Autentizace signatáře: metody a problémy
Jak ověřit podepsaného pomocí elektronického podpisu: metody, úrovně, rizika a osvědčené postupy.
Aktualizováno
Tým Certyneo
Autor — Certyneo · O Certyneo
Proč je autentizace kritická
Proč je autentizace kritickáAutentizace signatáře jenejkřehčí článek
v řetězu důkazů. Bez toho nelze prokázat, kdo se skutečně podepsal. Moderní podpisová platforma musí nabízet několik odstupňovaných mechanismů.
Dostupné metody
Dostupné metody
Důvěryhodný e-mailSignatář obdrží jedinečný odkaz na svou e-mailovou adresu. Zacvaknout může pouze držák krabice. Jednoduché, efektivní pro SES.
Zbytkové riziko ⬥⬥⬥: krádež e-mailového účtu. Přijatelné pro dokumenty s nízkými sázkami.
Jednorázové heslo přes SMS
Jednorázové heslo přes SMSJednorázový kód zaslaný na telefonní číslo. V kombinaci s emailem = AES.
Zbytkové riziko ⬥⬥⬥: Výměna SIM karty (vzácné, ale známé pro cíle s vysokou hodnotou).
Jednorázové heslo pomocí aplikace
Kód vygenerovaný aplikací (Google Authenticator, Authy, Twilio Authy). Bezpečnější než SMS pro vysoké sázky.
Kód vygenerovaný aplikací (Google Authenticator, Authy, Twilio Authy). Bezpečnější než SMS pro vysoké sázky.
Biometrie
Otisk prstu, rozpoznávání obličeje. Používá se na mobilu ke zefektivnění zážitku. Neukládá se na straně serveru (soulad s GDPR).
Osobní certifikát
Kryptografický certifikát vydaný QTSP, uložený v zařízení (YubiKey, čipová karta). Povinné pro QES.
Kryptografický certifikát vydaný QTSP, uložený v zařízení (YubiKey, čipová karta). Povinné pro QES.
Video KYC
Ověření identity prostřednictvím videokonference nebo nahrávání. Používá se pro regulované sektory (bankovnictví, pojišťovnictví).
Národní digitální identita
FranceConnect+, itsme (Belgie), SPID (Itálie). eIDAS uznává jako „podstatnou“ úroveň.
FranceConnect+, itsme (Belgie), SPID (Itálie). eIDAS uznává jako „podstatnou“ úroveň.
Úrovně jistoty (LoA)
eIDAS definuje tři úrovně:
Úroveň | Požadavek | Příklad
- Nízká | E-mail nebo ekvivalent | SESNízká | E-mail nebo ekvivalent | SES
- Podstatné | Dvojitý faktor | AES (e-mail + OTP)Vysoká | Přísné ověření identity | QES, video KYC
- Soulad s problematikouInterní doklad, objednávka ⬥⬥⬥: Nízká LoA (SES) je dostačující
Interní doklad, objednávka ⬥⬥⬥: Nízká LoA (SES) je dostačující
- Pracovní smlouva, leasing, NDA ⬥⬥⬥: Podstatná ⬬⬥ veřejná smlouva (AES) ⬥⬥⬥: Vysoká LoA (QES)
- Běžné chyby
- Používejte SES pro všechno (poddimenzované)
- Zbytečně skládejte autentizace (tření)
Zbytečně skládejte autentizace (tření)
- Nezaznamenávejte příliš mnoho použitých biometrických dat (oslabený důkaz) ⬥GPROchrana proti útokům
- Phishing ⬥⬥⬥: signatáři vlaku k ověření odesílateleMan-in-the-middle ⬥⬥⬥: TLS 1.3 povinné ⬥⬥⬥⬥ pro výměnu SIM aplikací pro velmi vysoké zakládání SIM karet
- Man-in-the-middle ⬥⬥⬥: TLS 1.3 povinné ⬥⬥⬥⬥ pro výměnu SIM aplikací pro velmi vysoké zakládání SIM karetDeepfake video KYC ⬥⬥⬥: kontroly živosti + křížová kontrola
- Konkrétní případ: neobankaProces otevření účtu:
Důvěryhodný e-mail ⬥⬬⬥⬥ SMS identity Test živosti (selfie)
Důvěryhodný e-mail ⬥⬬⬥⬥ SMS identity Test živosti (selfie)
- Křížová kontrola základů sankcí
- Podpis AES
- LoA: podstatný. V souladu s ACPR. Zpracujte za 10 minut.
- Jak vám Certyneo pomáhá
- Jak vám Certyneo pomáhá
- Certyneo nabízí všechny běžné mechanismy: e-mail, OTP SMS (přes Twilio Verify), integraci kvalifikovaných certifikátů pro QES, volitelné video KYC, integraci FranceConnect+. Každá metoda je zaznamenána v auditní stopě.
Objevte řešení elektronického podpisu Certyneo
FAQ
Jsou SMS dostatečně bezpečné?
Pro AES ano. Pro velmi vysoké sázky preferujte aplikaci OTP nebo biometrii.
Jsou biometrické údaje uloženy?
Ne na straně serveru (soulad s GDPR). Šablony zůstanou na zařízení.
Můžeme kombinovat několik metod?
Můžeme kombinovat několik metod?
Ano, pro posílení důkazů.
Je FranceConnect+ rozpoznán?
Ano, podstatná úroveň. Může spouštět AES a QES.
Co se stane, když platnost jednorázového hesla vyprší?
Co se stane, když platnost jednorázového hesla vyprší?
Signatář může požádat o nový. Jsou zavedeny limity proti hrubé síle.
Závěr
Dobrá autentizace je klasifikována, dohledána a přizpůsobena problému. Přílišné ověřování vytváří tření; nedostatečné ověření oslabuje důkaz. Zůstatek se nachází dokument po dokumentu.
Vyzkoušejte Certyneo k odesílání, podepisování a sledování vašich dokumentů online jednoduše, rychle a bezpečně.
Vyzkoušejte Certyneo zdarma
Odešlete svou první podpisovou obálku za méně než 5 minut. 5 obálek zdarma měsíčně, bez platební karty.
Prohloubení tématu
Referenční články k tomuto tématu.
Prohloubení tématu
Naše kompletní průvodce pro zvládnutí elektronického podpisu.
Pokračujte v čtení o Sécurité
Prohlubujte své znalosti s těmito souvisejícími články.
Je elektronický podpis bezpečný?
Šifrování, ověřování, audit trail: proč jsou elektronické podpisy bezpečnější než papírové.
Ochrana dat zákazníků e-commerce: soulad s GDPR
Elektronický certifikát a digitální podpis
Co je elektronický certifikát, k čemu slouží a jaké je spojení s digitálním podpisem?