Uwierzytelnianie sygnatariusza: metody i problemy

Dlaczego uwierzytelnianie jest krytyczne

Uwierzytelnienie podpisującego tonajsłabsze ogniwołańcucha dowodowego. Bez tego nie da się udowodnić, kto faktycznie podpisał. Nowoczesna platforma podpisów musi oferować kilka stopniowanych mechanizmów.

Dostępne metody

Zaufany e-mail

Sygnatariusz otrzymuje unikalny link na swój adres e-mail. Klikać może tylko posiadacz pudełka. Proste i skuteczne dla SES.

Ryzyko resztkowe: kradzież konta e-mail. Akceptowalne w przypadku dokumentów o niskiej stawce.

OTP przez SMS

Kod jednorazowy wysyłany na numer telefonu. W połączeniu z e-mailem = AES.

Ryzyko resztkowe: Zamiana karty SIM (rzadkie, ale znane w przypadku celów o dużej wartości).

OTP na aplikację

Kod wygenerowany przez aplikację (Google Authenticator, Authy, Twilio Authy). Bezpieczniejsze niż SMS-y przy wysokich stawkach.

Biometria

Odcisk palca, rozpoznawanie twarzy. Używany na urządzeniach mobilnych w celu usprawnienia obsługi. Nie są przechowywane po stronie serwera (zgodność z RODO).

Certyfikat osobisty

Certyfikat kryptograficzny wydany przez QTSP, przechowywany na urządzeniu (YubiKey, karta inteligentna). Obowiązkowe dla QES.

Wideo KYC

Weryfikacja tożsamości poprzez wideokonferencję lub nagranie. Stosowany w sektorach regulowanych (bankowość, ubezpieczenia).

Narodowa tożsamość cyfrowa

FranceConnect+,itsme (Belgia), SPID (Włochy). Poziom uznany przez eIDAS za „znaczny”.

Poziomy pewności (LoA)

eIDAS definiuje trzy poziomy:

Poziom | Wymóg | Przykład

Niski | E-mail lub odpowiednik | JEGO

Znaczące | Podwójny czynnik | AES (e-mail + hasło jednorazowe)

Wysoki | Ścisła weryfikacja tożsamości | QES, wideo KYC

Zgodność z tematem

• Dokument wewnętrzny, zamówienie zakupu: Niska LoA (SES) wystarczy
• Umowa o pracę, najem, NDA: Znaczna LoA (AES)
• Akt notarialny, rynek publiczny: Wysoka LoA (QES)

Typowe błędy

• Używaj SES do wszystkiego (niewymiarowe)
• Niepotrzebne układanie uwierzytelnień (tarcie)
• Nie rejestruj stosowanych metod (osłabione dowody)
• Gromadzenie zbyt dużej ilości danych biometrycznych (RODO)

Ochrona przed atakami

• Wyłudzanie informacji: szkolenie sygnatariuszy w celu sprawdzenia nadawcy
• Człowiek pośrodku: Wymagany protokół TLS 1.3
• Wymiana karty SIM: OTP według aplikacji na bardzo wysokie stawki
• Deepfake wideo KYC: kontrola żywotności + kontrola krzyżowa

Obudowa betonowa: neo-bank

Proces otwierania konta:

1. Zaufany e-mail
2. SMS-y jednorazowe
3. Prześlij dokument tożsamości
4. Test żywotności (selfie)
5. Kontrola krzyżowa podstaw sankcji
6. Podpis AES

LoA: znaczne. Zgodny z ACPR. Proces w 10 minut.

Jak Certyneo Ci pomaga

Certyneo oferuje wszystkie popularne mechanizmy: e-mail, SMS OTP (poprzez Twilio Verify), integrację kwalifikowanych certyfikatów dla QES, opcjonalną integrację wideo KYC, FranceConnect+. Każda metoda jest rejestrowana w ścieżce audytu.

Odkryj rozwiązanie podpisu elektronicznego Certyneo

FAQ

Czy SMS jest wystarczająco bezpieczny?

Dla AES tak. W przypadku bardzo wysokich stawek preferuj aplikację OTP lub dane biometryczne.

Czy dane biometryczne są przechowywane?

Nr po stronie serwera (zgodność z RODO). Szablony pozostają na urządzeniu.

Czy możemy połączyć kilka metod?

Tak, aby wzmocnić dowody.

Czy FranceConnect+ jest rozpoznawany?

Tak, znaczny poziom. Może wyzwalać AES i QES.

Co się stanie, jeśli hasło jednorazowe wygaśnie?

Sygnatariusz może zażądać nowego. Obowiązują limity zapobiegające brutalnej sile.

Wniosek

Dobre uwierzytelnianie jest oceniane, śledzone i dostosowywane do problemu. Nadmierne uwierzytelnianie powoduje tarcia; niedostateczne uwierzytelnienie osłabia dowód. Saldo znajduje się dokument po dokumencie.

Wypróbuj Certyneo, aby wysyłać, podpisywać i śledzić swoje dokumenty online prosto, szybko i bezpiecznie.