PSD2：これでSMSベースの認証は終了ですか？

銀行と決済サービスプロバイダー電信送金または支払いの確認を希望する人の身元を確認するために、SMSに依存する場合があります。彼らはSMSメッセージを送信しますワンタイムパスワード（OTP） ユーザーの携帯電話に送信し、ユーザーはこのOTPを銀行または決済サービスプロバイダーのアプリケーションに入力する必要があります。

このブログ記事では、 SMSベースの認証 PSD2に基づく強力な顧客認証（SCA）要件が施行された場合でも、これは許容されます。2016年8月、European Banking Authority（EBA）は、Strong Customer Authentication（SCA）に関する規制技術基準（RTS）の提案草案を公開しました。私の分析は、PSD2に対するこの補遺に基づいています。今後数週間のうちに、RTSがEBAによって確定されることを期待しています。

SMSベースの認証が受け入れられるかどうかという質問に答えるために、SMSを使用する3つのシナリオを検討します。次に、RTSの要件を満たす3つのシナリオのいずれかについて説明します。

シナリオ1：2デバイス認証（2da）

この場合、ユーザーには2つの独立したデバイスがあります。1つは銀行のWebサイトまたは銀行アプリにアクセスするためのデバイスで、別の自分自身または支払いを認証するためのデバイス。最初のデバイスは、銀行装置は通常、デスクトップPC、ラップトップ、またはモバイルバンキングアプリを実行するモバイルデバイス（電話、タブレットなど）です。2番目のデバイスは、認証デバイスは、SMSを受信するモバイルデバイスです。ユーザーは、SMSからのOTPとパスワードまたはPINを使用して、銀行のWebサイトまたはアプリに対してユーザーを認証すると想定します。

このソリューションは、RTSに準拠している場合に使用されます。ログオン銀行のウェブサイトまたはアプリに。このソリューションは、署名トランザクション、ただし2つの条件が満たされた場合のみ。まず、SMSメッセージには、取引の詳細（金額、受取人など）が含まれている必要があります。第2に、SMSメッセージのコンテンツは、モバイルデバイスによる転送中および受信中の変更から保護する必要があります。この後者の要件は、通常は保護されていないため、SMSメッセージでは簡単に満たすことができません。

したがって、一般に、SMSベースの認証はログオンには使用できますが、署名には使用できません。

シナリオ2：2アプリ認証（2aa）

2daとは対照的に、このアプローチは2つの異なるデバイスに依存せず、同じモバイルデバイス上で実行される2つの異なるアプリに依存します。アプリは、いわゆるアプリ間通信を介して相互作用します。これらのアプリを銀行アプリそして認証アプリそれぞれ。認証アプリはSMSメッセージをリクエストして受信します。

標準のSMSベースの認証は、2つの理由で準拠していません。まず、SMSは途中で傍受され、改ざんされる可能性があります。次に、SMSがモバイルデバイス上のマルウェアに傍受される可能性があります。これは、RTSからのチャネル分離要件が満たされていないことを意味します。

SMSメッセージのコンテンツが認証アプリで終了するエンドツーエンドのセキュアチャネルを使用して保護されている場合、ソリューションを準拠させることができるため、アプリのみがSMSを復号化できます。ただし、これは標準的なアプローチではありません。

シナリオ3：one-app-authentication（1aa）

この場合、ユーザーは単一のデバイスを使用するだけでなく、単一のアプリを使用してトランザクションを開始および認証します。ユーザーは、個別の認証デバイスまたはアプリを使用しません。

このシナリオは PSD2要件に準拠 、チャネル分離がないため。SMSの使用はこれに影響を与えません。

結論

PSD2での強力な顧客認証に関する最終的な要件はまだ待っています。ただし、現在の提案と比較して何も変更がなければ、 SMSベースの認証要件、特に支払いの承認に関連する要件を満たすのは難しいでしょう。