทะเบียนในเว็บไซต์ของผู้ขายระหว่างการชำระเงิน

หากลูกค้าไม่ได้ลงทะเบียนอุปกรณ์ในเว็บไซต์ของผู้ออกบัตร ลูกค้าจะลงทะเบียนในเว็บไซต์ของผู้ขายได้โดยตรง อินเทอร์เฟซจะมีลักษณะเหมือนกัน แต่การลงทะเบียนของผู้ใช้จะเริ่มต้นโดยรหัสของ RP

ตัวเลือกนี้เหมาะสำหรับกรณีที่ลูกค้าไม่ได้เข้าชมเว็บไซต์ RP บ่อยนัก แต่ RP ยังคงต้องการเสนอตัวเลือกการตรวจสอบสิทธิ์

การตรวจสอบสิทธิ์ (การยืนยันการชําระเงิน)

ต้องมีการตรวจสอบสิทธิ์เมื่อผู้ชำระเงินระบุข้อมูลเข้าสู่ระบบการชำระเงินระหว่างธุรกรรมการชำระเงิน

  1. ผู้ชำระเงินให้ข้อมูลเข้าสู่ระบบการชำระเงิน (เช่น ข้อมูลบัตรเครดิต)
  2. ผู้ขายจะตรวจสอบว่าเบราว์เซอร์รองรับการยืนยันการชำระเงินที่ปลอดภัยหรือไม่
  3. หากเบราว์เซอร์รองรับ SPC ให้เรียกใช้ Payment Request API โดยระบุ SPC เป็นวิธีการชำระเงิน มิเช่นนั้น ระบบจะใช้วิธีการตรวจสอบสิทธิ์ที่มีอยู่
  4. ผู้ชำระเงินยืนยันรายละเอียดธุรกรรมและดำเนินการตรวจสอบสิทธิ์ให้เสร็จสมบูรณ์ (เช่น โดยการแตะเครื่องตรวจสอบสิทธิ์แพลตฟอร์มข้อมูลไบโอเมตริก)

แพลตฟอร์มที่รองรับ

ปัจจุบัน Google Chrome บน macOS และ Windows รองรับการยืนยันการชำระเงินที่ปลอดภัย แพลตฟอร์มอื่นๆ ซึ่งรวมถึง Android, iOS และ ChromeOS ยังไม่รองรับ ณ เดือนพฤษภาคม 2022

ขั้นตอนถัดไป