Рассмотрим 4 основные модели для платежных Passkeys. Сравним архитектуры, ориентированные на эмитента, мерчанта, сеть и PSP, чтобы найти лучшую стратегию интеграции.
Vincent
Created: July 15, 2025
Updated: July 16, 2025
See the original blog version in English here.
60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle
Мировой ландшафт платежей находится в критической точке перелома. На протяжении десятилетий индустрия боролась с противоречием между безопасностью и удобством для пользователя. Эта проблема наиболее остро ощущается в цифровой среде, где карта не предъявляется физически (Card-Not-Present, CNP). Рост изощренного мошенничества потребовал более надежных мер аутентификации, в то время как ожидания потребителей требуют все более простого процесса оплаты. В этом отчете мы представляем всесторонний анализ этой развивающейся экосистемы с особым акцентом на определение стратегических точек интеграции технологии Passkeys. Он призван служить исчерпывающим руководством для поставщиков технологий, провайдеров платежных услуг, финансовых учреждений и мерчантов, стремящихся перейти в будущее без паролей.
Ландшафт платежей претерпевает фундаментальные изменения, обусловленные необходимостью в более надежной безопасности, такой как строгая аутентификация клиента (Strong Customer Authentication, SCA), и коммерческим спросом на беспрепятственный пользовательский опыт. Устойчивые к фишингу Passkeys стали ключевой технологией для решения этой проблемы. Наш анализ показывает, что индустрия сходится вокруг четырех различных архитектурных моделей для интеграции Passkeys, каждая из которых представляет конкурирующее видение будущего аутентификации платежей:
Каждая модель предлагает свой ответ на ключевой стратегический вопрос: «Кто станет основной доверяющей стороной (Relying Party) для платежей?». В этом отчете мы разбираем эти конкурирующие архитектуры, сопоставляя их с участниками экосистемы, чтобы предоставить четкую дорожную карту для навигации в будущем аутентификации платежей.
Recent Articles
♟️
Mastercard Identity Check: все, что нужно знать эмитентам и мерчантам
♟️
Ключи доступа для платежных провайдеров: как создать сторонний SDK
♟️
Сервер контроля доступа EMV 3DS: Passkeys, FIDO и SPC
♟️
Динамическое связывание с Passkeys: Secure Payment Confirmation (SPC)
♟️
Ландшафт платежных Passkeys: 4 основные модели интеграции
Чтобы понять, где и как можно интегрировать Passkeys, сначала необходимо составить четкую и подробную карту участников платежной экосистемы и их ролей. Проведение одной онлайн-транзакции включает в себя сложное взаимодействие между несколькими сторонами, каждая из которых выполняет определенную функцию в перемещении данных и средств.
В основе каждой транзакции лежат пять основных участников, которые формируют фундамент платежной цепочки создания ценности.
Клиент / Держатель карты:
Мерчант:
Банк-эмитент (Эмитент):
Банк-эквайер (Эквайер):
Карточные сети (Схемы):
Между основными участниками существует сложная и часто пересекающаяся экосистема технологических и сервисных провайдеров. Понимание различий между этими посредниками имеет решающее значение, поскольку они часто являются основными точками интеграции для новых технологий, таких как Passkeys. В последние годы границы между этими ролями значительно размылись, поскольку современные провайдеры стремятся предлагать более комплексные решения «все в одном».
Платежный шлюз:
Платежный процессор:
Поставщик платежных услуг (PSP):
Провайдеры Account-to-Account (A2A) / Открытого банкинга:
Эта консолидация ролей имеет глубокие последствия. Хотя академически они различны, на практике единой точкой контакта для мерчанта часто является PSP, который абстрагирует сложность взаимоотношений с базовым шлюзом, процессором и эквайером. Однако возможности этих PSP могут сильно различаться. PSP, который является просто реселлером услуг шлюза другой компании, имеет совершенно иные технические возможности и стратегические интересы, чем полнофункциональный PSP с собственной процессинговой инфраструктурой и лицензиями на эквайринг. Это различие важно при оценке возможностей интеграции для передовых методов аутентификации.
Более того, глубокий анализ платежного потока выявляет фундаментальную концепцию, которая проясняет стратегические мотивы, стоящие за новыми технологиями аутентификации: роль доверяющей стороны (Relying Party, RP). В контексте аутентификации FIDO и Passkeys, доверяющая сторона — это организация, которая в конечном итоге несет ответственность за проверку личности пользователя. В стандартной платежной транзакции эмитент несет финансовый риск мошенничества и, следовательно, является доверяющей стороной по умолчанию; именно он принимает решение об одобрении или отклонении платежа.
Новые архитектурные модели для интеграции Passkeys лучше всего понимать как стратегические переговоры о том, кто выступает в роли доверяющей стороны. В модели Secure Payment Confirmation (SPC) эмитент остается RP, но позволяет мерчанту вызывать церемонию аутентификации. В модели делегированной аутентификации (DA) эмитент явно делегирует функцию RP мерчанту или его PSP. А в модели, ориентированной на сеть, Visa и Mastercard позиционируют себя как федеративную доверяющую сторону для гостевых транзакций. Таким образом, центральный вопрос для любого платежного провайдера, рассматривающего интеграцию Passkeys, становится следующим:
«Кто является или хочет стать доверяющей стороной в этом процессе?»
Ответ прямо указывает на возможность интеграции, ключевого принимающего решения и основную стратегическую цель.
Глубокое погружение: Для подробного введения в концепцию доверяющих сторон в контексте WebAuthn и Passkeys, прочтите наше полное руководство: WebAuthn Relying Party ID (rpID) и Passkeys: домены и нативные приложения.
Для ясного визуального представления этих взаимоотношений необходима блок-схема, иллюстрирующая жизненный цикл платежа. Такая диаграмма изображала бы два различных, но взаимосвязанных пути:
Поток данных (Авторизация): Этот путь отслеживает движение запроса на авторизацию. Он начинается с того, что клиент отправляет платежные данные на сайте мерчанта, проходит через платежный шлюз к процессору/эквайеру, затем через карточную сеть к эмитенту для принятия решения о риске, и, наконец, ответ об одобрении или отклонении возвращается обратно к мерчанту и клиенту. Весь этот процесс происходит за считанные секунды.
Поток ценности (Расчет): Этот путь иллюстрирует движение денег, которое происходит после авторизации. Он показывает, как клирингуются пакеты транзакций, средства перетекают от эмитента через сеть к эквайеру (за вычетом комиссий за эквайринг) и, наконец, зачисляются на счет мерчанта. Этот процесс обычно занимает несколько рабочих дней. (Обработка платежей: как работает обработка платежей | Stripe)
Эта визуализация позволяет любому участнику экосистемы немедленно определить свое положение и понять свои прямые и косвенные отношения со всеми другими сторонами, создавая основу для детального анализа того, где могут происходить вмешательства в процесс аутентификации.
Участник | Основная функция | Ключевые обязанности | Типичные примеры |
---|---|---|---|
Клиент / Держатель карты | Инициирует оплату товаров или услуг. | Предоставляет платежные данные; погашает расходы перед эмитентом. | Человек, совершающий покупки онлайн. |
Мерчант | Продает товары или услуги и принимает электронные платежи. | Интегрирует технологию приема платежей; управляет процессом оплаты. | Сайт электронной коммерции или розничный магазин. |
Банк-эмитент (Эмитент) | Выпускает платежные карты клиентам и несет риск. | Авторизует или отклоняет транзакции; управляет счетами держателей карт; выставляет счета держателю карты. | Bank of America, Chase, Barclays. |
Банк-эквайер (Эквайер) | Предоставляет мерчантам возможность принимать карточные платежи. | Открывает и обслуживает счета мерчантов; перечисляет средства мерчанту. | Wells Fargo Merchant Services, Worldpay (от FIS). |
Карточные сети (Схемы): | Управляют сетями, соединяющими все стороны. | Устанавливают ставки и правила межбанковских комиссий; маршрутизируют сообщения об авторизации и расчетах. | Visa, Mastercard, American Express. |
Платежный шлюз | Безопасно передает платежные данные от мерчанта к процессору. | Шифрует конфиденциальные данные карты; действует как безопасная «входная дверь» для транзакции. | Authorize.net (решение Visa), Stripe Payment Gateway. |
Платежный процессор | Управляет технической коммуникацией для транзакции. | Обеспечивает обмен информацией между эквайером, эмитентом и карточной сетью. | First Data (теперь Fiserv), TSYS. |
Поставщик платежных услуг (PSP) | Предлагает мерчантам комплексное решение «все в одном» для платежей. | Объединяет услуги шлюза, процессинга и торгового счета; упрощает прием платежей. | Stripe, Adyen, PayPal, Mollie. |
Провайдеры Account-to-Account (A2A) / Открытого банкинга: | Обходят традиционные карточные сети для перевода средств напрямую с банковского счета потребителя на счет мерчанта. | Предоставляют безопасный доступ через API к данным счетов клиентов и услугам по инициированию платежей для лицензированных сторонних провайдеров. | Trustly, Plaid, Tink, GoCardless, Fintecture. |
Хотя платежная экосистема включает игроков всех размеров, рынок процессинга и эквайринга сконцентрирован вокруг нескольких крупных игроков, которые различаются в зависимости от региона. Глобальные гиганты часто конкурируют с сильными национальными и региональными чемпионами. В следующей таблице представлен обзор ключевых игроков в разных географических регионах.
Регион | Организация | Тип |
---|---|---|
Северная Америка | PayPal, Stripe, Block (Square), Adyen, Bill, Brex, Ria Money Transfer | PSP |
Северная Америка | Fiserv (Clover), Global Payments, JPMorgan Chase Merchant Services | Эквайер/Процессор |
Северная Америка | Plaid | A2A/Открытый банкинг |
Европа | Adyen, Stripe, PayPal, Checkout.com, Worldline, Nexi, Klarna, Mollie, Wise | PSP |
Европа | Worldpay (от FIS), Barclaycard | Эквайер/Процессор |
Европа | Trustly, Brite Payments, Tink, GoCardless, Fintecture, Ivy | A2A/Открытый банкинг |
Европа | iDEAL (Нидерланды), Bancontact (Бельгия), Swish (Швеция) | Национальная схема |
Азиатско-Тихоокеанский регион | Alipay & WeChat Pay (Китай), PhonePe & Paytm (Индия), GrabPay & GoTo (ЮВА), Razorpay, PayU, Airwallex | PSP |
Азиатско-Тихоокеанский регион | Tyro Payments | Эквайер/Процессор |
Азиатско-Тихоокеанский регион | UPI (Индия), Australian Payments Plus (AP+) | Национальная схема |
Латинская Америка | Mercado Pago, PagSeguro, StoneCo, EBANX | PSP |
Латинская Америка | Cielo, Rede, Getnet (Бразилия), Transbank (Чили), Prisma (Аргентина) | Эквайер/Процессор |
Латинская Америка | Pix (Бразилия) | Национальная схема |
Каждая онлайн-покупка запускает сложную, высокоскоростную последовательность событий, которую можно разбить на две основные фазы: авторизация и расчет. Поверх этого процесса наложен критически важный протокол безопасности, известный как 3-D Secure, который является центральным для понимания современных проблем аутентификации онлайн-платежей.
Жизненный цикл одной транзакции CNP включает в себя почти мгновенный обмен данными, за которым следует более медленный перевод средств.
Авторизация — это процесс проверки того, что у держателя карты достаточно средств или кредита для совершения покупки и что транзакция является законной. Эта фаза происходит за секунды и следует точному, многоэтапному пути (Обработка платежей: как работает обработка платежей | Stripe):
Инициация транзакции: Клиент выбирает товары, переходит к оплате и вводит данные своей платежной карты (номер карты, срок действия, CVV) в онлайн-форму оплаты мерчанта.
Безопасная передача: Веб-сайт мерчанта безопасно передает эту информацию своему платежному шлюзу. Шлюз шифрует данные для их защиты во время передачи.
Маршрутизация к процессору/эквайеру: Шлюз пересылает зашифрованные данные транзакции платежному процессору и/или банку-эквайеру мерчанта.
Связь с сетью: Эквайер отправляет запрос на авторизацию в соответствующую карточную сеть (например, Visa, Mastercard).
Проверка эмитентом: Карточная сеть направляет запрос в банк-эмитент держателя карты. Системы эмитента выполняют ряд проверок: проверяют действительность карты, доступный баланс или кредитный лимит и прогоняют транзакцию через свои системы обнаружения мошенничества.
Ответ на авторизацию: На основе этих проверок эмитент одобряет или отклоняет транзакцию. Это решение в виде кода ответа отправляется обратно по тому же пути: от эмитента к карточной сети, к эквайеру, к процессору/шлюзу и, наконец, на веб-сайт мерчанта.
Завершение: Если транзакция одобрена, мерчант завершает продажу и информирует клиента. Если отклонена, мерчант просит клиента использовать другой способ оплаты.
Расчет — это процесс фактического перемещения денег от эмитента к мерчанту. В отличие от авторизации, это не происходит мгновенно и обычно осуществляется пакетами. (Обработка платежей: как работает обработка платежей | Stripe)
Поверх каждой транзакции CNP наложен критически важный протокол безопасности, известный как 3-D Secure (3DS). Управляемый EMVCo, его цель — позволить эмитенту аутентифицировать держателя карты, снизить мошенничество и перенести ответственность за чарджбэки с мерчанта на эмитента.
Современный 3DS (также называемый 3DS2) работает путем обмена богатым набором данных между мерчантом и сервером контроля доступа (ACS) эмитента. Эти данные позволяют ACS провести оценку риска, что приводит к двум результатам:
Эта «проверка» является основной точкой трения и ключевым полем битвы за коэффициенты конверсии. Цель индустрии — максимизировать беспрепятственные потоки, делая проверки как можно более простыми. Именно эту проблему с высоким трением идеально решают Passkeys, превращая потенциальную точку сбоя в безопасный и бесшовный шаг.
Глубокое погружение: Для детального анализа протокола 3DS, роли ACS и того, как вендоры интегрируют данные FIDO, прочтите наше полное руководство: Сервер контроля доступа EMV 3DS: Passkeys, FIDO и SPC.
Появление Passkeys, основанных на устойчивом к фишингу стандарте WebAuthn от FIDO Alliance, катализирует фундаментальный пересмотр аутентификации платежей. Это происходит на фоне мощной отраслевой тенденции: мерчанты уже внедряют Passkeys для стандартной аутентификации пользователей (регистрация и вход) для борьбы с мошенничеством, связанным с захватом учетных записей, и улучшения пользовательского опыта. Эти существующие инвестиции создают естественную основу, на которой можно строить специфичные для платежей модели Passkeys.
В этой модели банк пользователя (эмитент) является конечной доверяющей стороной (RP) для
аутентификации. Passkey привязан к домену банка (например, bank.com
), и пользователь
аутентифицируется непосредственно в своем банке для одобрения транзакции. Эта модель имеет
два основных варианта, в зависимости от того, проходит ли платеж по карточным рельсам или
через прямые переводы со счета на счет.
В этой модели банк-эмитент сохраняет контроль над аутентификацией, а Passkey
криптографически привязан к домену эмитента (например, bank.com
).
Хотя возможен простой редирект на сайт банка, это создает плохой пользовательский опыт.
Кто владеет Passkey? В модели, ориентированной на эмитента, эмитент является доверяющей стороной (RP).
Маховик внедрения и сетевые эффекты: Повторное использование Passkey эмитента создает мощный маховик. Как только пользователь создает Passkey для своего банка, этот единый Passkey можно использовать для бесшовного одобрения транзакций с проверкой у любого мерчанта, использующего протокол 3DS. Это повышает ценность карты эмитента как для потребителей (лучший UX), так и для мерчантов (более высокая конверсия).
Разработанное индустрией решение для этого — Secure Payment Confirmation (SPC), веб-стандарт, который позволяет мерчанту вызывать Passkey банка прямо на странице оплаты, избегая редиректа. Этот процесс также использует динамическую привязку для связи аутентификации с деталями транзакции, что крайне важно для SCA.
Стратегический недостаток: Несмотря на свою техническую элегантность, SPC сегодня не является жизнеспособной стратегией. Он требует поддержки браузеров, которой нет в Apple Safari. Без Safari SPC не может быть универсальным решением, что делает его непрактичным для любого крупномасштабного внедрения.
Глубокое погружение: Для полного технического разбора SPC, как он обеспечивает динамическую привязку и почему поддержка браузеров является критическим недостатком, прочтите наш подробный анализ: Динамическая привязка с Passkeys: Secure Payment Confirmation (SPC).
В то время как предыдущие модели сосредоточены на экосистеме карт, платежи со счета на счет (A2A), усиленные открытым банкингом, представляют собой мощную и отличную парадигму. Эта модель полностью обходит карточные рельсы, и ее интеграция с Passkeys уникально проста и эффективна.
В этой модели пользователь аутентифицируется непосредственно в своем банке для одобрения платежа. Трение этого процесса — часто включающее неуклюжий редирект и вход с паролем — было основным препятствием для внедрения A2A. Passkeys решают эту основную проблему напрямую.
Кто владеет Passkey? Банк является доверяющей стороной (RP). Passkey — это тот,
который пользователь уже создал для своего повседневного онлайн-банкинга с mybank.com
.
Маховик внедрения и сетевые эффекты: Маховик огромен и приводится в движение самими банками. По мере того как банки поощряют своих пользователей переходить с паролей на Passkeys для входа в свое основное банковское приложение или на веб-сайт, эти Passkeys автоматически становятся готовыми к использованию для любого платежа через открытый банкинг. Пользователю не нужно делать ничего дополнительно. Это делает процесс оплаты A2A таким же простым, как биометрическое сканирование, что значительно повышает его привлекательность и конкурентоспособность по сравнению с картами.
Как это работает:
Эта модель не вписывается в остальные четыре, потому что она не включает карточную сеть, 3DS, SPC или делегированную аутентификацию. Это ориентированный на банк процесс, где провайдер A2A выступает в качестве слоя оркестрации между мерчантом и собственной, теперь уже с поддержкой Passkeys, системой аутентификации банка.
Делегированная аутентификация представляет собой более радикальный отход от традиционной модели. DA, ставшая возможной благодаря версии 3DS 2.2 и поддерживаемая специальными программами карточных схем, представляет собой фреймворк, в котором эмитент может формально делегировать ответственность за выполнение SCA доверенной третьей стороне, чаще всего крупному мерчанту, PSP или провайдеру цифрового кошелька.
Для получения дополнительной информации о делегированной аутентификации и Passkeys, пожалуйста, прочтите наш пост в блоге: Делегированная аутентификация и Passkeys в рамках PSD3 / PSR - Corbado
Кто владеет Passkey? В этой модели мерчант или его PSP является доверяющей стороной
(RP). Passkey создается для домена мерчанта (например, amazon.com
) и используется для
входа в учетную запись.
Чтобы соответствовать требованиям DA, первоначальная аутентификация, выполняемая мерчантом, должна полностью соответствовать требованиям SCA. Согласно руководящим принципам Европейского банковского управления по строгой аутентификации клиента, это не просто обычный вход; он должен иметь такую же надежность, как и аутентификация, которую выполнил бы сам эмитент. Passkeys, с их сильными криптографическими свойствами, являются идеальной технологией для соответствия этому высокому стандарту. Однако остается ключевой момент регуляторной неопределенности в отношении синхронизированных Passkeys. В то время как привязанные к устройству Passkeys явно соответствуют элементу «владения» SCA, регуляторы, такие как EBA, еще не вынесли окончательного решения о том, соответствуют ли синхронизированные Passkeys, которые переносимы через облачную учетную запись пользователя, строгому требованию быть уникально связанными с одним устройством. Это ключевое соображение для любой стратегии DA в Европе.
В этой модели событие аутентификации перемещается вверх по пути клиента. Вместо того чтобы происходить в конце процесса оплаты в виде проверки 3DS, оно происходит в начале, когда клиент входит в свою учетную запись на веб-сайте или в приложении мерчанта. Если мерчант использует Passkey для входа, он может передать доказательство этой успешной, соответствующей SCA аутентификации эмитенту в рамках обмена данными 3DS. Эмитент, предварительно установив доверительные отношения с этим мерчантом, может затем использовать эту информацию для предоставления исключения и полного обхода своего собственного потока проверки. Это может привести к действительно бесшовной, биометрической оплате в один клик для вошедших в систему пользователей.
Маховик внедрения и сетевые эффекты: Маховик здесь приводится в движение прямыми отношениями мерчанта с клиентом. По мере того как мерчанты внедряют Passkeys для входа, чтобы уменьшить мошенничество с захватом учетных записей и улучшить UX, они создают базу пользователей с поддержкой Passkeys. Это создает естественный путь к использованию этих Passkeys для DA в платежах, открывая превосходный опыт оплаты. Сетевой эффект наиболее силен для PSP, которые могут выступать в роли RP для нескольких мерчантов, потенциально позволяя использовать один Passkey в сети магазинов, создавая мощный стимул для других мерчантов присоединиться к экосистеме этого PSP.
Карточные сети активно способствуют развитию этой модели через специальные программы. Фреймворк Visa Guide Authentication, например, предназначен для использования с DA, чтобы дать мерчантам возможность выполнять SCA от имени эмитента. Аналогично, программа Mastercard Identity Check Express позволяет мерчантам аутентифицировать потребителя в рамках собственного потока мерчанта. Эта модель отражает стратегическое видение крупных мерчантов и PSP:
«Мы владеем основными отношениями с клиентами и уже инвестировали в безопасный, низкофрикционный опыт входа. Позвольте нам заниматься аутентификацией, чтобы создать наилучший возможный путь пользователя».
Однако эта власть сопряжена с ответственностью. Согласно европейским нормам, DA рассматривается как «аутсорсинг», что означает, что мерчант или PSP берет на себя ответственность за мошеннические транзакции и должен соблюдать строгие требования к соответствию и управлению рисками.
Эта модель является крупной стратегической инициативой, продвигаемой карточными сетями (Visa, Mastercard) с целью владения и стандартизации опыта гостевой оплаты. Они создали свои собственные сервисы Passkey на основе FIDO, такие как Visa Payment Passkey Service, поверх фреймворка Click to Pay.
Кто владеет Passkey? В модели, ориентированной на сеть, карточная сеть является
доверяющей стороной. Passkey создается для домена сети (например, visa.com
).
Маховик внедрения и сетевые эффекты: Эта модель обладает самым мощным сетевым эффектом. Один Passkey, созданный для карточной сети, мгновенно становится доступным для повторного использования у каждого мерчанта, поддерживающего Click to Pay, создавая огромную ценность для потребителя и запуская классический маховик двустороннего рынка.
Глубокое погружение: И Visa, и Mastercard агрессивно преследуют эту стратегию. Изучите особенности их реализаций в наших специальных статьях о Passkeys от Visa и Passkeys от Mastercard.
Эта модель сосредоточена вокруг крупных поставщиков платежных услуг (PSP), которые управляют своими собственными потребительскими кошельками, такими как PayPal или Stripe (с Link). В этом подходе PSP является доверяющей стороной, и они владеют всем процессом аутентификации и оплаты.
Кто владеет Passkey? В модели, ориентированной на PSP, PSP является доверяющей
стороной (RP). Passkey создается для домена
PSP (например, paypal.com
) и защищает
учетную запись пользователя в экосистеме этого
PSP.
Маховик внедрения и сетевые эффекты: Эта модель также имеет чрезвычайно сильный сетевой эффект. Passkey, созданный для кошелька крупного PSP, можно повторно использовать у каждого мерчанта, который принимает этого PSP, создавая мощный стимул для пользователей и мерчантов присоединиться к экосистеме PSP.
Глубокое погружение: PayPal является пионером в этой области. Для подробного изучения их кейса о том, как они используют Passkeys для защиты своей экосистемы, прочтите наш анализ: Passkeys от PayPal: внедряйте Passkeys как PayPal.
Частый и критически важный вопрос заключается в том, можно ли повторно использовать Passkey, созданный для одной модели, в другой. Например, может ли Passkey, который пользователь создает для своего банка для использования с SPC, быть использован для входа на сайт мерчанта в потоке DA? Ответ — нет, и это подчеркивает центральную роль доверяющей стороны (RP).
Passkey — это, по сути, криптографическое удостоверение, связывающее пользователя с конкретной RP. Публичный ключ регистрируется на серверах RP, а приватный ключ остается на устройстве пользователя. Аутентификация — это акт доказательства владения этим приватным ключом именно этой RP.
chase.com
). Passkey регистрируется в банке.amazon.com
или stripe.com
). Passkey регистрируется у мерчанта для входа.visa.com
). Passkey регистрируется в сети для Click to Pay.paypal.com
). Passkey регистрируется в кошельке или сервисе PSP.Поскольку Passkey криптографически привязан к домену RP, Passkey, зарегистрированный на
chase.com
, не может быть проверен amazon.com
. С технической точки зрения это разные
цифровые личности. Пользователю потребуется создать отдельный Passkey для каждой
доверяющей стороны, с которой он взаимодействует.
«Повторное использование» и «переносимость», которые делают Passkeys мощными, исходят из двух областей:
chase.com
на телефоне, автоматически доступен на ноутбуке пользователя, но он все еще
предназначен только для chase.com
.Таким образом, четыре модели — это не просто разные технические пути, а конкурирующие стратегии идентификации. Каждая из них предлагает разную сущность в качестве основной доверяющей стороны для аутентификации платежей, и пользователи, вероятно, в конечном итоге будут иметь Passkeys для своих эмитентов, любимых мерчантов, кошельков PSP и карточных сетей.
Хотя эти модели предлагают мощные новые способы аутентификации, они также создают критическую операционную проблему, которую часто упускают из виду: восстановление Passkey и восстановление учетной записи. Синхронизированные Passkeys, управляемые платформами, такими как iCloud Keychain и Google Password Manager, смягчают проблему потери одного устройства. Однако они не решают проблему потери пользователем всех своих устройств или перехода между экосистемами (например, с iOS на Android). В этих сценариях безопасный и удобный для пользователя процесс, позволяющий ему доказать свою личность другими способами и зарегистрировать Passkey на новом устройстве, является обязательным условием для любого крупномасштабного развертывания. Как отмечается в собственной документации Mastercard, пользователю, меняющему устройства, потребуется создать новый Passkey, процесс, который может потребовать подтверждения личности его банком. (Mastercard® payment passkeys – Frequently asked questions) Это подчеркивает, что полное решение Passkey должно охватывать не только саму церемонию аутентификации, но и весь жизненный цикл управления Passkey, включая надежные процессы восстановления.
Четыре архитектурные модели — ориентированная на эмитента (SPC), ориентированная на мерчанта (DA), ориентированная на сеть (Click to Pay) и ориентированная на PSP — превращаются в различные возможности интеграции для разных игроков в платежной экосистеме. Каждый подход представляет собой уникальный набор компромиссов между пользовательским опытом, сложностью реализации, ответственностью и контролем. В этом разделе представлен прагматичный анализ этих точек интеграции для руководства при принятии стратегических решений.
Категория | Эмитент / ACS | Мерчант / PSP (DA) | Сеть / Click to Pay | PSP / Кошелек |
---|---|---|---|---|
Ключевая технология | Secure Payment Confirmation (SPC) | Делегированная аутентификация (DA) | Федеративные сервисы Passkey | Аутентификация на основе кошелька |
Целевой игрок | Провайдеры ACS, Банки-эмитенты | Крупные мерчанты, PSP, Кошельки | PSP, Платежные шлюзы | PayPal, Stripe Link и т.д. |
Пользовательский опыт (Трение) | Низкое (Улучшает проверку, но это все еще проверка) | Очень низкое (Устраняет проверку для вошедших пользователей) | Низкое (Стандартизированная гостевая оплата с низким трением) | Очень низкое (Бесшовный поток в экосистеме PSP) |
Сложность реализации | Средняя (Требует интеграции с ACS, 3DS 2.3+) | Высокая (Требует двусторонних соглашений, предполагает ответственность) | Средняя (Требует интеграции с API сети) | Средняя (Требует инфраструктуры кошелька и Passkey) |
Перенос ответственности | Да (Стандартный перенос ответственности 3DS) | Да (Ответственность переходит на делегирующую сторону) | Да (Сеть/Эмитент берет на себя ответственность) | Да (PSP берет на себя ответственность) |
Готовность экосистемы | Очень низкая (Блокируется отсутствием поддержки Apple) | Ограниченная (Требует доверия между эмитентом и мерчантом) | Высокая (Сильное продвижение со стороны сетей) | Высокая (Зрелая для устоявшихся провайдеров кошельков) |
Переход к аутентификации платежей на основе Passkeys — это не теоретическое упражнение; он активно продвигается крупнейшими игроками отрасли. Их стратегии, пилотные программы и публичные заявления дают ясное представление о конкурентной динамике и вероятной траектории внедрения.
PayPal: Как один из основателей FIDO Alliance и цифровой платежный провайдер, PayPal был одним из самых агрессивных ранних адептов Passkeys. Они начали поэтапное глобальное развертывание в конце 2022 года, начиная с США и расширяясь на Европу и другие регионы. Их реализация является примером лучших практик, использующих такие функции, как Conditional UI, для создания входа в одно касание, который автоматически запрашивает Passkey, когда пользователь взаимодействует с полем входа. PayPal сообщил о значительном раннем успехе, включая увеличение успешных входов и существенное сокращение мошенничества с захватом учетных записей (ATO). Их стратегия также включает активное лоббирование регуляторных изменений в Европе, настаивая на подходе к SCA, основанном на результатах, который признает внутреннюю безопасность синхронизированных Passkeys.
Visa: Стратегия Visa сосредоточена на ее Visa Payment Passkey Service, комплексной платформе, построенной на собственной инфраструктуре FIDO-серверов. Этот сервис разработан как федеративная модель, где Visa берет на себя сложность аутентификации от имени своих партнеров-эмитентов. Основным инструментом для этого сервиса является Click to Pay, что позиционирует Visa как владельца опыта гостевой оплаты. Позиционирование Visa выходит за рамки простых платежей, представляя их сервис Passkey как фундаментальный элемент более широкого решения для цифровой идентификации, которое можно использовать во всей коммерческой экосистеме. Они активно пилотируют технологию, включая SPC, и сообщают, что биометрическая аутентификация может сократить уровень мошенничества на 50% по сравнению с SMS OTP.
Mastercard: Mastercard отразила стратегический фокус Visa на сервисе сетевого уровня, запустив свой собственный Payment Passkey Service, построенный на существующем Token Authentication Service (TAS). Их стратегия выхода на рынок характеризовалась серией громких глобальных пилотных проектов. В августе 2024 года они объявили о крупном пилотном проекте в Индии, сотрудничая с крупнейшими платежными агрегаторами страны (Juspay, Razorpay, PayU), крупным онлайн-мерчантом (bigbasket) и ведущим банком (Axis Bank). За этим последовали запуски на других ключевых рынках, включая Латинскую Америку с партнерами Sympla и Yuno и ОАЭ с Tap Payments. Этот подход раскрывает четкую стратегию: сотрудничать с агрегаторами экосистемы (PSP, шлюзы) для быстрого достижения масштаба. Mastercard взяла на себя смелое публичное обязательство отказаться от ручного ввода данных карт в Европе к 2030 году, полностью перейдя на токенизированные, аутентифицированные с помощью Passkeys транзакции.
Стратегии этих пионеров раскрывают критическую динамику. Опыт гостевой оплаты, исторически фрагментированный и высокофрикционный, стал стратегическим плацдармом для карточных сетей. Создавая превосходное, основанное на Passkeys решение для гостевых пользователей через Click to Pay, сети могут установить прямые отношения идентификации с потребителями. Как только потребитель создает Passkey на уровне сети во время одной гостевой оплаты, эта личность становится переносимой к каждому другому мерчанту, поддерживающему Click to Pay. Это позволяет сетям эффективно «приобретать» личности пользователей и предлагать бесшовный опыт по всему вебу, что является мощным шагом для захвата центральной роли поставщика идентификации для цифровой коммерции.
Согласованные усилия этих крупных игроков в сочетании с более широкими технологическими и регуляторными тенденциями указывают на ускоренный и неизбежный сдвиг в аутентификации платежей.
Неизбежный закат OTP: Общеотраслевое продвижение Passkeys сигнализирует о начале конца для одноразовых паролей на основе SMS как основного метода аутентификации. OTP все чаще рассматриваются как уязвимость из-за их высокофрикционного пользовательского опыта и растущей уязвимости к атакам, таким как SIM-свопинг и изощренные фишинговые кампании. По мере того как Passkeys станут более распространенными, зависимость от OTP будет сведена к роли резервного или восстановительного механизма, а не основного метода проверки.
Регуляторные попутные ветры: Хотя текущие регуляции, такие как PSD2, создали первоначальный мандат на SCA, их жесткие, основанные на категориях определения создали некоторую неопределенность в отношении новых технологий, таких как синхронизированные Passkeys. Ожидается, что предстоящие обновления регуляций, такие как PSD3 в Европе, примут более технологически нейтральный, ориентированный на результат подход. Это, вероятно, будет способствовать методам аутентификации, которые доказуемо устойчивы к фишингу, обеспечивая более четкий регуляторный путь для широкого внедрения Passkeys как соответствующего метода SCA.
Рост федеративной платежной идентификации: Стратегические шаги Visa и Mastercard — это нечто большее, чем просто обеспечение безопасности платежей; они направлены на создание новой парадигмы цифровой идентификации. Создавая федеративные сервисы Passkey, они позиционируют себя как центральных, доверенных поставщиков идентификации для всей экосистемы цифровой коммерции. Это можно рассматривать как прямой стратегический ответ на мощные платформы идентификации, контролируемые Big Tech (например, Apple ID, Google Account). Будущее онлайн-платежей неразрывно связано с этой более крупной битвой за то, кто будет владеть и управлять личностью потребителя в вебе.
Хотя основная платежная транзакция является главным фокусом, технология Passkey готова устранить трение и повысить безопасность в широком спектре смежных финансовых услуг. Многие процессы, которые все еще полагаются на пароли или неуклюжие OTP, являются идеальными кандидатами на обновление до Passkey.
Рост стейблкоинов (таких как USDC или EURC) представляет собой новый, основанный на блокчейне платежный рельс. Однако основным препятствием для массового внедрения был плохой пользовательский опыт и безопасность криптокошельков. Традиционно эти кошельки защищены «сид-фразой» (списком из 12-24 слов), которую пользователь должен записать и защитить. Это невероятно неудобно для пользователя и делает восстановление учетной записи кошмаром.
Passkeys готовы полностью изменить этот опыт. Индустрия движется к модели, где приватный ключ, контролирующий активы в блокчейне, защищен Passkey устройства.
Эта эволюция может значительно снизить трение и риск, связанные с использованием стейблкоинов для платежей, потенциально делая их более жизнеспособной и массовой альтернативой традиционным платежным рельсам.
Анализ платежного ландшафта и появляющихся моделей интеграции Passkeys выявляет несколько четких и действенных возможностей. Для компании, специализирующейся на аутентификации с помощью Passkeys, такой как Corbado, цель состоит в том, чтобы дать возможность каждому игроку в экосистеме достичь своих стратегических целей, предоставляя фундаментальную технологию, необходимую для навигации в этом переходе.
Этот анализ подчеркивает критический фактор успеха для любой стратегии на основе Passkeys: принятие пользователями. Решение, которое может наглядно увеличить создание и использование Passkeys с базового уровня ~10% до более 50%, решает основную проблему, стоящую перед развертыванием этих новых моделей аутентификации. Основываясь на экосистеме и стратегических целях ее игроков, следующие организации и сектора являются основными кандидатами на такое решение.
paypal.com
и т.д.) является основной стратегической целью. Это
снижает мошенничество, улучшает пользовательский опыт и усиливает сетевой эффект, делая
кошелек более привлекательным как для потребителей, так и для мерчантов.Крупные технологические компании управляют сложными цифровыми кошельками, которые играют уникальную и мощную роль в платежной экосистеме. Они находятся на пересечении устройства пользователя, его платформенной идентичности и традиционных платежных рельсов, что дает им особое положение и стратегию в отношении принятия Passkeys.
Apple Pay и Google Pay лучше всего понимать как технологический и аутентификационный слой, который находится поверх существующей инфраструктуры платежных карт. Они не выпускают карты и не обрабатывают транзакции сами, а вместо этого безопасно хранят и передают токенизированные версии существующих платежных карт пользователя.
Amazon Pay и Meta Pay работают скорее как традиционный мерчант с очень большим кошельком Card-on-File (CoF), который можно использовать на сторонних сайтах и в их собственных экосистемах (например, для социальной коммерции в Instagram).
Amazon.com
). Переводя свои
огромные базы пользователей с паролей на Passkeys для входа в учетную запись, они
значительно снижают риск мошенничества с захватом учетных записей и защищают ценные
сохраненные платежные данные.Платежная индустрия стоит на пороге новой эры аутентификации. Давний компромисс между безопасностью и удобством наконец-то разрешается благодаря созреванию и внедрению технологии Passkey. Анализ, представленный в этом отчете, показывает, что это не монолитный сдвиг, а сложный переход с несколькими конкурирующими видениями будущего. Эмитенты стремятся улучшить существующую структуру 3DS с помощью SPC; крупные мерчанты и PSP стремятся захватить контроль над опытом через делегированную аутентификацию или создавая свои собственные экосистемы кошельков; а карточные сети создают новый, федеративный слой идентификации с помощью Click to Pay. Каждая модель борется за то, чтобы стать новым стандартом доверия пользователей и удобства.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Related Articles
Table of Contents