什么是3D Secure(3DS)
3D Secure(3DS) 是一种支付安全协议,旨在为在线信用卡和借记卡交易提供额外的身份验证,以减少欺诈风险。3DS 由 Visa(称为 Verified by Visa)、MasterCard(称为 MasterCard SecureCode)和 American Express(称为 SafeKey) 等卡组织推出,后来发展为 EMV 3D Secure(3DS 2.0 和 3DS 2.1/2.2)。
3D Secure 的工作原理
3DS 采用 “三域”(Three Domain) 结构,因此得名:
发卡机构域(Issuer Domain): 发卡银行负责用户身份验证。
收单机构域(Acquirer Domain): 商户和支付网关处理交易请求。
互联域(Interoperability Domain): 由卡组织或支付网络(如 Visa、MasterCard)维护,确保不同银行之间的信息传输。
交易流程:
用户下单,输入卡号信息。
商户通过支付网关向发卡银行请求身份验证。
银行检测风险等级:
低风险: 交易自动通过(基于交易行为、设备信息等)。
高风险: 触发额外身份验证(如短信验证码、动态密码、指纹、面部识别等)。
用户验证通过后,银行授权交易。
交易完成,用户收到确认信息。
3D Secure 2.0
最新的 3DS 2.0版本优化了用户体验,支持无缝认证、减少跳转,提高安全性。3D Secure 2.0(3DS 2.0) 是对传统 3D Secure 1.0 进行的升级,旨在提高交易安全性的同时,优化用户体验。它由 EMVCo 开发,并由 Visa、MasterCard、American Express、JCB、Discover 和 UnionPay(银联)等全球支付网络支持。
3D Secure 2.0 主要特点
1. 改进用户体验
无跳转认证(Frictionless Flow):相比 3D Secure 1.0,2.0 允许 无感知验证,即大部分低风险交易可在后台自动完成身份验证,用户无需手动输入验证码或密码。
减少用户干预:智能风控模型分析超过 100+ 种数据点(设备信息、交易历史、地理位置等)来判断交易风险,低风险交易直接通过验证。
支持多种设备与浏览器:
移动应用内支付(In-App Payment)
移动网站(Mobile Web)
智能设备支付(IoT Devices)
桌面浏览器
2. 多种身份验证方式
3D Secure 1.0 主要依赖 静态密码(容易被盗取)。
3D Secure 2.0 支持更强的身份验证方式:
动态密码(OTP)
生物识别(指纹、面部识别、语音识别)
设备绑定(Device Binding)
风险评估(Risk-Based Authentication,RBA)
3. 降低交易被拒率(False Decline)
由于 3DS 1.0 采用强制密码认证,许多用户因忘记密码或输入错误导致交易失败。
3DS 2.0 采用 智能风险评估(Risk-Based Authentication, RBA),在 99% 的情况下不会影响用户体验,避免因误判导致的交易失败,提高支付通过率。
4. 提高安全性
符合 PSD2 SCA 规范(欧洲支付服务指令的强认证要求),满足 双因素认证(2FA) 标准。
减少拒付(Chargeback),商家可通过 3DS 2.0 认证交易,降低欺诈交易的争议率(因欺诈导致的 Chargeback 责任通常由发卡行承担)。
5. 改善兼容性
向下兼容 3DS 1.0:如果持卡人的银行不支持 3DS 2.0,则可以回退到 3DS 1.0,确保交易不中断。
支持更多支付场景,例如:
一键支付(One-Click Payments)
自动扣款(Subscription Payments)
数字钱包(Apple Pay、Google Pay)
总结
3D Secure 2.0 相比 1.0 提升了支付安全性,同时优化了用户体验,使在线支付更快捷、更安全。它适用于各类数字支付环境,并支持 生物识别、多端设备兼容、AI 风控 等新技术。全球许多银行和商家已逐步采用 3D Secure 2.0,以满足更严格的安全法规(如欧盟 PSD2 强身份认证)。
