Xác thực người ký: phương pháp và vấn đề

Tại sao xác thực lại quan trọng

Sự xác thực của người ký làliên kết yếu nhấtcủa chuỗi bằng chứng. Không có nó thì không thể chứng minh được ai thực sự đã ký. Nền tảng chữ ký hiện đại phải cung cấp một số cơ chế tăng dần.

Phương pháp có sẵn

Email đáng tin cậy

Người ký nhận được một liên kết duy nhất đến địa chỉ email của họ. Chỉ người giữ hộp mới có thể nhấp vào. Đơn giản, hiệu quả cho SES.

Rủi ro tồn dư: trộm cắp tài khoản email. Có thể chấp nhận đối với các tài liệu có mức đặt cược thấp.

OTP qua SMS

Mã một lần được gửi đến số điện thoại. Kết hợp với email=AES.

Rủi ro tồn dư: Trao đổi SIM (hiếm nhưng được biết đến với mục tiêu có giá trị cao).

OTP cho mỗi ứng dụng

Mã được tạo bởi ứng dụng (Google Authenticator, Authy, Twilio Authy). An toàn hơn SMS với số tiền đặt cược cao.

Sinh trắc học

Nhận dạng vân tay, khuôn mặt. Được sử dụng trên thiết bị di động để hợp lý hóa trải nghiệm. Không được lưu trữ ở phía máy chủ (tuân thủ GDPR).

Chứng chỉ cá nhân

Chứng chỉ mật mã do QTSP cấp, được lưu trữ trên thiết bị (YubiKey, thẻ thông minh). Bắt buộc đối với QES.

KYC video

Xác minh danh tính bằng hội nghị truyền hình hoặc ghi âm. Được sử dụng cho các lĩnh vực được quản lý (ngân hàng, bảo hiểm).

Nhận dạng kỹ thuật số quốc gia

FranceConnect+, itsme (Bỉ), SPID (Ý). Được eIDAS công nhận là mức “đáng kể”.

Mức độ đảm bảo (LoA)

eIDAS xác định ba cấp độ:

Cấp độ | Yêu cầu | Ví dụ

Thấp | Email hoặc tương đương | CỦA ANH ẤY

Đáng kể | Yếu tố kép | AES (email + OTP)

Cao | Xác minh danh tính nghiêm ngặt | QES, KYC video

Phù hợp với vấn đề

• Văn bản nội bộ, đơn đặt hàng: LoA thấp (SES) là đủ
• Hợp đồng lao động, cho thuê, NDA: LoA đáng kể (AES)
• Chứng thư công chứng, thị trường công cộng: LoA cao (QES)

Các lỗi thường gặp

• Sử dụng SES cho mọi thứ (kích thước nhỏ hơn)
• Xếp chồng các xác thực không cần thiết (ma sát)
• Không ghi nhật ký các phương pháp được sử dụng (bằng chứng yếu)
• Thu thập quá nhiều dữ liệu sinh trắc học (GDPR)

Bảo vệ chống lại các cuộc tấn công

• Lừa đảo: đào tạo người ký để xác minh người gửi
• Người đàn ông ở giữa: Yêu cầu TLS 1.3
• Trao đổi SIM: OTP theo ứng dụng với số tiền đặt cược rất cao
• Video giả mạo KYC: kiểm tra tính sống động + kiểm tra chéo

Trường hợp cụ thể: neo-bank

Quy trình mở tài khoản:

1. Email đáng tin cậy
2. SMS OTP
3. Tải lên giấy tờ tùy thân
4. Kiểm tra độ sống (selfie)
5. Kiểm tra chéo các căn cứ xử phạt
6. Chữ ký AES

LoA: đáng kể. Tuân thủ ACPR. Xử lý trong 10 phút.

Certyneo giúp bạn như thế nào

Certyneo cung cấp tất cả các cơ chế phổ biến: email, SMS OTP (thông qua Twilio Verify), tích hợp các chứng chỉ đủ điều kiện cho QES, KYC video tùy chọn, tích hợp FranceConnect+. Mỗi phương pháp được ghi lại trong quá trình kiểm tra.

Khám phá giải pháp chữ ký điện tử Certyneo

Câu hỏi thường gặp

SMS có đủ an toàn không?

Đối với AES thì có. Đối với số tiền đặt cược rất cao, hãy ưu tiên ứng dụng OTP hoặc sinh trắc học.

Sinh trắc học có được lưu trữ không?

Phía máy chủ không (tuân thủ GDPR). Các mẫu vẫn còn trên thiết bị.

Chúng ta có thể kết hợp nhiều phương pháp được không?

Vâng, để củng cố bằng chứng.

FranceConnect+ có được công nhận không?

Có, mức độ đáng kể. Có thể kích hoạt AES và QES.

Điều gì xảy ra nếu OTP hết hạn?

Người ký có thể yêu cầu một cái mới. Có giới hạn chống bạo lực.

Kết luận

Xác thực tốt được phân loại, truy tìm và điều chỉnh cho phù hợp với vấn đề. Xác thực quá mức sẽ tạo ra xích mích; xác thực dưới mức làm suy yếu bằng chứng. Số dư được tìm thấy từng tài liệu.

Hãy dùng thử Certyneo để gửi, ký và theo dõi tài liệu của bạn trực tuyến một cách đơn giản, nhanh chóng và an toàn.