PSD2支持：为什么使用FIDO（二）

卡认证（CAP，Chip Authentication Program）是由Mastercard发起，已在Visa认证过程中使用，基于EMV支付智能卡动态生成口令。

读卡器通常会有显示器和数字键盘，EMV支付卡插到特殊设计的便携CAP读卡器上，生成动态码，典型的是8位长，由用户在银行应用上输入。读卡器是一个独立设备，有的也可以连接电脑或手机。

CAP标准支持多种认证方式：

Mode1：固定交易，fixed transaction

Mode2：交易数据签名，transaction data signing

Mode3：挑战/应答，challenge/response

用户使用流程如下：

1. 拥有EMV支付卡的用户，需要从银行获取EMV CAP读卡器；

2. 用户在读卡器中插卡生成EMV CAP码，访问银行服务或进行支付；

3. 用户通过读卡器的按钮，选择模式或应用；

4. 在挑战-响应模式下，或者交易确认，用户需要输入银行应用展示的随机数字和交易信息。对于交易信息，用户需要手动输入多个数据；

5. 用户输入EMV卡的验证PIN码。PIN码将传输到卡上，验证成功后，生成口令，显示在CAP读卡器上；

6. 用户在银行应用上输入EMV CAP码。

有的EMV CAP读卡器支持USB或蓝牙连接，以简化用户旅程，用户无需手动输入信息。但这可能需要在PC上安装驱动程序或第三方软件； 所有连接的读卡器都会增加系统的复杂性。

EMV支付卡在读卡器中的使用，满足RTS对SCA的要求；用户PIN码输入属于“所知”认证因子，正确的验证产生口令属于“所有”因子。

生成的口令可以是RTS所说的认证码。在这种情况下，mode2的解决方案也符合动态连接性，因为交易信息需要用户手动输入并进行数字签名。

EMV CAP读卡器之所以受欢迎，主要有以下原因：

• 首先，依赖于银行已经发放给用户的EMV支付卡，用户很熟悉其PIN码。其次，用户很信任卡的安全性；

• 符合PSD2且满足SCA的安全要求；

• 应用方基础架构无需大的改动；

• 由于密钥信息存储在智能卡上，无需管理读卡器。

CAP同硬件OTP生成器有很多相同的缺点：

• 用户体验差，需要手动输入一次性口令；

• 容易被钓鱼攻击，用户可能被欺骗将动态口令输入到假网站上；

• 用户必须随身携带CAP读卡器和支付卡，以便随时可用；

• 账户恢复：丢失卡或读卡器都会限制用户登录使用银行服务，需要重新向银行申请。

除此之外，还有几个特有的缺点：

• 卡需要预置应用程序来支持卡认证。

• 安装读卡器增加了系统复杂度，不能做到开箱即用。

  
  

很多银行借助生物特征验证在手机上实现用户的认证。这些解决方案通常会将生物验证同手机中存储的密钥进行绑定。OEM已经支持了多种生物认证方式，这个能力也作为操作系统的公开接口提供给用户，比如指纹、人脸、虹膜。生物数据通常存储在本地，验证也由设备自行完成。

用户体验非常好：打开银行应用时，用户只需要刷指纹、人脸或虹膜即可登录。

若更换设备登录，如从电脑端登录，手机端的生物认证方式仍然可以通过“带外认证”来实现，带外认证包括推送消息到用户手机、引导用户验证生物特征等。这种方式的关键点在于PC和手机端拥有共同的session。

生物验证是RTS定义的认证因子之一。为了遵守这个规范，需要第二认证因子，典型的是“所有”因素。解决方案通常是在手机上生成密钥，由服务端验证密钥，以此来证明所有权。

这种证明方式可以是RTS描述的认证码。这种情况下，为了满足动态连接性，计算过程需要加入交易信息和收款人信息。

由于生物特征比对通常是由OEM在本地完成，验证结果应以不可伪造、不可复制的方式安全地传输到银行服务器。

主要优势是简洁性和用户便利性。由于生物验证支持的机型特别广泛，集成起来非常简单。

多因子认证和生物认证有助于风险控制，提高交易安全性。

同时，手机是用户最常携带的设备。当用户交易时，可手机认证或通过手机进行带外认证。

智能手机和生物特征的解决方案证明所有权通常基于对称密钥算法。在这个体系中，密钥需要通过网络安全下载到设备上。

这个方案对设备是有要求的，并不是一个通用解决方案，仍然需要部署其它验证方式来支持不满足条件的用户。同样，由于没有统一标准，可能需要使用不同的服务端解决方案。

账户恢复操作复杂：若移动设备丢失，用户则无法完成认证，无法访问银行服务。账户的恢复，需要用户在新设备登录后，重新进行远端比对。

切换到FIDO的必要理由有三个：满足PSD2提升用户体验的要求；安全性，抵御钓鱼攻击；良好的扩展性、部署简单。

与基于OTP/口令的方式不同，FIDO不需要手动输入认证码。用户简单的刷指纹、人脸即可认证成功。

NIST明确指出，短信验证码的认证方式应进行限制，其固有的弱点会提升风险。在简单操作的背后，是一套完整的多因子认证。由FIDO提供的多因子认证解决方案，完全满足了欧洲银行组织（EBA，European Banking Authority）的观点，“用户对ASPSP的认证，不应制造不必要的操作”。

FIDO认证通过私钥安全存储在设备端证明所有权，同时不会被复制。当关联设备上的认证方式时，比如PIN码或生物验证，FIDO可以完全免去口令输入的环节。

FIDO的断言可以作为RTS强制要求的认证码。对于远程支付，FIDO支持动态连接要求，认证器可以将传入的信息进行签名。

FIDO认证支持多种生物特征形式。银行提供FIDO服务时，不需要改动系统以适应不同生物认证方式，这个部分由FIDO认证器来完成。同样的，FIDO断言在生物验证完成之后生成。这些能力也平衡了另一个EBA推荐，“ASPSP的应用认证状态，需要安全同步到服务端（例如，使用已成功完成生物特征验证的签名证明）”。

FIDO可以提供与硬件OTP一样的安全性。FIDO认证器可以在安全芯片中，也可以在可信安全区中实现。

FIDO认证器的安全性，由FIDO证书证明。FIDO联盟运行了严格的认证流程，不只检测交互操作性，也检测安全性。

FIDO协议可以有效抵御钓鱼攻击：验证web域名，断言中签名web域名，最后在应用认证阶段验证。这些手段，有效的阻止中间人攻击和钓鱼攻击。

部署和实现十分便利，因为FIDO已经在平台上实现了，且注册的方式银行方可以完全掌控。

FIDO认证器可以在公开市场买到。银行无需进行额外配置，也不需要预置密钥种子。用户可以在使用银行应用时，注册FIDO设备。FIDO的认证器也可以多银行共用；每一次注册都是一个新的公私钥对。由于上传的只是公钥，与其他基于移动电话的解决方案一样，无需在手机端额外配置服务器信息。

本地平台的支持：FIDO认证器已在Android和iOS上原生支持，非常多手机已本地支持，这极大的简化了部署和扩展的流程。FIDO也在Windows 10上原生支持，包括很多外置Key、手机，都可以通过CTAP接口同Windows应用链接，无需额外安装插件。非Windows 10用户，只要有一部FIDO支持的智能手机，即可通过带外认证方式实现用户认证。

全球支持：FIDO作为一个全球标准，100%的银行用户都可部署；平均来看，70%的银行用户已使用FIDO支持的手机，剩下的30%仍需在PSD2中支持。对于这30%的用户，FIDO供应商们提出了一系列设备作为FIDO认证器。银行对FIDO服务器的投资，可允许银行部署各种兼容的FIDO设备。

账户恢复：同其它基于设备的解决方案一样，设备的丢失会阻碍用户认证、访问账户。然而，其它的方案需要由银行发放新设备，FIDO设备可以在公开市场买到。举个例子，用户丢失了智能手机，可以快速购买另一个、并重新开通银行FIDO认证方式。这些基于银行的远程认证方式，市场上有许多远程KYC解决方案可以实现。

八、总结表