概要
3DS 验证标准,通常为人所知的是其品牌名称(例如,Visa Secure、Mastercard Identity Check 或 American Express SafeKey),旨在减少欺诈,提高在线付款的安全性。
相较于 3DS 1.0 验证,3DS 2.0 验证 (3DS2) 引入了“无阻验证”并提升了购物体验。它是用来满足欧洲的[强客户认证]](https://stripe.com/guides/strong-customer-authentication) (SCA) 法规的主要银行卡验证方式,也是商家请求强客户认证豁免的一个关键机制。
Stripe 在我们的 payments API、移动 SDK 和 Stripe Checkout 上支持 3DS 2.0 验证。
3DS 1.0 验证历史简介
尽管一些市场已采用额外安全措施,例如地址验证系统 (AVS) 或 CVC 验证,但是信用卡和借记卡付款依然面临较高的欺诈风险。(实际上,正是因为有这种风险,所以客户可以就使用它们的银行卡进行的欺诈性支付提出争议。)
为了解决这一问题,卡组织于 2001 年推出了第一版 3DS 验证。如果您经常在线购物,您可能会对以下 3DS 验证流程比较熟悉:您输入您的银行卡信息,确认付款,之后被重定向至另一页面,在该页面上,您的发卡行要求您输入验证码或密码来确认购买交易。由于验证页面通常与卡组织联名,大部分客户通常对 3DS 验证的品牌名称更加熟悉,例如 Visa Secure、Mastercard Identity Check 或 American Express SafeKey。
对于商家来说,3DS 验证的优势很明显:要求客户提供额外信息让您可以构建一层额外欺诈保护,确保您只接收来自合法客户的银行卡付款。还有一项优势是,采用 3DS 验证对付款进行验证可转移责任,将因欺诈而产生的撤单责任从商家转移到客户的账户所属银行。此项额外保护就是大额付款(例如购买机票)通常采用 3DS 验证的原因。
遗憾的是,使用 3DS 1.0 验证也有一些弊端:需要增加步骤来完成付款,增加了结账流程的阻碍,可能会导致客户放弃购买。此外,许多银行依然硬性要求持卡人创建并记住自己的静态密码来完成 3DS 验证。这些密码容易忘记,很有可能导致客户放弃购买。
3DS 2.0 验证有什么新特点
EMVCo 是一个由六大卡组织组成的机构,他们推出了新版 3DS 验证。3DS 2.0 验证(也称为 EMV 3-D Secure、3D Secure 2.0 或 3DS2)旨在通过引入干扰较少的验证和更好的用户体验来克服 3DS 1.0 验证的缺点。
无阻验证
采用 3DS 2.0 验证,商家及其支付服务商可针对每次交易向持卡人银行安全发送更多数据元素。其中包括支付数据(例如收货地址)以及上下文数据(例如客户设备 ID 或之前的交易历史)。
持卡人银行可利用此类信息评估交易风险等级并选择做出适宜回复:
如果银行认为数据可信,足以认为是真正的持卡人正在进行购买,则交易就会采用“无阻”流程并完成验证,无需持卡人额外输入信息。
如果银行断定需要更多证据,交易则会按照“质询验证”流程进行,这会要求客户输入更多信息,对付款进行验证。
虽然 3DS 1.0 验证就已支持一种存在一些局限性的风险验证,但利用 3DS 2.0 验证共享更多数据这一功能可增加交易次数,无需客户进一步输入信息即可完成验证。
3DS 2.0 验证(支持回滚至 3DS 1.0 验证)的支付验证示例流程*
即使交易按照无阻流程进行,商家也会受益于与采用质询验证流程的交易同样的责任转移优势。
更好的用户体验
不同于 3DS 1.0 验证,3DS 2.0 验证是在智能手机兴起后出现的,这让银行可以通过他们的移动银行应用提供创新性的验证体验(有时称为“out-of-band authentication”(带外身份验证))。不再需要输入密码或接收短信,持卡人只需通过指纹或人脸识别即可在网银应用内验证一笔支付。我们期望更多银行采用 3DS 2.0 验证,来支持更流畅的验证体验。
在用户体验方面的第二项优势是,3DS 2.0 验证在设计上将质询验证流程直接嵌入了 Web 和移动结账流程——无需完全的页面重定向。现在,如果客户在您的网站或网页上进行验证,则会默认弹出 3DS 验证,出现在结账页面的一个模块内(浏览器流程)。
如果您在构建一款应用程序,您可以用专为 3DS 2.0 验证开发的移动 SDK 来构建“应用内”验证流程,彻底避免浏览器重定向。
3DS 1.0 验证:采用浏览器重定向的移动验证流程
3DS 2.0 验证:改进的应用内移动验证流程
3DS 2.0 验证和强客户认证
如果您在欧洲经营业务,那么对您而言,强客户认证 (SCA) 法规的实施已使 3DS 2.0 验证变得更为重要。由于该法规要求您对欧洲范围内的付款进行更多验证,而 3DS 2.0 验证会提供更好的用户体验,因此可以最大程度地减少对转化的负面影响。
此外,3DS 2.0 验证协议本身允许类似 Stripe 这样的支付服务商请求强客户认证豁免,无需对低风险付款进行验证。要求进行强客户认证的付款将必须经过这个“质询验证”流程,而豁免此认证的交易将直接通过“无阻”流程完成。但值得注意的是,如果支付服务商请求对要求 SCA 的付款给予豁免,并且通过“无阻”流程完成交易,则不能享受责任转移带来的好处。
Stripe 如何支持 3DS 2.0 验证?
Stripe 在我们的 payments API 和 Checkout 上支持通过浏览器使用 3DS 2.0 验证,让您可以针对高风险付款动态地应用 3DS 验证,让商家远离欺诈。当持卡人账户所属银行提供支持后,我们将应用 3DS 2.0 验证,在不支持新版验证的情况下则使用 3DS 1.0 验证。
如果您在构建移动应用,那么利用我们的 iOS 和 Android SDK 可以构建应用内验证流程,提供一种“原生”验证体验,不必再将您的客户重定向到您的应用之外。即使持卡人的账户所属银行尚不支持 3DS 2.0 验证,我们的移动 SDK 也将在您应用内的嵌入网页视图中动态回滚至 3DS 1.0 验证。
详细了解我们的 payments API、移动 SDK 和 Stripe Checkout,开始使用 3DS 2.0 验证。