Otentikasi penandatanganan: metode dan masalah

Mengapa autentikasi sangat penting

Otentikasi penandatangan adalahtautan terlemahdari rantai bukti. Tanpa itu, mustahil membuktikan siapa sebenarnya yang menandatangani. Platform tanda tangan modern harus menawarkan beberapa mekanisme bertahap.

Metode yang tersedia

Email tepercaya

Penandatangan menerima tautan unik ke alamat email mereka. Hanya pemegang kotak yang dapat diklik. Sederhana, efektif untuk SES.

Risiko sisa: pencurian akun email. Dapat diterima untuk dokumen berisiko rendah.

OTP melalui SMS

Kode satu kali dikirim ke nomor telepon. Dikombinasikan dengan email = AES.

Risiko sisa: Pertukaran SIM (jarang tetapi dikenal dengan target bernilai tinggi).

OTP per aplikasi

Kode yang dihasilkan oleh suatu aplikasi (Google Authenticator, Authy, Twilio Authy). Lebih aman dari SMS untuk taruhan tinggi.

Biometrik

Sidik jari, pengenalan wajah. Digunakan di ponsel untuk menyederhanakan pengalaman. Tidak disimpan di sisi server (kepatuhan GDPR).

Sertifikat pribadi

Sertifikat kriptografi yang dikeluarkan oleh QTSP, disimpan di perangkat (YubiKey, kartu pintar). Wajib untuk QES.

Video KYC

Verifikasi identitas melalui konferensi video atau rekaman. Digunakan untuk sektor yang diatur (perbankan, asuransi).

Identitas digital nasional

FranceConnect+, itsme (Belgia), SPID (Italia). Diakui sebagai level “substansial” oleh eIDAS.

Tingkat Jaminan (LoA)

eIDAS mendefinisikan tiga level:

Tingkat | Persyaratan | Contoh

Rendah | Email atau setara | MILIKNYA

Substansial | Faktor ganda | AES (email + OTP)

Tinggi | Verifikasi identitas yang ketat | QES, video KYC

Keselarasan dengan masalahnya

• Dokumen internal, pesanan pembelian: LoA Rendah (SES) sudah cukup
• Kontrak kerja, sewa, NDA: LoA Substansial (AES)
• Akta notaris, pasar umum: LoA Tinggi (QES)

Kesalahan umum

• Gunakan SES untuk semuanya (berukuran kecil)
• Menumpuk autentikasi secara tidak perlu (gesekan)
• Jangan mencatat metode yang digunakan (bukti yang lemah)
• Mengumpulkan terlalu banyak data biometrik (GDPR)

Perlindungan terhadap serangan

• Phishing: melatih penandatangan untuk memverifikasi pengirim
• Manusia di tengah: TLS 1.3 diperlukan
• pertukaran SIM: OTP melalui aplikasi untuk taruhan yang sangat tinggi
• Video palsu KYC: pemeriksaan keaktifan + pemeriksaan silang

Kasus konkrit: neo-bank

Proses pembukaan akun:

1. Email tepercaya
2. SMS OTP
3. Unggah dokumen identitas
4. Tes keaktifan (selfie)
5. Pemeriksaan silang atas dasar sanksi
6. Tanda Tangan AES

LoA: substansial. Sesuai dengan ACPR. Proses dalam 10 menit.

Bagaimana Certyneo membantu Anda

Certyneo menawarkan semua mekanisme umum: email, SMS OTP (melalui Twilio Verify), integrasi sertifikat yang memenuhi syarat untuk QES, video KYC opsional, integrasi FranceConnect+. Setiap metode dicatat dalam jejak audit.

Temukan solusi tanda tangan elektronik Certyneo

FAQ

Apakah SMS cukup aman?

Untuk AES ya. Untuk taruhan yang sangat tinggi, pilih aplikasi OTP atau biometrik.

Apakah biometrik disimpan?

Sisi server tidak ada (kepatuhan GDPR). Templat tetap ada di perangkat.

Bisakah kita menggabungkan beberapa metode?

Ya, untuk memperkuat bukti.

Apakah FranceConnect+ diakui?

Ya, level substansial. Dapat memicu AES dan QES.

Apa jadinya jika OTP sudah habis masa berlakunya?

Penandatangan dapat meminta yang baru. Batasan anti-brute force sudah ada.

Kesimpulan

Otentikasi yang baik dinilai, ditelusuri, dan disesuaikan dengan masalahnya. Otentikasi yang berlebihan menciptakan gesekan; underauthenticating melemahkan bukti. Saldonya ditemukan dokumen demi dokumen.

Coba Certyneo untuk mengirim, menandatangani, dan melacak dokumen Anda secara online dengan mudah, cepat, dan aman.