PSD2 与 Passkeys：符合 PSD2 标准且能抵御网络钓鱼的多因素认证

在数字银行领域，安全性和用户体验不必再相互对立。Passkeys (通行密钥) 将这两者完美结合，引入了一种符合 PSD2 和 SCA 要求的防网络钓鱼多因素认证。Passkeys 是目前最安全、用户体验最佳的身份验证形式，可以广泛应用于金融服务领域。这一飞跃正值关键时刻，因为银行业正在努力实施**《支付服务指令修订版第二版》(PSD2)**——一个旨在增强欧洲银行业安全性和竞争力的监管框架。

Passkeys 在此背景下应运而生，它不仅是一种合规解决方案，更是一种伟大的创新形式，有望在不牺牲用户体验的前提下，满足 PSD2 的严格要求。在本文中，我们分析了 PSD2 及其对强客户认证 (SCA) 的要求的细微之处：很明显，Passkeys 代表了银行业防网络钓鱼多因素认证的未来。

PSD2 是欧盟推出的一项立法，旨在彻底改变欧洲的支付服务和银行业格局。其主要目标是增强竞争、加强消费者保护并促进数字支付领域的创新。通过强制要求（在客户同意的情况下）向经批准的第三方开放客户金融信息的访问权限，PSD2 为建立一个更集成、高效和用户友好的金融生态系统铺平了道路。然而，权力越大，责任越大，PSD2 通过其对安全性的关注来解决这个问题，特别是通过身份验证协议的视角。

PSD2 安全措施的核心是强客户认证 (SCA) 要求，这是一种旨在大幅减少欺诈并增强电子支付安全性的协议。SCA 建立在这样一个原则之上：电子支付不仅应无缝，还应足够安全以抵御各种威胁。对于在 PSD2 范围内运营的支付服务提供商、银行和电子支付网关来说，这个认证框架是强制性的。

PSD2 下的 SCA 实施由几个关键要求定义：

身份验证必须至少包含以下类别中的两个元素：

• 所知信息 (Knowledge)： 只有用户知道的东西，例如密码或 PIN 码。
• 所持物品 (Possession)： 只有用户拥有的东西，例如移动设备、智能卡或硬件令牌。
• 个人固有特征 (Inherence)： 用户固有的东西，包括指纹、面部识别或声纹等生物识别标识符。

对于每笔交易，都必须生成一个唯一的身份验证码，该验证码动态地链接到交易的具体细节，例如金额和收款人的账号。

用户需要定期（通常是每 90 天）重新进行身份验证，以维持对网上银行服务的访问。不过，为了在安全性和便利性之间取得更好的平衡，这项要求已经进行了修订。

SCA 必须应用于所有电子交易，确保身份验证是针对特定金额和收款人的，为每笔交易创建一个唯一的签名。

支付服务提供商应采用基于风险的方法来应用 SCA，其中低风险交易可以免除 SCA，以便在不影响安全性的前提下简化支付流程（注意这里已经与 Passkeys 产生了联系）。

整个身份验证过程必须是可追溯和可审计的，并保留记录以证明遵守了 SCA 的要求。

通过引入 SCA，PSD2 显著提高了银行业交易安全的标准。接下来，我们将重点关注多因素认证 (MFA) 中涉及的不同因素。这些因素也对交易特定认证要求产生影响（详见下文）。

接下来，我们将介绍银行业身份验证的不同演变阶段。

银行业的身份验证之旅始于个人识别码 (PIN) 和交易认证码 (TAN) 的使用。客户会收到一个 TAN 列表，每个 TAN 只能用于一次交易验证。这种方法在当时是革命性的，但也有其缺点，包括 TAN 列表被盗或滥用的风险。

随着技术的发展，银行引入了电子 TAN 码 (eTAN) 和移动 TAN 码 (mTAN)，其中 TAN 码会生成并通过短信发送到客户的移动设备。这种方法通过将 TAN 与设备绑定来提高安全性，但也引入了新的漏洞，例如短信被拦截的风险以及等待和管理这些消息的不便。在 Passkeys 出现之前，从用户体验的角度来看，短信一次性密码 (SMS OTP) 仍被认为是银行业最舒适的双因素认证选项。

为了进一步增强安全性，银行采用了智能卡和令牌设备来生成用于身份验证的唯一代码。这些基于硬件的解决方案提供了更高的安全性，但也给客户增加了复杂性和不便，他们现在必须携带一个额外的设备。

银行身份验证的最新演变包括生物识别技术（指纹或面部识别）和具有内置安全功能的手机银行应用。这些方法旨在通过利用用户独特的生物特征和智能手机的普及性来平衡安全性和便利性。然而，它们也要求客户为自己使用的每家银行单独下载和设置一个应用程序。

尽管取得了这些进步，客户在使用当前的银行身份验证方法时仍然面临着极大的不便和挫败感，并且有被欺诈者盯上的风险：

• 复杂性和不便性： 多重身份验证步骤的叠加虽然增强了安全性，但通常对用户来说是一个繁琐的过程。这种复杂性不仅仅是小麻烦；它可能会阻碍客户使用数字银行服务，从而削弱了数字化转型的初衷。
• 设备和平台依赖性： 向移动和生物识别认证的转变使用户与他们的设备紧密相连。这种依赖性在设备被盗时会形成一个脆弱的环节。此外，技术故障也可能导致银行服务无法访问，让客户陷入困境。
• 网络钓鱼漏洞： 尽管技术在进步，但身份验证因素的可钓鱼性仍然是一个 SCA 未能解决的漏洞。像 PIN 码、密码、短信 OTP、邮件 OTP 等传统因素很容易通过复杂的网络钓鱼骗局被攻破，从而将客户数据和资金置于风险之中。

直到今天，银行，特别是传统银行，仍在不断警告客户网络钓鱼的巨大风险。

在下一节中，我们将通过一个真实案例来解释这是如何运作的。

长期以来，网络钓鱼攻击一直是银行业安全的一大威胁，它利用人类心理学（社会工程学）和技术漏洞来获取对敏感金融信息的未授权访问。随着银行身份验证方式的演变，欺诈者也在不断调整，设计出复杂的骗局来绕过安全措施。了解网络钓鱼的运作方式，尤其是在这些常用身份验证方法的背景下，对于认识到采用像 Passkeys 这样不可钓鱼的身份验证解决方案的紧迫性至关重要。

网络钓鱼的核心是诱骗个人泄露敏感信息，如登录凭证或金融信息，其手段是伪装成来自其银行的合法通信。这通常通过以下步骤实现：

1. 发起攻击： 欺诈者发送模仿银行官方通信的消息（通常通过电子邮件或短信），这些消息带有看似可信的徽标和语言。这些消息通常会制造一种紧迫感，声称需要立即采取行动来解决问题或防止账户关闭。
2. 欺骗： 消息中包含一个指向欺诈网站的链接，该网站与银行的官方网上银行门户网站非常相似。受害者在不知情的情况下，被引导相信他们正在访问银行的合法网站。
3. 捕获信息： 一旦进入钓鱼网站，受害者会被提示输入他们的身份验证详细信息，例如他们的 PIN 码或通过短信发送的 OTP 来确认交易。受害者相信他们正在与自己的银行互动，于是遵从指示，不知不觉地将自己的凭证交给了攻击者。
4. 利用信息： 掌握了这些详细信息后，欺诈者就可以访问受害者的银行账户，进行未经授权的交易，或实施身份盗窃。

设想一个场景，一位德意志银行的客户收到一条短信，提醒他们的账户将被停用。该消息包含一个网站链接，用于验证客户身份，该链接的 URL 中包含“deutschebank”字样，并配有匹配的 SSL 证书。这个网站是德意志银行登录页面的精确复制品（如下图所示），它会提示客户输入他们的网上银行 PIN 码，然后实时要求输入一个短信 OTP（出于安全原因，截图中未显示）。客户在不知情的情况下，在该钓鱼网站上输入这些信息，从而让攻击者获得了对其德意志银行账户的完全访问权限，并可能将巨额资金转移到其他账户。

这是钓鱼短信，提示用户重新获取银行账户访问权限（仅提供德语截图）：

这是攻击者制作的钓鱼网站 (https://deutschebank-hilfe.info)：

这是供参考的原始网站 (https://meine.deutsche-bank.de)，攻击者几乎完美地复制了它（他们只是省略了底部的钓鱼警告）：

习惯于通过这个相同的界面登录并使用短信 OTP 作为身份验证因素的客户很容易成为此类攻击的受害者。存在一个庞大的开源套件生态系统，专注于针对 OAuth 或银行系统的钓鱼攻击（例如，https://github.com/gophish/gophish），用于安全研究目的。然而，这些系统很容易被用于恶意目的。

随着暗网上每一次数据泄露，银行业的网络钓鱼变得越来越精准。通常，像 IBAN 这样的支付信息也是这些泄露的一部分。虽然这些信息不能直接用于窃取金钱，但可以用于鱼叉式网络钓鱼攻击，攻击者知道目标确实是该银行的客户。

上述场景中的关键缺陷在于身份验证因素的可钓鱼性：PIN 码和短信 OTP 都很容易在虚假借口下从客户那里骗取。这个漏洞强调了采用无法通过社会工程学或网络钓鱼攻击来攻破的身份验证方法的必要性。

不可钓鱼的身份验证因素，例如由 Passkeys 实现的那些，为抵御此类骗局提供了坚固的防线。由于 Passkeys 不依赖于可以被泄露、被骗取或被拦截的共享秘密，它们从根本上改变了安全格局。使用 Passkeys，身份验证过程涉及无法被欺诈者复制的加密身份证明，从而消除了网络钓鱼中最常见的攻击途径。

为了有效应对网络钓鱼威胁，银行业必须采取多方面的措施，包括：

1. 教育客户： 银行应持续告知客户网络钓鱼的风险以及如何识别欺诈性通信。
2. 实施不可钓鱼的身份验证： 转向不依赖于可以被骗取或拦截的信息的身份验证方法，从而杜绝许多网络钓鱼企图。
3. 增强欺诈检测系统： 利用先进的分析和机器学习来检测和防止未经授权的交易，即使钓鱼者获取了某种形式的身份验证数据。

虽然网络钓鱼仍然是银行业的一大威胁，但采用像 Passkeys 这样的不可钓鱼的身份验证方法，是保护网上银行免受欺诈者侵害的关键一步。通过消除最薄弱的环节——身份验证因素的可钓鱼性——银行可以显著增强其客户资产和个人信息的安全性。

至今，欧洲中央银行和地方银行监管机构（如德国联邦金融监管局 BaFin）尚未就Passkeys 作为一个整体是否应被归类为双因素认证或银行应如何使用它们表明立场。

在下一节中，我们将解释为什么我们认为 Passkeys 符合 PSD2 的规定。

在与支付、金融科技和银行业的利益相关者的讨论中，一个反复出现的问题是：Passkeys 是否符合 PSD2 的规定，并且能否作为银行场景中唯一的身份验证形式？ Passkeys 与欧盟《支付服务指令修订版第二版》(PSD2) 之间的关系是微妙的，需要详细探讨。为了阐明这一点，Passkeys 通常分为两类：同步 Passkeys (多设备) 和 非同步 Passkeys (单设备)，每种在 PSD2 合规性方面都有不同的特点：

对于银行和保险公司等受监管实体来说，遵守合规性非常重要。然而，合规政策的改变可能需要很长时间。就 Passkeys 而言，**其主要的安全优势在于其不可钓鱼性，**因为客户不会无意中将此信息泄露给攻击者。

虽然 Passkeys 通过不可钓鱼性显著增强了安全性，但它们确实将部分风险转移到了客户的云账户上，例如苹果的 iCloud 钥匙串。这使得云账户成为攻击者更具吸引力的目标。然而，像苹果 iCloud 这样的服务已经采取了强大的安全措施，特别是对于支持 Passkeys 的功能。

首先，iCloud Passkeys 的使用取决于账户是否启用了双因素认证 (2FA)，这增加了一层额外的安全保障。这意味着即使攻击者知道客户的 iCloud 密码，他们仍然需要访问受信任的设备或电话号码才能接收 2FA 代码。

苹果公司，以及谷歌对其账户的做法类似，都投入了大量资源来保护这些云服务。支持云端 Passkeys 的账户的安全协议非常严格，使得未经授权的用户几乎不可能攻破。这种高安全标准通过持续的更新和安全补丁来维持（而且他们也为自己的账户引入了 Passkeys，请参阅这篇博文）。

此外，设备或云账户的盗窃虽然是潜在风险，但并非银行应用最常见的攻击途径。在需要更高安全性的情况下，例如对于可疑交易，银行可以继续使用短信 OTP 作为附加因素。通过用 Passkeys 替换 PIN 码/密码，第一个身份验证因素变得不可钓鱼，从而显著降低了网络钓鱼攻击成功的风险。对于被标记为可疑的交易，可以引入第三个因素，以确保强大的安全态势。

与对 PSD2 合规性的传统（规避风险）观点相反，Finom 和 Revolut 已经决定保护客户数据更为重要，因此尽管欧洲尚未就银行监管应如何处理 Passkeys 的 PSD2 合规性问题做出公开决定，它们仍在积极使用 Passkeys。像 Finom 和 Revolut 这样的新型银行和金融科技公司正在挑战现状，并在此过程中影响着有关 PSD2 规定的身份验证措施的监管格局。

通过优先考虑客户数据的安全性和完整性，这些金融科技先驱在没有欧洲当局明确监管指导的情况下，依然采纳了 Passkeys。这种积极主动的立场将责任推给了监管机构，要求他们根据能够提供更优安全解决方案的技术进步，重新评估其合规框架。

Finom 和 Revolut 实施 Passkeys 的大胆举动突显了监管合规的一个关键方面——它不应是僵化地遵守标准，而应是实现这些标准的根本目标，即客户数据和交易的最高安全性。通过选择将数据保护置于严格遵守传统合规模型之上，这些新型银行正在为行业设定新的基准。

从监管角度来看，迫切需要明确和调整，以便在 PSD2 合规框架内容纳像 Passkeys 这样的技术进步。**我们敦促欧盟就 Passkeys 采取明确立场，**承认它们是一种卓越的多因素认证 (MFA) 形式，符合 PSD2 的核心目标，即在数字支付生态系统中加强安全性和减少欺诈。

**Passkeys 的设计本身就提供了一种强大、防网络钓鱼的身份验证因素，其安全能力超过了大多数传统的 MFA 方法。**这不仅增强了安全性，还简化了用户体验，解决了 PSD2 合规性的两个关键方面。

欧盟的立场应该与时俱进，以反映重新定义了何为有效和安全身份验证的技术进步。通过拥抱像 Passkeys 这样的创新并将其纳入监管体系，欧盟可以展示其在保护消费者和培育前瞻性数字金融环境方面的承诺。

随着金融行业的不断创新，监管机构有责任提供清晰、进步的指导，不仅要跟上技术变革的步伐，还要预见未来的发展。新型银行目前正引领潮流，但最终，确保整个金融业能够安全、自信地迈向数字银行的未来，是监管机构的责任。

在银行和金融科技领域采用 Passkeys 是一个显著提升安全性和用户体验的创新典范。在本文中，我们已经阐明了 Passkeys 作为一种前瞻性身份验证解决方案的潜力，它既符合 PSD2 严格的安全要求，又能减轻网络钓鱼等普遍存在的威胁。像 Finom 和 Revolut 这样的新型银行/金融科技公司通过将 Passkeys 集成到其安全框架中，树立了榜样，展示了其有效性和以客户为中心的方法。

传统银行可以采取以下三步行动计划：

1. 与地方监管机构沟通： 传统银行应主动与当地监管机构和银行监管当局接触，讨论 Passkeys 的实施。这种对话旨在澄清监管立场，并为在现有合规结构内集成 Passkeys 铺平道路。通过采取主动，银行可以为塑造一个支持创新身份验证方法的监管环境做出贡献。
2. 学习新型银行的最佳实践： 传统银行必须观察和学习那些已成功实施 Passkeys 的新型银行。研究这些最佳实践将为 Passkeys 部署的运营、技术和客户服务方面提供宝贵的见解。这种知识转移可以帮助传统银行制定采用 Passkeys 的策略。
3. 战略性地过渡到 Passkeys： 在明确了监管要求并了解了最佳实践后，传统银行可以制定一个全面的计划，将客户过渡到基于 Passkeys 的身份验证。该计划应包括客户教育活动，以解释 Passkeys 的好处和用法；分阶段推出以确保平稳过渡；以及持续评估以迅速解决任何挑战。

银行身份验证的未来在于那些既优先考虑安全性又注重可用性的技术。Passkeys 代表了朝着这个方向迈出的一步，提供了一种不可钓鱼、用户友好的身份验证方法，满足了 PSD2 和其他监管框架设定的标准。

对于传统银行而言，现在是时候拥抱变革，开始向 Passkeys 过渡了。然而，这种过渡不应是突然的，而应是经过深思熟虑的举措，要考虑到其客户群的独特需求、特定的监管环境以及机构的技术准备情况。

最终目标是确保每位客户都能在不牺牲便利性的前提下，从增强的安全性中受益。通过采用 Passkeys，银行不仅将用尖端技术保护其客户，也将在数字金融时代展示其对创新和以客户为中心的承诺。