为什么PSD2的异常只需要每90天进行一次双因素身份验证？

Question

PSD2需要双因素身份验证，他们称之为强客户身份验证(SCA)。但是，有一个“委托管理”2018/389，第10条，它增加了一个例外，即SCA不需要查看帐户信息，特别是过去90天的帐户余额和事务。

该条还规定了例外情况，即：

1. 就第1款而言，如果满足以下条件之一，支付服务提供者不得免于申请强有力的客户认证:自支付服务用户上一次在线访问第1款(B)项规定的信息以来，…已超过90天，并实行了强有力的客户认证。

我想知道，每隔90天要求SCA如何提高安全性，而不需要SCA，至少用于查看帐户信息。

例如，对于我的银行，这意味着登录到他们的网上银行需要第二个因素每90天。他们甚至在90天到期之前就显示了通知，这样我就可以提前90天重新启动，这意味着我的帐户总是被“激活”。这不是至少在德国是很少见的。

事实上，我觉得这降低了安全性，因为作为我的第二个因素的ChipTAN设备只显示了一个神秘的“启动代码”，所以我不确定我正在验证的操作实际上是90天期间的更新还是其他什么的。例如，当访问90天以上的事务时，我会得到相同的“启动代码”提示。

Answer 1

TLDR:

• 如果银行只要求每90天登录一次2FA，但每次付款都需要2FA(见下面的例外情况，例如向同一接收方支付经常性付款)，那么您的银行似乎要在安全性和友好性之间寻求平衡，并且似乎遵守了PSD2。
• 如果银行也要求每90天支付一次2FA，那么这很可能违反了PSD2的要求，并没有提高安全性。

详细信息：

PSD2定义了哪些操作具有更高的风险，并需要“强大的客户身份验证”。

如果支付服务提供者根据第(EU) 2015/2366号指令第97(1)条申请强有力的客户认证，则认证应以两个或两个以上要素为基础，这些要素被归类为知识、占有和继承，并应导致产生认证代码。

简单地说，“强客户身份验证”是一个多因素认证，2FA或更强。

主要是，这种“强有力的客户认证”适用于支付：

强客户认证的要求适用于付款人发起的付款。

更多的安全性通常意味着更少的友好和更差的用户体验。PSD2试图找到一个平衡。

..。根据执行付款交易所用的风险、金额、重复次数和付款渠道，确定了对强有力的客户认证原则的豁免。

尝试前往阿富汗或马罗科，并登录到你的帐户。很可能你会被要求参加2FA。为什么？因为上面的规则是适用的:你使用的其他渠道的风险比从你的国家访问高。

上面的规则定义了基本原则。简单地说:风险评估应该考虑到许多不同的因素。

PSD2还定义了异常。例如：

这些行动意味着在不披露敏感付款数据的情况下获取支付账户的余额和最近的交易，向以前通过强有力的客户认证而设立或确认的同一受款人反复支付，以及向同一自然人或法人支付与同一支付服务提供者有账户的相同自然人或法人的款项，构成较低的风险，从而允许支付服务提供者不进行强有力的客户认证。

这意味着，如果您只登录到您的帐户，不做任何付款，您的银行不需要申请“强大的客户认证”。一些银行也要求2FA登录。你的银行用这个正式的权利不这么做。

作出这一决定的因素之一可能是再次发生。试着一天登录1000次，即使没有任何付款。我想，你的银行不会在90天后要求2FA，而是在你到达一些你认为可疑的登录后不久。

上述要求允许在没有“强客户身份验证”的情况下查看最近的事务。如果您希望看到您的历史超过90天，您的银行认为这不是最近的交易，根据这一规则，需要“强大的客户身份验证”，在您的情况下，它需要2FA。

要求每90天交2FA不是PSD2的要求，而是你的银行的决定。这样做的安全好处很小。知道您的PIN的攻击者只会在这些日期之间使用PIN，并且在请求下一个2FA的日期之前和10天之后添加PIN，并自由使用您的PIN 70天。我看到的唯一的安全好处是，当银行要求2FA时，他们可以确保谭装置没有被偷，而你仍然拥有它。想要在安全性和用户体验之间取得平衡的银行要求的第二个因素不是定期的，而是在一些不可预测的时刻。因此，攻击者不会因为知道银行每90天只要求第二个因素一次而受益。我想你的银行不认为这是一种风险。