אימות חתימה: שיטות ונושאים

מדוע אימות הוא קריטי

מדוע אימות הוא קריטיאימות חתימה הואהחוליה השבירה ביותר

בשרשרת ההוכחה. בלעדיו אי אפשר להוכיח מי באמת חתם. פלטפורמת חתימה מודרנית חייבת להציע מספר מנגנונים מדורגים.

שיטות זמינות

שיטות זמינות

מייל מהימןהחותם מקבל קישור ייחודי לכתובת המייל שלו. רק מחזיק התיבה יכול ללחוץ. פשוט, יעיל עבור ה-SES.

סיכון שיורי ⬥⬥⬥: גניבת חשבון אימייל. מקובל עבור מסמכים עם הימור נמוך.

OTP באמצעות SMS

OTP באמצעות SMSקוד חד פעמי שנשלח למספר הטלפון. בשילוב עם אימייל = AES.

סיכון שיורי ⬥⬥⬥: החלפת SIM (נדיר אך ידוע ביעדים בעלי ערך גבוה).

OTP לפי אפליקציה

קוד שנוצר על ידי אפליקציה (Google Authenticator, Authy, Twilio Authy). בטוח יותר מ-SMS עבור הימורים גבוהים.

ביומטריה

ביומטריה

טביעת אצבע, זיהוי פנים. משמש בנייד כדי לייעל את החוויה. לא מאוחסן בצד השרת (תאימות GDPR).

תעודה אישית

תעודה קריפטוגרפית שהונפקה על ידי QTSP, המאוחסנת במכשיר (YubiKey, כרטיס חכם). חובה עבור QES.

Video KYC

Video KYC

אימות זהות באמצעות ועידת וידאו או הקלטה. משמש למגזרים מוסדרים (בנקאות, ביטוח).

זהות דיגיטלית לאומית

FranceConnect+, itsme (בלגיה), SPID (איטליה). מוכרת כרמה "מהותית" על ידי eIDAS.

רמות אבטחה (LoA)

eIDAS מגדיר שלוש רמות:

eIDAS מגדיר שלוש רמות:

רמה | דרישה | דוגמה

• נמוך | דוא"ל או שווה ערך | SESמהותי | גורם כפול | AES (אימייל + OTP)
• גבוה | אימות זהות קפדני | QES, וידאו KYCגבוה | אימות זהות קפדני | QES, וידאו KYC
• יישור לבעיהמסמך פנימי, הזמנת רכש ⬥⬥⬥: Low LoA (SES) מספיקה

חוזה העסקה, שכירות, NDA ⬥⬥⬥⬥ ⬥ ESLO מעשה, חוזה ציבורי ⬥⬥⬥: LoA גבוה (QES)

• שגיאות נפוצות
• השתמשו ב-SES לכל דבר (בגודל קטן)
• השתמשו ב-SES לכל דבר (בגודל קטן)
• ערימת אימותים שלא לצורך (חיכוך)

הוכחה ⬥ ⬥ ⬥ הוכחה ⬥ גם אנחנו לא רושמים שיטות הרבה נתונים ביומטריים (GDPR)

• הגנה מפני התקפותפישינג ⬥⬥⬥: הרכבת חותמים לאימות השולח
• פישינג ⬥⬥⬥: הרכבת חותמים לאימות השולחאדם באמצע ⬥⬥⬥⬥: TLS 1.3⬥⬥⬥ ⬥ החלפת SIM חובה ⬥ OTP באמצעות אפליקציה עבור הימורים גבוהים מאוד
• סרטון Deepfake KYC ⬥⬥⬥: בדיקות חיים + הצלבהמקרה קונקרטי: ניאו-בנק
• תהליך פתיחת חשבון:תהליך פתיחת חשבון:

העלאת דוא"ל מהימן ⬥ O⬥ מסמך זהות מהימן ⬥ SMS

מבחן חיים (סלפי)

1. בדיקה צולבת של בסיסי סנקציות
2. חתימת AES
3. LoA: משמעותי. תואם ACPR. מעבדים תוך 10 דקות.
4. LoA: משמעותי. תואם ACPR. מעבדים תוך 10 דקות.
5. איך Certyneo עוזרת לך
6. Certyneo מציעה את כל המנגנונים הנפוצים: דואר אלקטרוני, OTP SMS (באמצעות Twilio Verify), אינטגרציה של אישורים מוסמכים עבור QES, וידאו KYC אופציונלי, שילוב FranceConnect+. כל שיטה נרשמת בנתיב הביקורת.

גלה את פתרון החתימה האלקטרונית של Certyneo

שאלות נפוצות

שאלות נפוצות

האם SMS מאובטח מספיק?

עבור AES כן. עבור הימורים גבוהים מאוד, העדיפו אפליקציית OTP או ביומטריה.

נשמרים ביומטריה?

צד שרת לא (תאימות GDPR). התבניות נשארות במכשיר.

האם נוכל לשלב מספר שיטות?

האם נוכל לשלב מספר שיטות?

כן, כדי לחזק את הראיות.

האם FranceConnect+ מזוהה?

כן, רמה משמעותית. יכול להפעיל AES ו-QES.

מה קורה אם ה-OTP יפוג?

מה קורה אם ה-OTP יפוג?

החותם יכול לבקש חדש. ישנן מגבלות נגד כוח אכזרי.

מסקנה

אימות טוב מדורג, מתחקה ומותאם לנושא. אימות יתר יוצר חיכוך; חוסר אימות מחליש את ההוכחה. היתרה נמצאת מסמך אחר מסמך.

נסה את Certyneo כדי לשלוח, לחתום ולעקוב אחר המסמכים שלך באופן מקוון פשוט, מהיר ומאובטח.