Get your free and exclusive 80-page Banking Passkey Report
payment passkeys landscape overview

Ландшафт платежных Passkeys: 4 основные модели интеграции

Рассмотрим 4 основные модели для платежных Passkeys. Сравним архитектуры, ориентированные на эмитента, мерчанта, сеть и PSP, чтобы найти лучшую стратегию интеграции.

Vincent Delitz

Vincent

Created: July 15, 2025

Updated: July 16, 2025


See the original blog version in English here.

WhitepaperEnterprise Icon

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

1. Введение#

Мировой ландшафт платежей находится в критической точке перелома. На протяжении десятилетий индустрия боролась с противоречием между безопасностью и удобством для пользователя. Эта проблема наиболее остро ощущается в цифровой среде, где карта не предъявляется физически (Card-Not-Present, CNP). Рост изощренного мошенничества потребовал более надежных мер аутентификации, в то время как ожидания потребителей требуют все более простого процесса оплаты. В этом отчете мы представляем всесторонний анализ этой развивающейся экосистемы с особым акцентом на определение стратегических точек интеграции технологии Passkeys. Он призван служить исчерпывающим руководством для поставщиков технологий, провайдеров платежных услуг, финансовых учреждений и мерчантов, стремящихся перейти в будущее без паролей.

2. Краткий обзор#

Ландшафт платежей претерпевает фундаментальные изменения, обусловленные необходимостью в более надежной безопасности, такой как строгая аутентификация клиента (Strong Customer Authentication, SCA), и коммерческим спросом на беспрепятственный пользовательский опыт. Устойчивые к фишингу Passkeys стали ключевой технологией для решения этой проблемы. Наш анализ показывает, что индустрия сходится вокруг четырех различных архитектурных моделей для интеграции Passkeys, каждая из которых представляет конкурирующее видение будущего аутентификации платежей:

  1. Модель, ориентированная на эмитента (например, через SPC): Хотя эта модель технически элегантна, она сдерживается критическим отсутствием поддержки в браузерах, в первую очередь со стороны Apple, что делает ее непрактичным решением в ближайшем будущем.
  2. Модель, ориентированная на мерчанта (делегированная аутентификация): Эта мощная модель позволяет крупным мерчантам использовать свои прямые отношения с клиентами, перенося аутентификацию на более ранний этап для создания бесшовной оплаты, но она сопряжена со значительной ответственностью и требует прямого доверия со стороны эмитента.
  3. Модель, ориентированная на сеть (Click to Pay): Крупная стратегическая игра карточных сетей, таких как Visa и Mastercard, с целью завладеть процессом гостевой оплаты, предлагая потребителям переносимый Passkey на уровне сети.
  4. Модель, ориентированная на PSP (кошельки): Доминирующая модель, в которой крупные поставщики платежных услуг (PSP), такие как PayPal, используют Passkeys для обеспечения безопасности и упрощения опыта в своих обширных, устоявшихся экосистемах кошельков.

Каждая модель предлагает свой ответ на ключевой стратегический вопрос: «Кто станет основной доверяющей стороной (Relying Party) для платежей?». В этом отчете мы разбираем эти конкурирующие архитектуры, сопоставляя их с участниками экосистемы, чтобы предоставить четкую дорожную карту для навигации в будущем аутентификации платежей.

3. Современная платежная экосистема#

Чтобы понять, где и как можно интегрировать Passkeys, сначала необходимо составить четкую и подробную карту участников платежной экосистемы и их ролей. Проведение одной онлайн-транзакции включает в себя сложное взаимодействие между несколькими сторонами, каждая из которых выполняет определенную функцию в перемещении данных и средств.

3.1 Основные участники#

В основе каждой транзакции лежат пять основных участников, которые формируют фундамент платежной цепочки создания ценности.

  1. Клиент / Держатель карты:

    • Описание: Физическое или юридическое лицо, инициирующее покупку. Держатель карты получает платежную карту (кредитную или дебетовую) от банка-эмитента и несет ответственность за погашение всех понесенных расходов.
    • Цель: Быстрый, простой и безопасный процесс оплаты.
    • Примеры: Любое физическое лицо с банковским счетом и/или платежной картой.
  2. Мерчант:

    • Описание: Компания, продающая товары или услуги и принимающая электронные платежи. Для этого мерчант должен иметь необходимую инфраструктуру, обычно предоставляемую банком-эквайером или поставщиком платежных услуг (PSP), для приема и обработки карточных платежей.
    • Цель: Максимизировать конверсию продаж за счет минимизации сложностей при оплате и снижения рисков мошенничества.
    • Примеры: Сайт электронной коммерции, розничный магазин, сервис по подписке.
  3. Банк-эмитент (Эмитент):

    • Описание: Банк или финансовое учреждение держателя карты. Эмитент выдает платежную карту клиенту, берет на себя связанный с этим кредитный риск и в конечном итоге несет ответственность за одобрение или отклонение транзакции на основе состояния счета держателя карты и оценки риска.
    • Цель: Получить запрос на авторизацию и отправить код ответа через карточные сети.
    • Примеры: Bank of America, Chase, Barclays.
  4. Банк-эквайер (Эквайер):

    • Описание: Банк мерчанта, также известный как торговый банк. Эквайер ведет счет мерчанта и обеспечивает обработку карточных транзакций от имени мерчанта.
    • Цель: Получить платежные данные от мерчанта, направить их через карточную сеть эмитенту и, после одобрения, перечислить средства на счет мерчанта.
    • Примеры: Wells Fargo Merchant Services, Worldpay (от FIS).
  5. Карточные сети (Схемы):

    • Описание: Технологическая основа, соединяющая всех остальных участников. Компании, такие как Visa, Mastercard, American Express и Discover, управляют этими обширными сетями. Они не выпускают карты и не открывают торговые счета, но предоставляют критически важную инфраструктуру, правила и стандарты, которые регулируют транзакции.
    • Цель: Обеспечить маршрутизацию запросов на авторизацию, а также клиринг и расчеты средств между эмитентами и эквайерами.
    • Примеры: Visa, Mastercard, American Express.
Demo Icon

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

3.2 Посредники: Разъяснение ландшафта «провайдеров»#

Между основными участниками существует сложная и часто пересекающаяся экосистема технологических и сервисных провайдеров. Понимание различий между этими посредниками имеет решающее значение, поскольку они часто являются основными точками интеграции для новых технологий, таких как Passkeys. В последние годы границы между этими ролями значительно размылись, поскольку современные провайдеры стремятся предлагать более комплексные решения «все в одном».

  1. Платежный шлюз:

    • Описание: Платежный шлюз — это технология, которая действует как безопасный цифровой портал для транзакции. Его основная роль заключается в сборе конфиденциальных платежных данных клиента с веб-сайта мерчанта или точки-продажи (POS), их шифровании и безопасной передаче платежному процессору или банку-эквайеру. Это «входная дверь» транзакции, отвечающая за безопасную передачу данных, но не за само движение средств.
    • Цель: Предоставить мерчантам безопасный и надежный способ приема онлайн-платежей.
    • Примеры: Authorize.net (решение Visa), Braintree, Stripe Payment Gateway.
  2. Платежный процессор:

    • Описание: Платежный процессор — это организация, которая выполняет обмен сообщениями о транзакциях между различными сторонами. Получив защищенные данные от платежного шлюза, процессор связывается с карточной сетью и, соответственно, с банками-эмитентами и эквайерами для проведения авторизации и расчетов по транзакции. Можно считать процессор операционным двигателем, обрабатывающим техническую коммуникацию, необходимую для совершения платежа, в то время как шлюз является безопасным каналом для этой коммуникации.
    • Цель: Надежно и эффективно выполнять платежные сообщения, управлять расчетами по транзакциям и разрешать споры между банками-эмитентами и эквайерами.
    • Примеры: First Data (теперь Fiserv), TSYS, Worldpay.
  3. Поставщик платежных услуг (PSP):

    • Описание: Поставщик платежных услуг — это компания, которая предлагает мерчантам комплексное, пакетное решение для приема электронных платежей. Современный PSP обычно объединяет функции платежного шлюза и платежного процессора, а часто также предоставляет торговый счет, и все это в рамках одного контракта. Эта модель «все в одном» значительно упрощает процесс для мерчантов, которым больше не нужно устанавливать отдельные отношения с поставщиком шлюза и банком-эквайером. В некоторых контекстах PSP, которые агрегируют различные методы оплаты для мерчантов, также называют платежными агрегаторами.
    • Цель: Предложить мерчантам универсальное решение для всех их платежных потребностей, абстрагируясь от сложности и упрощая прием платежей.
    • Примеры: Stripe, Adyen, PayPal, Mollie.
  4. Провайдеры Account-to-Account (A2A) / Открытого банкинга:

    • Описание: Это быстрорастущая категория платежных провайдеров, которые полностью обходят традиционные карточные сети. Платежи A2A переводят средства напрямую с банковского счета потребителя на банковский счет мерчанта. Это часто становится возможным благодаря регулированию «открытого банкинга» (например, PSD2 в Европе), которое обязывает банки предоставлять безопасный доступ через API к данным счетов клиентов и услугам по инициированию платежей для лицензированных сторонних провайдеров. Эти провайдеры создают удобные пользовательские интерфейсы поверх этих API, позволяя потребителям аутентифицироваться в своем банке и одобрять платеж в бесшовном процессе.
    • Цель: Предложить более дешевую и высокозащищенную альтернативу карточным платежам за счет устранения комиссий за эквайринг и снижения мошенничества благодаря аутентификации на уровне банка.
    • Примеры: Trustly, Plaid, Tink, GoCardless, Fintecture.

Эта консолидация ролей имеет глубокие последствия. Хотя академически они различны, на практике единой точкой контакта для мерчанта часто является PSP, который абстрагирует сложность взаимоотношений с базовым шлюзом, процессором и эквайером. Однако возможности этих PSP могут сильно различаться. PSP, который является просто реселлером услуг шлюза другой компании, имеет совершенно иные технические возможности и стратегические интересы, чем полнофункциональный PSP с собственной процессинговой инфраструктурой и лицензиями на эквайринг. Это различие важно при оценке возможностей интеграции для передовых методов аутентификации.

3.3 Роль доверяющей стороны (Relying Party, RP)#

Более того, глубокий анализ платежного потока выявляет фундаментальную концепцию, которая проясняет стратегические мотивы, стоящие за новыми технологиями аутентификации: роль доверяющей стороны (Relying Party, RP). В контексте аутентификации FIDO и Passkeys, доверяющая сторона — это организация, которая в конечном итоге несет ответственность за проверку личности пользователя. В стандартной платежной транзакции эмитент несет финансовый риск мошенничества и, следовательно, является доверяющей стороной по умолчанию; именно он принимает решение об одобрении или отклонении платежа.

Новые архитектурные модели для интеграции Passkeys лучше всего понимать как стратегические переговоры о том, кто выступает в роли доверяющей стороны. В модели Secure Payment Confirmation (SPC) эмитент остается RP, но позволяет мерчанту вызывать церемонию аутентификации. В модели делегированной аутентификации (DA) эмитент явно делегирует функцию RP мерчанту или его PSP. А в модели, ориентированной на сеть, Visa и Mastercard позиционируют себя как федеративную доверяющую сторону для гостевых транзакций. Таким образом, центральный вопрос для любого платежного провайдера, рассматривающего интеграцию Passkeys, становится следующим:

«Кто является или хочет стать доверяющей стороной в этом процессе?»

Ответ прямо указывает на возможность интеграции, ключевого принимающего решения и основную стратегическую цель.

Глубокое погружение: Для подробного введения в концепцию доверяющих сторон в контексте WebAuthn и Passkeys, прочтите наше полное руководство: WebAuthn Relying Party ID (rpID) и Passkeys: домены и нативные приложения.

3.4 Визуализация экосистемы: поток данных и ценности#

Для ясного визуального представления этих взаимоотношений необходима блок-схема, иллюстрирующая жизненный цикл платежа. Такая диаграмма изображала бы два различных, но взаимосвязанных пути:

  1. Поток данных (Авторизация): Этот путь отслеживает движение запроса на авторизацию. Он начинается с того, что клиент отправляет платежные данные на сайте мерчанта, проходит через платежный шлюз к процессору/эквайеру, затем через карточную сеть к эмитенту для принятия решения о риске, и, наконец, ответ об одобрении или отклонении возвращается обратно к мерчанту и клиенту. Весь этот процесс происходит за считанные секунды.

  2. Поток ценности (Расчет): Этот путь иллюстрирует движение денег, которое происходит после авторизации. Он показывает, как клирингуются пакеты транзакций, средства перетекают от эмитента через сеть к эквайеру (за вычетом комиссий за эквайринг) и, наконец, зачисляются на счет мерчанта. Этот процесс обычно занимает несколько рабочих дней. (Обработка платежей: как работает обработка платежей | Stripe)

Эта визуализация позволяет любому участнику экосистемы немедленно определить свое положение и понять свои прямые и косвенные отношения со всеми другими сторонами, создавая основу для детального анализа того, где могут происходить вмешательства в процесс аутентификации.

УчастникОсновная функцияКлючевые обязанностиТипичные примеры
Клиент / Держатель картыИнициирует оплату товаров или услуг.Предоставляет платежные данные; погашает расходы перед эмитентом.Человек, совершающий покупки онлайн.
МерчантПродает товары или услуги и принимает электронные платежи.Интегрирует технологию приема платежей; управляет процессом оплаты.Сайт электронной коммерции или розничный магазин.
Банк-эмитент (Эмитент)Выпускает платежные карты клиентам и несет риск.Авторизует или отклоняет транзакции; управляет счетами держателей карт; выставляет счета держателю карты.Bank of America, Chase, Barclays.
Банк-эквайер (Эквайер)Предоставляет мерчантам возможность принимать карточные платежи.Открывает и обслуживает счета мерчантов; перечисляет средства мерчанту.Wells Fargo Merchant Services, Worldpay (от FIS).
Карточные сети (Схемы):Управляют сетями, соединяющими все стороны.Устанавливают ставки и правила межбанковских комиссий; маршрутизируют сообщения об авторизации и расчетах.Visa, Mastercard, American Express.
Платежный шлюзБезопасно передает платежные данные от мерчанта к процессору.Шифрует конфиденциальные данные карты; действует как безопасная «входная дверь» для транзакции.Authorize.net (решение Visa), Stripe Payment Gateway.
Платежный процессорУправляет технической коммуникацией для транзакции.Обеспечивает обмен информацией между эквайером, эмитентом и карточной сетью.First Data (теперь Fiserv), TSYS.
Поставщик платежных услуг (PSP)Предлагает мерчантам комплексное решение «все в одном» для платежей.Объединяет услуги шлюза, процессинга и торгового счета; упрощает прием платежей.Stripe, Adyen, PayPal, Mollie.
Провайдеры Account-to-Account (A2A) / Открытого банкинга:Обходят традиционные карточные сети для перевода средств напрямую с банковского счета потребителя на счет мерчанта.Предоставляют безопасный доступ через API к данным счетов клиентов и услугам по инициированию платежей для лицензированных сторонних провайдеров.Trustly, Plaid, Tink, GoCardless, Fintecture.

3.5 Региональные лидеры рынка#

Хотя платежная экосистема включает игроков всех размеров, рынок процессинга и эквайринга сконцентрирован вокруг нескольких крупных игроков, которые различаются в зависимости от региона. Глобальные гиганты часто конкурируют с сильными национальными и региональными чемпионами. В следующей таблице представлен обзор ключевых игроков в разных географических регионах.

РегионОрганизацияТип
Северная АмерикаPayPal, Stripe, Block (Square), Adyen, Bill, Brex, Ria Money TransferPSP
Северная АмерикаFiserv (Clover), Global Payments, JPMorgan Chase Merchant ServicesЭквайер/Процессор
Северная АмерикаPlaidA2A/Открытый банкинг
ЕвропаAdyen, Stripe, PayPal, Checkout.com, Worldline, Nexi, Klarna, Mollie, WisePSP
ЕвропаWorldpay (от FIS), BarclaycardЭквайер/Процессор
ЕвропаTrustly, Brite Payments, Tink, GoCardless, Fintecture, IvyA2A/Открытый банкинг
ЕвропаiDEAL (Нидерланды), Bancontact (Бельгия), Swish (Швеция)Национальная схема
Азиатско-Тихоокеанский регионAlipay & WeChat Pay (Китай), PhonePe & Paytm (Индия), GrabPay & GoTo (ЮВА), Razorpay, PayU, AirwallexPSP
Азиатско-Тихоокеанский регионTyro PaymentsЭквайер/Процессор
Азиатско-Тихоокеанский регионUPI (Индия), Australian Payments Plus (AP+)Национальная схема
Латинская АмерикаMercado Pago, PagSeguro, StoneCo, EBANXPSP
Латинская АмерикаCielo, Rede, Getnet (Бразилия), Transbank (Чили), Prisma (Аргентина)Эквайер/Процессор
Латинская АмерикаPix (Бразилия)Национальная схема

4. Анатомия транзакции без предъявления карты (CNP) и протокол 3-D Secure#

Каждая онлайн-покупка запускает сложную, высокоскоростную последовательность событий, которую можно разбить на две основные фазы: авторизация и расчет. Поверх этого процесса наложен критически важный протокол безопасности, известный как 3-D Secure, который является центральным для понимания современных проблем аутентификации онлайн-платежей.

PaymentProvider Icon

Integrate passkeys as Payment Provider via 3rd party SDK.

Read article

4.1 Жизненный цикл транзакции: от «Оплатить» до «Оплачено»#

Жизненный цикл одной транзакции CNP включает в себя почти мгновенный обмен данными, за которым следует более медленный перевод средств.

4.1.1 Авторизация#

Авторизация — это процесс проверки того, что у держателя карты достаточно средств или кредита для совершения покупки и что транзакция является законной. Эта фаза происходит за секунды и следует точному, многоэтапному пути (Обработка платежей: как работает обработка платежей | Stripe):

  1. Инициация транзакции: Клиент выбирает товары, переходит к оплате и вводит данные своей платежной карты (номер карты, срок действия, CVV) в онлайн-форму оплаты мерчанта.

  2. Безопасная передача: Веб-сайт мерчанта безопасно передает эту информацию своему платежному шлюзу. Шлюз шифрует данные для их защиты во время передачи.

  3. Маршрутизация к процессору/эквайеру: Шлюз пересылает зашифрованные данные транзакции платежному процессору и/или банку-эквайеру мерчанта.

  4. Связь с сетью: Эквайер отправляет запрос на авторизацию в соответствующую карточную сеть (например, Visa, Mastercard).

  5. Проверка эмитентом: Карточная сеть направляет запрос в банк-эмитент держателя карты. Системы эмитента выполняют ряд проверок: проверяют действительность карты, доступный баланс или кредитный лимит и прогоняют транзакцию через свои системы обнаружения мошенничества.

  6. Ответ на авторизацию: На основе этих проверок эмитент одобряет или отклоняет транзакцию. Это решение в виде кода ответа отправляется обратно по тому же пути: от эмитента к карточной сети, к эквайеру, к процессору/шлюзу и, наконец, на веб-сайт мерчанта.

  7. Завершение: Если транзакция одобрена, мерчант завершает продажу и информирует клиента. Если отклонена, мерчант просит клиента использовать другой способ оплаты.

4.1.2 Расчет#

Расчет — это процесс фактического перемещения денег от эмитента к мерчанту. В отличие от авторизации, это не происходит мгновенно и обычно осуществляется пакетами. (Обработка платежей: как работает обработка платежей | Stripe)

  1. Пакетирование: В конце рабочего дня мерчант отправляет своему эквайеру пакетный файл со всеми одобренными авторизациями.
  2. Клиринг: Эквайер представляет пакет в карточную сеть для клиринга. Сеть сортирует транзакции и пересылает их соответствующим банкам-эмитентам.
  3. Перевод средств: Банки-эмитенты переводят средства за одобренные транзакции банку-эквайеру за вычетом межбанковских комиссий, которые эквайер платит эмитенту за каждую транзакцию.
  4. Зачисление мерчанту: Затем эквайер зачисляет средства на счет мерчанта за вычетом своих комиссий за обработку. Весь этот процесс расчета обычно занимает 1-3 рабочих дня.

4.2 Уровень безопасности: EMV 3-D Secure (3DS)#

Поверх каждой транзакции CNP наложен критически важный протокол безопасности, известный как 3-D Secure (3DS). Управляемый EMVCo, его цель — позволить эмитенту аутентифицировать держателя карты, снизить мошенничество и перенести ответственность за чарджбэки с мерчанта на эмитента.

Современный 3DS (также называемый 3DS2) работает путем обмена богатым набором данных между мерчантом и сервером контроля доступа (ACS) эмитента. Эти данные позволяют ACS провести оценку риска, что приводит к двум результатам:

  • Беспрепятственный поток (Frictionless Flow): Если транзакция считается низкорисковой, она одобряется незаметно в фоновом режиме без взаимодействия с пользователем. Это цель для большинства транзакций.
  • Поток с проверкой (Challenge Flow): Если транзакция является высокорисковой или требуется по нормативным актам, таким как PSD2, пользователю активно предлагается подтвердить свою личность, обычно с помощью одноразового пароля (OTP) или уведомления в банковском приложении.

Эта «проверка» является основной точкой трения и ключевым полем битвы за коэффициенты конверсии. Цель индустрии — максимизировать беспрепятственные потоки, делая проверки как можно более простыми. Именно эту проблему с высоким трением идеально решают Passkeys, превращая потенциальную точку сбоя в безопасный и бесшовный шаг.

Глубокое погружение: Для детального анализа протокола 3DS, роли ACS и того, как вендоры интегрируют данные FIDO, прочтите наше полное руководство: Сервер контроля доступа EMV 3DS: Passkeys, FIDO и SPC.

5. Революция Passkeys в платежах: основные архитектуры интеграции#

Появление Passkeys, основанных на устойчивом к фишингу стандарте WebAuthn от FIDO Alliance, катализирует фундаментальный пересмотр аутентификации платежей. Это происходит на фоне мощной отраслевой тенденции: мерчанты уже внедряют Passkeys для стандартной аутентификации пользователей (регистрация и вход) для борьбы с мошенничеством, связанным с захватом учетных записей, и улучшения пользовательского опыта. Эти существующие инвестиции создают естественную основу, на которой можно строить специфичные для платежей модели Passkeys.

5.1 Модель, ориентированная на эмитента#

В этой модели банк пользователя (эмитент) является конечной доверяющей стороной (RP) для аутентификации. Passkey привязан к домену банка (например, bank.com), и пользователь аутентифицируется непосредственно в своем банке для одобрения транзакции. Эта модель имеет два основных варианта, в зависимости от того, проходит ли платеж по карточным рельсам или через прямые переводы со счета на счет.

5.1.1 Подход на основе карт: Secure Payment Confirmation (SPC)#

В этой модели банк-эмитент сохраняет контроль над аутентификацией, а Passkey криптографически привязан к домену эмитента (например, bank.com). Хотя возможен простой редирект на сайт банка, это создает плохой пользовательский опыт.

Кто владеет Passkey? В модели, ориентированной на эмитента, эмитент является доверяющей стороной (RP).

Маховик внедрения и сетевые эффекты: Повторное использование Passkey эмитента создает мощный маховик. Как только пользователь создает Passkey для своего банка, этот единый Passkey можно использовать для бесшовного одобрения транзакций с проверкой у любого мерчанта, использующего протокол 3DS. Это повышает ценность карты эмитента как для потребителей (лучший UX), так и для мерчантов (более высокая конверсия).

Разработанное индустрией решение для этого — Secure Payment Confirmation (SPC), веб-стандарт, который позволяет мерчанту вызывать Passkey банка прямо на странице оплаты, избегая редиректа. Этот процесс также использует динамическую привязку для связи аутентификации с деталями транзакции, что крайне важно для SCA.

Стратегический недостаток: Несмотря на свою техническую элегантность, SPC сегодня не является жизнеспособной стратегией. Он требует поддержки браузеров, которой нет в Apple Safari. Без Safari SPC не может быть универсальным решением, что делает его непрактичным для любого крупномасштабного внедрения.

Глубокое погружение: Для полного технического разбора SPC, как он обеспечивает динамическую привязку и почему поддержка браузеров является критическим недостатком, прочтите наш подробный анализ: Динамическая привязка с Passkeys: Secure Payment Confirmation (SPC).

5.1.2 Подход A2A / Открытый банкинг#

В то время как предыдущие модели сосредоточены на экосистеме карт, платежи со счета на счет (A2A), усиленные открытым банкингом, представляют собой мощную и отличную парадигму. Эта модель полностью обходит карточные рельсы, и ее интеграция с Passkeys уникально проста и эффективна.

В этой модели пользователь аутентифицируется непосредственно в своем банке для одобрения платежа. Трение этого процесса — часто включающее неуклюжий редирект и вход с паролем — было основным препятствием для внедрения A2A. Passkeys решают эту основную проблему напрямую.

Кто владеет Passkey? Банк является доверяющей стороной (RP). Passkey — это тот, который пользователь уже создал для своего повседневного онлайн-банкинга с mybank.com.

Маховик внедрения и сетевые эффекты: Маховик огромен и приводится в движение самими банками. По мере того как банки поощряют своих пользователей переходить с паролей на Passkeys для входа в свое основное банковское приложение или на веб-сайт, эти Passkeys автоматически становятся готовыми к использованию для любого платежа через открытый банкинг. Пользователю не нужно делать ничего дополнительно. Это делает процесс оплаты A2A таким же простым, как биометрическое сканирование, что значительно повышает его привлекательность и конкурентоспособность по сравнению с картами.

Как это работает:

  1. При оплате пользователь выбирает провайдера A2A (например, Trustly, Plaid) или свой собственный банк.
  2. Пользователю предлагается авторизовать платеж в своем банке.
  3. Банк, как RP, запускает проверку аутентификации с помощью Passkey.
  4. Пользователь аутентифицируется с помощью Face ID, отпечатка пальца или PIN-кода.
  5. Банк безопасно подтверждает платеж, и средства переводятся напрямую на счет мерчанта.

Эта модель не вписывается в остальные четыре, потому что она не включает карточную сеть, 3DS, SPC или делегированную аутентификацию. Это ориентированный на банк процесс, где провайдер A2A выступает в качестве слоя оркестрации между мерчантом и собственной, теперь уже с поддержкой Passkeys, системой аутентификации банка.

5.2 Модель, ориентированная на мерчанта: Делегированная аутентификация (DA)#

Делегированная аутентификация представляет собой более радикальный отход от традиционной модели. DA, ставшая возможной благодаря версии 3DS 2.2 и поддерживаемая специальными программами карточных схем, представляет собой фреймворк, в котором эмитент может формально делегировать ответственность за выполнение SCA доверенной третьей стороне, чаще всего крупному мерчанту, PSP или провайдеру цифрового кошелька.

Для получения дополнительной информации о делегированной аутентификации и Passkeys, пожалуйста, прочтите наш пост в блоге: Делегированная аутентификация и Passkeys в рамках PSD3 / PSR - Corbado

Кто владеет Passkey? В этой модели мерчант или его PSP является доверяющей стороной (RP). Passkey создается для домена мерчанта (например, amazon.com) и используется для входа в учетную запись.

Чтобы соответствовать требованиям DA, первоначальная аутентификация, выполняемая мерчантом, должна полностью соответствовать требованиям SCA. Согласно руководящим принципам Европейского банковского управления по строгой аутентификации клиента, это не просто обычный вход; он должен иметь такую же надежность, как и аутентификация, которую выполнил бы сам эмитент. Passkeys, с их сильными криптографическими свойствами, являются идеальной технологией для соответствия этому высокому стандарту. Однако остается ключевой момент регуляторной неопределенности в отношении синхронизированных Passkeys. В то время как привязанные к устройству Passkeys явно соответствуют элементу «владения» SCA, регуляторы, такие как EBA, еще не вынесли окончательного решения о том, соответствуют ли синхронизированные Passkeys, которые переносимы через облачную учетную запись пользователя, строгому требованию быть уникально связанными с одним устройством. Это ключевое соображение для любой стратегии DA в Европе.

Substack Icon

Subscribe to our Passkeys Substack for the latest news.

Subscribe

В этой модели событие аутентификации перемещается вверх по пути клиента. Вместо того чтобы происходить в конце процесса оплаты в виде проверки 3DS, оно происходит в начале, когда клиент входит в свою учетную запись на веб-сайте или в приложении мерчанта. Если мерчант использует Passkey для входа, он может передать доказательство этой успешной, соответствующей SCA аутентификации эмитенту в рамках обмена данными 3DS. Эмитент, предварительно установив доверительные отношения с этим мерчантом, может затем использовать эту информацию для предоставления исключения и полного обхода своего собственного потока проверки. Это может привести к действительно бесшовной, биометрической оплате в один клик для вошедших в систему пользователей.

Маховик внедрения и сетевые эффекты: Маховик здесь приводится в движение прямыми отношениями мерчанта с клиентом. По мере того как мерчанты внедряют Passkeys для входа, чтобы уменьшить мошенничество с захватом учетных записей и улучшить UX, они создают базу пользователей с поддержкой Passkeys. Это создает естественный путь к использованию этих Passkeys для DA в платежах, открывая превосходный опыт оплаты. Сетевой эффект наиболее силен для PSP, которые могут выступать в роли RP для нескольких мерчантов, потенциально позволяя использовать один Passkey в сети магазинов, создавая мощный стимул для других мерчантов присоединиться к экосистеме этого PSP.

Карточные сети активно способствуют развитию этой модели через специальные программы. Фреймворк Visa Guide Authentication, например, предназначен для использования с DA, чтобы дать мерчантам возможность выполнять SCA от имени эмитента. Аналогично, программа Mastercard Identity Check Express позволяет мерчантам аутентифицировать потребителя в рамках собственного потока мерчанта. Эта модель отражает стратегическое видение крупных мерчантов и PSP:

«Мы владеем основными отношениями с клиентами и уже инвестировали в безопасный, низкофрикционный опыт входа. Позвольте нам заниматься аутентификацией, чтобы создать наилучший возможный путь пользователя».

Однако эта власть сопряжена с ответственностью. Согласно европейским нормам, DA рассматривается как «аутсорсинг», что означает, что мерчант или PSP берет на себя ответственность за мошеннические транзакции и должен соблюдать строгие требования к соответствию и управлению рисками.

5.3 Модель, ориентированная на сеть: Click to Pay и федеративные сервисы Passkey#

Эта модель является крупной стратегической инициативой, продвигаемой карточными сетями (Visa, Mastercard) с целью владения и стандартизации опыта гостевой оплаты. Они создали свои собственные сервисы Passkey на основе FIDO, такие как Visa Payment Passkey Service, поверх фреймворка Click to Pay.

Кто владеет Passkey? В модели, ориентированной на сеть, карточная сеть является доверяющей стороной. Passkey создается для домена сети (например, visa.com).

Маховик внедрения и сетевые эффекты: Эта модель обладает самым мощным сетевым эффектом. Один Passkey, созданный для карточной сети, мгновенно становится доступным для повторного использования у каждого мерчанта, поддерживающего Click to Pay, создавая огромную ценность для потребителя и запуская классический маховик двустороннего рынка.

Глубокое погружение: И Visa, и Mastercard агрессивно преследуют эту стратегию. Изучите особенности их реализаций в наших специальных статьях о Passkeys от Visa и Passkeys от Mastercard.

5.4 Модель, ориентированная на PSP: аутентификация на основе кошелька#

Эта модель сосредоточена вокруг крупных поставщиков платежных услуг (PSP), которые управляют своими собственными потребительскими кошельками, такими как PayPal или Stripe (с Link). В этом подходе PSP является доверяющей стороной, и они владеют всем процессом аутентификации и оплаты.

Кто владеет Passkey? В модели, ориентированной на PSP, PSP является доверяющей стороной (RP). Passkey создается для домена PSP (например, paypal.com) и защищает учетную запись пользователя в экосистеме этого PSP.

Маховик внедрения и сетевые эффекты: Эта модель также имеет чрезвычайно сильный сетевой эффект. Passkey, созданный для кошелька крупного PSP, можно повторно использовать у каждого мерчанта, который принимает этого PSP, создавая мощный стимул для пользователей и мерчантов присоединиться к экосистеме PSP.

Глубокое погружение: PayPal является пионером в этой области. Для подробного изучения их кейса о том, как они используют Passkeys для защиты своей экосистемы, прочтите наш анализ: Passkeys от PayPal: внедряйте Passkeys как PayPal.

6. Общие проблемы с Passkeys в платежах#

6.1 Понимание переносимости Passkey: роль доверяющей стороны#

Частый и критически важный вопрос заключается в том, можно ли повторно использовать Passkey, созданный для одной модели, в другой. Например, может ли Passkey, который пользователь создает для своего банка для использования с SPC, быть использован для входа на сайт мерчанта в потоке DA? Ответ — нет, и это подчеркивает центральную роль доверяющей стороны (RP).

Passkey — это, по сути, криптографическое удостоверение, связывающее пользователя с конкретной RP. Публичный ключ регистрируется на серверах RP, а приватный ключ остается на устройстве пользователя. Аутентификация — это акт доказательства владения этим приватным ключом именно этой RP.

  • В модели, ориентированной на эмитента (SPC), RP — это эмитент (например, chase.com). Passkey регистрируется в банке.
  • В модели, ориентированной на мерчанта (DA), RP — это мерчант или его PSP (например, amazon.com или stripe.com). Passkey регистрируется у мерчанта для входа.
  • В модели, ориентированной на сеть, RP — это карточная сеть (например, visa.com). Passkey регистрируется в сети для Click to Pay.
  • В модели, ориентированной на PSP, RP — это поставщик платежных услуг (например, paypal.com). Passkey регистрируется в кошельке или сервисе PSP.

Поскольку Passkey криптографически привязан к домену RP, Passkey, зарегистрированный на chase.com, не может быть проверен amazon.com. С технической точки зрения это разные цифровые личности. Пользователю потребуется создать отдельный Passkey для каждой доверяющей стороны, с которой он взаимодействует.

«Повторное использование» и «переносимость», которые делают Passkeys мощными, исходят из двух областей:

  1. Синхронизация Passkey: Сервисы, такие как iCloud Keychain и Google Password Manager, синхронизируют Passkeys между устройствами пользователя. Таким образом, Passkey, созданный для chase.com на телефоне, автоматически доступен на ноутбуке пользователя, но он все еще предназначен только для chase.com.
  2. Федерация: Это модель, используемая Click to Pay. Мерчант может доверять сети (например, Visa) аутентификацию пользователя. Пользователь аутентифицируется в Visa (RP), и Visa затем сигнализирует мерчанту, что пользователь легитимен. Это аналогично «Войти через Google», где веб-сайт доверяет Google обработку входа. Passkey не используется повторно мерчантом; используется событие аутентификации.

Таким образом, четыре модели — это не просто разные технические пути, а конкурирующие стратегии идентификации. Каждая из них предлагает разную сущность в качестве основной доверяющей стороны для аутентификации платежей, и пользователи, вероятно, в конечном итоге будут иметь Passkeys для своих эмитентов, любимых мерчантов, кошельков PSP и карточных сетей.

6.2 Операционные проблемы: проблема восстановления#

Хотя эти модели предлагают мощные новые способы аутентификации, они также создают критическую операционную проблему, которую часто упускают из виду: восстановление Passkey и восстановление учетной записи. Синхронизированные Passkeys, управляемые платформами, такими как iCloud Keychain и Google Password Manager, смягчают проблему потери одного устройства. Однако они не решают проблему потери пользователем всех своих устройств или перехода между экосистемами (например, с iOS на Android). В этих сценариях безопасный и удобный для пользователя процесс, позволяющий ему доказать свою личность другими способами и зарегистрировать Passkey на новом устройстве, является обязательным условием для любого крупномасштабного развертывания. Как отмечается в собственной документации Mastercard, пользователю, меняющему устройства, потребуется создать новый Passkey, процесс, который может потребовать подтверждения личности его банком. (Mastercard® payment passkeys – Frequently asked questions) Это подчеркивает, что полное решение Passkey должно охватывать не только саму церемонию аутентификации, но и весь жизненный цикл управления Passkey, включая надежные процессы восстановления.

7. Стратегические точки интеграции и сравнительный анализ#

Четыре архитектурные модели — ориентированная на эмитента (SPC), ориентированная на мерчанта (DA), ориентированная на сеть (Click to Pay) и ориентированная на PSP — превращаются в различные возможности интеграции для разных игроков в платежной экосистеме. Каждый подход представляет собой уникальный набор компромиссов между пользовательским опытом, сложностью реализации, ответственностью и контролем. В этом разделе представлен прагматичный анализ этих точек интеграции для руководства при принятии стратегических решений.

7.1 Интеграция на уровне эмитента / провайдера ACS#

  • Возможность: Основная возможность для эмитентов и провайдеров серверов контроля доступа (ACS), которые их обслуживают, заключается в улучшении «потока с проверкой» 3DS путем замены устаревших методов, таких как OTP и пароли, на Secure Payment Confirmation (SPC).
  • Целевая аудитория: Эта интеграция нацелена на провайдеров ACS (например, Netcetera, CA Technologies/Arcot), технологических вендоров, обслуживающих сектор эмитентов, и крупные банки-эмитенты, которые управляют собственными платформами ACS.
  • Роль провайдера: Провайдер Passkey-as-a-service, такой как Corbado, предложил бы встраиваемый FIDO-сервер или программный модуль, полностью совместимый со спецификацией SPC. Этот модуль был бы интегрирован в ядро платформы ACS, позволяя ACS запускать поток SPC, когда его система оценки рисков определяет необходимость проверки.
  • Плюсы:
    • Высокая безопасность и соответствие нормативным требованиям: Использование SPC криптографической динамической привязки обеспечивает надежное, проверяемое доказательство согласия пользователя на конкретные детали транзакции, напрямую отвечая ключевым требованиям регуляций, таких как PSD2 SCA.
    • Улучшенный пользовательский опыт по сравнению с OTP: Аутентификация с помощью быстрого биометрического сканирования значительно быстрее и менее подвержена ошибкам, чем ручной ввод кода, полученного по SMS, что может привести к заметному увеличению коэффициента конверсии при проверке.
    • Четкая модель ответственности: Эта модель легко вписывается в существующую структуру 3DS. Когда транзакция успешно аутентифицирована через SPC, ответственность за мошеннические чарджбэки переходит от мерчанта к эмитенту, точно так же, как и при других методах проверки 3DS.
  • Минусы:
    • Все еще «поток с проверкой»: Хотя SPC улучшает опыт проверки, он не устраняет ее. Пользователя все равно прерывают на этапе оплаты для аутентификации. Этот опыт, хоть и лучше, по своей сути более фрикционный, чем полностью пассивный «беспрепятственный» поток или успешный поток делегированной аутентификации.
    • Зависимость от логики рисков эмитента: Внедрение и частота использования SPC полностью зависят от ACS эмитента и его движка RBA. ACS по-прежнему решает, нужно ли и когда запускать проверку.
    • Отставание в готовности экосистемы: Широкое использование требует, чтобы экосистема приняла EMV 3DS версии 2.3 или выше, а браузеры пользователей поддерживали SPC Web API. Как уже обсуждалось, отсутствие универсальной поддержки, особенно на мобильных платформах, таких как iOS, является значительным препятствием.

7.2 Интеграция на уровне мерчанта / поставщика платежных услуг (PSP)#

  • Возможность: Внедрить делегированную аутентификацию (DA), позволяя мерчанту или его PSP выполнять SCA в момент входа клиента в систему, тем самым создавая полностью бесшовный опыт оплаты для вернувшихся, аутентифицированных пользователей.
  • Целевая аудитория: Это наиболее актуально для крупных e-commerce мерчантов, полнофункциональных PSP (таких как Stripe или Adyen) и провайдеров цифровых кошельков, которые имеют прямые отношения с потребителем и уже инвестировали в безопасную систему учетных записей и входа.
  • Роль провайдера: Провайдер Passkey предоставил бы основное решение для аутентификации с помощью Passkey для потока входа мерчанта. Критически важно, чтобы решение также предоставляло необходимые выходные данные и криптографические доказательства, которые можно было бы упаковать в запрос на аутентификацию 3DS, чтобы сигнализировать эмитенту о том, что соответствующая SCA уже произошла.
  • Плюсы:
    • Оптимальный пользовательский опыт: Эта модель предлагает самый беспрепятственный платежный поток для аутентифицированных пользователей. Она переносит шаг аутентификации в естественную и знакомую часть пути пользователя (вход в учетную запись) и может полностью устранить проверку 3DS, обеспечивая настоящую оплату в один клик.
    • Наивысший потенциал конверсии: Устраняя последнюю точку трения при оплате, DA имеет потенциал для наиболее значительного увеличения коэффициента конверсии платежей. Пилотный проект Stripe с держателями карт Wise показал увеличение конверсии на 7% для транзакций с использованием их решения DA.
    • Укрепление отношений между мерчантом и клиентом: Весь процесс аутентификации и оплаты остается в брендированной среде мерчанта, укрепляя его прямые отношения с клиентом.
  • Минусы:
    • Сложные коммерческие условия и ответственность: DA — это не просто техническое переключение. Оно требует явных, часто двусторонних, соглашений между эмитентами и мерчантами/PSP, которым они доверяют. Кроме того, сторона, выполняющая делегированную аутентификацию, берет на себя ответственность за мошенничество, и это соглашение подлежит строгому регуляторному надзору как форма «аутсорсинга», что несет значительную нагрузку по соблюдению требований.
    • Зависимость от доверия эмитента: Вся модель зависит от готовности эмитента доверять процессу аутентификации мерчанта. Это доверие, вероятно, будет предоставлено только самым крупным, безопасным и стратегическим партнерам на начальном этапе.
    • Фрагментированное внедрение: В отличие от универсального стандарта, DA будет внедряться на основе каждого эмитента и каждого мерчанта, что приведет к фрагментированному ландшафту, где опыт не будет одинаковым для всех держателей карт у всех мерчантов.

7.3 Интеграция на уровне карточной сети (через Click to Pay)#

  • Возможность: Обеспечить брендированный опыт Passkey от сети для огромного объема гостевых транзакций.
  • Целевая аудитория: Платежные шлюзы и PSP, которые хотят предложить современное, стандартизированное решение для гостевой оплаты своей базе клиентов-мерчантов.
  • Роль провайдера: Провайдер может выступать в качестве ключевого партнера по интеграции. Учитывая, что Visa и Mastercard разработали отдельные, проприетарные сервисы Passkey, провайдер Passkey может предложить унифицированный SDK или «слой оркестрации», который абстрагирует сложности интеграции с различными API каждой сети, предоставляя единую, упрощенную точку интеграции для PSP.
  • Плюсы:
    • Стандартизированное решение для гостевой оплаты: Click to Pay с Passkeys решает основную проблему отрасли: высокофрикционную гостевую оплату с высоким уровнем отказов. Он предлагает последовательный, узнаваемый и надежный опыт.
  • Внедрение, управляемое сетью: Visa и Mastercard вкладывают все свои силы в эту инициативу, что будет способствовать быстрому внедрению со стороны эмитентов, мерчантов и потребителей. PSP столкнутся с конкурентным давлением, чтобы поддерживать его.
  • Упрощенная ответственность и нагрузка на безопасность: Карточная сеть, выступая в роли федеративной доверяющей стороны, берет на себя основную нагрузку по созданию и защите инфраструктуры аутентификации FIDO, упрощая положение с безопасностью и ответственностью для мерчанта.
  • Минусы:
    • Потеря контроля и брендинга: Основным недостатком является то, что мерчант и его PSP уступают контроль над пользовательским опытом оплаты карточной сети. Оплата становится «оплатой Visa» или «оплатой Mastercard», с их брендингом и пользовательским интерфейсом.
    • Потенциал для дезинтермедиации: Став центральным поставщиком идентификации для электронной коммерции, сети со временем могут ослабить прямые отношения по данным и брендингу между мерчантом и клиентом.
    • Реализация «черного ящика»: Внутреннее устройство FIDO-сервера сети, систем оценки рисков и логики аутентификации непрозрачны для мерчанта и PSP. Они интегрируются с сервисом, правилами и пользовательским опытом которого они не управляют.
КатегорияЭмитент / ACSМерчант / PSP (DA)Сеть / Click to PayPSP / Кошелек
Ключевая технологияSecure Payment Confirmation (SPC)Делегированная аутентификация (DA)Федеративные сервисы PasskeyАутентификация на основе кошелька
Целевой игрокПровайдеры ACS, Банки-эмитентыКрупные мерчанты, PSP, КошелькиPSP, Платежные шлюзыPayPal, Stripe Link и т.д.
Пользовательский опыт (Трение)Низкое (Улучшает проверку, но это все еще проверка)Очень низкое (Устраняет проверку для вошедших пользователей)Низкое (Стандартизированная гостевая оплата с низким трением)Очень низкое (Бесшовный поток в экосистеме PSP)
Сложность реализацииСредняя (Требует интеграции с ACS, 3DS 2.3+)Высокая (Требует двусторонних соглашений, предполагает ответственность)Средняя (Требует интеграции с API сети)Средняя (Требует инфраструктуры кошелька и Passkey)
Перенос ответственностиДа (Стандартный перенос ответственности 3DS)Да (Ответственность переходит на делегирующую сторону)Да (Сеть/Эмитент берет на себя ответственность)Да (PSP берет на себя ответственность)
Готовность экосистемыОчень низкая (Блокируется отсутствием поддержки Apple)Ограниченная (Требует доверия между эмитентом и мерчантом)Высокая (Сильное продвижение со стороны сетей)Высокая (Зрелая для устоявшихся провайдеров кошельков)

8. Конкурентный ландшафт и перспективы на будущее#

Переход к аутентификации платежей на основе Passkeys — это не теоретическое упражнение; он активно продвигается крупнейшими игроками отрасли. Их стратегии, пилотные программы и публичные заявления дают ясное представление о конкурентной динамике и вероятной траектории внедрения.

Slack Icon

Become part of our Passkeys Community for updates & support.

Join

8.1 Кейсы: пионеры платежных Passkeys#

  • PayPal: Как один из основателей FIDO Alliance и цифровой платежный провайдер, PayPal был одним из самых агрессивных ранних адептов Passkeys. Они начали поэтапное глобальное развертывание в конце 2022 года, начиная с США и расширяясь на Европу и другие регионы. Их реализация является примером лучших практик, использующих такие функции, как Conditional UI, для создания входа в одно касание, который автоматически запрашивает Passkey, когда пользователь взаимодействует с полем входа. PayPal сообщил о значительном раннем успехе, включая увеличение успешных входов и существенное сокращение мошенничества с захватом учетных записей (ATO). Их стратегия также включает активное лоббирование регуляторных изменений в Европе, настаивая на подходе к SCA, основанном на результатах, который признает внутреннюю безопасность синхронизированных Passkeys.

  • Visa: Стратегия Visa сосредоточена на ее Visa Payment Passkey Service, комплексной платформе, построенной на собственной инфраструктуре FIDO-серверов. Этот сервис разработан как федеративная модель, где Visa берет на себя сложность аутентификации от имени своих партнеров-эмитентов. Основным инструментом для этого сервиса является Click to Pay, что позиционирует Visa как владельца опыта гостевой оплаты. Позиционирование Visa выходит за рамки простых платежей, представляя их сервис Passkey как фундаментальный элемент более широкого решения для цифровой идентификации, которое можно использовать во всей коммерческой экосистеме. Они активно пилотируют технологию, включая SPC, и сообщают, что биометрическая аутентификация может сократить уровень мошенничества на 50% по сравнению с SMS OTP.

  • Mastercard: Mastercard отразила стратегический фокус Visa на сервисе сетевого уровня, запустив свой собственный Payment Passkey Service, построенный на существующем Token Authentication Service (TAS). Их стратегия выхода на рынок характеризовалась серией громких глобальных пилотных проектов. В августе 2024 года они объявили о крупном пилотном проекте в Индии, сотрудничая с крупнейшими платежными агрегаторами страны (Juspay, Razorpay, PayU), крупным онлайн-мерчантом (bigbasket) и ведущим банком (Axis Bank). За этим последовали запуски на других ключевых рынках, включая Латинскую Америку с партнерами Sympla и Yuno и ОАЭ с Tap Payments. Этот подход раскрывает четкую стратегию: сотрудничать с агрегаторами экосистемы (PSP, шлюзы) для быстрого достижения масштаба. Mastercard взяла на себя смелое публичное обязательство отказаться от ручного ввода данных карт в Европе к 2030 году, полностью перейдя на токенизированные, аутентифицированные с помощью Passkeys транзакции.

Стратегии этих пионеров раскрывают критическую динамику. Опыт гостевой оплаты, исторически фрагментированный и высокофрикционный, стал стратегическим плацдармом для карточных сетей. Создавая превосходное, основанное на Passkeys решение для гостевых пользователей через Click to Pay, сети могут установить прямые отношения идентификации с потребителями. Как только потребитель создает Passkey на уровне сети во время одной гостевой оплаты, эта личность становится переносимой к каждому другому мерчанту, поддерживающему Click to Pay. Это позволяет сетям эффективно «приобретать» личности пользователей и предлагать бесшовный опыт по всему вебу, что является мощным шагом для захвата центральной роли поставщика идентификации для цифровой коммерции.

8.2 Будущая траектория и более широкие последствия#

Согласованные усилия этих крупных игроков в сочетании с более широкими технологическими и регуляторными тенденциями указывают на ускоренный и неизбежный сдвиг в аутентификации платежей.

  • Неизбежный закат OTP: Общеотраслевое продвижение Passkeys сигнализирует о начале конца для одноразовых паролей на основе SMS как основного метода аутентификации. OTP все чаще рассматриваются как уязвимость из-за их высокофрикционного пользовательского опыта и растущей уязвимости к атакам, таким как SIM-свопинг и изощренные фишинговые кампании. По мере того как Passkeys станут более распространенными, зависимость от OTP будет сведена к роли резервного или восстановительного механизма, а не основного метода проверки.

  • Регуляторные попутные ветры: Хотя текущие регуляции, такие как PSD2, создали первоначальный мандат на SCA, их жесткие, основанные на категориях определения создали некоторую неопределенность в отношении новых технологий, таких как синхронизированные Passkeys. Ожидается, что предстоящие обновления регуляций, такие как PSD3 в Европе, примут более технологически нейтральный, ориентированный на результат подход. Это, вероятно, будет способствовать методам аутентификации, которые доказуемо устойчивы к фишингу, обеспечивая более четкий регуляторный путь для широкого внедрения Passkeys как соответствующего метода SCA.

  • Рост федеративной платежной идентификации: Стратегические шаги Visa и Mastercard — это нечто большее, чем просто обеспечение безопасности платежей; они направлены на создание новой парадигмы цифровой идентификации. Создавая федеративные сервисы Passkey, они позиционируют себя как центральных, доверенных поставщиков идентификации для всей экосистемы цифровой коммерции. Это можно рассматривать как прямой стратегический ответ на мощные платформы идентификации, контролируемые Big Tech (например, Apple ID, Google Account). Будущее онлайн-платежей неразрывно связано с этой более крупной битвой за то, кто будет владеть и управлять личностью потребителя в вебе.

8.3 Новые применения для Passkeys#

Хотя основная платежная транзакция является главным фокусом, технология Passkey готова устранить трение и повысить безопасность в широком спектре смежных финансовых услуг. Многие процессы, которые все еще полагаются на пароли или неуклюжие OTP, являются идеальными кандидатами на обновление до Passkey.

8.3.1 За пределами оплаты: новые горизонты для Passkeys#

  • Подключение цифровых кошельков: Процесс добавления кредитной или дебетовой карты в цифровой кошелек, такой как Apple Pay или Google Pay, часто требует шага верификации, например, SMS OTP, отправленного эмитентом. Это точка трения, которую можно заменить потоком Passkey.
  • Открытый банкинг и привязка счетов: Основа открытого банкинга — это предоставление сторонним приложениям (таким как приложения для бюджетирования или другие финтех-сервисы) доступа к данным банковского счета пользователя. Это требует от пользователя аутентификации в своем банке, процесс, который часто бывает громоздким. Passkeys предлагают гораздо более плавный и безопасный способ предоставления этого согласия, заменяя неудобные редиректы и ручной ввод пароля простой биометрической аутентификацией.
  • Защита токенов Card-on-File (CoF): Помимо просто защиты входа в учетную запись с сохраненной картой, Passkeys можно использовать для защиты самого акта сохранения карты. Проверка в момент, когда пользователь добавляет свою карту, предоставляет веское доказательство того, что присутствует законный держатель карты, снижая мошенничество с использованием украденных номеров кредитных карт для создания профилей CoF для последующего злоупотребления.
  • BNPL и мгновенное кредитование: Сервисы «Купи сейчас, плати потом» и другие формы мгновенного кредитования включают как первоначальную регистрацию, так и оценку рисков по каждой транзакции. Passkeys уже используются пионерами, такими как Klarna, для замены паролей при входе. Их также можно использовать как метод повышенной аутентификации для дорогостоящих покупок или когда пользователь подает заявку на новую кредитную линию, предоставляя более сильный и менее фрикционный сигнал о намерениях пользователя, чем традиционные методы.

8.3.2 Революция в крипто: Passkeys для кошельков со стейблкоинами#

Рост стейблкоинов (таких как USDC или EURC) представляет собой новый, основанный на блокчейне платежный рельс. Однако основным препятствием для массового внедрения был плохой пользовательский опыт и безопасность криптокошельков. Традиционно эти кошельки защищены «сид-фразой» (списком из 12-24 слов), которую пользователь должен записать и защитить. Это невероятно неудобно для пользователя и делает восстановление учетной записи кошмаром.

Passkeys готовы полностью изменить этот опыт. Индустрия движется к модели, где приватный ключ, контролирующий активы в блокчейне, защищен Passkey устройства.

  • Устранение сид-фраз: Вместо того чтобы записывать сид-фразу, кошелек пользователя создается и защищается встроенной безопасностью его устройства. Для авторизации транзакции, такой как отправка стейблкоинов мерчанту, пользователь просто аутентифицируется с помощью Face ID или сканирования отпечатка пальца. Это делает криптоплатеж таким же бесшовным и безопасным, как использование Apple Pay.
  • Обеспечение восстановления учетной записи: Используя архитектуры кошельков, такие как «умные аккаунты» (или «абстракция аккаунта»), можно встроить механизмы восстановления. Пользователь может назначить доверенных друзей, семью или учреждения в качестве «хранителей», которые могут помочь ему восстановить свой аккаунт, если он потеряет все свои устройства, что является огромным улучшением по сравнению с принципом «все или ничего» сид-фраз.

Эта эволюция может значительно снизить трение и риск, связанные с использованием стейблкоинов для платежей, потенциально делая их более жизнеспособной и массовой альтернативой традиционным платежным рельсам.

9. Как Corbado может помочь#

Анализ платежного ландшафта и появляющихся моделей интеграции Passkeys выявляет несколько четких и действенных возможностей. Для компании, специализирующейся на аутентификации с помощью Passkeys, такой как Corbado, цель состоит в том, чтобы дать возможность каждому игроку в экосистеме достичь своих стратегических целей, предоставляя фундаментальную технологию, необходимую для навигации в этом переходе.

9.1 Расширение возможностей экосистемы эмитентов (провайдеры ACS и банки)#

  • Цель: Модернизировать поток проверки 3DS, заменив высокофрикционные OTP для увеличения конверсии, повышения безопасности и соответствия требованиям PSD2/PSD3.
  • Как Corbado помогает: Мы предоставляем встраиваемый модуль аутентификации Passkey, разработанный для простой интеграции в существующие платформы серверов контроля доступа (ACS). Мы помогаем поставщикам ACS предлагать лучший в своем классе, низкофрикционный опыт проверки, который приносит пользу всей их сети банков и мерчантов.

9.2 Расширение возможностей мерчантов и PSP для идеальной оплаты#

  • Цель: Владеть всем путем клиента от начала до конца и предоставлять идеальный опыт оплаты через делегированную аутентификацию (DA), устраняя проверку 3DS для вошедших в систему пользователей.
  • Как Corbado помогает: Corbado предоставляет комплексное решение для включения DA. Это включает не только лучшую в своем классе систему входа с помощью Passkey, но и инструменты и API для генерации криптографических доказательств, требуемых эмитентами для предоставления исключений DA. Мы выступаем в качестве технологического партнера, позволяя мерчантам и PSP максимизировать конверсию и укрепить свой бренд.

9.3 Расширение возможностей экосистемы интеграции с сетями#

  • Цель: Легко предлагать последние обязательные функции сетей, такие как Click to Pay, и поддерживать конкурентоспособность платформ без дорогостоящих, дублирующих усилий по разработке.
  • Как Corbado помогает: Corbado предлагает слой «оркестрации Passkey». Мы помогаем с интеграцией сервисов как Visa, так и Mastercard, а также предоставляем способы, как мерчанты могут одновременно предлагать свое собственное решение Passkey для современной гостевой оплаты.

9.4 Расширение возможностей модели кошелька, ориентированной на PSP#

  • Цель: Защитить всю экосистему кошелька, создавая бесшовный и безопасный опыт входа и оплаты, который переносим по всей сети мерчантов PSP.
  • Как Corbado помогает: Мы предоставляем основную инфраструктуру Passkey, которая позволяет крупным PSP и провайдерам кошельков стать центральной доверяющей стороной для своих пользователей. Интегрируя наше решение, они могут заменить пароли для входа в свои кошельки (например, для PayPal, Stripe Link или Klarna). Это не только защищает учетную запись от захвата, но и упрощает авторизацию платежа до одного биометрического шага, создавая мощный, брендированный опыт аутентификации, который удерживает пользователей и привлекает мерчантов.

10. Основные кандидаты на внедрение решения для принятия Passkeys#

Этот анализ подчеркивает критический фактор успеха для любой стратегии на основе Passkeys: принятие пользователями. Решение, которое может наглядно увеличить создание и использование Passkeys с базового уровня ~10% до более 50%, решает основную проблему, стоящую перед развертыванием этих новых моделей аутентификации. Основываясь на экосистеме и стратегических целях ее игроков, следующие организации и сектора являются основными кандидатами на такое решение.

10.1 Банки-эмитенты и провайдеры ACS (для улучшения SPC)#

  • Основная проблема: Высокое трение в потоке проверки 3DS приводит к брошенным корзинам и потере доходов для мерчантов, делая карту эмитента менее конкурентоспособной.
  • Как помогает принятие: Более высокое принятие Passkeys напрямую приводит к более успешным, низкофрикционным проверкам. Это улучшает коэффициенты конверсии, повышает безопасность и делает платежные данные эмитента более ценными как для мерчантов, так и для потребителей.
  • Основные кандидаты: Крупные банки-эмитенты (Bank of America, Chase, Barclays) и провайдеры ACS, которые поставляют им технологию 3DS (Netcetera, CA Technologies).

10.2 Крупные мерчанты и PSP (для делегированной аутентификации)#

  • Основная проблема: Желание владеть путем клиента и устранить трение при оплате часто блокируется необходимостью проверки 3DS.
  • Как помогает принятие: Вся модель делегированной аутентификации (DA) основывается на способности мерчанта надежно аутентифицировать пользователя при входе. Высокое принятие Passkeys — это не просто улучшение, а необходимое условие для успешной стратегии DA. Включение DA для большинства пользователей является мощным конкурентным преимуществом.
  • Основные кандидаты: Глобальные лидеры электронной коммерции (Amazon, Walmart), сервисы цифровых подписок (Netflix, Spotify) и полнофункциональные PSP, которые их обслуживают (Stripe, Adyen, Checkout.com).

10.3 Карточные сети (Visa, Mastercard, American Express)#

  • Основная проблема: Успех стратегических, сетевых сервисов идентификации, таких как Click to Pay, напрямую зависит от широкой регистрации потребителей.
  • Как помогает принятие: Легкий и привлекательный опыт создания Passkey необходим для роста этих федеративных сетей идентификации. Сети могли бы встроить решение, ориентированное на принятие, в SDK, которые они предоставляют мерчантам и PSP, ускоряя развертывание и внедрение своих проприетарных сервисов Passkey.
  • Основные кандидаты: Visa (для ее Visa Payment Passkey Service) и Mastercard (для ее Token Authentication Service).
  • Основная проблема: Ценность кошелька (например, PayPal, Stripe Link, Klarna) напрямую связана с количеством активных, вовлеченных пользователей. Трение при входе или оплате ослабляет экосистему.
  • Как помогает принятие: Продвижение массового принятия Passkeys для собственного домена кошелька (paypal.com и т.д.) является основной стратегической целью. Это снижает мошенничество, улучшает пользовательский опыт и усиливает сетевой эффект, делая кошелек более привлекательным как для потребителей, так и для мерчантов.
  • Основные кандидаты: Глобальные PSP с предложениями кошельков (PayPal, Stripe Link, Klarna) и крупные региональные игроки (Mercado Pago, Block).

10.5 Национальные платежные и идентификационные сети#

  • Основная проблема: Национальные платежные схемы сталкиваются с давлением по модернизации своей инфраструктуры и предоставлению решений для цифровой идентификации, чтобы оставаться конкурентоспособными по сравнению с глобальными технологическими компаниями.
  • Как помогает принятие: Эти сети должны обеспечить широкое использование своих новых цифровых платежных и идентификационных сервисов. Для такого игрока, как Australian Payments Plus (AP+), продвижение таких сервисов, как PayTo (для платежей в реальном времени) и ConnectID (для цифровой идентификации), является основной стратегической задачей. Решение, которое увеличивает регистрацию Passkeys, является прямым стимулом для этой стратегии.
  • Основные кандидаты: Australian Payments Plus (AP+) и другие национальные органы платежной инфраструктуры.

11. Роль кошельков Big Tech (Apple, Google, Amazon, Meta)#

Крупные технологические компании управляют сложными цифровыми кошельками, которые играют уникальную и мощную роль в платежной экосистеме. Они находятся на пересечении устройства пользователя, его платформенной идентичности и традиционных платежных рельсов, что дает им особое положение и стратегию в отношении принятия Passkeys.

11.1 Apple Pay и Google Pay: слой платформенной аутентификации#

Apple Pay и Google Pay лучше всего понимать как технологический и аутентификационный слой, который находится поверх существующей инфраструктуры платежных карт. Они не выпускают карты и не обрабатывают транзакции сами, а вместо этого безопасно хранят и передают токенизированные версии существующих платежных карт пользователя.

  • Положение в экосистеме: Они действуют как безопасный «контейнер» для карт пользователя. Когда пользователь платит онлайн, вместо ввода данных своей карты он выбирает Apple Pay или Google Pay. Затем кошелек передает безопасный, одноразовый токен платежному шлюзу мерчанта. Транзакция все равно проходит через эквайера, сеть и эмитента как обычно.
  • Как они используют Passkeys: Они аутентифицируют пользователя с помощью сканирования лица или отпечатка пальца в кошельке, разрешая ему выпустить платежный токен. Это мощное, низкофрикционное событие аутентификации, но оно отличается от аутентификации 3DS/SCA, за которую отвечает эмитент карты. Эмитент все еще может технически запустить проверку 3DS для транзакции, инициированной через Apple Pay, хотя сильная аутентификация на уровне устройства делает это менее вероятным.
  • Возможности и как они выигрывают от принятия:
    • Упрощение подключения кошельков: Процесс добавления карты в кошелек часто требует OTP от эмитента. Это ключевая точка трения. Apple и Google могли бы работать с эмитентами, чтобы заменить это на поток Passkey в приложении, используя Passkey для мгновенной верификации пользователя. Решение для принятия для их партнеров-эмитентов сделало бы их кошельки проще для пополнения и использования.
    • Стать делегированным органом: Их конечная стратегическая цель — использовать свою мощную платформенную аутентификацию, чтобы стать окончательным, доверенным аутентификатором для платежей. Если эмитенты формально признают аутентификацию Apple Pay или Google Pay соответствующей требованиям SCA, они могут стать делегированными органами, полностью устранив проверку 3DS. Высокое принятие их собственных платформенных Passkeys имеет решающее значение для того, чтобы сделать это предложение убедительным для эмитентов.

11.2 Amazon Pay и Meta Pay: модель кошелька Card-on-File#

Amazon Pay и Meta Pay работают скорее как традиционный мерчант с очень большим кошельком Card-on-File (CoF), который можно использовать на сторонних сайтах и в их собственных экосистемах (например, для социальной коммерции в Instagram).

  • Положение в экосистеме: Они являются классическим примером модели, ориентированной на мерчанта. Пользователи хранят свои платежные карты напрямую в своей учетной записи Amazon или Meta. Когда они используют Amazon Pay или Meta Pay для оплаты, они аутентифицируются в своей основной учетной записи, и эта платформа обрабатывает платеж от их имени.
  • Как они используют Passkeys: Их основное использование Passkeys — это защита входа в основную учетную запись пользователя (например, Passkey для Amazon.com). Переводя свои огромные базы пользователей с паролей на Passkeys для входа в учетную запись, они значительно снижают риск мошенничества с захватом учетных записей и защищают ценные сохраненные платежные данные.
  • Возможности и как они выигрывают от принятия: Их выгода прямая и немедленная. Решение, которое способствует принятию Passkeys для их основных учетных записей пользователей:
    1. Снижает мошенничество: Массово уменьшает поверхность атаки для захвата учетных записей, основного источника финансовых потерь и недовольства клиентов.
    2. Снижает трение: Создает бесшовный и безопасный опыт входа и оплаты, что, доказано, увеличивает коэффициенты конверсии. Для этих игроков решение, которое увеличивает принятие Passkeys, является прямой инвестицией в безопасность и производительность их основного коммерческого бизнеса. Поэтому они являются основными кандидатами на такое решение.

12. Заключение#

Платежная индустрия стоит на пороге новой эры аутентификации. Давний компромисс между безопасностью и удобством наконец-то разрешается благодаря созреванию и внедрению технологии Passkey. Анализ, представленный в этом отчете, показывает, что это не монолитный сдвиг, а сложный переход с несколькими конкурирующими видениями будущего. Эмитенты стремятся улучшить существующую структуру 3DS с помощью SPC; крупные мерчанты и PSP стремятся захватить контроль над опытом через делегированную аутентификацию или создавая свои собственные экосистемы кошельков; а карточные сети создают новый, федеративный слой идентификации с помощью Click to Pay. Каждая модель борется за то, чтобы стать новым стандартом доверия пользователей и удобства.

Schedule a call to get your free enterprise passkey assessment.

Talk to a Passkey Expert

Share this article


LinkedInTwitterFacebook

Enjoyed this read?

🤝 Join our Passkeys Community

Share passkeys implementation tips and get support to free the world from passwords.

🚀 Subscribe to Substack

Get the latest news, strategies, and insights about passkeys sent straight to your inbox.

Related Articles

Table of Contents