支付验证2024，你要知道的那些事儿…

       近年来，全球市场快速向更便捷的在线交易转变，支付服务提供商也顺应趋势在不断推动支付方式向线上信用卡，数字钱包甚至是数字货币转变。与此同时，我们也发现不论支付方式如何更迭，金融欺诈仍在世界范围内发生，仍会给机构造成巨大损失。

       供应商在设计和实施反欺诈解决方案时会综合考虑多种因素，客户验证只是其中之一。在本文中，我们将针对支付验证其不可替代的作用和不足进行分析，并展望其在2024年的发展趋势。

什么是支付验证？

       支付验证是要求用户进行身份真实性确认来验证支付合法性的过程。在多年发展中，支付行业已经诞生了诸多验证方法及规范，旨在让支付更加快速便捷，保护交易安全，其中，3-D安全协议是全球公认的线上支付验证协议之一。

支付验证和支付授权是一件事吗？

       支付验证和授权虽然都是为了确认交易可行性，但是是支付过程中两个完全不同的部分。支付授权关注的是支付人的账户余额，而支付验证关注的是购买人的身份真实性。

支付验证多年来是如何发展的？

       自从电子商务和在线支付问世以来，业内专家一直潜心开发不同的工具和协议，以确保交易安全进行。

       早期采用的验证方法需要依靠信用卡背面的安全码（CVV）。这种情况下，消费者在网上下单付款时，系统会要求其输入CVV、卡号、持卡人姓名和有效期来确认其是卡的合法持有者。虽然这一方法后期得到了很大的完善，但输入CVV仍是多数平台会采用的一个验证方法。

       为了应对线上交易大范围普及的趋势以及随之而来的安全威胁，21世纪初，EMVCo（一个由全球卡组织联合创立的组织）颁布了名为3-D安全的安全协议，旨在确保支付过程合法的同时提高交易便利性，推动在线业务增长。

3-D安全是什么？

       3-D安全是一种全球支付安全协议，专用于持卡人不在场的在线交易场景，通过多方验证确认交易为持卡人本人发起，保护交易安全。3-D安全验证过程中，在发卡行、收单行、商户和持卡人之间进会行请求、挑战和响应信息交互，这样就可以为线上支付增加一层额外安全保护，给诈骗者、洗钱者和金融罪犯盗用信用卡信息或账户详细信息增加了难度。

       因在在线欺诈预防方面具有高度实用性和有效性，3-D安全技术的市场正呈指数级增长。《财富商业洞察（Fortune Business Insight）》预计，到2030年，该市场份额将达到28.1亿美元。

支付验证存在哪些问题？

       尽管3-D安全验证能够保护在线支付，但其严格的身份验证流程也会一定程度上导致客户流失，是小型企业面临的一个痛点。

       此前，在网上结账时，客户无需通过额外的步骤来验证自己身份，通常只需要在账号注册时绑定银行卡即可。在3-D安全验证投入应用后，有一部分人认为这是多此一举，太过繁琐，无法意识到其对于线上交易保护的重要性。FIDO联盟在2020年进行的一项研究显示，58%的美国消费者因为验证流程繁琐而选择弃购。

       除此之外，移动设备品牌型号众多，不同设备上用户验证体验也可能不同，这也是一个问题。一方面，验证服务不能保持足够的一致，会阻碍业内制定更完善的验证协议，另一方面，对于验证解决方案提供商来说，要提供一个普遍适用的方案也无疑是一大挑战。

       如今，线上交易已成为人们的生活常态，企业想开拓市场，推动业务发展，就必须考虑到用户体验问题，流畅和安全的支付流程无疑可以极大提高用户满意度，吸引新用户。然而，要确保支付安全，验证流程必不可少，摩擦不可避免，那企业能做的就是最小化摩擦，最大化支付流畅度。

2024年支付验证趋势

       多年来，解决方案提供商一直在不断努力，致力于提供符合各地方法规的方案，以期更好进入国际市场，然而并非所有的验证方案都能够满足客户需求。下面我们来分析一下今年主流身份验证方法的优缺点。

EMV 3-D安全

       过去20年里，EMV 3-D安全逐步发展成完善，成为了广为信赖的身份验证协议，为跟上全球市场的变化，相关开发人员和监管机构也一直在积极创新、强化技术规范。

       2023年下半年，为加快验证流程，提高效率，EMVCo发布了更新版本2.3，增加了部分新内容，为发卡行支持商户发起的委托验证流程给出了清楚的大纲。从2024年开始，随着全球电子商务的快速发展，我们期望EMVCo继续完善升级相关规范，让3-D安全验证服务普及应用到更多商户。

一次性密码（OTP）

       只要你用过信用卡网购，就肯定用过一次性密码。一次性支付密码已存在很长时间，现在仍然是众多金融机构的首选。

       一次性密码（OTP）会以短信或电子邮件的方式发送给客户，往往以六位数或四位数形式出现，四位数安全强度相对较低。自推出以来，OTP因其实用性强，只需要有互联网和智能手机就可以完成而受到全球银行业青睐，尤其在东南亚地区广受欢迎。

       不过OTP仍存在一些不足，不法分子可以采用某些策略拦截OTP，如SIM卡交换、网络钓鱼、密码测试等等。此外，OTP验证方法并不能完全符合欧洲的支付服务指令2（PSD2）的要求。因此，有些银行界成员已逐渐开始采用更先进的验证方法，以弥补OTP验证的不足。

二维码

       在移动设备上使用身份验证器应用程序，用户就可以在登录或交易过程中快速对其帐户进行身份验证，这种方法简单易操作，只需要扫描二维码就可以实现。目前，在亚洲，尤其是东南亚地区，二维码验证因能够支持线下到线上（O2O）的交易和纯线上交易，获得了金融机构的大力支持。不过，这一方法的普及程度不高，无法适用于欧美地区的线上交易验证。

推送通知

       验证服务提供商通常认为这种通知类型的身份验证是一种经济有效的带外（OOB）解决方案。在此过程中，用户会在在发卡机构（银行）或支付服务提供商的应用程序中收到身份验证的推送通知，点开通知，进入应用就可以点击相关按钮进行身份验证。企业如果想最大程度节约成本，与一次性密码相比，就可以选择推送的方式，通过用户更熟悉的企业平台发送验证请求，完成验证流程。

令牌

       在21世纪初，令牌验证技术出现并广泛应用于银行业服务，有物理和数字两种形式，可根据服务提供商和用户偏好做选择。20年前网络银行逐渐走进大众时，银行便采用了物理令牌方法验证持卡人的身份，以确保交易安全真实。

       10年后，技术提供商研发出了数字令牌，进一步方便了令牌的使用。亚洲众多的金融机构都在其移动应用上采用了令牌技术，以期借此减少软件重新定向造成的摩擦。现如今，虽然市场上验证技术竞争激烈，但令牌仍然在全世界交易验证中占有一席之地。

生物识别

       2010年代末，生物识别技术应用到了智能设备上并迅速普及。彼时最受大众欢迎的是苹果公司的iPhone8，这一产品打破了以往的功能壁垒， 插入了指纹扫描组件。随后，安全方案供应商基于此进一步创新，终于让更多消费者都可以在他们的智能手机上使用生物识别功能进行快速验证。

       Incode在2023年对全球范围内使用数字验证用户进行了一项调查，结果显示，54%的被调用户对生物识别验证持积极态度，认为这是在线交易和支付的一大变革，不过，还有一部分用户对在内的数字验证此持消极态度，认为这种方法在欺诈预防和隐私安全保护方面不够可靠，因而拒绝采用。

       与此同时，调查也指出，消费者希望某些行业能够为他们提供更多数字验证方案。

       生物识别技术只需要消费者有智能手机就可以进行验证，非常方便，但这种验证方法严重依赖设备的生物识别功能，而不同设备的这一功能和性能上存在差异，也就导致用户体验不尽相同，这是相关开发人员需要面对的一大难题。我们相信，在不久的将来，市场上会出现更多的优化方案，如活性检测等，进一步完善生物识别扫描技术。

支付系统面临的挑战

       在支付系统日趋成熟之时，不法分子的欺诈攻击行为也日益猖獗，尤其是在生成式人工智能技术的普及，欺诈策略也更加复杂高效。企业的支付系统需要足够强大在能更好应对欺诈攻击的威胁。

       与此同时，企业还需要确保支付系统要满足监管机构的相关要求，比如合规和定期审计，为此要花费的成本也不容小觑。加之各国的地方法规会有不同，支付系统/服务提供商也需要不断灵活完善自己的方案。

反网络钓鱼的身份验证

       几年前，快速身份在线验证（FIDO）这一全球协议问世，将密码带来的困扰一扫而空，如密码遗忘，密码被盗等等。FIDO采用公钥加密技术，生成一对密钥为“挑战”验证的请求进行签名，实现了端到端的后端加密通讯，强化了信息安全保护。用户只需任意选择使物识别、PIN码等支持FIDO的可插拔密钥就可完成验证。那么传统的生物识别验证和FIDO验证之间到底有什么区别呢？

传统生物识别验证

       标准生物识别验证功能是当前密码验证流程的新增内容，所以我们有必要先了解基于密码的身份验证流程。

       用户输入用户名和密码后，密码会被系统传输到在线服务器，服务提供商验证密码是否与用户的注册凭据一致，从而实现身份验证。这一过程中不可避免存在中间人攻击的风险，黑客可以拦截用户和服务器之间的通讯，窃取密码信息，从而非法访问账户。

       此外，密码验证也会受到网络钓鱼的攻击，不法分子可以通过发送包含假冒网站链接的电子邮件或信息，窃取用户凭证。钓鱼网站复杂多变，欺诈者凭借虚假的一次性密码系统就可以接收到用户的密码，用此密码在真实网站上访问用户账户。

       那么，在这一流程中添加标准生物识别技术后，平台用户无需输入密码就可以进行身份验证。此时，用户通过扫描相关的生物特征（指纹、面部识别、虹膜等）就可以授权平台将用户的密码发送到服务器进行验证，而无需输入密码。这种方法不仅方便易操作，对用户很友好，还可以避免账户被黑客攻击，提高了欺诈防御能力。不过，还有一点不完善之处，那就是设备平台和公共服务器之间的凭证验证过程仍可能遭到黑客拦截。

通过生物识别技术进行FIDO验证

       当我们进一步升级，使用FIDO进行身份验证时，情况将大不相同。FIDO采用公钥加密技术，将这一流程分为识别和验证两部分。在用户注册期间，系统将生成一对私钥和公钥，私钥会存储在用户设备上，公钥会存储在公共服务器中，这样，即使黑客获取其中之一或完整的两把密钥，都无法获得准确匹配信息实现两把密钥的配对。

       在用户进行身份验证期间，用户无需在登陆界面上输入密码，设备上的生物识别扫描功能也不会允许平台向服务器发送任何凭证。此时，由公共服务器会发起挑战，用户通过存储在设备中的私钥进行身份验证，这样就可以防止黑客在与公共服务器通讯期间拦截或窃取用户的凭证。

平衡安全和体验

       现如今市场上的身份验证方法琳琅满目，但每个方案都有一定的风险，没有任何方案能够保证100%的安全性。消费者不仅需要一个为他们提供便利的在线平台，还需要平台能够保护账户和隐私信息的安全。

       对于企业而言，最大程度提高支付验证系统的安全性，可以尽可能的规避各种欺诈风险，但这也无疑会影响用户体验。我们认为，最优解是实现二者的平衡，在保证系统安全的同时，优化用户体验，确保企业业务持续快速发展。比如，企业可以对现有系统进行分析，在强化系统防御能力的同时，结合用户体验和期望，选择最合适的欺诈预防方案。

       想了解更多吗？那赶快联系我们吧，我们的专家团队随时可以为您提供专业的咨询服务，为您的企业发展助力哦。