В июне 2023 года консорциум W3C анонсировал новый стандарт для подтверждения финансовых операций Secure Payment Confirmation (SPC), который в случае принятия упростит платежи в интернете. Пока стандарт опубликован в качестве рекомендации-кандидата (Candidate Recommendation).
SPC делает стандартом для финансовых транзакций браузерную криптографию Web Authentication (WebAuthn). Это платежи по отпечатку пальца/скану лица/пинкоду и т. д. Теперь вместо кода или SMS для подтверждения транзакции 2FA можно предъявлять отпечаток пальца.
Новый стандарт должен упростить аутентификацию пользователей, обеспечить строгую аутентификацию клиента (SCA) и получение криптографического доказательства согласия. Наличие криптографического доказательства — важный аспект нормативных требований и регуляций в разных странах, в том числе Директивы о платёжных услугах (PSD2) в Европе.
В целом SPC полагается на технологию WebAuthn и работает примерно по такому же механизму, как представленный недавно стандарт беспарольной аутентификации Google Passkeys (ключи доступа), который позволяет войти в аккаунт без пароля, а по пальцу, лицу, локальному пинкоду или аппаратному ключу. То есть авторизоваться в тем же методом, каким пользователь авторизуется в операционной системе. Это считается достаточным криптографическим доказательством согласия и для аутентификации на удалённом сервере, и для платежа.
Неудивительно, что Google является одним из разработчиков технологии SPC.
Как мы упоминали в недавней статье про Passkeys, сканирование отпечатка пальца — это самый простой и безопасный метод аутентификации, согласно опросам пользователей:
Источник: «Мультимодальная аутентификация пользователей в „умных“ средах: Исследование отношения пользователей»
Сканер отпечатка пальца и/или лица присутствует в большинстве современных смартфонов.
Принятие SPC в качестве рекомендации-кандидата указывает на то, что набор функций «является стабильным и получил широкое рассмотрение», сказано в пресс-релизе W3C. Теперь консорциум должен получить дополнительные примеры экспериментального внедрения SPC, прежде чем внести окончательные правки и принять финальную версию стандарта.
W3C отмечает актуальность нового стандарта в связи с широким распространением электронной коммерции и усилением требований к защите платежей. Если в 90-е годы для платежа было достаточно ввести номер кредитной карты в форму с POST-запросом, то сейчас это редкость. Более того, в Европе и других странах такой метод запретили законодательно, введя обязательную многофакторную аутентификацию для некоторых видов платежей. Вот здесь и возникает проблема.
Хотя многофакторная аутентификация снижает уровень мошенничества, она затрудняет процедуру платежа и увеличивает количество отказов от совершения сделки (например, см. результаты эксперимента Microsoft по использованию SCA в рамках PSD2):
В 2019 году рабочая группа W3C по веб-платежам начала работу над безопасным стандартом подтверждением платежа, который обеспечит строгую аутентификацию клиента (SCA), но будет проще в использовании. Компания Stripe осуществила пилотный проект SPC и в марте 2020 года. В эксперименте Stripe после обычной транзакции пользователю предлагается проводить будущие платежи по отпечатку пальца:
Затем браузер проверяет соответствующие криптографические примитивы:
На этом процедура завершена:
В следующий раз после ввода данных карты браузер предлагает подтвердить перевод отпечатком пальца:
После проверки в браузере платёж завершается.
По сравнению с одноразовыми паролями (OTP) аутентификация SPC увеличила конверсию на 8% и ускорила процедуру аутентификации втрое: с 36 до 12 секунд.
SPC разработан при участии группы по созданию спецификаций для безопасности платежей Web Payment Security Interest Group, куда входят W3C, FIDO Alliance и EMVCo. В результате новый стандарт совместим с актуальными протоколами двухфакторной аутентификации EMV 3-D Secure (версия 2.3) и EMV Secure Remote Commerce (версия 1.3).
Поддержка технологии SPC требует внесения изменений в браузеры для реализации WebAuthn. В настоящее время она доступна в браузерах Chrome и Edge на платформах macOS, Windows и Android. Рабочая группа W3C по веб-платежам будет способствовать внедрению этой технологии в других браузерах.
Сейчас W3C наблюдает за проведением других пилотных программ, включая второй эксперимент Stripe. Результаты ожидают к сентябрю 2023 г. После этого возможна окончательная стандартизация.
Предполагается, что платежи по SPC станут удобнее для всех. Для пользователей это более простой способ оплаты, а для мерчантов — увеличение конверсии.
