การยืนยันการชำระเงินที่ปลอดภัย

Eiji Kitamura

การยืนยันการชำระเงินที่ปลอดภัย (SPC) เป็นมาตรฐานเว็บที่เสนอซึ่งช่วยให้ลูกค้าตรวจสอบสิทธิ์กับผู้ออกบัตรเครดิต ธนาคาร หรือผู้ให้บริการชำระเงินอื่นๆ โดยใช้ Authenticator ของแพลตฟอร์มได้ดังนี้

  • ปลดล็อกฟีเจอร์รวมถึง Touch ID ในอุปกรณ์ macOS
  • Windows Hello ในอุปกรณ์ Windows

การใช้ SPC จะช่วยให้ผู้ขายช่วยให้ลูกค้าตรวจสอบสิทธิ์การซื้อได้อย่างรวดเร็วและราบรื่น ในขณะเดียวกันธนาคารที่ออกเอกสารก็ช่วยปกป้องลูกค้าจากการประพฤติมิชอบ

SPC มี 2 ขั้นตอน ได้แก่ การลงทะเบียนและการตรวจสอบสิทธิ์

  • การลงทะเบียน: ผู้ชำระเงินลิงก์อุปกรณ์ของตนกับฝ่ายที่ต้องพึ่งพา (RP) ฝ่ายที่เกี่ยวข้องอาจเป็นผู้ออกบัตรเครดิต ธนาคาร หรือผู้ให้บริการชำระเงินอื่นๆ
  • การตรวจสอบสิทธิ์: ผู้ชำระเงินจะใช้อุปกรณ์ที่ลงทะเบียนไว้เพื่อยืนยันตัวตนกับ RP โดยตรงจากแพลตฟอร์มของผู้ขายก่อนยืนยันการชำระเงิน

การตรวจสอบสิทธิ์เพื่อป้องกันการประพฤติมิชอบ

การตรวจสอบสิทธิ์มีบทบาทสำคัญในการป้องกันการประพฤติมิชอบด้านการชำระเงิน อย่างไรก็ตาม กระบวนการยืนยันนี้มักใช้กลไกที่ไม่รัดกุม เช่น ชุดค่าผสมของหมายเลขบัตรเครดิตและชื่อเจ้าของบัตร หรือรหัส CVC เพิ่มเติมที่เขียนไว้ด้านหลังบัตร กลไกเหล่านี้จะถูกบุกรุกและถูกแอบอ้างได้ง่ายหากข้อมูลบัตรรั่วไหลเนื่องจากการละเมิดความปลอดภัยของข้อมูล เช่น การลักลอบใช้บัญชีหรือการโจมตีแบบฟิชชิง

เราได้เปิดตัวกลไกป้องกันการประพฤติมิชอบเพิ่มเติม เช่น EMV® 3-D Secure ซึ่งอาจมีการขอให้ผู้ชำระเงินตรวจสอบสิทธิ์กับผู้ออกบัตรหรือธนาคาร หากต้องการตรวจสอบสิทธิ์ ผู้ใช้จะลงชื่อเข้าใช้ด้วยชื่อผู้ใช้และรหัสผ่าน หรือรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียว (OTP) ที่ส่งไปยังโทรศัพท์ของผู้ชำระเงินผ่าน SMS วิธีนี้ช่วยคุ้มครองลูกค้าจากการประพฤติมิชอบ แต่อาจกลายเป็นอุปสรรคสำหรับลูกค้าที่ถูกต้องบางรายในการดำเนินการชำระเงินให้เสร็จสมบูรณ์ SPC มีเป้าหมายที่จะลดอุปสรรคในการตรวจสอบสิทธิ์ ซึ่งเป็นการลดการละทิ้งรถเข็นกลางคัน

ในขณะเดียวกัน มาตรฐานการตรวจสอบสิทธิ์ใหม่ก็กำลังเพิ่มขึ้นเรียกว่า WebAuthn

WebAuthn คืออะไร

Web Authentication (เรียกสั้นๆ ว่า WebAuthn) คือมาตรฐานเว็บที่อนุญาตให้เซิร์ฟเวอร์ของบุคคลที่สาม (RP) ในการลงทะเบียนและตรวจสอบสิทธิ์ผู้ใช้ในเบราว์เซอร์โดยใช้วิทยาการเข้ารหัสคีย์สาธารณะแทนการใช้รหัสผ่าน

RP จะใช้ตัวตรวจสอบสิทธิ์จริง เช่น คีย์ความปลอดภัย RP จะขอคีย์ความปลอดภัยเพื่อสร้างคู่คีย์ส่วนตัว-สาธารณะ จากนั้นจัดเก็บคีย์สาธารณะบนเซิร์ฟเวอร์ (การลงทะเบียน) คีย์ที่สร้างขึ้นเหล่านี้จะไม่ซ้ำกันสำหรับอุปกรณ์นั้นๆ ซึ่งจะช่วยป้องกันไม่ให้ผู้โจมตีแอบอ้างเป็นผู้ใช้ มาตรฐานนี้ป้องกันฟิชชิงได้เพราะคู่คีย์เชื่อมโยงกับต้นทาง

FIDO Alliance ทำให้การทำงานของ Authenticator เป็นมาตรฐาน Authenticator บางรายรองรับการยืนยันผู้ใช้ในเครื่องโดยใช้ปัจจัยด้านข้อมูลไบโอเมตริก (เช่น ลายนิ้วมือหรือการจดจำใบหน้า) หรือปัจจัยด้านความรู้ (เช่น รหัส PIN) โดยมีหลายโซลูชันผสานรวมเข้ากับอุปกรณ์คอมพิวเตอร์ เช่น แล็ปท็อปหรือสมาร์ทโฟน หรือที่เรียกว่าเครื่องตรวจสอบสิทธิ์แพลตฟอร์ม WebAuthn ได้รับการสนับสนุนใน เบราว์เซอร์หลักๆ ทั้งหมด (เดสก์ท็อปและอุปกรณ์เคลื่อนที่) และ Authenticator ก็พร้อมใช้งานในอุปกรณ์นับพันล้าน ผู้ใช้สามารถลงทะเบียนและตรวจสอบสิทธิ์ด้วยตนเองโดยการยืนยันตัวตน ในระบบบนแพลตฟอร์ม

SPC ได้รับการออกแบบมาให้ทำงานร่วมกับ Authenticator ของแพลตฟอร์มที่มีการยืนยันผู้ใช้ (UVPA)

ตัวอย่าง UVPA ได้แก่ Apple Touch ID และกล้องบนโทรศัพท์มือถือ
อุปกรณ์จำนวนมากผสานรวมเซ็นเซอร์ข้อมูลไบโอเมตริก Authenticator ดังกล่าวเรียกว่า Authenticator แพลตฟอร์มที่ยืนยันผู้ใช้ (UVPA)

การยืนยันการชำระเงินที่ปลอดภัยทำงานอย่างไร

การยืนยันการชำระเงินที่ปลอดภัย (SPC) สร้างขึ้นจาก WebAuthn และออกแบบมาเพื่อวัตถุประสงค์ในการชำระเงินโดยเฉพาะ เนื่องจากระบบได้ลงทะเบียนข้อมูลเข้าสู่ระบบ WebAuthn ไว้สําหรับโดเมนที่เจาะจง ข้อมูลเข้าสู่ระบบเหล่านี้จะนําไปใช้ในการตรวจสอบสิทธิ์ในเว็บไซต์ที่ไม่ได้ลงทะเบียนซึ่งอาจแอบอ้างเป็นผู้ขายไม่ได้ ฟีเจอร์นี้ทำให้ WebAuthn มีประสิทธิภาพต่อการโจมตีแบบฟิชชิง

SPC จะเพิ่มชั้นข้อมูลการชำระเงินที่ด้านบนของ WebAuthn เพื่อให้ผู้ออกบัตรหรือธนาคารมอบประสบการณ์การชำระเงินที่สอดคล้องกัน เมื่อผู้ชำระเงินลงทะเบียน Authenticator กับผู้ที่เกี่ยวข้องแล้ว คุณจะใช้ Authenticator เพื่อตรวจสอบสิทธิ์ในเว็บไซต์ของผู้ขายรายอื่นได้ นอกจากนี้ ฝ่ายที่เกี่ยวข้องยังเลือกใช้ข้อมูลเข้าสู่ระบบการชำระเงินเป็นข้อมูลเข้าสู่ระบบ WebAuthn แบบปกติได้ด้วย

Stripe ได้ทำการทดสอบกับ SPC ในสภาพแวดล้อมการใช้งานจริง ซึ่งเป็นส่วนหนึ่งของช่วงทดลองใช้จากต้นทางของ Chrome ในการทดสอบนี้ Stripe มีอัตรา Conversion ดีขึ้น 8% และอัตราการชำระเงินเร็วขึ้น 3 เท่า อ่านเกี่ยวกับผลลัพธ์ได้ในรายงาน SPC ในคณะทำงานของ W3C Web Payments

ผู้ใช้ได้รับประสบการณ์ของ SPC อย่างไร

ฟรอนท์เอนด์ของ SPC ประกอบด้วย 2 ขั้นตอน ได้แก่ การลงทะเบียนและการตรวจสอบสิทธิ์

ลูกค้าต้องลงทะเบียนอุปกรณ์โดยใช้ Authenticator ของแพลตฟอร์มการยืนยัน (UVPA) ก่อน เมื่อลงทะเบียนอุปกรณ์แล้ว จะสามารถนำมาใช้เพื่อตรวจสอบสิทธิ์ผู้ใช้และยืนยันการชำระเงินเมื่อใดก็ตามที่มีการดำเนินการ SPC ในเว็บไซต์ของผู้ขาย

การลงทะเบียน

ผู้ใช้สามารถลงทะเบียน SPC ได้ 2 วิธีดังนี้

  • ลงทะเบียนโดยตรงในเว็บไซต์ RP
  • ลงทะเบียนโดยอ้อมที่เว็บไซต์ผู้ขาย

การลงทะเบียนในเว็บไซต์ RP

ในเว็บไซต์ของ RP การลงทะเบียน SPC ไม่ต่างไปจากการลงทะเบียน WebAuthn เราแนะนําให้ RP ขอให้ลูกค้าลงทะเบียน UVPA ซึ่งเป็นส่วนหนึ่งของขั้นตอนการลงชื่อเข้าใช้

สถานการณ์ทั่วไปอาจมีลักษณะดังนี้

  1. ลูกค้าลงชื่อเข้าใช้เว็บไซต์ธนาคารของคุณด้วยชื่อผู้ใช้ รหัสผ่าน และขั้นตอนการยืนยันเพิ่มเติม (โดยปกติจะเป็นรหัสผ่านที่สามารถใช้งานได้เพียงครั้งเดียวหรือ OTP)
  2. หลังจากตรวจสอบสิทธิ์เรียบร้อยแล้ว ให้แสดงคำขอสิทธิ์ที่ขอให้ลูกค้าลงทะเบียนอุปกรณ์ (UVPA)
  3. เมื่อให้สิทธิ์แล้ว เบราว์เซอร์จะแสดงกล่องโต้ตอบการลงทะเบียน WebAuthn
  4. ลูกค้ายินยอมให้ลงทะเบียนอุปกรณ์โดยตรวจสอบสิทธิ์ด้วยข้อมูลไบโอเมตริก
  5. ตอนนี้ลูกค้าจะสามารถเข้าสู่ระบบและชำระเงินได้อย่างปลอดภัยโดยใช้อุปกรณ์ของตน

เมื่อใช้reauthentication ผู้ใช้จะเข้าสู่ระบบแล้ว แต่ระบบจะขอให้ตรวจสอบสิทธิ์อีกครั้งเพื่อให้แน่ใจว่ายังมีผู้ใช้รายเดิมอยู่ การออกแบบนี้มักพบในการดำเนินการที่สำคัญด้านความปลอดภัย เช่น คำขอให้เปลี่ยนรหัสผ่านหรือเมื่อชำระเงิน เมื่อใช้ WebAuthn UVPA การตรวจสอบสิทธิ์ซ้ำจะรวดเร็วและรัดกุมกว่าการใช้รหัสผ่านมาก

ดูวิธีสร้างการลงทะเบียน WebAuthn และขั้นตอนการตรวจสอบสิทธิ์สำหรับการตรวจสอบสิทธิ์อีกครั้งได้ที่สร้างแอป WebAuthn แรก

การลงทะเบียนในเว็บไซต์ของผู้ขายระหว่างการชำระเงิน

หากลูกค้าไม่ได้ลงทะเบียนอุปกรณ์ในเว็บไซต์ของผู้ชำระเงิน พวกเขาสามารถทำได้โดยตรงในเว็บไซต์ของผู้ขาย อินเทอร์เฟซดูเหมือนเดิม แต่การลงทะเบียนของผู้ใช้จะเริ่มต้นโดยใช้โค้ดของ RP

ซึ่งเหมาะสมอย่างยิ่งเมื่อลูกค้าไม่ได้เข้าชมเว็บไซต์ RP บ่อย แต่ RP ยังคงต้องการเสนอตัวเลือกการตรวจสอบสิทธิ์

การตรวจสอบสิทธิ์ (การยืนยันการชำระเงิน)

ต้องมีการตรวจสอบสิทธิ์เมื่อผู้ชำระเงินให้ข้อมูลเข้าสู่ระบบระหว่างการทำธุรกรรมการชำระเงิน

  1. ผู้ชำระเงินจะต้องมอบข้อมูลการชำระเงิน (เช่น ข้อมูลบัตรเครดิต)
  2. ผู้ขายจะตรวจสอบว่าเบราว์เซอร์รองรับการยืนยันการชำระเงินที่ปลอดภัยหรือไม่
  3. หากเบราว์เซอร์รองรับ SPC ให้เรียกใช้ Payment Request API โดยใช้ SPC เป็นวิธีการชำระเงิน ไม่เช่นนั้น ให้กลับไปใช้วิธีการตรวจสอบสิทธิ์ที่มีอยู่
  4. ผู้ชำระเงินยืนยันรายละเอียดธุรกรรมและตรวจสอบสิทธิ์ให้เสร็จสมบูรณ์ (เช่น โดยแตะที่ Authenticator ของแพลตฟอร์มข้อมูลไบโอเมตริก)

แพลตฟอร์มที่รองรับ

ขณะนี้ Google Chrome รองรับการยืนยันการชำระเงินที่ปลอดภัยใน macOS และ Windows ตั้งแต่เดือนพฤษภาคม 2022 เป็นต้นไป ระบบจะไม่รองรับแพลตฟอร์มอื่นๆ ซึ่งรวมถึง Android, iOS และ ChromeOS

ขั้นตอนถัดไป