保護線上交易的3D驗證
3D驗證是什麼?電商網站的線上交易安全保護及身分確認機制|天矽科技網頁設計
3D驗證是什麼
3D驗證(3-D Secure, 3DS) 是電子商務領域的一項認證協議,是 Visa、MasterCard 或 JCB 等國際信用卡組織推出的網路安全驗證機制服務,目的是在電子商務交易中認證持卡人,或提供身分驗證及帳戶確認,用以保障消費者使用線上刷卡購物的安全,其「3D」指的是參與認證的三方:「收單方(Acquirer Domain)、發卡方(Issuer Domain) 和 連接前兩者的 數據交換方(Interoperability Domain)」。
當我們在購物平台、電子商務平台進行消費時,大多的電子商務平台都會串接金流 API 來提供線上刷卡的服務。因此在結帳時,除了輸入信用卡卡號、有效期限及安全碼之外,為了保障消費者的支付安全,付款機構還會要求消費者輸入一組自行設定的密碼,或是使用 OTP (動態密碼、一次性密碼、單次有效性密碼簡訊)的方式來確認及驗證身分,透過多一道密碼驗證的步驟來確認持卡人身分,以降低卡片被盜刷的風險,這就是 3D 驗證!
簡單來說,3D 驗證 就是為了保障消費的被盜刷的風險及網路安全,提供的一個確認及驗證身分的線上付款流程。
3D驗證的密碼形式
上面有提到「付款機構會要求消費者輸入一組自行設定的密碼,或是使用OTP的方式來確認及驗證身分」,表示3D驗證的密碼方式會有兩種,如以下。
➤ 固定密碼
消費者可至自己信用卡的發卡機構設定一組固定的3D驗證密碼,未來在進行線上購物時,流程就會是「下訂單→ 線上付款→ 輸入信用卡資料→ 輸入申請的固定 3D 驗證密碼→ 完成刷卡」。
不過固定密碼是第一代 3D 驗證的產物,也因為是「固定」的密碼,大多數的消費者都不太會好好的保管,並且所設定之密碼通常也會與其他帳號的密碼相同,因此若使用固定密碼仍有遭到盜刷的風險可能,所以建議還是不要使用固定密碼為好。
➤ 動態密碼(OTP簡訊驗證)
消費者在進行線上購物時,可以選擇「簡訊傳送交易密碼」的驗證方式驗證身分,消費者線上刷卡後會收到一組驗證密碼,收到後再將該組密碼輸入到驗證碼欄位中即可驗證成功,流程就會是「下訂單→ 線上付款→ 輸入信用卡資料→ OTP 驗證→ 輸入驗證碼→ 完成刷卡」。
使用 OTP 驗證密碼是目前最多人使用的方式之一,這個方式會比使用「固定密碼」來的安全,只是 OTP 需要手機收取驗證簡訊,會比固定密碼來的較為不便。
雖然 OTP 為一次性且有時效性的動態密碼,且相較於固定密碼來的安全,但並不是使用這個方式驗證就絕對不會被盜刷,信用卡仍有可能會因為被側錄、誤點來路不明簡訊或被植入病毒而遭到盜刷的風險。
3D驗證與OTP一樣嗎?
3D 驗證 與 OTP 不同,3D 驗證 指的是驗證身分、保障交易安全的流程,而 OTP 指的是動態密碼、一次性密碼。
3D 驗證 可以利用 OTP(One Time Password)產生「單次且具有時效性」的動態密碼到消費者的手機中,來驗證及確認消費者身分的真實性;而 OTP 不僅可用於 3D 驗證 或交易,也可以用在網站註冊會員、忘記密碼或申請資料…等,需要驗證是否為本人之身分的功能中。
所以是 3D 驗證 利用 OTP 來達到驗證的目的,兩者並不相同。
延伸閱讀:
【客製化系統】網站加入OTP驗證、簡訊驗證機制
3D驗證是誰要去申請?
3D 驗證 是「商家」要去申請,還是「消費者」去申請的?
3D 驗證 是由發卡機構所發起的安全驗證機制服務,消費者在進行線上交易時,需經過3D驗證機制來確認身分,因此商家的金流平台需支援 3D 驗證,消費者才能進行身分的驗證,並保障支付安全。
所以 3D 驗證,是「商家」要去申請的。
每間銀行或金流機構都有3D驗證嗎?
每一間銀行或第三方金流平台,都有提供3D驗證的服務嗎?
由於 3D 驗證 服務已成為全球標準的安全措施之一,因此目前已有許多、甚至大部分的銀行及金流機構,都能提供 3D 驗證 的安全協議機制,以保障消費者的線上交易安全,不過我們並不能保證每一間銀行或金流機構都有提供 3D 驗證 的服務,因此如果有需要,商家會需要先跟配合並提供金流串接服務的銀行或金流機構詢問。
※ 天矽科技最長期配合的「綠界科技」第三方金流平台有提供 3D 安全驗證 的服務,若想與其他銀行或平台串接,企業需自行向機構確認申請。
參考資料:
✓ 維基百科|3D認證
✓ 365SHOP|線上付款小常識,什麼是信用卡3D驗證?
✓ 綠界|什麼是 3D 驗證
