İmza sahibi kimlik doğrulaması: yöntemler ve sorunlar

Kimlik doğrulama neden kritiktir?

İmzalayanın kimlik doğrulamasıen zayıf halkadelil zincirinden. Bu olmadan, gerçekte kimin imzaladığını kanıtlamak imkansızdır. Modern bir imza platformunun çeşitli kademeli mekanizmalar sunması gerekir.

Mevcut yöntemler

Güvenilir e-posta

İmza sahibi, e-posta adresine benzersiz bir bağlantı alır. Yalnızca kutu tutucu tıklayabilir. SES için basit ve etkili.

Artık risk: e-posta hesabı hırsızlığı. Düşük riskli belgeler için kabul edilebilir.

SMS yoluyla OTP

Telefon numarasına tek kullanımlık kod gönderildi. E-postayla birlikte = AES.

Artık risk: SIM değiştirme (nadir ancak yüksek değerli hedeflerle bilinir).

Uygulama başına OTP

Bir uygulama tarafından oluşturulan kod (Google Authenticator, Authy, Twilio Authy). Yüksek bahisler için SMS'den daha güvenli.

Biyometri

Parmak izi, yüz tanıma. Deneyimi kolaylaştırmak için mobil cihazlarda kullanılır. Sunucu tarafında saklanmaz (GDPR uyumluluğu).

Kişisel sertifika

Bir QTSP tarafından verilen ve bir cihazda (YubiKey, akıllı kart) saklanan şifreleme sertifikası. QES için zorunludur.

Videolu KYC

Video konferans veya kayıt yoluyla kimlik doğrulama. Düzenlemeye tabi sektörler (bankacılık, sigortacılık) için kullanılır.

Ulusal dijital kimlik

FranceConnect+, itsme (Belçika), SPID (İtalya). eIDAS tarafından “önemli” seviye olarak kabul edildi.

Güvence Düzeyleri (LoA)

eIDAS üç seviyeyi tanımlar:

Seviye | Gereksinim | Örnek

Düşük | E-posta veya eşdeğeri | ONUN

Önemli | Çift faktör | AES (e-posta + OTP)

Yüksek | Sıkı kimlik doğrulaması | QES, video KYC

Sorunla uyum

• Dahili belge, satın alma siparişi: Düşük LoA (SES) yeterlidir
• İş sözleşmesi, kira sözleşmesi, Gizlilik Sözleşmesi: Önemli LoA (AES)
• Noter tasdiki, kamu pazarı: Yüksek LoA (QES)

Yaygın hatalar

• Her şey için SES'i kullanın (küçük boyutlu)
• Kimlik doğrulamalarının gereksiz yere yığılması (sürtünme)
• Kullanılan yöntemleri kaydetmeyin (zayıflamış kanıtlar)
• Çok fazla biyometrik veri toplamak (GDPR)

Saldırılara karşı koruma

• Kimlik avı: göndereni doğrulamak için imza sahiplerini eğitin
• Ortadaki adam: TLS 1.3 gerekli
• SIM değiştirme: Çok yüksek bahisler için uygulamaya göre OTP
• Deepfake videosu KYC: canlılık kontrolleri + çapraz kontrol

Somut örnek: neo-banka

Hesap açma süreci:

1. Güvenilir e-posta
2. OTP SMS'i
3. Kimlik belgesini yükle
4. Canlılık testi (selfie)
5. Yaptırım esaslarının çapraz kontrolü
6. AES İmzası

LoA: Önemli. ACPR'ye uygundur. 10 dakikada işlem yapın.

Certyneo size nasıl yardımcı olur?

Certyneo tüm yaygın mekanizmaları sunar: e-posta, OTP SMS (Twilio Verify aracılığıyla), QES için nitelikli sertifikaların entegrasyonu, isteğe bağlı video KYC, FranceConnect+ entegrasyonu. Her yöntem denetim izine kaydedilir.

Certyneo elektronik imza çözümünü keşfedin

SSS

SMS yeterince güvenli mi?

AES için evet. Çok yüksek bahisler için OTP uygulamasını veya biyometriyi tercih edin.

Biyometri bilgileri saklanıyor mu?

Sunucu tarafı numarası (GDPR uyumluluğu). Şablonlar cihazda kalır.

Birkaç yöntemi birleştirebilir miyiz?

Evet, kanıtları güçlendirmek için.

FranceConnect+ tanınıyor mu?

Evet, önemli düzeyde. AES ve QES'i tetikleyebilir.

OTP'nin süresi dolarsa ne olur?

İmza sahibi yenisini talep edebilir. Kaba kuvvete karşı sınırlamalar mevcut.

Sonuç

İyi bir kimlik doğrulama derecelendirilir, izlenir ve soruna uyarlanır. Aşırı kimlik doğrulama sürtünme yaratır; Yetersiz kimlik doğrulama kanıtları zayıflatır. Denge belge belge bulunur.

Belgelerinizi çevrimiçi olarak basit, hızlı ve güvenli bir şekilde göndermek, imzalamak ve takip etmek için Certyneo'yu deneyin.