Visa Passkeys：Visa 支付 Passkey 服务

金融服务和支付行业正在全力拥抱 Passkeys。继银行（如 Revolut）、金融科技公司（如 Finom）以及支付提供商（如 PayPal）推出 Passkeys，以及 Mastercard 在大约一个月前的 2024 年 4 月推出其令牌认证服务之后，Visa 如今也在其年度支付论坛上推出了自家的 Passkey 服务，名为 Visa 支付 Passkey 服务 (Visa Payment Passkey Service)。

此前，我们已经讨论过金融领域这一转变所带来的影响，特别是关于强客户认证 (Strong Customer Authentication, SCA)、PSD2 和动态链接 (dynamic linking)。可在此处阅读详细的博客文章：

• 2025 年银行业 Passkeys 报告
• 设备绑定 Passkeys 与同步 Passkeys 对比
• PSD2 和 SCA 要求分析
• SCA 要求对 Passkeys 意味着什么
• PSD3 / PSR 对 Passkeys 的影响
• PSD2 Passkeys：防网络钓鱼且符合 PSD2 的多因素认证
• 使用 Passkeys 进行动态链接：安全支付确认 (SPC)

本文将探讨 Visa 的 Passkeys 方案及其对未来支付安全的影响，包括正在行业内树立新标准的支付 Passkeys 创新。

Passkeys 在金融服务行业的兴起，很大程度上是由消费者的期望所驱动的。Visa 近期的洞察凸显了这一趋势，数据显示 62% 的消费者曾因认证问题放弃在线购物。此外，安全性也是一个问题：26% 的消费者承认曾分享过自己的 PIN 码，这凸显了传统认证方法的漏洞。更令人担忧的是，在线支付的欺诈率是线下当面支付的七倍，这进一步强调了采用更安全的数字交易方式的必要性。

Visa 推出的 Visa 支付 Passkey 服务是解决这些问题的重要一步。通过用 Passkeys 取代密码和一次性验证码，Visa Passkeys 简化了在线购物体验，减少了阻力并增强了安全性。金融机构，特别是那些正在集成金融服务 Passkey 的机构，正认识到这项技术不仅能提升消费者信任，还能提高整体运营效率。Passkeys 不仅用户友好，而且能有效抵御网络钓鱼 (phishing) 等网络攻击。

对于旨在提升安全性同时改善用户体验的金融机构而言，Passkeys 提供了一个极具吸引力的解决方案。这项技术与欧盟的**《支付服务指令第二版》(PSD2)** 完美契合，该指令强制要求进行强客户认证 (SCA)。PSD2 要求交易必须使用以下至少两项进行认证：用户所知的信息、用户所有的物品或用户自身的生物特征。Passkeys 通过利用生物特征数据（用户自身的特征）和安全存储的私钥（用户所有的物品，例如存储在设备的安全飞地 (secure enclave)、可信执行环境 (TEE) 或可信平台模块 (TPM) 中）来满足这些标准。

Visa 一直是 Passkeys 发展的重要参与者，特别是在 2014 年加入 FIDO 联盟（比 Mastercard 晚两年），从而发挥了重要作用。

Visa 之前的一项服务可以被看作是 Passkeys 的前身，即 Visa 生物特征认证应用 (Visa Biometric Authenticator App)。遗憾的是，这是一个受限产品，其文档和资产的访问权限有限。

2019 年，Visa 进行了一项关于生物特征和消费者偏好的研究，调查了德国 1000 名信用卡持有者。调查结果显示，消费者对生物特征认证的偏好远超传统密码。高达 90% 的受访者认为指纹是一种安全的身份验证方法，相比之下，认为 PIN 码安全的比例仅为 77%，密码则为 73%。此外，虹膜和面部扫描等方法也被认为比 PIN 码和密码更安全。这可能向 Visa 指明了推动生物特征技术（以及后来的 Passkeys）作为发展方向的道路。

在 2024 年支付论坛上，Visa 正式宣布了 Visa 支付 Passkey 服务。Visa 首席产品与战略官 Jack Forestell 概述道：

将其专门命名为 Visa 支付 Passkey 服务，与 Mastercard 的做法如出一辙，这一点意义重大。它刻意将该技术置于金融交易的背景下。与通用的登录 Passkeys 不同，支付认证需要遵守更严格的法规，特别是 PSD2 的 SCA 要求，包括动态链接的要求——即将认证与特定的交易细节进行加密绑定。这个命名表明，Visa 支付 Passkey 服务不仅是为了方便，更是为了满足这些严苛的支付特定安全与合规需求而设计的。

Visa 支付 Passkey 服务将首先被集成到 Visa 的 Click to Pay 平台，从而大规模地提供无缝且安全的结账体验。此外，该服务也为 Visa 一键支付等创新铺平了道路，进一步减少了手动输入的需求，提升了消费者体验。Visa 还计划与各市场的发卡行合作，在新发行的 Visa 卡上启用 Click to Pay 和 Visa 支付 Passkey 服务。这种集成将从持卡人收到卡片的那一刻起，就减少手动输入卡片信息和密码的需要，进一步简化用户体验。

Visa 推出 Visa 支付 Passkey 服务是 Passkeys 在支付领域的一大进步，因为 Visa 是三大信用卡发卡行中第二家提供专用 Passkey 服务的公司。

有了 Visa 支付 Passkey 服务，传统的基于密码的认证可以被完全取代。我们预计（类似于 Mastercard 的令牌认证服务 / Mastercard 支付 Passkeys），Visa 的支付 Passkey 服务将确保用户在 Visa 创建一个 Passkey 后，就可以用它在任何合作商户的网站上验证交易，而无需每次访问新商户时都创建新的 Passkey。此外，这项技术支持的支付 Passkeys 将重新定义数字结账流程。

Visa 方案的一个关键战略要素是其基础设施。Visa 已经建立并运营自己的 FIDO 服务器来支持 Visa 支付 Passkey 服务。这是 Visa 所谓的“联合模型”的基础。在这个模型中，Visa 直接使用其 FIDO 服务器承担认证和验证客户身份的责任。这与商户或发卡行可能需要自己实施和管理部分 FIDO 认证流程的模型有显著不同。对于商户而言，这种联合模式极大地简化了集成。他们只需与 Visa 支付 Passkey 服务集成一次即可。Visa 会处理底层的 FIDO 认证复杂性，使商户无需构建自己的服务器、管理复杂的技术集成或为认证目的单独与发卡行对接。这种精心设计的选择降低了准入门槛，旨在加速其在 Visa 庞大的商户网络中的普及。

对于商户而言，采用 Visa 的支付 Passkey 服务有几个关键优势：

• 减少欺诈和拒付：认证过程利用用户的生物特征数据，显著降低了欺诈和拒付的风险。
• 最大程度减少结账阻力：更顺畅的交易流程能带来更高的批准率和转化率。

对于购物者而言，这项服务提供了：

• 无缝的结账体验：在各种设备和商户的店铺中都能获得简化的结账流程。
• 增强的安全性：防网络钓鱼的多因素认证 (MFA) 加强了对信用卡诈骗和网络钓鱼攻击的防御。在某些情况下，该服务甚至能满足类似于 Visa 消费者认证服务的标准，确保在线交易的最高安全性。

对于发卡行而言，其优势在于：

• 减少欺诈损失：更低的总欺诈率直接减少了与未经授权交易相关的财务损失，使发卡行受益。
• 降低认证成本：从短信 OTP 转型可能会降低与发送消息和管理该基础设施相关的运营成本。
• 改善客户体验：无阻碍且安全的支付体验能带来更高的持卡人满意度和忠诚度。
• 由 Visa 管理的认证支持：发卡行可以从 Visa 管理核心认证基础设施和支持中受益，从而可能减少自身的维护开销。

一旦 Mastercard 发布更多信息，我们将撰写更详细的技术分析，介绍如何将 Mastercard 令牌认证服务集成到现有系统中。要获取最新信息，请订阅我们的 Passkeys Substack 或加入我们的 Slack Passkey 社区，以免错过任何更新。

在此之前，我们建议您观看 Visa 的公告视频，其中更详细地解释了这一概念。

区分新的 Visa 支付 Passkey 服务和现有的 Visa 消费者认证服务 (VCAS) 非常重要。

• VCAS 是 Visa 为发卡行提供的成熟的托管式访问控制服务器 (ACS) 解决方案，用于支持其 EMV 3-D Secure 项目。
• VCAS 主要依赖基于风险的认证 (RBA)。它利用专有的风险评分引擎分析大量交易数据（据报道多达 150 个数据点），以确定交易是低风险（允许无感通过）还是高风险（需要增强验证）。
• 当 VCAS 需要增强验证时，它可以支持多种方法，包括 OTP（通过短信或电子邮件发送），或者如果发卡行使用 Visa 的配套生物特征认证器应用，也可能支持生物特征认证。
• 相比之下，Visa 支付 Passkey 服务是 Visa 全新的、专门基于 FIDO / Passkey 技术构建的服务。它直接利用设备原生的 FIDO 功能进行认证，使用加密密钥和本地生物特征/PIN。

虽然这两种服务都旨在增强电子商务认证的安全性并减少阻力，但 Visa 支付 Passkey 服务代表了一种技术转变，即转向以无密码、防网络钓鱼、基于 FIDO 的标准作为主要认证方法，而不是主要依赖 RBA 并将 OTP 作为常见的增强验证后备方案。

Visa 支付 Passkey 服务的推出，标志着支付提供商领域对 Passkeys 的采用又迈上了一个重要的里程碑。这种创新方法不仅通过生物特征认证增强了交易安全性，还提供了无缝、无阻力的用户体验，解决了当今支付行业中两个最关键的问题。

对于商户而言，集成 Visa Passkeys 意味着显著减少欺诈和拒付。对于消费者而言，它承诺了一个更安全、更简化的结账流程。我们鼓励开发者和产品经理探索这项技术，以保持在支付安全和用户体验领域的前沿。

一个悬而未决的问题是：在 Visa（以及最近的 Mastercard）都已拥抱 Passkeys 的情况下，美国运通 (American Express) 计划如何布局 Passkeys，以追赶上 Mastercard 和 Visa 的步伐？

在 Corbado，我们致力于提供所需的工具和专业知识，帮助您轻松集成 Passkeys，无论您是在数字平台上实施支付 Passkeys，还是在探索金融服务 Passkey 解决方案。敬请关注我们关于 Passkeys 如何塑造数字认证的更多见解和详细分析。