簽署人驗證：方法和課題

為什麼驗證至關重要

簽署人驗證是證明鏈中最薄弱的環節。沒有驗證，無法證明誰實際簽署了文件。現代簽署平台必須提供多種漸進式機制。

可用的方法

可信電郵

簽署人在其電郵地址收到唯一連結。只有郵箱持有人可以點擊。對於簡單電子簽名(SES)簡單有效。

剩餘風險：電郵帳戶被盜。對於低風險文件可接受。

OTP短信

一次性密碼發送至電話號碼。結合電郵 = 進階電子簽名(AES)。

剩餘風險：SIM卡交換(罕見但已知對高價值目標的攻擊)。

OTP應用程式

由應用程式生成的密碼(Google Authenticator、Authy、Twilio Authy)。對於高風險情況比短信更安全。

生物識別

指紋、臉部識別。在行動裝置上使用以流暢化體驗。不在伺服器端儲存(遵守GDPR)。

個人憑證

由合格信任服務提供商(QTSP)頒發的密碼學憑證，儲存在設備上(YubiKey、智能卡)。進階電子簽名(QES)需強制使用。

視頻KYC

通過視訊會議或錄製進行身份驗證。用於受監管行業(銀行、保險)。

國家數字身份

FranceConnect+、itsme(比利時)、SPID(意大利)。被eIDAS認可為「實質」級別。

保證級別(LoA)

eIDAS定義三個級別：

級別 | 要求 | 示例

低 | 電郵或等同方式 | SES

實質 | 雙因素認證 | AES(電郵 + OTP)

高 | 嚴格身份驗證 | QES、視頻KYC

與風險相符

• 內部文件、採購單：低級別(SES)足夠

• 僱用合約、租賃、保密協議：實質級別(AES)

• 公證文件、公開招標：高級別(QES)

常見錯誤

• 對所有文件使用SES(維度不足)

• 堆疊不必要的驗證(增加摩擦)

• 未記錄所使用的方法(削弱證明)

• 收集過多生物識別數據(GDPR問題)

防止攻擊

• 釣魚：訓練簽署人驗證發件人

• 中間人攻擊：強制使用TLS 1.3

• SIM卡交換：對於高風險情況使用OTP應用程式

• 深偽視頻KYC：活力檢測 + 交叉驗證

實際案例：新銀行

帳戶開設流程：

• 可信電郵

• OTP短信

• 上傳身份證明

• 活力測試(自拍照)

• 交叉查證制裁名單

• 簽署AES

LoA：實質級別。符合ACPR。流程耗時10分鐘。

Certyneo如何協助

Certyneo提供所有常見機制：電郵、OTP短信(經由Twilio Verify)、合格憑證整合用於QES、可選視頻KYC、FranceConnect+整合。每個方法都在稽核軌跡中記錄。

探索Certyneo電子簽名解決方案

常見問題

短信夠安全嗎？

對於AES可以。對於非常高的風險，應選擇OTP應用程式或生物識別。

生物識別會被儲存嗎？

伺服器端不會(遵守GDPR)。範本保留在設備上。

可以結合多種方法嗎？

可以，以加強證明。

FranceConnect+被認可嗎？

可以，實質級別。可以觸發AES和QES。

OTP過期時會發生什麼？

簽署人可以要求新的。設有反暴力破解限制。

結論

良好的驗證是漸進式、可追蹤且符合風險的。過度驗證會造成摩擦；驗證不足會削弱證明。平衡應按文件逐一尋找。

試試Certyneo在線發送、簽署和追蹤您的文件，既簡單、快速又安全。