Adyen 3D Secure：3DS2 认证的工作原理

3D Secure 是位于银行卡支付和交易确认之间的认证层。Adyen 3DS 是该标准应用最广泛的实现之一，它内置于 Adyen 的支付平台中，每年在欧洲、北美和亚洲处理数十亿笔交易。

对于任何集成银行卡支付的开发者，以及任何试图在防范欺诈和提高结账转化率之间取得平衡的商家而言，Adyen 如何处理 3D Secure 都至关重要。这两者之间存在直接的矛盾：更高的身份验证意味着更低的欺诈率，但也意味着更多的交易摩擦，而交易摩擦会导致销售损失。来自美国和巴西等地区的数据显示，这种情况比大多数商家预期的要严重得多。

什么是 Adyen 3D Secure？

当用户使用Visa卡进行在线支付时，Visa可以要求用户验证其身份。实现这一目标的机制是3D Secure——一种由卡组织（Visa称之为Verified by Visa，Mastercard称之为SecureCode）专门为非面对面交易开发的身份验证协议。Adyen 3DS则是Adyen在其支付平台上实现该协议的方式。

有两个版本。第一代——3DS1——会将购物者直接跳转到发卡机构的验证页面，彻底打乱了结账流程。转化率骤降。商家对此深恶痛绝。大多数商家都尽可能地放弃了3DS1。

3D Secure 2 采用了一种更智能的方法取代了它。它不再进行重定向，而是在后台静默收集设备和浏览器数据——屏幕分辨率、时区、IP 地址、会话历史记录——并将所有数据发送给发卡银行。银行的风险引擎会收到 150 多个数据点进行评估。有了如此丰富的信息，它通常可以直接批准交易，而消费者甚至不会察觉到 3D Secure 的运行。

欧盟和欧洲经济区商家在这方面选择不多。PSD2 的强客户认证规则强制要求 30 欧元以上的银行卡支付必须使用 3D Secure 2 安全验证。任何涉及银行卡交易的支付方式都包含在内。在欧盟以外地区，虽然强烈建议使用 3DS2 以保护其免受欺诈责任，但法律并未强制要求。

Adyen 3DS2认证工作原理

3DS2流程分为三个阶段：数据采集、身份验证和授权。如果一切顺利，整个流程只需几秒钟即可完成。

1. 购物者发起付款——在商家的结账页面上输入银行卡信息。
2. Adyen 会收集设备数据——一个小型 JavaScript 组件（3DS2 指纹）在后台运行，收集浏览器和设备信号：屏幕分辨率、时区、语言、设备类型、IP 地址
3. Adyen 发送身份验证请求——设备指纹和交易数据被打包并通过卡网络发送给发卡机构。
4. 发卡机构评估请求——发卡机构的风险引擎会根据持卡人的行为记录和欺诈信号评估150多个数据点。
5. 发行方决定：无摩擦认证或挑战认证——如果风险较低，发行方进行静默认证（无摩擦认证）；如果存在风险信号，发行方请求挑战认证。
6. 如果触发，则运行挑战流程——购物者完成额外的验证：一次性密码、生物识别或银行应用程序确认
7. 返回身份验证结果— Adyen 收到身份验证结果（已验证、未验证或尝试验证）。
8. Adyen提交授权请求——附带身份验证结果后，付款将通过卡网络进行授权。
9. 责任转移适用——如果身份验证成功，与欺诈相关的拒付责任将从商户转移到发卡银行。

3DS1 和 3D Secure 2 的主要区别在于第二步。在 3DS1 中，发卡机构几乎没有数据可供使用，因此经常会遇到验证问题。而在 3D Secure 2 中，更丰富的设备指纹信息意味着发卡机构可以静默批准更多交易，无论购物者使用哪种支付方式，只要是银行卡即可。

Adyen中的无摩擦流与挑战流

无摩擦支付和挑战支付的结果由发卡机构决定，而非Adyen或商户。也就是说，Adyen的数据收集质量直接影响发卡机构使用无摩擦支付的频率——更高质量的设备指纹数据意味着更少的发卡机构需要升级到挑战支付。

日本展现了3DS支付的顺畅优势：约60%的3DS交易以无摩擦方式完成，整体转化率保持在93%。巴西的情况则截然相反——普遍存在的验证流程导致转化率下降了55%。根据Stripe对3DS采用模式的研究，美国受验证流程影响的平均转化率约为43%。

无论采用哪种流程，欺诈保护机制都保持一致。无摩擦认证和挑战认证都会触发责任转移。成功通过 3DS 认证后发生的欺诈相关拒付，其财务责任由发卡机构承担，而非商户。

Adyen 动态 3D 安全规则

大多数 3DS 实现方案都采用全局身份验证：每次交易都需要身份验证。Adyen 的动态 3D 安全规则引擎则允许商家进行更精细的身份验证。

动态 3DS 允许商户配置基于规则的路由，根据风险信号、豁免条件和交易特征选择性地应用 3DS 验证。其目标是在高风险交易中最大限度地加强身份验证，同时利用豁免条件减少低风险交易的验证阻力。

Adyen 动态 3DS 配置中可用的关键规则类型：

• 豁免规则——在法律允许的情况下，通过强客户认证豁免（交易风险分析、低于 30 欧元的低价值交易豁免、可信商户列表）来路由低风险交易，从而完全跳过 3DS 验证。
• 软拒绝处理——自动重新路由发卡机构在未进行3DS验证的情况下拒绝的交易，并在第二次尝试时触发3DS验证。
• 速度规则——根据特定卡片或设备在特定时间段内的交易频率应用 3DS 验证。
• 金额阈值——当交易金额超过指定限额时触发3DS验证，而金额较小的交易则不予验证。
• 基于国家/地区的规则——根据购物者所在国家/地区应用不同的身份验证逻辑，同时考虑区域强客户认证 (SCA) 要求和发卡机构行为。
• 卡类型规则——企业卡或高端卡需通过 3DS 系统进行路由，而标准消费者借记卡则可通过豁免流程进行交易。

与通用 3DS 应用相比，智能配置动态 3DS 的商家可以显著降低验证流程风险，同时在高风险领域保持全面的欺诈保护。

Adyen 3DS 集成方法

商家如何通过 Adyen 集成 3DS 取决于其支付集成方式。Adyen 支持三种主要方式：

• Sessions（推荐） ——Adyen 的预置集成可原生处理 3DS 验证，无需额外配置。Sessions 流程会自动收集设备指纹，并透明地管理无摩擦/挑战路由。对于大多数商家而言，这是最简单的方案。
• Drop-in ——Adyen 的托管式 UI 组件嵌入到商家的结账页面中，并处理 3DS 流程，包括挑战弹出窗口和结果处理。与完整的 API 集成相比，配置更少；与 Session 相比，自定义程度更高。
• API 集成——完全掌控 3DS 流程。商家代码负责指纹采集、身份验证请求、结果解析和授权提交。此功能适用于高度定制化的结账流程或需要在应用界面中集成原生 3DS2 功能的原生移动应用。

对于大多数电商商家而言，Sessions 或 Drop-in 方案在集成难度和 3DS 合规性之间取得了最佳平衡。原生 API 集成通常由拥有专门支付工程团队的企业商家使用。

一个Adyen特有的细节：在移动应用中原生使用3DS2需要Adyen的iOS和Android SDK，其中包括指纹识别组件和挑战UI。使用Sessions或Drop-in的Web集成会自动处理这些步骤。

3D 安全转换影响：区域数据

“3DS 损害转化率”这一标题有一定道理，但实际影响几乎完全取决于特定市场因素——购物者对银行身份验证流程的熟悉程度，以及移动银行用户体验是否流畅。

减少欺诈的数据更加清晰：3DS 认证可将欺诈纠纷减少高达 80%，欧洲估计每年可避免约 9 亿欧元的欺诈损失。这些都是商家方面的节省。拒付的成本远不止交易金额——它还会增加运营成本、风险评分罚款，在某些情况下还会影响支付处理商的关系。

转化率悖论的解决之道在于区分两件事：是否应用了3DS验证，以及验证过程是否流畅。拥有良好移动银行应用和经验丰富的消费者的市场能够很好地应对验证过程中的摩擦。而那些消费者需要通过短信验证码或银行应用体验不佳的市场，则会损失大量订单。

3DS 和加密货币支付

3D 安全验证仅适用于银行卡支付，不适用于其他支付方式。加密货币交易不经过银行卡网络，因此无需触发 3D 验证流程。

这有利有弊。加密货币支付网关无法依赖3DS责任转移机制——因为没有发卡银行来转移欺诈风险。安全性取决于其他机制：交易监控、钱包筛选以及网关层面的实时风险评分。

另一方面：无需3DS验证。无需在后台运行设备指纹识别，无需发卡机构验证，也无需等待一次性密码。结账流程非常简单，只需扫描钱包地址或在钱包应用中确认即可。对于那些目睹过美国或巴西验证流程对转化率造成损害的商家来说，这种便捷性价值连城。

对于希望在传统银行卡之外提供加密货币作为支付选项的商家， Plisio提供了一个加密货币支付网关，可以处理加密货币的接受，而不会给商家的系统增加 3DS 合规性的复杂性。

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.