1、线下身份认证:我国拥有世界领先的方法
我们在银行柜台办理金融业务、入住酒店、过高铁、在营业厅购买手机SIM卡号时,都需要现场进行身份验证,即验证您的身份证和个人信息。信息。我们只需要拿出自己的身份证放在指定的身份证读取设备上进行感应即可,非常方便和安全。
2004年我国推出二代身份证并大力普及。至此,所有市民应该已经统一更换了。二代身份证内嵌国密智能芯片,加密存储公民的所有基本信息(姓名、性别、民族、出生日期、身份证号码、证件照片、家庭住址、发证机关、及有效期,统称为“身份九要素”)。这些加密信息需要通过专用的身份证读取设备进行解码读取,从而同时保证公民信息的安全性和有效性。
二代身份证和身份证阅读设备的普及和发展,给我们在各种需要实名认证的场合带来了极大的便利。与世界其他国家相比,我国持有高密度安全证书的方式极为先进,是我们今天享受世界领先的便捷生活的坚实基础。
试想,即使拥有世界上最好的高铁技术,如果没有“刷身份证通行”的配套保障,大家依然需要在柜台排队买票,然后前往闸机上车前检查车票。提高效率呢?有过排队痛苦经历的人,谁也不想回到那个年代吧?
从技术底层来说,我们的二代身份证是国家统一生产的高密度安全芯片,发给每个人的时候,赋予了公民“自我识别”的权利。
在这方面,我国的管理理念和技术非常先进。通俗地说,它很早就采用了去中心化的思维和技术,最大程度地将信任和便利交到了每个人的手中。只要持有合法身份证,就可以完全代表自己,无需其他中心化数据库验证。
相比之下,美国等老牌西方国家仍在沿用以“社会安全号码(SSN)”为基础的政府数据库验证方式。您所能做的就是记住您的姓名和 SSN 号码,然后请求政府数据库验证信息是否正确。如果网络不好,或者中间过程出现错误(比如警察作恶,数据库暂时故障等),你将无法证明“你是谁”。
(左:国内身份证结构;右:美国SSN)
这两种方法不能说谁比谁好,只是在不同的场景下各有优缺点。因此,我国实际上有一种由中心化数据库验证的公民管理方式。但是,我国比较独特的“安全凭证”方式对国民经济的保驾护航作用越来越大,构成了我国独有的便民生活服务。
国外其实近年来也注意到了这种差异。例如,法国等欧洲大陆国家加快了国民身份证的发放,而美国在很多服务场景中实际上正在实施和使用带有嵌入式芯片的护照来补充传统的SSN。机制不足。
2、在线身份认证:与世界其他国家一样,我们还处于发展初期,主要依靠OCR技术
OCR(Optical Character Recognition,光学字符识别),是指电子设备??(如扫描仪或数码相机)检查打印在纸上的字符,通过检测明暗图案来确定其形状,然后利用字符识别方法将其翻译出来shape into 计算机写入的过程。主要用于将纸质文档中的印刷文字转换成计算机可以处理的文本格式,再由文字处理软件进一步编辑加工。
身份证虽好,但在我们越来越多的生活转向线上服务的过程中却遇到了阻碍:手机不是专用的身份证读取设备,我们如何读取身份证中的安全芯片信息,那么实时认证呢?很明显,这里需要一套新的技术,但时间不多了,我们如何服务于已经如火如荼的数字经济?
目前主流的方式是OCR。
利用手机摄像头对身份证进行拍照,然后利用OCR技术提取出打印在身份证表面的文字信息,最后通过中央政府数据库验证信息是否正确。如果成功,请保留用户身份证的复印件以供后续审核。
将这些流程拼接起来,就构成了一个完整的OCR身份认证服务,如果有特殊需要,还可以增加人脸识别比对。这构成了我们在“手机无法直接读取身份证芯片”过渡时期的标准解决方案,也是我们在线开展各种需要身份认证的业务的基础。
从技术底层,我们暂时放弃了中国比较独特的“去中心化公民自证”的特点,转而采用“中心化政府数据库”的验证方式。公司形成了同频,可以相互学习,共同提升技术,但同时也承担了该技术带来的缺陷和管理风险,如:OCR技术的识别准确率,人脸识别技术的准确率,和个人数据的隐私。保护、合法合理使用政府数据库等。
客观地讲,我国在技术上并不落后,但在数据管理和保护方面却差强人意。事实上,它已经造成了国内身份数据的混乱。随着近期我国《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》的发布实施,这方面应该会有明显的改善。
接下来,本文不再赘述OCR身份认证服务中的技术和管理问题,而是转向该服务的运营效率,即:业务流程中引入OCR身份认证服务的用户留存和转化效果。
3、OCR身份认证服务的用户转化漏斗:不是无知,而是触目惊心的损失
我们来详细拆解OCR身份认证服务中的关键步骤:
1)获取用户的身份证照片,可以从相册中获取,也可以直接调用手机摄像头实时拍摄。由于个人将证件照片存储在相册中的安全隐患太大,而且这种方式极易伪造,所以现在以手机银行为代表的业务方已经禁止了。本文只分析第二种采集方式:即调用手机摄像头实时采集身份证。
2) 从身份证图片中解析出身份元素信息;如果无法解析,则返回步骤 1。
3)后台发送至供应商提供的“政务库”云端验证接口进行信息验证。如果不是,请返回步骤 1。
对应的转化漏斗图如下:
第1步的用户流失率最为严重,达到40%左右:
1)如果用户身份证不在身边,将无法完成此流程。这些用户约占20%。一个完整的解决方案需要新的技术解决方案,比如eID、CTID,这些都是公安部前几年试点的,但目前离全面实际应用还很远,所以可以简单的认为短期内没有解决办法。
2)如果拍摄效果不好,这个过程将不会完成。这部分用户也达到了20%。一方面,由于光线、拍摄角度、拍摄稳定性、相机素质等外界客观影响,导致相机无法对身份证进行锁定对焦;另一方面是由于页面设计的可用性、软件错误或网络不稳定造成的。等原因,导致用户在此过程中放弃。这方面应该还有很大的优化和改进空间。
步骤2中的用户流失率非常灵活,大约在10%~30%:
可以简单地认为这一步的用户流失率几乎等于OCR识别结果的错误率。因为根据风控原则,这一步不能由用户手动修改,否则就失去了身份认证的意义。因此,一旦信息识别错误,只能返回上一步重新开始。
流失率弹性的关键主要看地址信息是否需要识别。
如果只需要识别姓名、身份证号码甚至身份证有效期,业界成熟的OCR算法可以达到85%以上的准确率有效实名认证身份证,据说最好的可以达到90%。但是,如果要准确识别身份证上的地址,OCR的技术难度呈几何级数增长,经常会识别出非法字符。幸运的是,除了金融、旅游、就业等少数场景外,地址识别的需求还不普遍。
(地址识别为非法字符)
步骤3中的用户流失率约为5%-10%:
一般来说,只要OCR在第二步正确识别身份证信息,就一定能通过“政府数据库”的验证。
但实际上受限于自身业务风控规则(如限制未成年人、特殊年龄人群、黑名单用户等,通常在5%左右),以及第三方供应商的数据来源和服务稳定性等原因(通常少于 5%),部分用户将无法通过。
其中,业务风控规则导致用户流失是不可避免的,但第三方供应商的品控可以择优选择。
综上所述,完成完整的OCR身份认证服务后,用户流失率可能高达60%(1-0.6*0.7*0.9),最高可达30%(1-0.8*0.9* 0.95) 经过极端优化。会不会很神奇?
生意还没真正开始,1/3的用户就已经去了火星。他们怎么活?
虽然可以通过其他方式让用户再次尝试,但毕竟是一个可怕的运营黑洞。它必须得到解决。
从关键因素来看,要解决的重点是:优化身份证照片拍摄过程的不确定性,以及OCR识别信息(尤其是大段地址信息)的准确性。如果这两个过程可以做到无损,整个服务过程的用户流失率可以降低到75%(1-0.8*1*0.95),而且都是纯客观因素造成的,不会造成用户的挫败感. 不满意,或者说,对于有价值的用户,不会有不必要的损失。
解决这两个过程有多难?笔者还在咨询专业人士,但据我目前所闻,并不乐观。
4. 潜在风险值得注意:黑天鹅事件随时会来
不可能以零风险开展业务,#of course。但我们需要知道可能的风险来源,并提前做好准备,尤其是那些与合规相关的风险。大多数企业在实际设计和使用OCR身份认证的过程中,普遍存在以下两种潜在风险:
1、OCR识别是否使用“SaaS公有云服务”?
如果购买OCR软件并在本地部署,则不存在本文提到的隐患。但由于价格高昂,大部分企业仍倾向于选择第三方供应商提供的按次付费SaaS云服务,这就存在“个人信息保护”的隐患。
将用户的身份证照片传输给这些第三方供应商是否需要征得用户的明确同意?但是如果在流程中加入提示,等待用户选择,留存转化率会不会更低?其实,将用户信息提交给某个供应商提供的“政府数据库”进行验证,也是同样的问题。
2、是否考虑过验证身份证照片的真伪?
说白了,OCR技术只是对图片的识别和计算。如果图片本身是被恶意伪造的,那么OCR身份认证过程就完全没有防御能力(??这里我们不考虑加入人脸识别技术作为辅助验证手段,一方面这必然会导致成本较高,用户转化率较低。另一方面,人脸识别有其自身的适用场景和安全隐患,会扭曲本文的主题)。
但是如何将反欺诈纳入整个流程呢?不幸的是,这非常困难。如果有恶意者伪造身份证,单纯使用OCR身份认证流程是无法识别的,而且这种伪造的成本也极低,例如:通过更改身份证上的地址和有效期等电影,或者换头像。
因此,对于金融、政务、租赁、旅游、就业等领域的企业,需要慎重考虑被恶意分子盯上的风险。
请注意,上述两种潜在风险是“身份认证”业务本身的特殊性导致的,而非OCR技术的起源。
但随着数字经济的盛行有效实名认证身份证,国际国内对传统业务的合规监管也将延伸至线上业务。例如,KYC(Know Your Customer)是一个通用的准则,不仅是对正常用户的识别和认证,而且是防御少数恶意行为者造成的巨大损失所必需的。
在此背景下,OCR身份认证服务需要考虑的不仅仅是流程的流畅性。
5、展望未来:在线身份认证流程的用户转化效果能否提升?
在本文的最后,我们可以大胆地做一些“不可避免”的预测和相关问题:
1)在线身份认证的重要性和必要性在未来的数字经济中只会增加。因此,目前的用户转化效果是绝对不能满足业务需求的,必须要有很大的提升。但这个重任非要OCR身份认证来承担吗?
2)KYC等监管要求的完善,实际上与近年来国际国内网络诈骗事件的大幅增加有直接关系,因此目前看来只会进一步加强。有没有合适的产品可以实现让各方都满意的身份防伪?
3)我国独有的二代身份证安全芯片在移动互联网已经如此普及的时代,真的无法发挥优势吗?我们相信,这一点必然会得到解决并取得突破。到时候我国的网上身份认证应该可以再想出一个更新更好的办法吧!
如果大家有更好的想法,可以在评论区告诉我。
本文由@鲸原创发表于人人都是产品经理,未经允许,禁止转载
题图来自Unsplash,基于CC0协议
