Autentifikácia signatára: metódy a problémy
Ako overiť podpisovateľa pomocou elektronického podpisu: metódy, úrovne, riziká a osvedčené postupy.
Aktualizované
Tím Certyneo
Redaktor — Certyneo · O spoločnosti Certyneo
Prečo je autentifikácia kritická
Prečo je autentifikácia kritickáAutentifikácia signatára jenajkrehkejším článkom
v reťazi dôkazov. Bez toho sa totiž nedá dokázať, kto to vlastne podpísal. Moderná podpisová platforma musí ponúkať niekoľko odstupňovaných mechanizmov.
Dostupné metódy
Dostupné metódy
Dôveryhodný e-mailSignatár dostane jedinečný odkaz na svoju e-mailovú adresu. Zacvaknúť môže iba držiak na krabicu. Jednoduché, efektívne pre SES.
Zvyškové riziko ⬥⬥⬥: krádež e-mailového účtu. Prijateľné pre dokumenty s nízkou stávkou.
Jednorazové heslo cez SMS
Jednorazové heslo cez SMSJednorazový kód zaslaný na telefónne číslo. V kombinácii s e-mailom = AES.
Zvyškové riziko ⬥⬥⬥: Výmena SIM karty (zriedkavé, ale známe pre ciele s vysokou hodnotou).
Jednorazové heslo prostredníctvom aplikácie
Kód vygenerovaný aplikáciou (Google Authenticator, Authy, Twilio Authy). Bezpečnejšie ako SMS pre vysoké stávky.
Kód vygenerovaný aplikáciou (Google Authenticator, Authy, Twilio Authy). Bezpečnejšie ako SMS pre vysoké stávky.
Biometria
Odtlačok prsta, rozpoznávanie tváre. Používa sa na mobilnom zariadení na zefektívnenie zážitku. Neukladá sa na strane servera (súlad s GDPR).
Osobný certifikát
Kryptografický certifikát vydaný QTSP, uložený v zariadení (YubiKey, čipová karta). Povinné pre QES.
Kryptografický certifikát vydaný QTSP, uložený v zariadení (YubiKey, čipová karta). Povinné pre QES.
Video KYC
Overenie identity prostredníctvom videokonferencie alebo nahrávania. Používa sa pre regulované sektory (bankovníctvo, poisťovníctvo).
Národná digitálna identita
FranceConnect+, itsme (Belgicko), SPID (Taliansko). eIDAS ho považuje za „podstatnú“ úroveň.
FranceConnect+, itsme (Belgicko), SPID (Taliansko). eIDAS ho považuje za „podstatnú“ úroveň.
Úrovne zabezpečenia (LoA)
eIDAS definuje tri úrovne:
Úroveň | Požiadavka | Príklad
- Nízka | E-mail alebo ekvivalent | SESNízka | E-mail alebo ekvivalent | SES
- Podstatné | Dvojnásobný faktor | AES (e-mail + OTP)Vysoká | Prísne overenie totožnosti | QES, video KYC
- Zosúladenie s problematikouInterný doklad, objednávka ⬥⬥⬥: Nízka LoA (SES) je postačujúca
Interný doklad, objednávka ⬥⬥⬥: Nízka LoA (SES) je postačujúca
- Pracovná zmluva, leasing, NDA ⬥⬥⬥: Podstatná dlžná zmluva (AES) ⬥⬥⬥: Vysoká LoA (QES)
- Bežné chyby
- Používajte SES na všetko (poddimenzované)
- Zbytočne ukladajte autentifikácie (trenie)
Zbytočne ukladajte autentifikácie (trenie)
- Nezapisujte príliš veľa použitých biometrických údajov (oslabený dôkaz) ⬥GPROchrana proti útokom
- Phishing ⬥⬥⬥: signatári vlaku na overenie odosielateľaMan-in-the-middle ⬥⬥⬥: TLS 1.3 povinné ⬥⬥⬥⬥ pre výmenu SIM aplikácií: TP-swapping
- Man-in-the-middle ⬥⬥⬥: TLS 1.3 povinné ⬥⬥⬥⬥ pre výmenu SIM aplikácií: TP-swappingDeepfake video KYC ⬥⬥⬥: kontroly živosti + krížová kontrola
- Konkrétny prípad: neobankaProces otvorenia účtu:
Dôveryhodný e-mail ⬥⬬⬥ SMS identity Test živosti (selfie)
Dôveryhodný e-mail ⬥⬬⬥ SMS identity Test živosti (selfie)
- Krížová kontrola základov sankcií
- Podpis AES
- LoA: podstatný. V súlade s ACPR. Spracovať za 10 minút.
- Ako vám Certyneo pomôže
- Ako vám Certyneo pomôže
- Certyneo ponúka všetky bežné mechanizmy: email, OTP SMS (cez Twilio Verify), integráciu kvalifikovaných certifikátov pre QES, voliteľné video KYC, integráciu FranceConnect+. Každá metóda je zaznamenaná v auditnom zázname.
Objavte riešenie elektronického podpisu Certyneo
FAQ
Sú SMS dostatočne bezpečné?
Pre AES áno. Pre veľmi vysoké stávky uprednostňujte aplikáciu OTP alebo biometriu.
Sú biometrické údaje uložené?
Nie na strane servera (súlad s GDPR). Šablóny zostanú na zariadení.
Môžeme kombinovať viacero metód?
Môžeme kombinovať viacero metód?
Áno, na posilnenie dôkazov.
Je FranceConnect+ rozpoznaný?
Áno, podstatná úroveň. Môže spustiť AES a QES.
Čo sa stane, ak platnosť jednorazového hesla vyprší?
Čo sa stane, ak platnosť jednorazového hesla vyprší?
Signatár môže požiadať o nový. Zavedené limity proti hrubej sile.
Záver
Dobrá autentifikácia je klasifikovaná, sledovaná a prispôsobená problému. Nadmerná autentifikácia vytvára trenie; nedostatočná autentifikácia oslabuje dôkaz. Zostatok sa nachádza dokument po dokumente.
Vyskúšajte Certyneo na odosielanie, podpisovanie a sledovanie vašich dokumentov online jednoducho, rýchlo a bezpečne.
Vyskúšajte Certyneo zadarmo
Odošlite svoju prvú podpisovú obálku za menej ako 5 minút. 5 obálok zadarmo mesačne, bez platobnej karty.
Prehĺbiť sa v téme
Referenčné články k tejto téme.
Prehĺbiť sa v téme
Naše komplexné sprievodcovia na zvládnutie elektronického podpisu.
Pokračujte v čítaní o Sécurité
Prehĺbte si znalosti týmito článkami súvisiacimi s témou.
Je elektronický podpis bezpečný?
Šifrovanie, autentifikácia, audit trail: prečo sú elektronické podpisy bezpečnejšie ako papierové.
Ochrana údajov o zákazníkoch elektronického obchodu: Súlad s GDPR
Elektronický certifikát a digitálny podpis
Čo je elektronický certifikát, na čo slúži a aké je prepojenie s digitálnym podpisom?