Lors du paiement, le protocole 3D Secure implique l’authentification du porteur de la carte.
- sans interaction du porteur ("frictionless"), auquel cas le porteur n’est pas explicitement invité à s’authentifier lors de son paiement ;
- avec interaction du porteur (authentification forte ou "challenge").
Chaque banque met en œuvre différentes méthodes d'authentification dans le cas d'une authentification forte. Exemple :
- l'authentification par application mobile ;
L'acheteur reçoit une notification sur son smartphone et s'authentifie via l'application mobile de sa banque en saisissant un code secret ou grâce à ses données biométriques. Il confirme le paiement depuis l'application, puis retourne sur le site marchand.
- l'authentification par code de sécurité.
L'acheteur reçoit un code à usage unique envoyé par SMS. Il renseigne ce code sur la page d'authentification afin de s'authentifier.
La plateforme de paiement se charge des échanges avec le serveur d'authentification de l'établissement bancaire du porteur et de récupérer le résultat pour finaliser le paiement.