Аутентификация подписавшего: методы и проблемы

Почему аутентификация имеет решающее значение

Аутентификация подписывающего лица – этосамое слабое звеноцепочки доказательств. Без него невозможно доказать, кто на самом деле подписал. Современная платформа подписи должна предлагать несколько поэтапных механизмов.

Доступные методы

Доверенная электронная почта

Подписант получает уникальную ссылку на свой адрес электронной почты. Щелкать может только держатель коробки. Просто, эффективно для СЭС.

Остаточный риск: кража учетной записи электронной почты. Приемлемо для документов с низкими ставками.

OTP через СМС

Одноразовый код отправлен на номер телефона. В сочетании с электронной почтой = AES.

Остаточный риск: замена SIM-карты (редко, но известно, что это очень ценные цели).

OTP для каждого приложения

Код, созданный приложением (Google Authenticator, Authy, Twilio Authy). Безопаснее, чем SMS для высоких ставок.

Биометрия

Отпечаток пальца, распознавание лица. Используется на мобильных устройствах для оптимизации работы. Не хранится на стороне сервера (соответствие GDPR).

Персональный сертификат

Криптографический сертификат, выданный QTSP, хранящийся на устройстве (YubiKey, смарт-карта). Обязательно для QES.

Видео KYC

Проверка личности посредством видеоконференции или записи. Используется для регулируемых секторов (банковское дело, страхование).

Национальная цифровая идентичность

FranceConnect+, itme (Бельгия), SPID (Италия). Признан eIDAS «существенным» уровнем.

Уровни уверенности (LoA)

eIDAS определяет три уровня:

Уровень | Требование | Пример

Низкий | Электронная почта или ее эквивалент | ЕГО

Существенный | Двойной фактор | AES (электронная почта + OTP)

Высокий | Строгая проверка личности | QES, видео KYC

Соответствие проблеме

• Внутренний документ, заказ на закупку: Достаточно низкого LoA (SES).
• Трудовой договор, аренда, NDA: Существенный LoA (AES)
• Нотариальный акт, публичный рынок: Высокий LoA (QES)

Распространенные ошибки

• Используйте SES для всего (меньшего размера)
• Ненужное накопление аутентификаций (трение)
• Не регистрировать используемые методы (ослабленные доказательства)
• Сбор слишком большого количества биометрических данных (GDPR)

Защита от атак

• Фишинг: обучить подписавшихся проверять отправителя
• Человек посередине: Требуется TLS 1.3
• Замена SIM-карты: OTP от приложения для очень высоких ставок
• Дипфейковое видео KYC: проверка работоспособности + перекрестная проверка

Конкретный кейс: нео-банк

Процесс открытия счета:

1. Доверенная электронная почта
2. ОТП СМС
3. Загрузить документ, удостоверяющий личность
4. Тест на живость (селфи)
5. Перекрестная проверка санкционных оснований
6. AES-подпись

LoA: существенный. Соответствует ACPR. Обработка за 10 минут.

Как Certyneo помогает вам

Certyneo предлагает все распространенные механизмы: электронную почту, OTP SMS (через Twilio Verify), интеграцию квалифицированных сертификатов для QES, дополнительный видео KYC, интеграцию FranceConnect+. Каждый метод регистрируется в журнале аудита.

Откройте для себя решение для электронной подписи Certyneo

Часто задаваемые вопросы

SMS достаточно безопасно?

Для AES да. Если ставки очень высоки, отдайте предпочтение приложению OTP или биометрии.

Сохраняются ли биометрические данные?

Серверная часть — нет (соответствие GDPR). Шаблоны остаются на устройстве.

Можем ли мы объединить несколько методов?

Да, чтобы усилить доказательства.

Признается ли FranceConnect+?

Да, существенный уровень. Может запускать AES и QES.

Что произойдет, если срок действия OTP истечет?

Подписавшаяся сторона может запросить новую. Установлены ограничения по борьбе с брутфорсом.

Заключение

Хорошая аутентификация оценивается, отслеживается и адаптируется к проблеме. Чрезмерная аутентификация создает трения; недостаточная аутентификация ослабляет доказательство. Баланс находится документ за документом.

Попробуйте Certyneo, чтобы отправлять, подписывать и отслеживать ваши документы онлайн просто, быстро и безопасно.