支付 Passkey 格局：4 种核心集成模型

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

全球支付领域正处在一个关键的转折点。几十年来，整个行业一直在努力平衡安全性和用户便利性之间的内在矛盾，这一挑战在数字化的无卡交易 (Card-Not-Present, CNP) 环境中尤为突出。日益复杂的欺诈手段要求我们采用更强的认证措施，而消费者的期望则要求结账体验越来越顺畅。本文将全面分析这个不断演变的生态系统，并重点探讨 Passkey 技术的战略集成点。本文旨在为技术提供商、支付服务提供商、金融机构和商户提供一份权威指南，帮助他们顺利过渡到无密码的未来。

在更强的安全性需求（如强客户认证 (SCA)）和对顺畅用户体验的商业需求的双重驱动下，支付领域正在经历一场根本性的变革。抗网络钓鱼的 Passkeys 已成为解决这一矛盾的关键技术。我们的分析表明，业界正围绕四种不同的 Passkey 集成架构模型进行整合，每种模型都代表了对未来支付认证的不同构想：

1. 以发卡行为中心的模型（例如，通过 SPC）： 虽然技术上很出色，但该模型因缺乏关键的浏览器支持（尤其是苹果公司）而受到阻碍，使其在短期内难以成为一个实用的解决方案。
2. 以商户为中心的模型（委托认证）： 这种强大的模型允许大型商户利用其直接的客户关系，将认证环节前移，从而创造无缝的结账体验，但这伴随着巨大的责任，并需要发卡行的直接信任。
3. 以卡组织为中心的模型（Click to Pay）： 这是Visa和Mastercard等卡组织的一项重大战略举措，旨在通过为消费者提供一个便携的、卡组织级别的 Passkey 来主导游客结账体验。
4. 以 PSP 为中心的模型（钱包）： 这是一种主流模型，大型支付服务提供商（如PayPal）利用 Passkeys 来保护和简化其庞大且成熟的钱包生态系统内的体验。

每种模型都对一个核心战略问题给出了不同的答案：“谁将成为支付领域的主要依赖方？”本文将剖析这些相互竞争的架构，将其与生态系统中的参与者对应起来，为驾驭未来支付认证提供清晰的路线图。

要理解 Passkeys 可以在何处以及如何集成，首先必须清晰、详细地描绘出支付生态系统中的参与者及其各自的角色。一笔在线交易的流程涉及多个实体之间复杂的相互作用，每个实体在数据和资金的流动中都扮演着特定的角色。

每笔交易的核心都有五个基本参与者，他们构成了支付价值链的基础。

1. 客户/持卡人：

   • 描述：发起购买的个人或组织。持卡人从发卡银行获得支付卡（信用卡或借记卡），并负责偿还所产生的任何费用。
   • 目标：快速、简单、安全的结账体验。
   • 示例：任何拥有银行账户和/或支付卡的个人。

2. 商户：

   • 描述：销售商品或服务并接受电子支付的企业。为此，商户必须拥有必要的基础设施（通常由收单银行或支付服务提供商 (PSP) 提供），以接受和处理银行卡支付。
   • 目标：通过减少结账阻力来最大化销售转化率，同时减少欺诈。
   • 示例：电子商务网站、零售商店、订阅服务。

3. 发卡银行（Issuer）：

   • 描述：持卡人的银行或金融机构。发卡行向客户提供支付卡，承担相关的信用风险，并最终根据持卡人的账户状态和风险评估来决定批准或拒绝交易。
   • 目标：接收授权请求，并通过卡组织网络发回响应码。
   • 示例：美国银行 (Bank of America)、大通银行 (Chase)、巴克莱银行 (Barclays)。

4. 收单银行（Acquirer）：

   • 描述：商户的银行，也称为商户银行。收单行维护商户的账户，并代表商户处理银行卡交易。
   • 目标：从商户接收支付详情，通过卡组织网络将其路由至发卡行，并在获得批准后，将资金结算到商户账户。
   • 示例：富国银行商户服务 (Wells Fargo Merchant Services)、Worldpay (from FIS)。

5. 卡组织（Schemes）：

   • 描述：连接所有其他参与者的技术支柱。像Visa、Mastercard、美国运通和 Discover 这样的公司运营着这些庞大的网络。它们不发行卡片或开设商户账户，但提供管理交易的关键基础设施、规则和标准。
   • 目标：促进授权请求的路由以及在发卡行和收单行之间进行资金的清算和结算。
   • 示例：Visa、Mastercard、美国运通。

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

在核心参与者之间，存在一个复杂且常常重叠的技术和服务提供商生态系统。理解这些中介机构之间的区别至关重要，因为它们通常是像 Passkeys 这样的新技术的首要集成点。近年来，这些角色之间的界限已变得相当模糊，因为现代提供商寻求提供更全面的“一体化”解决方案。

1. 支付网关：

   • 描述：支付网关是充当交易安全数字门户的技术。其主要作用是从商户的网站或销售点 (POS) 系统捕获客户的敏感支付详情，对其进行加密，并安全地传输给支付处理商或收单银行。它是交易的“前门”，负责数据的安全传输，但不负责资金本身的流动。
   • 目标：为商户提供一种安全可靠的方式来接受在线支付。
   • 示例：Authorize.net（Visa 的解决方案）、Braintree、Stripe Payment Gateway。

2. 支付处理商：

   • 描述：支付处理商是执行各方之间交易消息的实体。在从支付网关接收到安全数据后，处理商与卡组织网络以及发卡行和收单行进行通信，以促进交易的授权和结算。我们可以将处理商看作是处理支付所需技术通信的操作引擎，而网关则是该通信的安全通道。
   • 目标：可靠高效地执行支付消息，管理交易结算，并处理发卡行和收单行之间的争议解决。
   • 示例：First Data（现为 Fiserv）、TSYS、Worldpay。

3. 支付服务提供商 (PSP)：

   • 描述：支付服务提供商是一家为商户提供接受电子支付的全面捆绑解决方案的公司。现代 PSP 通常将支付网关和支付处理商的功能结合在一起，并且通常还提供商户账户，所有这些都在一份合同下完成。这种“一体化”模式极大地简化了商户的流程，他们不再需要与网关提供商和收单银行建立独立的关系。在某些情况下，为商户聚合各种支付方式的 PSP 也被称为支付聚合商。
   • 目标：为商户提供满足其所有支付需求的一站式服务，消除复杂性并简化支付受理。
   • 示例：Stripe、Adyen、PayPal、Mollie。

4. 账户到账户 (A2A) / 开放银行提供商：

   • 描述：这是一个快速增长的支付提供商类别，它完全绕过了传统的卡组织网络。A2A 支付将资金直接从消费者的银行账户转移到商户的银行账户。这通常得益于“开放银行”法规（如欧洲的 PSD2），该法规要求银行必须为持牌第三方提供商提供对客户账户数据和支付发起服务的安全 API 访问。这些提供商在这些 API 之上构建用户友好的界面，允许消费者通过其银行进行身份验证并无缝批准支付。
   • 目标：通过消除交换费和利用银行级认证减少欺诈，提供一种成本更低、安全性更高的银行卡支付替代方案。
   • 示例：Trustly、Plaid、Tink、GoCardless、Fintecture。

这种角色的整合具有深远的影响。虽然在学术上有所区别，但在实践中，商户的单一联系点通常是一个 PSP，它将底层网关、处理商和收单行关系的复杂性抽象化了。然而，这些 PSP 的能力可能差异巨大。一个仅仅是另一家公司网关服务经销商的 PSP，其技术能力和战略利益与拥有自己处理基础设施和收单许可证的全栈 PSP 大相径庭。在评估高级认证方法的集成机会时，这种区别很重要。

此外，对支付流程的深入分析揭示了一个基本概念，它阐明了新认证技术背后的战略动机：依赖方 (Relying Party, RP) 的角色。在 FIDO 认证和 Passkeys 的背景下，依赖方是最终负责验证用户身份的实体。在标准的支付交易中，发卡行承担欺诈的财务风险，因此是默认的依赖方；批准或拒绝支付是它们的决定。

新兴的 Passkey 集成架构模型可以最好地理解为一场关于谁来扮演依赖方角色的战略博弈。在安全支付确认 (SPC) 模型中，发卡行仍然是 RP，但允许商户调用认证仪式。在委托认证 (DA) 中，发卡行明确地将 RP 功能委托给商户或其 PSP。而在以卡组织为中心的模型中，Visa 和 Mastercard 将自己定位为游客结账交易的联合依赖方。因此，任何考虑集成 Passkey 的支付提供商面临的核心问题是：

答案直接指向了集成机会、关键决策者以及潜在的战略目标。

为了清晰地展示这些关系，一张说明支付生命周期的流程图是必不可少的。这样的图表将描绘两条不同但相互关联的路径：

1. 数据流（授权）： 这条路径追踪授权请求的旅程。它始于客户在商户网站上提交支付详情，流经支付网关到处理商/收单行，然后通过卡组织网络到达发卡行进行风险决策，最后，批准或拒绝的响应会一路返回给商户和客户。整个过程在几秒钟内完成。

2. 价值流（结算）： 这条路径说明了资金的流动，它发生在授权之后。它显示了批量交易被清算，资金从发卡行流出，通过网络到达收单行（减去交换费），最后存入商户的账户，这个过程通常需要几个工作日。(支付处理：支付处理如何运作 | Stripe)

这种可视化让生态系统中的任何参与者都能立即定位自己的位置，并理解他们与所有其他各方的直接和间接关系，为详细分析认证干预可以在何处发生奠定了基础。

sequenceDiagram
    participant C as 客户
    participant M as 商户
    participant P as 网关/收单行
    participant N as 卡组织
    participant I as 发卡行

    C->>M: 1. 提交支付详情
    M->>P: 2. 安全传输详情
    P->>N: 3. 授权请求
    N->>I: 4. 路由至发卡行进行验证
    I-->>N: 5. 批准/拒绝响应
    N-->>P: 6. 中继响应
    P-->>M: 7. 中继响应
    M-->>C: 8. 确认订单或请求新支付方式

    M->>P: 9. 提交已批准交易的批次
    P->>N: 10. 清算请求
    N->>I: 11. 向发卡行请求资金
    I-->>N: 12. 转移资金（减去交换费）
    N-->>P: 13. 将资金记入收单行
    P-->>M: 14. 将资金存入商户（减去处理费）

虽然支付生态系统中有各种规模的参与者，但处理和收单市场集中在几个因地区而异的大型参与者周围。全球巨头常常与强大的国家和地区冠军企业竞争。下表简要介绍了不同地区的关键参与者。

每一次在线购买都会触发一个复杂、高速的事件序列，可以分解为两个主要阶段：授权和结算。在这个过程之上，还有一个名为 3-D Secure 的关键安全协议，这对于理解现代在线支付认证的挑战至关重要。

Integrate passkeys as Payment Provider via 3rd party SDK.

Read article

单笔 CNP 交易的生命周期包括近乎即时的数据交换，随后是较慢的资金转移。

授权是验证持卡人是否有足够的资金或信用额度来完成购买，以及交易是否合法的过程。这个阶段在几秒钟内完成，并遵循一个精确的多步骤路径(支付处理：支付处理如何运作 | Stripe)：

1. 交易发起： 客户选择商品，进入结账页面，并在商户的在线支付表单中输入他们的支付卡详情（卡号、有效期、CVV）。

2. 安全传输： 商户的网站将这些信息安全地传递给其支付网关。网关对数据进行加密以在传输过程中保护它。

3. 路由至处理商/收单行： 网关将加密的交易详情转发给支付处理商和/或商户的收单银行。

4. 网络通信： 收单行将授权请求发送到相应的卡组织（例如，Visa、Mastercard）。

5. 发卡行验证： 卡组织将请求路由到持卡人的发卡银行。发卡行的系统会进行一系列检查：验证卡的有效性，检查可用余额或信用额度，并通过其欺诈检测引擎运行交易。

6. 授权响应： 基于这些检查，发卡行批准或拒绝交易。这个决定以响应码的形式，沿着相同的路径返回：从发卡行到卡组织，到收单行，到处理商/网关，最后到商户的网站。

7. 完成： 如果获得批准，商户完成销售并通知客户。如果被拒绝，商户会要求客户提供替代的支付方式。

结算是将资金从发卡行实际转移到商户的过程。与授权不同，这不是即时的，通常以批处理方式进行。(支付处理：支付处理如何运作 | Stripe)

1. 批处理： 在营业日结束时，商户将其所有已批准授权的批处理文件发送给其收单行。
2. 清算： 收单行将批次提交给卡组织进行清算。网络对交易进行分类，并将其转发给各自的发卡银行。
3. 资金转移： 发卡银行为已批准的交易将资金转移到收单银行，减去交换费，这是收单行为每笔交易支付给发卡行的费用。
4. 商户存款： 收单行随后将资金存入商户的账户，减去其自己的处理费。整个结算过程通常需要 1-3 个工作日。

在每笔 CNP 交易之上，都有一个名为 3-D Secure (3DS) 的关键安全协议。该协议由 EMVCo 管理，其目的是让发卡行验证持卡人身份，减少欺诈，并将退单责任从商户转移到发卡行。

现代 3DS（也称为 3DS2）通过在商户和发卡行的访问控制服务器 (Access Control Server, ACS) 之间交换一组丰富的数据来工作。这些数据允许 ACS 进行风险评估，从而产生两种结果：

• 无感流程： 如果交易被认为是低风险的，它会在后台静默批准，无需用户交互。这是大多数交易的目标。
• 挑战流程： 如果交易是高风险的，或者根据像 PSD2 这样的法规要求，用户会被主动挑战以证明其身份，通常是通过 OTP 或银行应用通知。

这个“挑战”是主要的摩擦点，也是转化率的关键战场。行业的目标是最大化无感流程，同时使挑战尽可能无缝。正是这种高摩擦的挑战，Passkeys 能够完美解决，将一个潜在的失败点转变为一个安全无缝的步骤。

graph TD
    A[开始：客户进行支付] --> B{商户发起 3DS 检查}；
    B --> C[商户的 SDK 将丰富的交易和设备数据发送给发卡行的 ACS]；
    C --> D{ACS 风险引擎分析数据}；
    D --> E{交易是否高风险或需要 SCA？}；
    subgraph 无感流程
    E -- 否 --> F[被动批准认证 - 无需用户交互]；
    end
    subgraph 挑战流程
    E -- 是 --> G[提示用户进行认证挑战]；
    G --> H{用户完成挑战？ - 例如，OTP、应用推送、SPC/Passkey}；
    H -- 是 --> I[认证批准]；
    H -- 否 --> J[认证失败]；
    end
    F --> K[交易继续，责任转移给发卡行]；
    I --> K；
    J --> L[交易被阻止]；

基于 FIDO 联盟抗网络钓鱼的 WebAuthn 标准的 Passkeys 的出现，正在催化支付认证的根本性重新设计。这与一个强大的行业趋势同时发生：商户已经开始采用 Passkeys 进行标准的用户认证（注册和登录），以对抗账户盗用欺诈并改善用户体验。这项现有的投资为构建特定于支付的 Passkey 模型奠定了自然的基础。

在这个模型中，用户的银行（发卡行）是认证的最终依赖方 (RP)。Passkey 绑定到银行的域名（例如 bank.com），用户直接通过他们的银行进行认证以批准交易。这个模型有两种主要形式，取决于支付是通过银行卡渠道还是通过直接的账户到账户转账。

在这个模型中，发卡银行仍然控制着认证，Passkey 以加密方式绑定到发卡行的域名（例如 bank.com）。虽然简单的重定向到银行网站是可能的，但这会造成糟糕的用户体验。

谁拥有 Passkey？ 在以发卡行为中心的模型中，发卡行是依赖方 (RP)。

采用飞轮和网络效应： 发卡行 Passkey 的可重用性创造了一个强大的飞轮。一旦用户为其银行创建了一个 Passkey，这个单一的 Passkey 就可以在任何使用 3DS 协议的商户处无缝批准受挑战的交易。这对消费者（更好的用户体验）和商户（更高的转化率）都增强了发卡行银行卡的价值。

行业为此设计的解决方案是安全支付确认 (Secure Payment Confirmation, SPC)，这是一个 Web 标准，允许商户直接在结账页面上调用银行的 Passkey，避免重定向。这个过程还使用动态链接将认证与交易详情绑定，这对于 SCA 至关重要。

战略缺陷： 尽管技术上很出色，但 SPC 在今天并不是一个可行的策略。它需要的浏览器支持在苹果的 Safari 中并不存在。没有 Safari，SPC 无法成为一个通用的解决方案，这使得它对于任何大规模实施都不切实际。

sequenceDiagram
    participant U as 用户
    participant M as 商户网站
    participant I as 发卡行 ACS

    Note over M,I: 3DS 检查确定需要进行挑战。
    M->>I: 授权请求（高风险）
    I-->>M: 发起 SPC 挑战
    Note over U,M: 浏览器向用户显示原生提示。
    M->>U: 为发卡行域名（例如 bank.com）触发 SPC API
    U->>U: 用户使用设备生物识别（面容 ID 等）进行认证
    U-->>M: 浏览器收到 bank.com 的签名断言
    M->>I: 转发签名断言进行验证
    I-->>M: 认证成功

虽然之前的模型都以银行卡生态系统为中心，但由开放银行推动的账户到账户 (A2A) 支付，呈现出一种强大而独特的范式。该模型完全绕过了银行卡渠道，其与 Passkeys 的集成异常直接和有效。

在这个模型中，用户直接通过自己的银行进行认证以批准支付。这个过程的摩擦——通常涉及笨拙的重定向和密码登录——一直是 A2A 普及的主要障碍。Passkeys 直接解决了这个核心问题。

谁拥有 Passkey？ 银行是依赖方 (RP)。这个 Passkey 是用户已经为日常网上银行 mybank.com 创建的那个。

采用飞轮和网络效应： 飞轮效应是巨大的，并由银行自身驱动。当银行鼓励用户从密码切换到 Passkeys 来登录他们的主要银行应用或网站时，这些 Passkeys 就自动准备好用于任何开放银行支付。用户无需做任何额外的事情。这使得 A2A 支付流程像生物识别扫描一样简单，极大地增加了其吸引力和与银行卡的竞争力。

工作原理：

1. 在结账时，用户选择一个 A2A 提供商（例如 Trustly、Plaid）或他们自己的银行。
2. 提示用户通过他们的银行授权支付。
3. 银行作为 RP，触发一个 Passkey 认证挑战。
4. 用户使用面容 ID、指纹或 PIN 进行认证。
5. 银行安全地确认支付，资金直接转入商户账户。

这个模型不属于其他四个模型，因为它不涉及卡组织网络、3DS、SPC 或委托认证。这是一个以银行为中心的流程，其中 A2A 提供商充当商户和银行自身（现在已启用 Passkey 的）认证系统之间的协调层。

sequenceDiagram
    participant U as 用户
    participant M as 商户网站
    participant A2A as A2A 提供商 (例如 Trustly)
    participant B as 用户银行

    U->>M: 选择“从银行支付”
    M->>A2A: 发起 A2A 支付
    A2A->>U: 提示用户选择他们的银行
    U->>A2A: 选择银行
    A2A->>B: 请求支付授权
    Note over B,U: 银行提示用户进行 Passkey 认证
    U->>B: 使用 mybank.com 的 Passkey 进行认证
    B-->>A2A: 认证成功，支付已授权
    A2A-->>M: 确认支付
    M-->>U: 确认订单

委托认证代表了对传统模型的更彻底的背离。在 3DS 2.2 版本和特定卡组织计划的支持下，DA 是一个框架，发卡行可以正式将执行 SCA 的责任委托给受信任的第三方，最常见的是大型商户、PSP 或数字钱包提供商。

谁拥有 Passkey？ 在这个模型中，商户或其 PSP 是依赖方 (RP)。Passkey 是为商户的域名（例如 amazon.com）创建的，并用于账户登录。

要获得 DA 资格，商户执行的初始认证必须完全符合 SCA 要求。根据欧洲银行管理局关于强客户认证的指导方针，这不仅仅是一个简单的登录；它必须具有与发卡行自己执行的认证同等的强度。Passkeys 凭借其强大的加密属性，是满足这一高标准的理想技术。然而，一个关键的监管不确定性仍然存在于同步 Passkeys。虽然设备绑定的 Passkeys 明确满足 SCA 的“拥有”要素，但像 EBA 这样的监管机构尚未就同步 Passkeys（可在用户的云账户中跨设备移植）是否满足与单个设备唯一链接的严格要求发表明确意见。这是欧洲任何 DA 策略的关键考虑因素。

Subscribe to our Passkeys Substack for the latest news.

Subscribe

在这个模型中，认证事件在客户旅程中向上游移动。它不再发生在结账流程的末尾作为 3DS 挑战，而是在客户登录商户网站或应用时在开始时发生。如果商户使用 Passkey 登录，他们可以在 3DS 数据交换中将这个成功的、符合 SCA 的认证证据传递给发卡行。发卡行在与该商户预先建立了信任关系后，可以使用此信息授予豁免并完全绕过其自身的挑战流程。这可以为已登录用户带来真正无缝的、一键式生物识别结账。

采用飞轮和网络效应： 这里的飞轮由商户的直接客户关系驱动。随着商户采用 Passkeys 登录以减少账户盗用欺诈并改善用户体验，他们建立了一个启用 Passkey 的用户基础。这为在支付中利用这些 Passkeys 进行 DA 创造了一条自然的途径，从而解锁了卓越的结账体验。对于可以为多个商户充当 RP 的 PSP 来说，网络效应最强，这可能允许一个单一的 Passkey 在一个商店网络中使用，为其他商户加入该 PSP 的生态系统创造了强大的激励。

卡组织正在通过专门的计划积极培育这种模式。Visa 的 Guide Authentication 框架就是设计用于 DA，以授权商户代表发卡行执行 SCA。同样，Mastercard 的 Identity Check Express 计划使商户能够在商户自己的流程中对消费者进行认证。这个模型反映了大型商户和 PSP 的战略愿景：

然而，这种权力伴随着责任。根据欧洲法规，DA 被视为“外包”，这意味着商户或 PSP 承担欺诈交易的责任，并且必须遵守严格的合规和风险管理要求。

sequenceDiagram
    participant U as 用户
    participant M as 商户网站
    participant I as 发卡行 ACS

    Note over U,M: 步骤 1：用户登录商户网站。
    U->>M: 使用 merchant.com 的 Passkey 进行认证
    M-->>U: 登录成功（已执行 SCA）

    Note over U,I: 步骤 2：稍后，在结账时...
    U->>M: 点击“支付”
    M->>I: 授权请求（包括先前 SCA 的证明）
    I->>I: 验证委托认证证明
    I-->>M: 批准交易（无需 3DS 挑战）

这个模型是卡组织（Visa、Mastercard）为拥有和标准化游客结账体验而推动的一项重大战略举措。他们已经在 Click to Pay 框架之上构建了自己的基于 FIDO 的 Passkey 服务，例如 Visa Payment Passkey Service。

谁拥有 Passkey？ 在以卡组织为中心的模型中，卡组织是依赖方。Passkey 是为卡组织的域名（例如 visa.com）创建的。

采用飞轮和网络效应： 这个模型拥有最强大的网络效应。为卡组织创建的单个 Passkey 可在支持 Click to Pay 的每个商户中即时重用，为消费者创造巨大价值，并驱动经典的双边市场飞轮。

sequenceDiagram
    participant U as 用户
    participant M as 商户网站
    participant N as 卡组织 (Click to Pay)
    participant I as 发卡行

    Note over M,U: 游客结账流程
    U->>M: 点击“Click to Pay”按钮
    M->>N: 发起 Click to Pay 流程
    Note over N,U: 提示用户向卡组织进行认证。
    N->>U: 浏览器触发 network.com 的 Passkey 提示
    U->>U: 用户使用设备生物识别进行认证
    U-->>N: 签名断言返回给卡组织
    N->>N: 验证用户，检索存储的卡令牌
    N->>I: 使用网络令牌的授权请求
    I-->>N: 批准/拒绝
    N-->>M: 将授权响应发送给商户

这个模型围绕着运营自己面向消费者的钱包的大型支付服务提供商 (PSP)，例如 PayPal 或 Stripe (with Link)。在这种方法中，PSP 是依赖方，他们拥有整个认证和支付流程。

谁拥有 Passkey？ 在以 PSP 为中心的模型中，PSP 是依赖方 (RP)。Passkey 是为 PSP 的域名（例如 paypal.com）创建的，并保护用户在该 PSP 生态系统内的账户。

采用飞轮和网络效应： 这个模型也具有极强的网络效应。为主要 PSP 的钱包创建的 Passkey 可在接受该 PSP 的每个商户处重用，为用户和商户加入 PSP 的生态系统创造了强大的激励。

sequenceDiagram
    participant U as 用户
    participant M as 商户网站
    participant P as PSP / 钱包 (例如 PayPal)

    U->>M: 在结账时选择“使用 PSP 支付”
    M->>U: 重定向或显示 PSP 登录弹窗
    Note over P,U: 用户直接向 PSP 进行认证
    U->>P: 使用 psp.com 的 Passkey 进行认证
    P-->>U: 认证成功
    P-->>M: 向商户发送支付保证/确认
    M-->>U: 确认订单

一个常见且关键的问题是，为一个模型创建的 Passkey 是否可以在另一个模型中重用。例如，用户为他们的银行创建的用于 SPC 的 Passkey，是否可以用于在 DA 流程中登录商户网站？答案是否定的，这凸显了依赖方 (RP) 的核心作用。

Passkey 本质上是将用户链接到特定 RP 的加密凭证。公钥在 RP 的服务器上注册，而私钥保留在用户的设备上。认证是向该特定 RP 证明拥有该私钥的行为。

• 在以发卡行为中心 (SPC) 的模型中，RP 是发卡行（例如 chase.com）。Passkey 在银行注册。
• 在以商户为中心 (DA) 的模型中，RP 是商户或其 PSP（例如 amazon.com 或 stripe.com）。Passkey 在商户处注册用于登录。
• 在以卡组织为中心的模型中，RP 是卡组织（例如 visa.com）。Passkey 在卡组织处注册用于 Click to Pay。
• 在以 PSP 为中心的模型中，RP 是支付服务提供商（例如 paypal.com）。Passkey 在 PSP 的钱包或服务中注册。

因为 Passkey 以加密方式绑定到 RP 的域名，所以用 chase.com 注册的 Passkey 无法被 amazon.com 验证。从技术角度来看，它们是不同的数字身份。用户需要为他们与之交互的每个依赖方创建一个单独的 Passkey。

使 Passkeys 强大的“可重用性”和“可移植性”来自两个方面：

1. Passkey 同步： 像 iCloud Keychain 和 Google Password Manager 这样的服务会在用户的设备之间同步 Passkeys。因此，在手机上为 chase.com 创建的 Passkey 在用户的笔记本电脑上自动可用，但它仍然只适用于 chase.com。
2. 联合： 这是 Click to Pay 使用的模型。商户可以信任卡组织（例如 Visa）来认证用户。用户向 Visa（RP）进行认证，然后 Visa 向商户发出信号，表明用户是合法的。这类似于“使用 Google 登录”，网站信任 Google 来处理登录。Passkey 并没有被商户重用；被重用的是认证事件。

因此，这四种模型不仅仅是不同的技术路径，而是相互竞争的身份策略。每一种都提出了一个不同的实体来作为支付认证的主要依赖方，用户最终可能会拥有用于他们的发卡行、喜爱的商户、PSP 钱包和卡组织的 Passkeys。

虽然这些模型提供了强大的新认证方式，但它们也引入了一个经常被忽视的关键操作挑战：Passkey 恢复和账户恢复。由 iCloud Keychain 和 Google Password Manager 等平台管理的同步 Passkeys，缓解了单个设备丢失的问题。然而，它们并没有解决用户丢失所有设备或在生态系统之间切换（例如，从 iOS 切换到 Android）的问题。在这些情况下，一个安全且用户友好的流程，让用户通过其他方式证明自己的身份并在新设备上注册 Passkey，是任何大规模部署的不可或缺的前提条件。正如 Mastercard 自己的文档所指出的，切换设备的用户将需要创建一个新的 Passkey，这个过程可能需要他们的银行进行身份验证。(Mastercard® payment passkeys – Frequently asked questions) 这凸显了一个完整的 Passkey 解决方案不仅必须包括认证仪式本身，还必须包括 Passkey 管理的整个生命周期，包括强大的恢复流程。

四种架构模型——以发卡行为中心 (SPC)、以商户为中心 (DA)、以卡组织为中心 (Click to Pay) 和以 PSP 为中心——转化为支付生态系统中不同参与者的独特集成机会。每种方法在用户体验、实施复杂性、责任和控制之间都存在一组独特的权衡。本节对这些集成点进行务实分析，以指导战略决策。

• 机会： 对于发卡行和为其服务的访问控制服务器 (ACS) 提供商来说，主要机会是通过用安全支付确认 (SPC) 替换像 OTP 和密码这样的传统方法来增强 3DS“挑战流程”。
• 目标客户： 此集成针对 ACS 提供商（例如 Netcetera、CA Technologies/Arcot）、服务于发卡行领域的技术供应商，以及运营自己内部 ACS 平台的大型发卡银行。
• 提供商的角色： 像 Corbado 这样的 Passkey 即服务提供商将提供一个可嵌入的、完全符合 SPC 规范的 FIDO 服务器或软件模块。该模块将集成到核心 ACS 平台中，允许 ACS 在其风险引擎确定需要挑战时触发 SPC 流程。
• 优点：
  • 高安全性与法规合规性： SPC 使用加密的动态链接为特定交易详情提供了强大、可审计的用户同意证明，直接满足了像 PSD2 SCA 这样的法规的关键要求。
  • 优于 OTP 的用户体验： 使用快速的生物识别扫描进行认证比手动输入通过短信收到的验证码要快得多，且不易出错，这可以显著提高挑战转化率。
  • 清晰的责任模型： 该模型无缝地融入现有的 3DS 框架。当交易通过 SPC 成功认证后，欺诈性退单的责任从商户转移到发卡行，就像其他 3DS 挑战方法一样。
• 缺点：
  • 仍然是“挑战”流程： 虽然 SPC 改善了挑战体验，但它并没有消除挑战。用户在结账时仍然会被认证步骤打断。这种体验虽然更好，但本质上比完全被动的“无感”流程或成功的委托认证流程更有摩擦。
  • 依赖于发卡行的风险逻辑： SPC 的采用和使用频率完全取决于发卡行的 ACS 及其 RBA 引擎。ACS 仍然决定是否以及何时触发挑战。
  • 生态系统准备滞后： 广泛使用需要生态系统采用 EMV 3DS 2.3 或更高版本，并且用户浏览器支持 SPC Web API。如前所述，缺乏通用支持，尤其是在像 iOS 这样的移动平台上，是一个重大的抑制因素。

• 机会： 实施委托认证 (DA)，允许商户或其 PSP 在客户登录时执行 SCA，从而为回头客、已认证用户创造完全无缝的结账体验。
• 目标客户： 这对于大型电子商务商户、全栈 PSP（如 Stripe 或 Adyen）以及与消费者有直接关系并已投资于安全账户和登录系统的数字钱包提供商最为相关。
• 提供商的角色： Passkey 提供商将为商户的登录流程提供核心的 Passkey 认证解决方案。至关重要的是，该解决方案还必须提供必要的数据输出和加密证明，这些证明可以打包到 3DS 认证请求中，以向发卡行表明已经发生了符合要求的 SCA。
• 优点：
  • 最佳用户体验： 该模型为已认证用户提供了最无摩擦的支付流程。它将认证步骤移至用户旅程中自然且熟悉的部分（账户登录），并可以完全消除 3DS 挑战，实现真正的一键结账。
  • 最高的转化潜力： 通过消除结账时的最后摩擦点，DA 有潜力带来最显著的支付转化率提升。Stripe 与 Wise 持卡人的一项试点报告称，使用其 DA 解决方案的交易转化率提升了 7%。
  • 加强商户-客户关系： 整个认证和结账体验都保留在商户的品牌环境中，加强了他们与客户的直接关系。
• 缺点：
  • 复杂的商业模式和责任： DA 不是一个简单的技术切换。它需要发卡行与他们选择信任的商户/PSP 之间明确的、通常是双边的协议。此外，执行委托认证的一方承担欺诈责任，并且该安排作为一种“外包”形式，受到严格的监管监督，这带来了重大的合规负担。
  • 依赖于发卡行的信任： 整个模型取决于发卡行是否愿意信任商户的认证过程。这种信任最初可能只会扩展到最大、最安全、最具战略意义的合作伙伴。
  • 碎片化的采用： 与通用标准不同，DA 将在每个发卡行、每个商户的基础上采用，导致一个碎片化的格局，即并非所有持卡人在所有商户处的体验都是一致的。

• 机会： 为海量的游客结账交易启用卡组织品牌的 Passkey 体验。
• 目标客户： 希望为其商户客户群提供现代化、标准化的游客结账解决方案的支付网关和 PSP。
• 提供商的角色： 提供商可以充当关键的集成合作伙伴。鉴于 Visa 和 Mastercard 开发了独立的、专有的 Passkey 服务，Passkey 提供商可以提供一个统一的 SDK 或一个“协调层”，抽象掉与每个卡组织不同 API 集成的复杂性，为 PSP 提供一个单一、简化的集成点。
• 优点：
  • 标准化的游客结账解决方案： 使用 Passkeys 的 Click to Pay 解决了一个主要的行业痛点：高摩擦、高放弃率的游客结账。它提供了一致、可识别且值得信赖的体验。
• 网络驱动的采用： Visa 和 Mastercard 全力支持这一举措，这将推动发卡行、商户和消费者的快速采用。PSP 将面临支持它的竞争压力。
• 简化的责任和安全负担： 卡组织作为联合依赖方，承担了构建和保护 FIDO 认证基础设施的主要负担，简化了商户的安全和责任状况。
• 缺点：
  • 失去控制和品牌： 主要缺点是商户及其 PSP 将结账用户体验的控制权交给了卡组织。结账变成了“Visa 结账”或“Mastercard 结账”，以他们的品牌和用户界面为特色。
  • 潜在的去中介化： 通过成为电子商务的中心身份提供商，卡组织可能会随着时间的推移削弱商户与客户之间的直接数据和品牌关系。
  • “黑盒”实施： 卡组织的 FIDO 服务器、风险引擎和认证逻辑的内部工作对商户和 PSP 来说是不透明的。他们正在与一个他们无法控制其规则和用户体验的服务集成。

向基于 Passkey 的支付认证的过渡并非理论上的演练；它正由行业内最大的参与者积极推动。他们的战略、试点项目和公开声明清晰地展示了竞争动态和可能的采用轨迹。

Become part of our Passkeys Community for updates & support.

Join

• PayPal： 作为 FIDO 联盟的创始成员和数字原生支付提供商，PayPal 一直是 Passkeys 最积极的早期采用者之一。他们于 2022 年底开始分阶段在全球推广，从美国开始，并扩展到欧洲和其他地区。他们的实施是最佳实践的案例研究，利用了像 Conditional UI 这样的功能来创造一种一键登录体验，当用户与登录字段交互时自动提示 Passkey。PayPal 报告了显著的早期成功，包括登录成功率的提高和账户盗用 (ATO) 欺诈的大幅减少。他们的战略还包括积极倡导欧洲的监管演变，推动一种基于结果的 SCA 方法，以承认同步 Passkeys 的内在安全性。

• Visa： Visa 的战略以其 Visa Payment Passkey Service 为中心，这是一个建立在自有 FIDO 服务器基础设施上的综合平台。该服务被设计为一个联合模型，Visa 代表其发卡合作伙伴处理认证的复杂性。该服务的主要载体是 Click to Pay，这使 Visa 能够主导游客结账体验。Visa 的信息传递超越了简单的支付，将其 Passkey 服务定位为更广泛的数字身份解决方案的基础元素，可用于整个商业生态系统。他们正在积极试点该技术，包括 SPC，并报告称生物识别认证与短信 OTP 相比，可以将欺诈率降低 50%。

• Mastercard： Mastercard 效仿了 Visa 的战略重点，推出了自己的 Payment Passkey Service，该服务建立在其现有的 Token Authentication Service (TAS) 之上。他们的市场进入策略以一系列备受瞩目的全球试点为特点。2024 年 8 月，他们宣布在印度进行一项重大试点，与该国最大的支付聚合商（Juspay、Razorpay、PayU）、一家主要在线商户（bigbasket）和一家领先银行（Axis Bank）合作。随后在其他关键市场推出，包括与 Sympla 和 Yuno 在拉丁美洲以及与 Tap Payments 在阿联酋。这种方法揭示了一个清晰的战略：与生态系统聚合商（PSP、网关）合作以快速实现规模化。Mastercard 做出了一个大胆的公开承诺，即到 2030 年在欧洲逐步淘汰手动输入卡信息，完全转向代币化、经 Passkey 认证的交易。

这些先驱的战略揭示了一个关键的动态。游客结账体验，这个历来碎片化和高摩擦的领域，已成为卡组织的战略滩头阵地。通过为游客用户创建一种卓越的、启用 Passkey 的解决方案（通过 Click to Pay），卡组织可以与消费者建立直接的身份关系。一旦消费者在一次游客结账中创建了卡组织级别的 Passkey，该身份就可以移植到支持 Click to Pay 的所有其他商户。这使得卡组织能够有效地“获取”用户身份，并在整个网络上提供无缝体验，这是捕获数字商务中心身份提供商角色的有力举措。

这些主要参与者的共同努力，加上更广泛的技术和监管趋势，预示着支付认证将加速且不可避免地发生转变。

• OTP 的必然消亡： 全行业对 Passkeys 的推动标志着基于短信的一次性密码作为主要认证方法的终结。OTP 越来越被视为一种负累，因为它们既有高摩擦的用户体验，又越来越容易受到像 SIM 卡交换和复杂的网络钓鱼活动等攻击的漏洞影响。随着 Passkeys 变得更加普及，对 OTP 的依赖将被降级为备用或恢复机制，而不是主要的挑战方法。

• 监管顺风： 虽然像 PSD2 这样的现行法规为 SCA 创造了最初的授权，但其僵化的、基于类别的定义给像同步 Passkeys 这样的新技术带来了一些不确定性。即将到来的监管更新，如欧洲的 PSD3，预计将采用一种更技术中立、注重结果的方法。这可能会有利于那些可证明是抗网络钓鱼的认证方法，为 Passkeys 作为合规 SCA 方法的广泛采用提供更清晰的监管途径。

• 联合支付身份的兴起： Visa 和 Mastercard 的战略举措不仅仅是为了保护支付；它们是为了建立一种新的数字身份范式。通过构建联合 Passkey 服务，他们正在将自己定位为整个数字商务生态系统的中心、受信任的身份提供商。这可以被看作是对 Big Tech 控制的强大身份平台（例如 Apple ID、Google Account）的直接战略回应。在线支付的未来与这场关于谁将拥有和管理网络消费者身份的更大战斗密不可分。

虽然核心支付交易是主要焦点，但 Passkey 技术有望在广泛的相邻金融服务中消除摩擦并增强安全性。许多仍然依赖密码或笨拙 OTP 的流程都是 Passkey 升级的理想候选者。

• 数字钱包配置： 将信用卡或借记卡添加到像 Apple Pay 或 Google Pay 这样的数字钱包的过程通常需要一个验证步骤，例如发卡行发送的短信 OTP。这是一个摩擦点，可以用 Passkey 流程取代。
• 开放银行与账户链接： 开放银行的基础是允许第三方应用程序（如预算应用或其他金融科技服务）访问用户的银行账户数据。这需要用户通过他们的银行进行认证，这个过程通常很繁琐。Passkeys 提供了一种更顺畅、更安全的方式来授予这种同意，用简单的生物识别认证取代了笨拙的重定向和手动密码输入。
• 保护存卡 (Card-on-File, CoF) 令牌： 除了仅仅保护带有已存卡片的账户登录外，Passkeys 还可以用于保护保存卡片的初始行为。在用户添加卡片时进行挑战，可以提供强有力的证据，证明合法持卡人在场，从而减少因被盗信用卡号被用于创建 CoF 配置文件以供日后滥用而产生的欺诈。
• BNPL 和即时贷款： “先买后付”服务和其他形式的即时信贷涉及初始的客户引导和每笔交易的风险评估。像 Klarna 这样的先驱已经在使用 Passkeys 来取代密码登录。它们还可以用作高价值购买或用户申请新信用额度时的升级认证方法，提供比传统方法更强大、摩擦更低的用户意图信号。

稳定币（如 USDC 或 EURC）的兴起带来了一种新的、基于区块链的支付渠道。然而，主流采用的一个主要障碍是加密钱包糟糕的用户体验和安全性。传统上，这些钱包由一个“助记词”（一个 12-24 个单词的列表）来保护，用户必须写下来并保护好。这对用户极其不友好，并使账户恢复成为一场噩梦。

Passkeys 将彻底改变这种体验。行业正在向一种模型转变，即控制链上资产的私钥由设备的 Passkey 来保护。

• 消除助记词： 用户不再需要写下助记词，他们的钱包由设备的内置安全功能创建和保护。要授权一笔交易，例如向商户发送稳定币，用户只需使用面容 ID 或指纹扫描进行认证。这使得加密支付感觉像使用 Apple Pay 一样无缝和安全。
• 实现账户恢复： 通过使用像“智能账户”（或“账户抽象”）这样的钱包架构，可以内置恢复机制。用户可以指定受信任的朋友、家人或机构作为“守护者”，如果他们丢失了所有设备，可以帮助他们恢复账户，这与助记词的全有或全无性质相比是一个巨大的改进。

这种演变可以显著减少使用稳定币进行支付所带来的摩擦和风险，有可能使它们成为比传统支付渠道更可行、更主流的替代方案。

对支付格局和新兴 Passkey 集成模型的分析揭示了几个独特且可行的机会。对于像 Corbado 这样的 Passkey 优先的认证公司来说，目标是通过提供驾驭这一过渡所需的基础技术，赋能生态系统中的每个参与者实现其战略目标。

• 目标： 现代化 3DS 挑战流程，取代高摩擦的 OTP，以提高转化率、增强安全性，并直接满足 PSD2/PSD3 的合规要求。
• Corbado 如何帮助： 我们提供一个可嵌入的 Passkey 认证模块，专为直接集成到现有的访问控制服务器 (ACS) 平台而设计。我们帮助 ACS 供应商提供一流的、低摩擦的挑战体验，使他们的整个银行和商户网络受益。

• 目标： 拥有端到端的客户旅程，并通过委托认证 (DA) 提供终极结账体验，为已登录用户消除 3DS 挑战。
• Corbado 如何帮助： Corbado 提供全面的 DA 启用解决方案。这不仅包括一流的Passkey 登录系统，还包括生成发卡行授予 DA 豁免所需的加密证明的工具和 API。我们作为技术合作伙伴，使商户和 PSP 能够最大化转化率并加强其品牌。

• 目标： 轻松提供最新的网络强制功能，如 Click to Pay，并保持平台竞争力，而无需昂贵的、重复的开发工作。
• Corbado 如何帮助： Corbado 提供一个“Passkey 协调”层。我们帮助集成 Visa 和 Mastercard 的服务，并提供商户可以同时提供自己的 Passkey 解决方案以提供现代化游客结账体验的方式。

• 目标： 保护整个钱包生态系统，创建一个无缝且安全的登录和支付体验，该体验可在 PSP 的整个商户网络中移植。
• Corbado 如何帮助： 我们提供核心的 Passkey 基础设施，允许大型 PSP 和钱包提供商成为其用户的中心依赖方。通过集成我们的解决方案，他们可以取代其钱包登录的密码（例如，对于 PayPal、Stripe Link 或 Klarna）。这不仅可以保护账户免受盗用，还可以将支付授权简化为一个一键式的生物识别步骤，创造一个强大的、品牌化的认证体验，从而锁定用户并吸引商户。

该分析强调了任何基于 Passkey 的策略的一个关键成功因素：用户采用率。一个能够将Passkey 创建和使用率从约 10% 的基线显著提高到 50% 以上的解决方案，解决了这些新认证模型推广所面临的主要挑战。基于生态系统及其参与者的战略目标，以下组织和部门是此类解决方案的主要候选者。

• 核心问题： 3DS 挑战流程中的高摩擦导致购物车被放弃和商户收入损失，使发卡行的卡竞争力下降。
• 采用如何帮助： 更高的 Passkey 采用率直接转化为更成功、低摩擦的挑战。这提高了转化率，增强了安全性，并使发卡行的支付凭证对商户和消费者都更有价值。
• 主要候选者： 主要发卡银行（美国银行、大通银行、巴克莱银行），以及提供其 3DS 技术的 ACS 提供商（Netcetera、CA Technologies）。

• 核心问题： 拥有客户旅程和消除结账摩擦的愿望常常因需要 3DS 挑战而受阻。
• 采用如何帮助： 整个委托认证 (DA) 模型都基于商户能够在登录时对用户进行强认证。高Passkey 采用率不仅是一种增强，而且是成功 DA 策略的先决条件。为大多数用户启用 DA 是一个强大的竞争优势。
• 主要候选者： 全球电子商务领导者（亚马逊、沃尔玛）、数字订阅服务（Netflix、Spotify），以及为他们服务的全栈 PSP（Stripe、Adyen、Checkout.com）。

• 核心问题： 像 Click to Pay 这样的战略性、网络级身份服务的成功直接取决于广泛的消费者注册。
• 采用如何帮助： 一个简单且有吸引力的Passkey 创建体验对于这些联合身份网络的增长至关重要。卡组织可以将以采用为中心的解决方案嵌入到他们提供给商户和 PSP 的 SDK 中，从而加速其专有 Passkey 服务的推广和使用。
• 主要候选者： Visa（为其 Visa Payment Passkey Service）和 Mastercard（为其 Token Authentication Service）。

• 核心问题： 钱包（例如 PayPal、Stripe Link、Klarna）的价值与活跃、参与的用户数量直接相关。登录或结账时的摩擦会削弱生态系统。
• 采用如何帮助： 推动钱包自有域名（paypal.com 等）的 Passkeys 大规模采用是一个核心战略目标。它减少了欺诈，改善了用户体验，并加强了网络效应，使钱包对消费者和商户都更具吸引力。
• 主要候选者： 拥有钱包产品的全球 PSP（PayPal、Stripe Link、Klarna），以及大型区域性参与者（Mercado Pago、Block）。

• 核心问题： 国家支付方案面临着现代化其基础设施和提供数字身份解决方案的压力，以保持与全球科技公司的竞争力。
• 采用如何帮助： 这些网络必须确保其新的数字支付和身份服务得到广泛使用。对于像 Australian Payments Plus (AP+) 这样的参与者来说，推动像 PayTo（用于实时支付）和 ConnectID（用于数字身份）这样的服务的采用是一个核心战略目标。一个能够提高Passkey 注册率的解决方案是这一战略的直接推动者。
• 主要候选者： Australian Payments Plus (AP+) 和其他国家支付基础设施机构。

大型科技公司运营着复杂的数字钱包，在支付生态系统中扮演着独特而强大的角色。它们位于用户设备、平台身份和传统支付渠道的交汇处，这使它们在Passkey 采用方面拥有独特的地位和策略。

Apple Pay 和 Google Pay 最好被理解为位于现有支付卡基础设施之上的技术和认证层。它们自己不发行卡或处理交易，而是安全地存储和传输用户现有支付卡的代币化版本。

• 在生态系统中的位置： 它们充当用户卡片的安全“容器”。当用户在线支付时，他们不是输入卡片详情，而是选择 Apple Pay 或 Google Pay。然后，钱包将一个安全的一次性令牌传递给商户的支付网关。交易仍然像往常一样流经收单行、网络和发卡行。
• 它们如何利用 Passkeys： 它们通过面部或指纹扫描对用户进行认证到钱包，授权其释放支付令牌。这是一个强大的、低摩擦的认证事件，但它与卡发卡行负责的 3DS/SCA 认证是不同的。发卡行在技术上仍然可以对通过 Apple Pay 发起的交易触发 3DS 挑战，尽管强大的设备级认证使这种情况不太可能发生。
• 机会与它们如何从采用中受益：
  • 简化钱包配置： 将卡添加到钱包的过程通常需要发卡行的 OTP。这是一个关键的摩擦点。苹果和谷歌可以与发卡行合作，用应用内 Passkey 流程取代它，使用 Passkey 即时验证用户。为其发卡行合作伙伴提供一个采用解决方案将使他们的钱包更容易加载和使用。
  • 成为委托授权方： 它们的最终战略目标是利用其强大的平台认证成为支付的权威、受信任的认证器。如果发卡行正式承认 Apple Pay 或 Google Pay 认证满足 SCA 要求，它们就可以成为委托授权方，从而完全消除 3DS 挑战。它们自己平台 Passkeys 的高采用率对于使这成为对发卡行有吸引力的提议至关重要。

Amazon Pay 和 Meta Pay 的运作更像一个拥有非常大的存卡 (CoF) 钱包的传统商户，该钱包可以在第三方网站和它们自己的生态系统内使用（例如，在 Instagram 上的社交商务）。

• 在生态系统中的位置： 它们是以商户为中心模型的典型例子。用户将他们的支付卡直接存储在他们的亚马逊或 Meta 账户中。当他们使用 Amazon Pay 或 Meta Pay 结账时，他们是在对自己的主账户进行认证，该平台代表他们处理支付。
• 它们如何利用 Passkeys： 它们对 Passkeys 的主要用途是保护用户的主账户登录（例如，Amazon.com 的 Passkey）。通过将其庞大的用户群从密码转移到 Passkeys 进行账户登录，它们极大地降低了账户盗用欺诈的风险，并保护了宝贵的已存支付凭证。
• 机会与它们如何从采用中受益： 它们的好处是直接和即时的。一个推动其核心用户账户Passkey 采用的解决方案：
  1. 减少欺诈： 大大减少了账户盗用的攻击面，这是财务损失和客户不满的主要来源。
  2. 减少摩擦： 创造了一个无缝且安全的登录和结账体验，这被证明可以提高转化率。对于这些参与者来说，一个能提高 Passkey 采用率的解决方案是对其核心商业业务的安全性和性能的直接投资。因此，它们是此类解决方案的主要候选者。

支付行业正处于一个新认证时代的黎明。安全与便利之间长期存在的妥协终于通过 Passkey 技术的成熟和采用得到了解决。本报告中提出的分析表明，这不是一个单一的转变，而是一个复杂的过渡，有多种相互竞争的未来愿景。发卡行寻求通过 SPC 增强现有的 3DS 框架；大型商户和 PSP 旨在通过委托认证或建立自己的钱包生态系统来控制体验；而卡组织则通过 Click to Pay 创建一个新的、联合的身份层。每个模型都在争相成为用户信任和便利的新标准。