PSD2兼容双因素认证

Question

根据PSD2，多因素身份验证的元素必须是独立的，因此一个元素的妥协不会损害另一个元素。

下面是指令中的文章：

*第9条要素的独立性，

1. 支付服务提供者应确保在使用第6、7和8条所述的强有力的客户认证要素时，应在技术、算法和参数方面采取措施，以确保违反其中一项要素不损害其他要素的可靠性。
2. 如果通过包括移动电话和平板电脑在内的多用途设备使用强客户身份验证或认证代码的任何要素，支付服务提供商应采取安全措施，减少多用途设备受到损害所造成的风险。
3. 为第2款的目的，减轻处罚措施应包括下列每一项措施：(a)通过安装在多用途设备内的软件使用分离的安全执行环境；(b)确保软件或装置不被付款人或第三方或第三方更改的机制，以减轻发生这种改变的后果。

问题是在这种情况下什么可以被认为是独立的？

让我们想象一下以下场景：

客户使用他/她的手机浏览器访问网上银行网站。身份验证需要密码和另一个元素(基于拥有)。

如果第二个因素是一个通过短信发送到手机的一次性密码，那么一个恶意软件就足以破坏手机，安装一个键盘记录器来窃取密码，并且在手机到达时窃取短信。

基于此，OTP通过短信是一种拒绝。

现在让我们假设SMS OTP被推送通知所取代(客户之前应该安装银行的移动应用程序)。确切实施的可能性很少：

• OTP通过push发送。
• 弹出一个审批窗口，用户需要点击“批准”按钮(就像Google那样)
• 弹出一个验证码，用户需要解决它。
• 软令牌OTP的生成
• 等。

在上述任何解决方案中，如果攻击者能够利用电话操作系统中的漏洞并获得根权限，他就能够窃取客户密码，并至少在理论上(通过安装某种远程访问工具)使用第二个身份验证因子验证事务。

由于用户体验的原因，硬令牌也是拒绝的。

安卓和iOS都使用的独立沙箱能否被视为一个安全的执行环境，能够满足指令的以下部分？

通过安装在多用途设备内的软件使用分离的安全执行环境

什么样的解决方案既符合规定，又方便客户？

Answer 1

没有人能肯定地说，这是非常值得商榷的。

很少的历史:从“可信的执行环境”到“安全的执行环境”发生了变化。它被记录在这里：https://www.eba.europa.eu/documents/10180/1761863/Final+draft+RTS+on+SCA+and+CSC+under+PSD2+(EBA-RTS-2017-02).pdf

据我所知，大多数行业都同意，这意味着基于硬件的TEE并不是一项要求。该文件提出了一些理由：

第6(2)条(现为第9(2)条)没有提及隔离，只有第2.2.b条提及。关于这一点，请参见评论10和11。因此，广管局并没有对该条文作出任何修改。然而，关于评论i)，EBA同意PSP只能减轻其职权范围内的风险。EBA对第6(3)条(现为第9(3)条)作了修改，规定重点放在PSP使用的软件上，而不是硬件本身。

EBA拒绝多个请求，以便更具体地说明如何实现执行环境分离。从这一点我们可以理解，您应该只关心适当的软件实现，但这意味着什么？让我们挖得更深一点。

有一个较旧的文档，使用了一些不太模糊的语言：https://www.eba.europa.eu/documents/10180/1548183/Consultation+Paper+on+draft+RTS+on+SCA+and+CSC+%28EBA-CP-2016-11%29.pdf

1. 此外，认证程序应通过认证程序的所有阶段，包括认证代码的生成、传输和使用，确保向付款人显示的信息的机密性、真实性和完整性。为此，显示有关交易金额和受款人的信息的信道、设备或移动应用程序应独立于用于启动支付的频道、设备或移动应用程序，或独立于该信道、设备或移动应用程序。例如，可以通过独立的通道来防止通过支付事务的启动过程对交易细节的任何操作。

考虑到所有这些，我认为使用平台沙箱是一个完全兼容的解决方案。不过，这可能不是最安全的。说到移动平台，网络环境更令人困惑，因为它没有任何沙箱。