通行密钥！SRC 1.5上线！重塑跨境支付安全！

在当前全球数字经济浪潮中，支付安全与用户体验始终是行业关注的核心。随着网络钓鱼等欺诈手段日益复杂，传统的密码验证方式已难以满足现代支付环境的需求。正是在这样的背景下，一种名为“通行密钥”（Passkey）的创新技术正日益受到业界的重视，并在在线支付领域展现出其独特的价值。EMVCo数字身份与支付工作组主席萨米·蒂卡拉（Sami Tikkala）撰文指出，通行密钥有望帮助跨境支付领域实现更流畅、更安全的在线交易体验。

通行密钥（Passkey）的深层解读

通行密钥，作为“快速身份在线”（Fast Identity Online, 简称FIDO）认证凭证的消费者端术语，代表着新一代的身份验证技术。其核心理念是，用户可以通过日常解锁设备的相同方式，如生物识别（指纹、面部识别）、PIN码或图形密码等，便捷地完成身份认证。这种设计旨在将用户已经习惯的设备解锁体验，无缝地延伸到各类在线服务的登录和交易确认中。

从技术层面来看，通行密钥是与用户账户关联的FIDO加密凭证。这意味着每个通行密钥都基于强大的密码学原理生成，并与特定的用户身份信息绑定，显著提升了认证的安全性。通行密钥的实现方式有两种主要类型：一种是“设备绑定型通行密钥”（device-bound passkeys），此类密钥仅存储在特定设备上，并与该设备紧密关联，例如存储在智能手机的安全芯片中；另一种是可以在用户不同设备间同步的通行密钥，这为用户带来了极大的便利性，允许他们在任何已授权的设备上使用同一通行密钥进行认证。这种灵活而安全的机制，使得通行密钥在防范未经授权访问方面具备先天优势。有关通行密钥的更多详细信息，可以参考FIDO联盟官方网站的专业阐述。

通行密钥在支付领域的应用前景

通行密钥不仅仅是账户登录的替代方案，它在支付领域同样拥有广阔的应用空间。其最主要的用途在于取代传统密码，成为账户认证的第一或主要因素，并有效抵御网络钓鱼攻击。此外，通行密钥还在其他重视信任与便捷性的场景中发挥作用，在线支付便是其中一个关键领域。新媒网跨境了解到，将通行密钥整合到支付流程中，可以显著提升交易的安全性和用户体验。

支付领域引入通行密钥的价值分析

相较于传统的密码和通过短信或电子邮件发送的一次性验证码（OTP），通行密钥在用户体验和安全性方面均实现了显著提升。它消除了记忆复杂密码的负担，并避免了OTP可能面临的截取风险。EMVCo开展的初步研究显示，消费者普遍认可通行密钥在支付安全和便捷性方面的优势。这种基于用户设备本身安全能力（如生物识别）的认证方式，不仅操作直观，更因为其抗钓鱼特性，为用户资产提供了更坚实的保护。

支持通行密钥的EMV技术体系

EMV标准作为全球支付行业的基石，也在积极拥抱通行密钥这一创新技术。当前，EMV安全远程商务（EMV Secure Remote Commerce, 简称EMV SRC）和EMV 3-D Secure（简称EMV 3DS）两大核心技术规范均已支持通行密钥的应用。具体而言，EMV SRC框架下使用通行密钥主要用于持卡人身份识别，而EMV 3DS中则侧重于持卡人的身份验证，确保交易的合法性。

EMV SRC如何赋能通行密钥应用

EMVCo一直致力于探索如何将通行密钥整合到EMV SRC生态系统中，以简化客户支付旅程。目前，EMV SRC API/SDK规范的1.5版本已正式发布，其中新增的功能允许消费者创建通行密钥，以访问与其“点击即付”（Click to Pay）资料关联的已注册卡片列表。新媒网跨境获悉，这一创新举措旨在消除消费者每次选择支付卡时都需要输入一次性验证码的繁琐步骤，通过通行密钥实现更顺畅、更快捷的卡片选择体验，从而优化整体结账流程。

EMV 3DS与通行密钥的深度融合

在深入探讨EMV 3DS如何支持通行密钥之前，有必要理解其两种主要的交易流程：无摩擦流程（Frictionless Flow）和挑战流程（Challenge Flow）。无摩擦流程允许发卡机构在无需额外身份验证步骤的情况下批准交易，通常适用于低风险交易。然而，如果一笔交易被发卡机构判定为高风险，或需要持卡人进行确认时，便会触发挑战流程。在此流程中，持卡人需直接向发卡机构提供额外信息以完成交易。

挑战流程具有高度的灵活性，能够支持多种认证方法，以适应不同的用户偏好和行业需求。其中便包括基于FIDO的WebAuthn技术和安全支付确认（Secure Payment Confirmation, 简称SPC）。SPC是万维网联盟（W3C）的一项候选推荐标准，它构建在WebAuthn之上，并充分利用了通行密钥的安全性和易用性优势，以支持简化的强认证。

通过在SPC中利用通行密钥进行认证，可以更有效地判断交易的合法性，从而降低发卡机构发起和商户发起交易中的欺诈风险。这为整个支付生态系统带来了更强大的安全保障，同时又不牺牲用户的便捷体验。

EMVCo在EMV 3DS中推进通行密钥应用的策略

为了进一步提升SPC使用时的消费者体验，EMVCo及其合作伙伴已向W3C提供了反馈，旨在改进SPC的用户界面（UI）。展望未来，EMVCo正积极探索针对循环交易和非支付交易中通过通行密钥进行认证的用户界面改进方案，以适应更广泛的业务场景。

与此同时，EMVCo还与FIDO联盟紧密合作，共同解决设备绑定和证明（attestation）要求，以满足各地监管法规的需求。此前，EMVCo已发布了关于在3DS消息中使用FIDO数据的白皮书，这为技术规范的进一步发展奠定了基础。这些举措体现了EMVCo致力于在全球范围内推动通行密钥在支付领域标准化应用的决心。

行业协作：通行密钥应用的关键驱动力

行业协作是EMVCo探索和加强通行密钥在支付领域应用不可或缺的组成部分。EMVCo与FIDO联盟之间建立了长达近十年的战略合作协议，共同致力于开发旨在提升全球支付安全和体验的规范与倡议。

新媒网跨境认为，为了进一步促进网络支付的安全性和互操作性，支持无缝的电商结账体验，EMVCo、FIDO联盟和W3C于2019年共同成立了网络支付安全兴趣小组（Web Payments Security Interest Group, WPSIG）。该小组的首要任务之一是识别EMVCo、FIDO和W3C技术的新功能、用例和用户体验，其中包括更新SPC以推广简化的强客户认证，并研究通行密钥如何与其他技术结合应用。

此外，EMVCo还成立了专门的数字身份与支付工作组，以深入研究EMV技术之间的更多合作领域。展望未来，随着通行密钥及其他数字身份举措在支付领域的不断发展，EMVCo将持续与EMVCo合作伙伴、订阅者以及广大行业伙伴保持紧密合作，共同推动支付行业的创新与进步。

新媒网（公号: 新媒网跨境发布），是一个专业的跨境电商、游戏、支付、贸易和广告社区平台，为百万跨境人传递最新的海外淘金精准资讯情报。

本文来源：新媒网 https://nmedialink.com/posts/passkey-src-15-secures-xborder-payments.html