Автентифікація підписувача: методи та проблеми
Як автентифікувати підписувача за допомогою електронного підпису: методи, рівні, ризики та найкращі практики.
Оновлено
Команда Certyneo
Редактор — Certyneo · Про Certyneo
Чому автентифікація є критичною
Чому автентифікація є критичноюАвтентифікація підписувача єнайбільш крихкою ланкою
в ланцюжку доказів. Без нього неможливо довести, хто насправді підписував. Сучасна фірмова платформа повинна пропонувати кілька градуйованих механізмів.
Доступні методи
Довірена електронна пошта
Підписант отримує унікальне посилання на свою електронну адресу. Тільки тримач коробки може клацати. Просто, ефективно для СЕС.Залишковий ризик ⬥⬥⬥: крадіжка облікового запису електронної пошти. Прийнятно для документів з низькими ставками.
Залишковий ризик ⬥⬥⬥: крадіжка облікового запису електронної пошти. Прийнятно для документів з низькими ставками.
OTP через SMS
Одноразовий код, надісланий на номер телефону. У поєднанні з електронною поштою = AES.Залишковий ризик ⬥⬥⬥: заміна SIM-карти (рідко, але відомо для цілей високої вартості).
OTP програмою
Код, згенерований програмою (Google Authenticator, Authy, Twilio Authy). Безпечніше, ніж SMS для великих ставок.
Біометрія
Відбиток пальця, розпізнавання обличчя. Використовується на мобільних пристроях для оптимізації роботи. Не зберігається на стороні сервера (відповідність GDPR).
Відбиток пальця, розпізнавання обличчя. Використовується на мобільних пристроях для оптимізації роботи. Не зберігається на стороні сервера (відповідність GDPR).
Особистий сертифікат
Криптографічний сертифікат, виданий QTSP, зберігається на пристрої (YubiKey, смарт-карта). Обов'язковий для КЕП.
Video KYC
Підтвердження особи за допомогою відеоконференції або запису. Використовується для регульованих секторів (банківська справа, страхування).
Національна цифрова ідентичність
FranceConnect+, itsme (Бельгія), SPID (Італія). Визнано eIDAS як «суттєвий» рівень.
Рівні гарантії (LoA)
eIDAS визначає три рівні:
eIDAS визначає три рівні:
Рівень | Вимога | Приклад
Низький | Електронна пошта або еквівалент | SES
Суттєвий | Подвійний фактор | AES (електронна пошта + OTP)
- Високий | Сувора перевірка особи | QES, відео KYCУзгодження з проблемою
- Внутрішній документ, замовлення на закупівлю ⬥⬥⬥: Низький LoA (SES) достатньоТрудовий договір, оренда, NDA ⬥⬥⬥: Значний LoA (AES)
- Трудовий договір, оренда, NDA ⬥⬥⬥: Значний LoA (AES)Нотаріальний акт, державний договір ⬥⬥⬥: високий рівень доступу (QES)
Поширені помилки
- Використовуйте SES для всього (невеликий розмір)
- Зайве стек автентифікації (тертя)
- Не реєструйте використані методи (ослаблений доказ)
- Збирайте забагато даних біометрія (GDPR)
Захист від атак
- Фішинг ⬥⬥⬥: навчіть підписантів перевіряти відправникаФішинг ⬥⬥⬥: навчіть підписантів перевіряти відправника
- Людина посередині ⬥⬥⬥: TLS 1.3 обов'язковийЗаміна SIM-карти ⬥⬥⬥: одноразовий пароль за додатком із дуже високими ставками
- Deepfake відео KYC ⬥⬥⬥: перевірки на активність + перехресна перевіркаКонкретний випадок: нео-банк
- Процес відкриття рахунку:Довірена електронна пошта
OTP SMS
OTP SMS
- Завантажте документ, що посвідчує особу
- Тест на живучість (селфі)
- Перехресна перевірка баз санкцій
- Підпис AES
- LoA: значний. Відповідає ACPR. Обробляти через 10 хвилин.
- Як Certyneo допомагає вам
Certyneo пропонує всі поширені механізми: електронну пошту, OTP SMS (через Twilio Verify), інтеграцію кваліфікованих сертифікатів для QES, додаткове відео KYC, інтеграцію FranceConnect+. Кожен метод реєструється в контрольному журналі.
Відкрийте для себе рішення електронного підпису Certyneo
Відкрийте для себе рішення електронного підпису Certyneo
Чи достатньо безпечно SMS?
Для AES так. Для дуже високих ставок віддайте перевагу додатку OTP або біометрії.
Чи зберігаються біометричні дані?
Серверна сторона ні (відповідність GDPR). Шаблони залишаються на пристрої.
Чи можна поєднати декілька методів?
Так, щоб посилити докази.
Так, щоб посилити докази.
Чи розпізнається FranceConnect+?
Так, значний рівень. Може запускати AES і QES.
Що станеться, якщо закінчиться термін дії одноразового пароля?
Підписант може запросити новий. Діють обмеження щодо застосування грубої сили.
Висновок
Хороша автентифікація оцінюється, відстежується та адаптується до проблеми. Надмірна автентифікація створює тертя; недостатня автентифікація послаблює доказ. Залишок визначається документ за документом.
Спробуйте Certyneo надсилати, підписувати та відстежувати ваші документи онлайн просто, швидко та безпечно.
Спробуйте Certyneo безкоштовно
Надішліть свою першу папку для підпису менш ніж за 5 хвилин. 5 безкоштовних папок на місяць без банківської карти.
Поглибіть тему
Довідкові статті на цю тему.
Поглибіть тему
Наші детальні посібники для освоєння електронного підпису.
Продовжуйте читання на Sécurité
Поглибіть свої знання з цих статей, пов'язаних із темою.
Чи безпечний електронний підпис?
Шифрування, автентифікація, контрольний слід: чому електронні підписи безпечніші за паперові.
Захист даних клієнтів електронної комерції: відповідність GDPR
Електронний сертифікат та цифровий підпис
Що таке електронний сертифікат, для чого він потрібен і який зв'язок з цифровим підписом?