引入强大的客户身份验证 – 这对付款企业及其客户意味着什么?
作者:艾莉森唐纳利,fscom董事
企业如何准备采用强客户认证(SCA)?
老实说,没有像你希望的那样准备就绪。根据我们的经验,围绕身份验证代码和动态链接存在明显的混淆,许多企业将这些混淆为一次性密码。如果您想知道,一次性密码可以形成SCA的元素,但是
在考虑企业将面临的困难时,重要的是要记住监管网络中的业务范围。这些业务范围从巨大的跨国银行一直到有可能拥有基本汇款的在线门户的Bureaux de Change。许多小型企业没有必要的系统来实施这些控制,他们的系统需要完全重新配置 – 即使是最大的公司也在苦苦挣扎,这是一项艰巨的任务。
身份验证代码和SCA的增强安全功能如何确保交易安全?
考虑SCA的最佳方法分为两步:双因素身份验证(2FA)和身份验证代码。您可能对2FA非常熟悉,虽然它不是监管要求,但它是客户身份验证的行业标准。 2FA比用户名和密码更安全,因为它需要在恶意方访问帐户之前泄露两个单独的元素。 SCA与2FA的区别在于认证码的引入以及动态链接这些代码的要求。那么,验证码的重点是什么以及为什么动态链接它们呢?
考虑SCA的最佳方法分为两步:双因素身份验证(2FA)和身份验证代码。
身份验证代码构成了SCA使用的可审计跟踪:如果由于生成身份验证代码而使用SCA而对事务进行争议,则会很清楚。当用户发送付款时,此代码将动态链接到付款详细信息,以防止中间人攻击。这些附加功能的使用意味着调用SCA“强制命令2FA”会产生误导。
这个系统并非完全没有弱点,最明显的弱点是网络钓鱼攻击和短信的使用。使用SMS发送一次性密码是否符合SCA的条件是欧洲经济区内的争论点,但FCA认为SMS符合要求。使用SMS的问题在于它不是安全的消息传递服务,正如Metro Bank最近发现的那样。
SCA会破坏客户体验吗?
客户肯定习惯于放松安全性,尤其是在网上购物时,因此SCA可能会影响客户体验。但是,有效利用立法中的豁免来减少摩擦是由企业决定的。有九项豁免:
- 90天付款帐户信息;
- 销售点的非接触式付款;
- 无人值守的运输费和停车费终端;
- 可信赖的受益人;
- 经常性交易;
- 同一人持有的账户之间的信用转账;
- 低价值交易;
- 安全的企业支付流程和协议;和
- 交易风险分析。
企业必须确保他们正在应用这些豁免,以便在竞争中保持领先地位。
即使应用了这些豁免,网上购物也不太可能像现在这样顺利。随着行业发展其方法,人们希望,与可能开始的过程相比,该过程将变得更加顺畅。随着方法的发展,应该更多地采用“交易风险分析”豁免 – 目前,由于技术要求和严格的欺诈率,大多数行业无法利用这种豁免。
请关注并喜欢我们: