Payment Passkey成線上安全支付新焦點，兩大發卡組織齊推動

在2025年的交易安全與身分認證發展上，有一項重要發展值得大家留意，包括Visa、萬事達卡等業者都已在推動，該技術稱之為「支付通行密鑰」（Payment Passkey）。

簡單來說，Payment Passkey是一種新興的支付認證技術，其目的是取代經常為人詬病的一次性密碼（OTP），讓使用信用卡或簽帳卡的民眾，能以更快速且更安全的方式，透過臉部辨識或指紋辨識就能直接完成線上支付。

Visa與萬事達卡均已宣布自家Payment Passkey機制

具體而言，Payment Passkey與近年我們持續關注的FIDO Passkey技術，是基於同樣的技術原理，能抵抗網路釣魚，避免密碼與OTP碼被竊取的問題。

不過，先前這類技術的應用，普遍用於網路服務登入的身分驗證，現在進一步擴展至刷卡交易的身分驗證，目前Visa、萬事達卡已展開行動。

Visa在2025年1月13日，發布了2025支付關鍵趨勢報告，其中一點就是提到這項技術發展，他們表示半年多前公布了Visa支付通行密鑰（Visa Payment Passkey）的項目。

原因在於，為了避免持卡人過度依賴OTP，造成因遭遇詐騙而發生主動授權的情形，因此透過Payment Passkey，可讓身分認證轉向符合FIDO標準的生物識別，提升線上購物交易的安全性與便利性。

目前，Visa已經與卡達的QNB國家銀行合作，在進階版Visa Click to Pay中結合支付通行密鑰技術。

萬事達卡在一個月前，於2024年12月發布年度支付趨勢報告，同樣提到他們推出了Mastercard支付通行密鑰（Mastercard Payment Passkey）服務。

他們同樣指出，儘管目前OTP簡訊驗證便利，但消費者還是容易遭到網路釣魚或簡訊攔截等詐欺手段破解，如今透過他們的Payment Passkey，將運用生物辨識技術提升交易安全性與便利性。

目前，萬事達卡已於去年8月於印度市場推行，合作夥伴包括當地最大支付業者Juspay、Razorpay與PayU，以及Bigbasket等線上購物平臺與Axis Bank等銀行；10月與中東、北非noon Payments合作；12月再進軍拉丁美洲市場，與巴西Sympla、拉丁美洲支付業者Yuno合作。他們認為，這項技術將於2025年高速發展。

值得注意的是，對於臺灣而言，儘管上述服務尚未在國內提供，但我們發現國內金融領在面對OTP容易被竊取的問題上，也開始有初步對應方式。

例如，在半年多前的2024年5月，金管會公布強化防範信用卡遭盜刷之措施，提醒民眾當心釣魚網站詐騙信用卡卡號及OTP驗證碼。

接著5月底，聯合信用卡處理中心（聯卡中心）發布這方面的消息，將逐步導入OTP驗證進階版，也就是民眾在發卡機構提供的OTP驗證簡訊及付款頁面上，還要點選符合的「網頁識別碼」，以核對網站真實性。

雖然這並未完全解決OTP的問題，但多增加一道供民眾識別的程序。不過聯卡中心也提到，他們其實還有導入FIDO身分核驗功能，提供發卡機構選擇採用，可以更進一步提升網路交易安全。

綜觀上述這些新的線上支付安全機制，都是為了防範傳統OTP碼在線上交易時，可能遭遇網路釣魚、郵件或簡訊攔截的威脅。

從代碼化技術Payment Passkey，一鍵支付可望漸漸趨於普及

回顧線上支付卡（信用卡與簽帳金融卡）購物的演進，在Payment Passkey這項新技術推出之前，國際支付產業標準組織（EMVCo）已針對全球網路交易中可能發生的各種風險，包括線上刷卡，提供多層次的保護，並持續因應新的網路威脅。

例如，早年都是手動輸入信用卡資訊，之後商家網站儲存支付憑證雖帶來方便性，但也使駭客將目標鎖定在商家網站，竊取卡片資訊，因此PCI DSS標準的發展也至關重要，規範商家必須符合其規定，才能保護民眾提供的信用卡資訊。

隨著2010年代行動應用興起，此時代碼化（Tokenization）技術在2013年出現，成為行動支付發展的重要關鍵。因為這項技術可在行動支付的信用卡綁定時，將卡號置換成另一組16位數字串來存放與傳送，保護用戶的支付資訊。

到了2020年代，儘管各式行動支付日益普及，但信用卡仍是線上支付的主要方式之一。因此，為了進一步簡化線上結帳流程，代碼化只是轉型的第一步，這幾年還陸續推出SRC（Secure Remote Commerce）標準、Click to Pay解決方案等，因為當中整合了多種安全機制，並可以統一支付體驗，讓消費者可以更安心且熟悉。

如今再加上Payment Passkeys，代表著一鍵線上支付在全球可以變得更普遍。例如，當商家採用Click to Pay解決方案，消費者也建立Click to Pay帳號，之後購物時就會跳轉到特定結帳頁面，只是舊的Click to Pay機制是要輸入OTP驗證碼，如今再加上符合FIDO標準的Payment Passkeys，可以臉部辨識或指紋辨識來完成線上支付，更為方便與安全。

事實上，以臺灣環境來說，行動支付已經逐漸成為主流，主因是大型支付平臺經常提供回饋吸引用戶，因此許多人早已習慣這種快速的線上支付。與上述流程很相像，只要商家支援某家業者的行動支付，使用者也建立該行動支付帳號與綁定信用卡，之後消費者在支援的平臺購物時，就會跳轉到特定行動支付的頁面，此時，只要選擇已綁定的信用卡或金融簽帳卡，接著可以透過生物辨識方式（或輸入密碼）來確認支付。

不過，有些網路購物服務並未與這些行動支付業者合作，也有一些民眾仍習慣線上刷卡，若是Payment Passkey服務之後有在臺推動，是否能帶動一鍵線上支付的更進一步發展，值得我們持續關注。

對於支付產業而言，在關注EMVCo與FIDO這些國際組織在這方面的進展時，W3C的安全支付確認Secure Payment Confirmation（SPC）也值得關注，這是WebAuthn標準（FIDO2標準的核心組成部分之一）的擴展，是一種Web API，主要是增強消費者在使用FIDO身分驗證進行支付交易時的體驗，並簡化對當地法規（如歐洲PSD2、動態連結）的合規性。目前這項標準尚未正式發布。