本文主要是总结一下目前市面上有多少种身份认证方式,可能不够全,欢迎补充~
在面向外部客户的互联网产品业务中,实名认证似乎是不可避免的事情。其实在很多场景下,我们都需要对客户进行身份验证,这不仅是业务需求,也是监管需求。
例如:
类似的要求还有很多。这篇文章就是总结一下市面上有多少种身份认证方式。由于笔者个人经验有限,未能一一列举,欢迎补充。
身份认证分类
根据认证个体的不同,身份认证包括个人身份认证和企业身份认证。认证审核方式主要有两种:面对面身份认证和远程身份认证。
面对面的核查主要通过线下网点进行,不在我们的讨论范围之内。
个人身份验证 1. 手机验证码
这应该算是最弱的一种身份认证,一般用于登录和简单的意愿认证。客户通过向绑定的手机号码发送验证码,将验证码返回到平台指定的输入位置,完成认证。
目前,验证码的发送方式有两种:短信和语音。短信能力最容易获得,通过对接短信渠道发送验证码也是最常见的。但受限于运营商网络、短信通道的稳定性以及不同客户手机的屏蔽设置等因素,无法保证100%的送达率。这时候,语音验证码的方式就出现了。理论上,电话的送达率远高于短信。
但是语音验证码并不完美:
费用高于短信;用户需要回答和记忆验证码,记忆成本高于短信(毕竟短信可以复制粘贴,随时可以查阅)。
这里提示一下:语音验证码方案一定要提示用户接听平台来电,否则很可能被当成广告或骚扰电话拒接。不知道为什么会有这个提示,是因为灵光一闪!
2.免密码登录/本地验证
最近(其实已经很久了)三大服务商相继推出了免密登录/本地验证功能。这是一个面向应用程序的功能。基于运营商独有的网关号码获取和验证能力,可通过底层数据网络网关和短信网关自动直接识别本地号码。在不泄露用户信息的前提下,安全、快速验证用户身份,用户无需输入账号密码,一键注册/登录。与传统的验证码方式相比,一键免密码登录不受短信通讯网络的限制,安全性有保障。
目前移动开放平台[1]支持中国移动和中国电信的手机号码;联通手机号码需要单独向联通申请[2];中国电信也提供了天翼账号的申请页面[3]。(据说中国电信支持其他运营商的账号验证,但是成功率很低。)
有几个问题:
手机本地验证需要预存10w元。我以为我们的B端低频业务会走的很远;联通免密登录要求日活跃用户1000w以上,本地验证Xw以上(具体X数不清楚);像我这种有两个手机号,两部手机的人,一部手机另一张SIM卡登录只能退化为验证码方案。
另外,你也可以去找集成服务商。
以上两种方案都输入了非常弱的身份认证方式,一般用于登录等地方。
3. 简要检查
短期验证其实就是我们说了很久的身份证双因素认证。通过与全国公民身份证号码查询服务中心(NCIIC)或其授权服务商(必须授权!!否则,《网络安全法》可能会成为法院给你判决时引用的法律。 ) 检查“身份证号+姓名”是否一致。
NCIIC 将向您返回“一致”、“不一致”、“未找到数据”的验证结果,无论结果如何,每次验证都将收取费用。由于NCIIC是公安部事业单位,其数据最为权威、准确、稳定。除部分限制查询数据(涉密、涉军、涉密人员)外,还可以查询出生、死亡、更名等数据。查询。
对了,NCIIC近日发布通知称:取消通过合作伙伴提供公民身份信息认证服务的模式。通过合作伙伴使用公民身份信息认证服务的用户,请直接与查询中心联系,查询中心将免费提供公民身份信息认证服务,请大家注意。
4.人像验证
由于现在个人信息泄露非常普遍,仅凭身份证进行双因素认证的门槛太低了(谷歌一下,你会发现很多身份证照片)。这时候就需要引入另一个认证要素:人像认证。
通过输入姓名、身份证号码和核查人的照片,通过接口与全国人口数据库进行查询比对。
5.运营商三因素认证
随着手机实名制的推进,运营商也推出了基于手机号码的实名认证服务。真伪验证通过发送手机号码、姓名、身份证号码和运营商系统数据进行,一般辅以验证码或运营商本地认证服务,以加强认证的严格性。
6. 银行卡三/四实名认证
在众多互联网金融服务中身份认证大全,大家都接触过银行卡元素认证的方式。通过银联实名认证接口,对用户姓名、身份证号、银行卡号(三要素)或姓名、身份证号、银行卡号、预留手机号(四要素)进行验证。
目前预留手机号的四元认证主要应用于公募基金领域。主要原因是由于信息泄露,三要素相对容易获得,但预留手机号被盗的概率不高。
一般业务设计是用户输入姓名、身份证号、银行卡号和预留手机号,向预留手机号发送验证码,让客户填写回来。然后上传到银联接口进行验证。这样做的目的是为了在实名认证的同时完成银行卡绑定工作,一举两得。
企业身份认证一、企业三要素
企业三要素是企业名称、统一社会信用代码、法人名称三项基本信息。但是,由于《中华人民共和国政府信息公开条例》、《企业信息公开暂行条例》等法律法规的要求,这三个要素很容易通过互联网获得。(例如:国家企业信用信息公示系统[4]、X查查、X眼查、X信宝等)因此一般需要上传企业执照、颜色和印章的扫描件,以配合说明书审查。
2.企业四要素
企业四要素为企业三要素+法人身份证号。市场上的一些公司可以从相关机构获得这个数据源,并对外提供。但是据我所知,大部分公司在对外提供的时候都是非常谨慎的,需要具备一定的资质才能接入公司。
由于法人身份证除经营者外不易掌握,四因素认证可实现企业实名认证。此外,还可以增加法人扫脸等活体认证方式。
明显的问题是数据源不容易获得。
3.随机支付认证
随机支付认证应该是目前企业认证中最常见的身份认证方式。用户提供企业三要素和企业银行账户信息,平台通过网银或第三方支付渠道向企业账户划转一笔款项(一般为0~1元)。用户收到款项后,在指定页面填写金额,平台验证金额。
还有一种随机付款的变体。用户提供公司三要素和公司银行账户信息后,平台会显示一个随机数和收款账户。客户在规定时间内(如三天或一周)将此号码的金额划入指定收款账户,系统收到款项后完成鉴权。不过这种认证方式一般都是在非常强大的平台上使用。比如微信公众号认证好像是用过然后下载的。
随机支付认证应该算是很严谨的了。毕竟一般情况下,企业开立银行账户,银行管控非常严格(当面签字甚至需要企业实地考察),使用上也非常严格(收银员)甚至直接是boss.control.)。
境外个人身份认证方案
先说明一下,我指的认证方案是外国人在国内平台开展业务的身份认证方案。
在很多情况下身份认证大全,我们会遇到在我们系统上开展业务的海外人士。市场上好像没有这样的数据源,那么身份验证怎么办呢?
当然还有一个办法——通过大陆银行出具的银行验证。→_→ 相信银行的力量。
奇怪的身份验证方式
我也遇到过通过银行网银签发的数字证书进行实名认证的方案。用户输入姓名、身份证号码(或企业名称、统一社会信用代码)并插入银行发放的U-Key,系统将U-key中的用户信息和数字证书信息发送给银行系统进行验证。
这种方式的问题是需要对接银行的系统,而且各个银行的数字证书服务商不一样,兼容性差,所以需要一一对接。(比如很多银行自己提供数字证书服务,中国银行和一些股份制、城商行都是由CFCA提供的。)
据我了解,CFCA提供了相应的服务(为使用CFCA作为数字证书服务代理的银行支持Ukey),工行的开放平台(工行自有Ukey)也提供了相应的服务。
最后再说几句
可以引入 OCR 以减少用户输入并优化用户体验。
一定要找合法授权的服务商,尤其是在现在管理严、压力大的情况下,访问非法数据很有可能触犯《互联网安全法》。此外,一些非正规服务商会在数据中掺假,配合羊毛党进行各种犯罪和诈骗。
参考
[1] 移动开放平台:
[2] 中国联通:
[3] 天翼账号:
[4]国家企业信用信息公示系统:
#专栏作家#
张小张,公众号:张小张的岁岁年(ID:SylvainZhang),人人都是产品经理专栏作家。野蛮成长的产品经理,专注于互联网金融领域。
本文首发于人人都是产品经理。未经许可禁止转载。
题图来自Unsplash,基于CC0协议