本页由自动翻译生成。请阅读英文原文 此处.
银行 Passkeys 报告. 面向 passkey 项目的实用指南、推广模式和 KPI。
1. 简介:Mastercard Identity Check#
数字商务领域存在一个根本性的矛盾:企业如何在提供流畅、轻松的在线结账体验的同时,保护自己和客户免受无处不在的欺诈威胁?作为电子商务支柱的无卡交易 (CNP),缺乏实体卡片所固有的安全性,导致欺诈率显著更高。从历史上看,CNP 交易在欺诈损失中所占的份额与其交易量相比不成比例。此外,通过过于激进的措施来防止欺诈,导致合法交易被错误拒绝(即“错误拒绝”或“客户侮辱”)的成本,有时甚至会超过欺诈本身的成本,从而导致销售损失和客户不满。
Mastercard Identity Check 应运而生,这是 Mastercard 为应对这一挑战而设计的综合性计划。它建立在全球 EMV 3-D Secure 标准之上,代表了在线支付认证领域的一次重大演进。其核心使命是为持卡人、发卡银行(发卡行)和企业(商户)提升安全性、打击欺诈、提高交易批准率并简化支付流程。
本篇博客文章为希望深入了解 Mastercard Identity Check 的发卡行、商户、支付服务提供商 (PSP)、软件开发人员、产品经理和安全专业人士解答以下关键问题:
-
Mastercard Identity Check 究竟是什么?为什么要开发它?
-
Mastercard Identity Check 如何利用 EMV 3-D Secure 技术来减少欺诈和错误拒绝?
-
像 NuData 行为生物识别这样的先进技术,在实现无感用户认证中扮演什么角色?
-
商户和 PSP 如何有效地将 Mastercard Identity Check 集成到其现有的支付流程中?
-
企业采用 Mastercard Identity Check 后,在交易批准率、用户体验和减少欺诈方面可以期待哪些实际好处?
2. 计划的起源与目标:超越 SecureCode#
Mastercard Identity Check 的发展历程始于早期电子商务固有的漏洞。随着在线购物的激增,欺诈者利用了实体卡缺失的弱点,导致 CNP 欺诈率不断攀升。行业最初的应对措施是在 1999 年推出了 3-D Secure (3DS) 协议。Mastercard 对这一首个版本的品牌化名称是 Mastercard SecureCode。虽然 SecureCode (3DS 1.0) 旨在通过增加一层持卡人认证来复制实体支付的安全性,并提供了将某些欺诈性退单的责任从商户转移出去的关键好处,但它也存在一些严重缺陷,阻碍了其有效性和普及:
• 高摩擦:最常见的实施方式涉及静态密码或繁琐的挑战问题,通常要求用户预先注册并记住单独的凭证。这给结账过程增加了明显的摩擦。
• 糟糕的用户体验:为进行认证而重定向到发卡行品牌的页面,造成了不一致且常常令人不适的用户体验,导致购物者感到困惑和怀疑。这种摩擦直接导致了高购物车放弃率。
• 有限的数据交换:3DS 1.0 仅允许商户和发卡行之间交换约 15 个数据元素,为准确的风险评估提供的背景信息不足。
• 以浏览器为中心的设计:它主要为基于浏览器的交易设计,不适合快速增长的移动应用支付和新兴的物联网商务世界。
• 未能有效缓解错误拒绝:有限的数据和对显式挑战的关注,未能有效解决错误拒绝这一重大问题,即合法交易被错误地标记为欺诈,损害了客户关系并造成收入损失。
事实证明,糟糕用户体验(表现为购物车放弃和错误拒绝)的负面影响,通常给企业带来的经济损失比直接的欺诈成本更大。这一经济现实,加上在日益数字化的世界中需要更强的欺诈预防措施,推动了现代化方法的开发。
基于下一代 EMV 3-D Secure 协议的 Mastercard Identity Check 的推出,旨在通过一系列明确的目标来克服这些局限性:
-
减少 CNP 欺诈:采用更复杂的技术来检测和预防未经授权的交易。
-
最小化摩擦:为绝大多数交易创建更流畅、更快速的无感认证流程。
-
提高批准率:通过为发卡行提供更丰富的数据以进行更准确的风险评估,来减少错误拒绝。
-
支持现代渠道:原生支持移动应用、数字钱包和其他联网设备内的认证。
-
实现丰富的数据交换:促进显著更多的交易和上下文数据的安全共享。
-
维持责任转移:保留将已认证的欺诈交易责任从参与商户转移出去的好处。
| 3DS 1.0 (SecureCode) 缺点 | Mastercard Identity Check (EMV 3DS) 目标/解决方案 |
|---|---|
| 高摩擦(静态密码) | 最小化摩擦(无感流程) |
| 糟糕的用户体验(重定向) | 原生移动/应用支持,一致的用户体验 |
| 有限的数据交换(约 15 个元素) | 丰富的数据交换(超过 150 个元素) |
| 以浏览器为中心 | 支持现代渠道(移动设备、物联网) |
| 未能有效缓解错误拒绝 | 提高批准率(更好的风险评估) |
Mastercard Identity Check - 早期采用者计划学习成果
3. Mastercard 如何在 EMV 3DS 基础上构建:协议与计划#
区分底层技术标准和 Mastercard 的具体实施方案至关重要。
3.1 EMV® 3-D Secure (EMV 3DS):基础#
EMV 3DS 是由 EMVCo 开发和管理的全球协议规范,EMVCo 是由 Mastercard、Visa、American Express、Discover、JCB 和银联等全球主要支付网络共同拥有的组织。它定义了在线交易认证中涉及的三个关键领域之间安全通信和数据交换的技术框架:
-
收单方域:包括商户、其支付网关和收单银行(商户的银行)。该域通过一个通常称为 3DS 服务器(或历史上称为商户插件/MPI)的组件发起认证请求。
-
发卡行域:包括发卡银行(持卡人的银行)和持卡人。该域负责通过一个称为访问控制服务器 (ACS) 的组件来验证持卡人的身份。
-
互操作域:主要由目录服务器 (DS) 组成,由卡组织(如 Mastercard)运营。DS 充当中央路由器,根据卡号(特别是银行识别码或 BIN)在正确的 3DS 服务器和 ACS 之间引导认证消息。
EMV 3DS 协议(通常称为 3DS 2.0 或 2.x)相比原始的 3DS 1.0 引入了重大改进:
-
10 倍以上的数据:支持交换超过 150 个数据元素(相比 3DS 1.0 的约 15 个),为风险评估提供了更丰富的上下文,包括设备信息、交易历史、浏览器详情和商户数据。
-
基于风险的认证 (RBA):实现无感认证流程,其中低风险交易会根据数据分析在后台静默批准,无需持卡人交互。目标是实现 90-95% 的无感率。
-
原生移动/应用支持:包括软件开发工具包 (SDK),用于在移动应用结账流程中无缝集成,消除了干扰性的浏览器重定向。
-
增强的认证方法:支持现代认证方法,如通过短信或应用发送的一次性密码 (OTP)、生物识别(指纹、面部识别)和带外认证,摆脱了静态密码。
-
更广泛的用例:超越了简单的支付认证,支持非支付认证(例如,将卡添加到数字钱包)、经常性支付和令牌化。
Mastercard Identity Check
Corbado 3DS ACS Passkeys
3.2 计划实施#
Mastercard Identity Check 是 Mastercard 在其网络内实施和管理 EMV 3DS 协议使用的具体计划的名称。它是 Mastercard SecureCode 计划的继任者。虽然建立在 EMV 3DS 标准之上,但 Mastercard Identity Check 融合了 Mastercard 独特的资产和技术,以增强性能和安全性。这包括:
-
专有的人工智能和机器学习:利用 Mastercard 庞大的网络数据和人工智能能力来优化风险评分和决策。
-
行为分析 (NuData):整合来自 NuData 行为生物识别的洞察(下一节将讨论),以理解用户交互模式并检测复杂的欺诈企图。
-
网络智能:利用从全球处理的数十亿笔交易中获得的洞察来为风险评估提供信息。
-
计划治理:Mastercard 为 Identity Check 计划中的参与者(发卡行、商户、收单行)设定了具体的关键绩效指标 (KPI) 和规则,以确保其网络内的最佳性能和用户体验。
因此,Mastercard Identity Check 不仅仅是 EMV 3DS 协议的重新命名。它代表了 Mastercard 将其专有智能和治理框架战略性地叠加在标准化协议基础之上。这种协同作用旨在提供一种可能比基本 EMV 3DS 实施更有效、更具差异化的认证服务,在 Mastercard 生态系统内提供增强的风险检测和性能优化。
Mastercard Identity Check
订阅我们的 Passkeys Substack,获取最新消息。
4. 关键组件:Mastercard Identity Check 背后的引擎#
Mastercard Identity Check 依赖于几个核心技术组件的复杂相互作用,以实现其安全和无缝的目标。理解这些组件对于领会系统如何评估风险和认证用户至关重要。
4.1 NuData 行为生物识别#
NuData 行为生物识别技术于 2017 年被 Mastercard 收购,是 Mastercard 先进认证能力的基石。与传统认证关注用户知道什么(密码)或拥有什么(用于 OTP 的手机)不同,行为生物识别分析用户如何与他们的设备和应用程序互动。它专注于被动生物识别——固有的、通常是下意识的交互模式。
-
工作原理:在在线会话期间(如结账甚至开户),NuData 技术被动地收集和分析数百个微妙的行为信号。这些信号可以包括:
-
打字动态(速度、节奏、压力)
-
鼠标移动(模式、速度、点击)
-
设备操作(角度、加速度计数据)
-
触摸屏交互(压力、滑动模式)
-
导航模式(使用 Tab 键与点击、表单填写进度、“绕回”行为)
-
会话行为(表单熟悉度、花费时间、复制/粘贴使用情况、窗口切换)
-
-
目的与集成:这些行为数据被输入到机器学习模型中,为每个合法用户建立一个独特的个人资料。该系统每年分析数十亿个数据点,以不断学习和完善这些个人资料。它在 Mastercard Identity Check 中的主要功能是区分真实的人类与自动机器人和复杂的欺诈者,即使他们拥有被盗的凭证。它实时检测异常和高风险信号,为基于风险的认证引擎提供关键输入。
NuData 技术是 Mastercard 分层安全战略不可或缺的一部分,为 NuDetect 等解决方案提供动力,并为 Mastercard Identity Check 背后的智能做出了重大贡献。它对凭证填充攻击和账户接管等自动化攻击尤其有效。
4.2 设备智能#
利用 EMV 3DS 2.0 丰富的数据交换能力,Mastercard Identity Check 整合了全面的设备智能。这涉及收集和分析与发起交易的设备相关的广泛数据点。
-
数据点:EMV 3DS 协议允许传输超过 150 个变量。这包括以下信息:
-
设备类型、型号和操作系统
-
浏览器类型、版本、语言和已安装的插件
-
IP 地址和地理位置数据
-
网络连接类型和时区
-
设备标识符或指纹
-
屏幕分辨率和其他设备特征
-
Mastercard 还可能与 Ekata 等公司合作,以进一步丰富设备和身份验证数据
-
-
目的:这些丰富的设备信息有助于建立一个全面的风险画像。它使系统能够识别受信任的设备,检测位置不匹配或试图欺骗设备信息等异常情况,识别高风险网络连接,并标记来自不熟悉或受损设备的潜在欺诈活动。设备智能是 RBA 引擎的另一个关键输入。
4.3 基于风险的认证 (RBA) 引擎#
The RBA 引擎是 Mastercard Identity Check 的中央智能中枢,负责实时评估交易的整体风险并确定适当的认证路径。
工作原理:该引擎综合来自多个来源的信息:
-
EMV 3DS 数据字段(交易详情、商户信息、设备智能)
-
NuData 行为生物识别信号
-
历史交易数据和用户画像
-
Mastercard 的专有人工智能和机器学习模型,这些模型基于全球网络数据进行训练
目的:基于这种全面的分析,RBA 引擎计算出交易的风险评分。该评分决定了是进行无感认证(对于低风险交易),还是发起升级挑战(对于高风险交易)以进一步验证持卡人身份。结果(评分或建议)通常会发送到发卡行的 ACS,以帮助其做出最终的认证决定。如果发卡行自己的 ACS 不可用或尚未准备好支持 3DS,Mastercard 还提供备用 RBA 服务。
Mastercard Identity Check 的强大之处在于这些组件之间的协同作用。虽然来自 EMV 3DS 的丰富设备和交易数据提供了必要的上下文,但 NuData 行为生物识别的整合增加了一个关键的防御层。NuData 通常可以检测到复杂的欺诈企图,例如使用有效凭证的账户接管或旨在模仿人类交互的机器人,这些企图可能会绕过仅依赖传统数据点的系统。这种多方面的方法使 RBA 引擎能够做出更细致、更自信的风险评估,从而在保持强大安全性的同时,实现更高的无感批准率。
5. 无感流程的实现:数据、豁免和责任#
Mastercard Identity Check 的一个主要目标是通过尽可能启用无感认证流程,来最大限度地减少在线结账过程中的干扰。这种无缝体验,即认证在后台静默进行,很大程度上依赖于数据驱动的批准、对豁免的智能使用以及对责任影响的清晰理解。
5.1 机制:通过 RBA 实现数据驱动的批准#
无感流程的基础是基于风险的认证 (RBA)。EMV 3DS 协议促进了商户环境(通过 3DS 服务器)和发卡行环境(ACS)之间大量数据(超过 150 个潜在元素)的交换。Mastercard 利用其自身的网络智能、人工智能算法和 NuData 行为生物识别洞察来增强这些数据。发卡行的 ACS(或 Mastercard 的 RBA 服务)实时分析这个全面的数据集。如果分析表明欺诈的可能性很低——基于诸如已识别的设备、典型的购买行为、熟悉的地点、一致的行为模式和其他上下文线索等因素——交易就可以被动地进行认证,而无需持卡人执行任何操作(如输入 OTP 或使用指纹)。这就是数据驱动批准实现无感流程的精髓,目标是覆盖 90-95% 的认证。
5.2 强客户认证 (SCA) 豁免#
在像欧洲这样受支付服务指令 (PSD2) 管辖的地区,强客户认证 (SCA)——通常要求两个独立的认证因素——对于在线支付通常是强制性的。然而,该法规和 EMV 3DS 协议允许在不需要 SCA 的特定情况下豁免,从而进一步促进无感体验。Mastercard Identity Check 支持应用这些豁免。关键豁免包括:
-
交易风险分析 (TRA):如果收单行或发卡行进行实时风险分析并认为交易为低风险,且交易金额低于与该实体整体欺诈率相关的特定阈值,则可以豁免 SCA。
-
低价值支付:低于特定价值(例如,在欧洲为 30 欧元)的交易可以豁免,但有累积限制(例如,自上次 SCA 以来的总金额或交易次数)。
-
受信任的受益人(商户白名单):持卡人可以向其发卡行指定特定的商户为“受信任”。后续与这些白名单商户的交易可能会豁免 SCA。
-
经常性支付和商户发起的交易 (MIT):虽然设置经常性支付或卡片存档协议通常需要 SCA,但后续使用这些凭证的商户发起的支付在某些条件下可能被视为范围外或豁免。EMV 3DS 2.2 及更高版本为这些 3RI(3DS 请求方发起的)交易提供了特定支持。
-
安全企业支付:特定豁免可能适用于使用专用安全协议进行的企业支付。
| 豁免类型 | 描述 | 典型责任(如果应用豁免) |
|---|---|---|
| 交易风险分析 (TRA) | 基于收单行/发卡行分析的低风险交易,低于欺诈阈值。 | 商户(如果由商户请求)/ 发卡行(如果由发卡行应用) |
| 低价值支付 | 交易金额低于特定值(例如 30 欧元),有累积限制。 | 商户(如果由商户请求) |
| 受信任的受益人 | 持卡人向发卡行将商户加入白名单。 | 商户(如果由商户请求) |
| 经常性支付(后续) | 初始 SCA 后的后续支付。 | 商户(通常对于 MIT) |
商户和 PSP 可以在 EMV 3DS 认证消息中表明他们请求豁免。
Corbado 基于结果的 SCA Passkey
5.3 责任转移的影响#
使用 3-D Secure 的一个显著好处一直是某些类型的欺诈性退单责任可能发生转移。
-
成功认证的交易:当一笔交易通过 Mastercard Identity Check 成功认证(无论是通过无感流程还是挑战),声称为“未经授权”的退单责任通常从商户转移到发卡行。即使认证是无感的,这种保护也适用,尽管具体的卡组织规则和情景可能适用。
-
豁免的影响:这是一个关键点:如果商户或其 PSP 请求 SCA 豁免(如 TRA 或低价值)并且发卡行批准了,欺诈责任通常仍由商户承担。商户获得了更顺畅结账的好处,但保留了欺诈的财务风险。然而,如果发卡行单方面决定应用豁免(例如,基于其自身的风险评估),责任可能会转移到发卡行。
-
尝试/失败的认证:当认证被尝试但失败或无法完成(例如,发卡行 ACS 不可用)时,围绕责任的规则可能很复杂,并取决于具体情况和卡组织规则。Mastercard 的规则可能在某些情况下提供商户保护,即使发卡行尚未完全迁移。
-
仅数据流:像 Mastercard 的“Identity Check Insights”这样的特定流程,涉及共享数据进行风险评估而不执行完整的认证尝试,明确不授予商户责任转移。
这为商户和 PSP 创造了一个重要的战略决策点。请求豁免可以通过确保无感体验来优化转化率,但代价是保留欺诈责任。相反,强制进行认证(即使它导致发卡行批准的无感流程)可能会确保责任转移,但如果需要挑战,则可能引入摩擦。因此,需要一个复杂的风险管理策略来确定每笔交易的最佳方法,平衡转化目标与欺诈风险承受能力。
此外,无感流程的成功以及 RBA 决策的准确性,高度依赖于商户及其 PSP 通过 EMV 3DS 消息提供的数据的质量和完整性。不完整或不准确的数据会妨碍发卡行进行可靠风险评估的能力,可能导致更多的挑战甚至拒绝,从而削弱了系统的好处。实现最佳的无感性能是一项协作努力,需要在收单方进行勤勉的数据管理。
6. 发卡行集成路径:ACS 选择和 BIN 启用#
对于卡片发卡行而言,与 Mastercard Identity Check 计划集成对于利用其安全性和用户体验优势至关重要。这涉及启用其卡片组合(通过银行识别码,即 BIN 识别)并连接到认证基础设施,主要通过访问控制服务器 (ACS)。
6.1 访问控制服务器 (ACS) 的作用#
ACS 位于发卡行域内,从发卡行的角度来看,是认证过程的技术核心。其主要职责包括:
-
接收从商户通过 Mastercard 目录服务器 (DS) 路由来的认证请求(AReq 消息)
-
验证特定卡号是否已注册并有资格使用 Mastercard Identity Check
-
执行风险评估(通常利用 RBA 引擎和像 Mastercard 智能认证分数这样的数据)
-
决定是无感认证还是发起挑战
-
如果需要,管理挑战过程(例如,通过短信发送 OTP,通过银行应用提示进行生物识别验证)
-
生成并返回认证响应(ARes 消息),包括成功认证交易的关键账户持有人认证值 (AAV),返回给 DS
6.2 发卡行 ACS 选项#
发卡行有几种实施 ACS 功能的途径:
-
自建 ACS:发卡行可以选择在自己的 IT 环境中构建、部署、托管和管理自己的 ACS 软件解决方案。
-
优点:对认证逻辑、风险规则、用户体验定制以及与内部系统的集成拥有最大控制权。
-
缺点:需要大量的内部技术专长、显著的开发和维护资源,以及严格遵守持续的 EMVCo 和 PCI 3DS 合规标准。
-
-
托管 ACS(第三方供应商):发卡行可以与专业的、经 Mastercard 批准的 ACS 供应商合作,他们将 ACS 作为托管服务提供。在这种模式下,发卡行通常被称为“托管主体”。
-
优点:降低发卡行的运营复杂性、基础设施成本和合规负担。利用供应商的专业知识,并可能提供更快的上市时间。
-
缺点:与自建解决方案相比,可能提供较少的精细控制和定制。依赖第三方来执行关键功能。
-
供应商生态系统:Mastercard 维护着一个合规 ACS 供应商列表,例如 Entersekt、Netcetera、GPayments 和 Logibiztech 等公司。
-
-
Mastercard 补充服务:Mastercard 提供增值服务,可以增强发卡行选择的 ACS 路径:
-
Mastercard 智能认证 for ACS/发卡行:提供 RBA 智能以增强 ACS 的决策能力。
-
Mastercard 备用 RBA:如果发卡行的主 ACS 不可用或特定 BIN 尚未完全启用 EMV 3DS,则提供备用 RBA 处理。
-
Mastercard 3-D Secure 认证挑战服务:提供生物识别挑战功能(利用 FIDO 标准),可以与 ACS 流程集成。
-
在自建和托管 ACS 之间的选择对发卡行来说是一个重大的战略决策,需要在控制欲与效率、成本效益和实施速度之间取得平衡。
6.3 发卡行 BIN 启用清单#
为 Mastercard Identity Check 启用特定的银行识别码 (BIN) 范围涉及一系列协调步骤:
-
选择 ACS 路径:确定是使用自建 ACS 还是托管提供商。
-
确保 ACS 合规:验证所选的 ACS 解决方案(自建或供应商)是否符合当前的 Mastercard Identity Check 计划规则和相关的 EMV 3DS 规范版本。这通常涉及 ACS 运营商完成 Mastercard 合规性测试。
-
注册 Mastercard Identity Check:通过 Mastercard Connect 上的 Mastercard Identity Check 测试平台将发卡机构注册到该计划中,接受条款并提供必要的标识符,如公司 ID (CID) 和银行间卡协会 (ICA) 编号。
-
向目录服务器注册 BIN 范围:使用 Mastercard Connect 上的身份解决方案服务管理 (ISSM) 工具注册将参与 Identity Check 的特定 BIN 范围。对于每个注册的范围,必须提供相应 ACS 的 URL。请注意,先前为 Mastercard SecureCode (3DS 1.0) 注册的 BIN 范围需要为 Identity Check (EMV 3DS) 单独注册。
-
配置认证规则:定义将用于已注册 BIN 的主要认证方法(例如 RBA)和任何升级挑战方法(例如短信 OTP、生物识别)。确保已配置对无感和挑战流程的支持。
-
管理证书:使用 Mastercard 密钥管理门户获取和管理必要的传输层安全 (TLS) 服务器/客户端证书,以实现与 Mastercard 目录服务器的安全通信,以及适用的数字签名证书。
-
实施 AAV 验证:建立流程以验证在已认证交易的授权消息中收到的账户持有人认证值 (AAV)。这可以在内部完成,也可以使用 Mastercard 的 AAV 验证服务。
-
与处理方协调:确保发卡行的支付处理方能够处理与 Mastercard Identity Check 相关的任何新数据元素,例如数字交易洞察。
-
上线并监控:配置和测试完成后,在生产环境中激活已注册的 BIN 范围,并持续监控交易性能和 KPI。
认识到 BIN 管理是一个持续的过程非常重要。行业变化,例如从 6 位 BIN 迁移到 8 位 BIN,要求发卡行主动评估其产品组合,可能需要整合 BIN,并更新其系统和配置,以确保像 Mastercard Identity Check 这样的认证服务能够持续无缝运行。
7. 对商户和 PSP 的影响:提高批准率,减少摩擦#
采用 Mastercard Identity Check 和底层的 EMV 3DS Mastercard 计划为商户及其服务的支付服务提供商 (PSP) 带来了显著优势。核心影响围绕着提高交易成功率、增强客户体验以及简化全球电子商务环境中的运营。
7.1 批准率提升#
最引人注目的好处之一是可能提高授权批准率。
-
工作原理:通过 EMV 3DS 交换的更丰富数据,结合使用人工智能和行为分析的复杂 RBA 引擎,为发卡行提供了对交易合法性的更深入洞察。这使他们能够更准确地区分真实客户和欺诈者,从而减少错误拒绝——即合法交易因涉嫌欺诈而被错误拒绝的情况。
-
量化结果:研究和报告表明有显著改善。Mastercard 的数据显示,一年内数十亿笔交易的平均批准率提升了 10-12 个基点(0.10-0.12%),甚至高达 14%。其他来源提到可能提升 12%。案例研究,如涉及一家服装零售商的案例,表明通过 Identity Check 改善批准率和减少欺诈,销售额大幅增加。
-
好处:对于商户而言,更高的批准率直接转化为更多的完成销售、更高的收入和更高的客户满意度。对于 PSP 而言,提供一个能显著提升其客户批准率的解决方案,增强了他们的价值主张和竞争力。
7.2 减少升级认证并增强客户体验#
有效 RBA 的一个直接后果是显著减少了对升级认证的需求,即主动挑战持卡人提供进一步身份证明的情况。
-
工作原理:目标是让绝大多数(通常引用的比例为 >90% 或 95%)的交易能够基于风险评估无感认证。这意味着客户在结账时受到的干扰更少。
-
好处:这通过消除不必要的障碍,极大地改善了用户体验。减少摩擦直接导致商户的购物车放弃率降低和转化率提高。
7.3 简化的全球推广#
Mastercard Identity Check 基于全球 EMV 3DS 标准,为跨境运营的企业简化了实施和管理。
-
工作原理:EMV 3DS 为全球参与的发卡行和收单行提供了一个通用的技术语言和认证框架。
-
好处:这种标准化降低了国际商户和 PSP 的复杂性,否则他们可能需要集成多个、分散的区域性认证解决方案。通过 Mastercard 及其合作伙伴提供的标准化协议、API 和 SDK,集成得以简化。此外,使用像 Mastercard Identity Check 这样基于 EMV 3DS 的解决方案,有助于企业满足欧洲的 PSD2 SCA 等监管要求以及其他地区正在出现的类似指令。
对于 PSP 而言,这些商户的好处被放大了。通过提供像 Mastercard Identity Check 这样强大、全球一致且高性能的认证解决方案,PSP 可以吸引更多商户,减少自己管理多样化认证方法的运营开销,并可能降低他们因商户转嫁的欺诈相关成本而面临的风险。
Mastercard Identity Check
8. KPI 框架与报告#
为了有效管理和优化 Mastercard Identity Check 的性能,发卡行、收单行和商户需要一个清晰的关键绩效指标 (KPI) 框架。跟踪这些指标可以提供关于用户体验、安全有效性以及对 EMV 3DS Mastercard 计划规则遵守情况的洞察。
8.1 关键绩效指标 (KPI)#
根据计划指南和最佳实践,以下 KPI 对于监控 Mastercard Identity Check 的性能至关重要:
-
挑战率:衡量导致持卡人被主动挑战(例如,要求输入 OTP 或进行生物识别验证)的认证请求百分比。较低的挑战率通常表示更好、更无感的用户体验。Mastercard 的指导建议目标是将挑战率控制在交易的 10% 以下,主要依赖 RBA。
-
认证成功率:跟踪由持卡人成功完成并由发卡行验证的认证尝试(包括无感和挑战)的百分比。高成功率对于最大限度地减少交易放弃至关重要。Mastercard 可能会为整体认证交易批准率设定最低阈值(例如 90%),并专门监控挑战成功率。
-
无感率:挑战率的反向指标,衡量无需持卡人交互即可成功完成的认证百分比。高无感率是 EMV 3DS 的主要目标,与更高的整体成功率和更好的用户体验密切相关。
-
欺诈率:监控已确认的欺诈交易率,特别是那些通过 Identity Check 认证的交易,对于评估系统在预防欺诈方面的有效性至关重要。Mastercard 通过诸如“过度欺诈商户”(EFM) 计划来监控商户的欺诈水平。一个关键目标是看到与未经认证的交易相比,欺诈率有所下降。
-
授权批准率:交易成功的最终衡量标准是发卡行的最终授权批准率。Identity Check 旨在通过减少错误拒绝来提升此比率。
-
技术性能:诸如 ACS 和 3DS 服务器的正常运行时间(Mastercard 要求供应商达到 99.0% 的可用性)、交易处理时间和认证消息中的错误率等指标也至关重要。
| KPI | 描述 | 重要性 | 目标示例(如有) |
|---|---|---|---|
| 挑战率 | 导致主动持卡人挑战的认证请求百分比。 | 衡量摩擦。 | <10% |
| 认证成功率 | 成功完成的认证尝试百分比。 | 最小化放弃率。 | >90%(整体) |
| 无感率 | 无需挑战即可完成的认证百分比。 | 衡量无缝性。 | >90-95% |
| 欺诈率 | 确认的欺诈交易率(认证后)。 | 衡量安全有效性。 | 相对于未经认证的交易有所降低 |
| 授权批准率 | 最终发卡行批准率。 | 衡量整体交易成功。 | 相对于 Identity Check 之前有所提高 |
| 技术性能 | ACS/3DS 服务器正常运行时间、处理时间、错误率。 | 确保系统可靠性。 | 例如 99.0% 正常运行时间 |
8.2 报告机制#
监控这些 KPI 依赖于各种报告渠道:
-
Mastercard 计划监控: Mastercard 积极监控参与者相对于既定计划 KPI 的表现。不合规可能会触发通知,并可能根据 DIMP 或 EFM 等计划进行评估或罚款。
-
数据完整性监控计划 (DIMP) 报告: 该计划专门关注流经 Mastercard 网络的交易数据的准确性和完整性。发卡行和收单行可以通过专用门户访问 DIMP 报告,以识别被标记为存在数据完整性问题的交易。一些 DIMP“编辑”直接与 EMV 3DS 数据相关,例如缺失或无效的 DS 交易 ID、缺失的豁免指示符、无效的 AAV 或不匹配的交易金额。发卡行可以专门订阅 Mastercard 数据完整性监控报告,以跟踪其在无感率目标方面的表现。
-
支付服务提供商 (PSP) / 供应商报告: 商户和发卡行通常利用其 PSP、3DS 服务器提供商或 ACS 供应商提供的报告仪表板和分析来跟踪其认证性能指标。
有效利用这些 KPI 和报告机制,使利益相关者能够识别改进领域、优化配置(如 RBA 规则)、解决技术问题,并最终最大化 Mastercard Identity Check 计划的效益。
9. 路线图:EMV 3DS v2.3+ 和 SPC 的认证未来#
在线支付认证的格局在不断演变,其驱动力来自于对增强安全性、监管变化以及对更流畅用户体验的需求。Mastercard Identity Check 基于 EMV 3DS Mastercard 计划 构建,因此与 EMVCo 为 3-D Secure 协议设定的路线图紧密相连。
EMV 3DS 演进 (v2.1, v2.2, v2.3)
自首次发布(2.0 版)以来,EMV 3DS 协议已经历了多次迭代,每一次都引入了新功能和改进:
-
EMV 3DS 2.1: 成为强制性基线,与 3DS 1.0 相比,它包含了对更丰富数据交换和改进移动体验的基础支持。Mastercard 要求在 2020 年中之前提供支持。
-
EMV 3DS 2.2: 引入了进一步的增强功能,包括更好地支持 SCA 豁免(如通过 Mastercard 消息扩展实现的收单行 TRA 和受信任商户列表)和优化的数据元素。Mastercard 开始支持 2.2 的合规性测试,并在之后强制执行。Mastercard Gateway 计划于 2024 年 9 月停止对 2.1 的支持,使 2.2 成为实际的最低标准。
-
EMV 3DS 2.3 (特别是 2.3.1): 由 EMVCo 在 2021/2022 年末发布,此版本代表了最新的重大进展,专注于进一步提高安全性、用户体验和渠道支持。与认证未来相关的关键功能包括:
-
增强的数据和流程: 额外的数据元素和消息流,以进一步简化认证并改善欺诈检测。包括用于经常性支付和支付令牌的更丰富数据。
-
安全支付确认 (SPC) 支持: 为 SPC 集成点,能够在 3DS 流程中使用 FIDO 认证器对交易详情进行加密确认。
-
WebAuthn 支持: 明确支持使用 W3C 的 Web Authentication (WebAuthn) 标准,便于使用 passkeys 和平台认证器(如设备生物识别)进行挑战。
-
带外 (OOB) 认证改进: 自动化转换,以简化当认证需要通过单独渠道(如银行应用)进行时的用户体验。
-
设备绑定: 允许用户将受信任的设备与其账户关联,从而可能减少未来在该设备上的挑战。
-
拆分-SDK 模型: 为在不同平台(包括传统 Web/移动和新兴渠道如物联网设备)上实现 3DS SDK 提供了更大的灵活性。
-
UI 增强: 为发卡行和商户在挑战期间定制用户界面提供了更多选项。
-
作为 EMVCo 的关键成员,Mastercard 积极参与制定这些标准。他们是 SPC 和更广泛地向现代无密码认证方法(如 passkeys)发展的坚定支持者。像 DECTA 这样的公司已经获得了 Mastercard 的 EMV 3DS 2.3.1.1 早期认证,表明采用正在进行中。安全支付确认 (SPC) 集成 SPC 是一个 W3C Web 标准,旨在与 EMV 3DS 等认证协议协同工作。它利用 FIDO/WebAuthn 凭证 (passkeys),允许用户直接在浏览器内使用设备的内置认证器(例如,指纹、面容 ID、PIN)来认证并明确确认交易详情(金额、收款人)。
-
它如何与 EMV 3DS 2.3 集成: 在 3DS 挑战流程中,如果发卡行支持 SPC 并且用户在该设备上为发卡行注册了 FIDO 凭证 (passkey),发卡行的 ACS 可以在 ARes 消息中返回必要的信息。然后,商户的网站调用浏览器的 SPC API,呈现一个标准化的、安全的确认对话框。用户在本地进行认证(例如,通过生物识别),对交易详情进行加密签名。这个签名的断言被发送回 ACS 进行验证。
-
好处: 与 OTP 相比,SPC 有望提供一种高度安全(抗网络钓鱼)且可能摩擦极低的挑战体验,从而提高转化率。它为与特定交易详情相关的用户同意提供了强大的加密证明。Mastercard 正在积极推广 passkey 的采用和 SPC 的支持。
Mastercard 的更广阔愿景:迈向无密码未来 除了眼前的 EMV 3DS 路线图,Mastercard 还阐述了对在线认证未来的更广阔愿景,目标是到 2030 年完全消除手动输入卡号和密码。这一战略依赖于以下几点的融合:
-
令牌化: 用安全的网络令牌(通过 MDES - Mastercard 数字启用服务)替换敏感的主账户号码 (PAN),以保护底层卡数据。Mastercard 的目标是到 2030 年在欧洲等地区实现 100% 的电子商务令牌化。
-
生物识别认证: 通过 FIDO/WebAuthn 等标准以及 SPC 和 Mastercard 的 Payment Passkey Service 等技术,利用设备上的生物识别(指纹、面部识别——“微笑和指纹”)。
-
Click to Pay: Mastercard 基于 EMV 安全远程商务 (SRC) 标准的简化在线结账解决方案,旨在与令牌化和现代认证无缝协作。
这个未来设想了一种结账体验,用户只需通过简单的生物识别操作即可安全地认证和确认支付,而无需手动输入卡号或密码。EMV 3DS 的持续演进,包括 2.3 版和 SPC 的集成,是实现这一宏伟目标的关键垫脚石。
Corbado EMV 3DS ACS Passkeys
10. 结论:保障今天,构建未来#
Mastercard Identity Check,由 EMV 3DS Mastercard 计划 提供支持,代表了在保护数字支付生态系统方面的一次关键演进。它超越了其前身 Mastercard SecureCode 的局限性,解决了在现代电子商务中平衡强大欺诈预防与无感认证流程必要性这一核心挑战。
对于发卡行和商户而言,其好处是实实在在的:
-
增强的安全性: 利用丰富的数据交换、复杂的基于风险的认证 (RBA) 引擎、NuData 行为生物识别和设备智能,显著提高了欺诈检测的准确性。
-
改善的用户体验: 专注于无感流程,最大限度地减少了结账中断,降低了购物车放弃率并培养了客户忠诚度。
-
更高的批准率: 更准确的风险评估导致更少的错误拒绝,从而增加了合法销售和收入。
-
责任保护: 在已认证交易上实现责任转移的可能性仍然是采用该计划的一个关键激励。
实施 Mastercard Identity Check 需要仔细考虑集成路径,特别是发卡行对 ACS 的选择,以及对 BIN 启用和数据质量的勤勉管理。通过提供的 KPI 框架和报告工具(如数据完整性监控报告)来监控性能,对于优化和合规至关重要。展望未来,随着 EMV 3DS 2.3 及更高版本的演进,该计划将继续发展,整合诸如安全支付确认 (SPC) 和 WebAuthn 等标准,以实现使用 passkeys 和设备生物识别进行更安全、更友好的用户认证。这与 Mastercard 到 2030 年实现基于令牌化和生物识别的无密码、无卡号在线支付未来的更广阔愿景相一致。
随着认证领域向这些更现代、抗网络钓鱼的方法转变,理解像 Mastercard Identity Check 这样的计划所奠定的基础至关重要。对于寻求实施结合了强大安全性与无与伦比用户便利性的下一代认证的企业而言,探索基于 FIDO 标准的解决方案,例如由 Corbado 等提供商提供的 passkeys,是未来保障在线互动和支付的合乎逻辑的下一步。
关于 Corbado
Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容:哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey,为什么注册没有转化为登录,WebAuthn 流程在哪里失败,以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品:Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey(与你的 IDP 并存)。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey(passkey 激活率 +80%)。 与 Passkey 专家交谈 →
分享本文
相关文章
目录