總結分享:身份認證全解析

4 評論 13817 瀏覽 102 收藏 16 分鐘

本文主要是總結一下現在市場上有多少種身份認證的方式,可能不夠齊全,歡迎補充~

在面向外部客戶的互聯網產品的業務中,實名認證似乎是一個無法規避的事情。其實在很多場景下我們都需要對客戶進行身份認證,這不但是業務需求還是法規要求。

比如:

  • 《互聯網用戶賬號名稱管理規定》要求:「互聯網信息服務提供者應當按照‘后臺實名、前臺自愿’的原則,要求互聯網信息服務使用者通過真實身份信息認證后注冊賬號。」
  • 《中華人民共和國網絡安全法》規定:「網絡運營者為用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務。」
  • 《網貸機構業務活動管理暫行辦法》第十一條「參與網絡借貸的出借人與借款人應當為網絡借貸信息中介機構核實的實名注冊用戶?!?/li>
  • 《非銀行支付機構網絡支付業務管理辦法》第二章第六條「支付機構應當遵循‘了解你的客戶’原則,建立健全客戶身份識別機制?!梗ā浮私饽愕目蛻簟琄YC,不單單是支付業務的要求,所有金融業務都有相關的要求?!梗?/li>

還有好多類似的要求,本文就是來總結下到底市場上有多少種身份認證的方式。因為作者個人閱歷有限,不能完全列舉,歡迎補充。

身份認證的分類

根據認證個體不同,身份認證包括個人和企業身份認證兩種。鑒別審核方式主要分為面對面及遠程身份認證兩種。

面對面主要是通過線下網點進行面對面核實,不在我們的討論范圍之內。

身份認證全解析

個人身份認證

1. 手機驗證碼

這應該算是最弱的一種身份認證,一般用于登錄、簡單的意愿認證階段。通過向綁定的手機號發送驗證碼,客戶將驗證碼返填到平臺指定的輸入位置完成認證。

驗證碼的發送方式目前主要包括短信和語音兩種。短信能力最容易獲得,通過對接短信通道發送驗證碼也最為普遍。但是受限制于運營商網絡、短信通道穩定性及不同客戶手機的屏蔽設置原因,不能保證 100% 的送達率。這時候語音驗證碼方式便出現了,理論上電話的送達率要遠遠超過短信。

但語音驗證碼也不是十全十美:

  1. 成本相對于短信要高;
  2. 用戶需要接聽并記憶驗證碼,記憶成本比短信高(畢竟短信可以復制粘貼,而且可以隨時查閱)。

這里有個小貼士:語音驗證碼的方案一定要提示用戶接聽平臺外撥的電話,不然很有可能被當做廣告或者騷擾電話拒接。不要為什么會有這個小貼士,有就是我靈光一現!

身份認證全解析

身份認證全解析

2. 免密登錄/本機校驗

最近(其實也好久了)三大服務商都相繼推出了免密登錄/本機校驗功能。這是一項面向 App 的功能,它基于運營商特有的網關取號、驗證能力,能自動通過底層數據網絡網關和短信網關直接識別本機號碼,在不會泄漏用戶信息的前提下,安全、快速地驗證用戶身份,用戶免輸賬號密碼,一鍵注冊/登錄。相較傳統的驗證碼方式,一鍵免密登錄不受制于短信通訊網絡,安全性得到保證。

目前,移動開放平臺[1],支持移動和電信的手機號碼;聯通手機號需要單獨向聯通[2]申請;電信也提供了天翼賬號[3]申請頁面。(據說電信支持驗證其他運營商的賬號,不過成功率較低。)

問題有幾個:

  1. 移動本機校驗要預存 10w RMB,我想了下我們這種 B端低頻業務得花到地老天荒;
  2. 聯通免密登錄要日活 1000w 以上、本機驗證 Xw 以上(具體X 是多少不太清楚);
  3. 對于我這種兩個手機號兩個手機的人,使用安了其他 SIM 卡的手機登錄只能退化到驗證碼方案。

另外,你也可以去找集成服務商。

身份認證全解析

以上兩種方案都輸入很弱很弱的身份認證方式,一般都用在登錄等地方。

3. 簡項核查

簡項核查其實就是我們長期說的身份證二要素認證,通過對接全國公民身份證號碼查詢服務中心(NCIIC)或其授權服務商(一定要是有授權的啊??!不然《網絡安全法》可能會成為法院給你下達判決書時引用的法律。)核查「身份證號+姓名」是否一致。

身份認證全解析

NCIIC 會給你返回「一致」、「不一致」、「查無數據」的核查結果,每次核查不管結果都會收費。因為 NCIIC 是公安部的事業單位,所以其數據最權威最準確最穩定,除一些限制查詢數據(涉密、涉軍、涉密人員)外都可以查詢到,出生、死亡、姓名變更也都可以查詢到。

對了,最近 NCIIC 發布了一條通知,說:取消通過合作伙伴提供公民身份信息認證服務的模式。原通過合作伙伴使用公民身份信息認證服務的用戶,請直接與查詢中心聯系,由查詢中心提供免費公民身份信息認證服務,大家需要關注下。

身份認證全解析

4. 人像核查

由于現在個人信息泄露很普遍,單靠身份證二要素認證門檻太低(Google 一下你會發現有很多身份證照片)。這時候就需要引入另外一個認證要素:人像核查。

通過輸入姓名、身份證號和拍取驗證人圖像,通過接口向國家人口數據庫進行查詢比對。

5. 運營商三要素認證

隨著手機實名制的推進,運營商也推出了基于手機號的實名認證服務。通過上送手機號、姓名、身份證號與運營商系統數據進行真實性核驗,一般還會輔以驗證碼或者運營商本機認證服務加強認證的嚴格性。

6. 銀行卡三要素/四要素實名認證

在很多互聯網金融業務中,大家都接觸過銀行卡要素認證的方式。通過銀聯的實名認證接口,對用戶姓名、身份證號、銀行卡號(三要素)或者姓名、身份證號、銀行卡號、預留手機號(四要素)進行校驗。

目前互金領域主要采用的是帶預留手機號的四要素認證,主要還是因為信息泄漏的原因,三要素比較容易獲得,但預留手機號也被盜用的概率不大。

一般的業務設計是用戶輸入姓名、身份證號、銀行卡號和預留手機號,并向預留手機號發送驗證碼要求客戶返填。隨后上送到銀聯接口進行校驗。這樣做的目的是在實名認證的同時也完成了銀行卡綁定的工作,一舉兩得。

身份認證全解析

企業身份認證

1. 企業三要素

企業三要素就是企業名稱、統一社會信用代碼、法人姓名三項基本信息。不過因為《中華人民共和國政府信息公開條例》、《企業信息公示暫行條例》等法律法規的要求,該三要素是通過互聯網可以很方便獲取的。(比如:國家企業信用信息公示系統[4]、還有X 查查、X眼查、X信寶之類的。)所以一般會要求上傳企業執照彩色蓋章掃描件配合人工審核。

2. 企業四要素

企業四要素就是企業三要素+法人身份證號,市場上有一些公司從相關機構可以獲得了這個數據源并對外提供。不過據我所知大部分公司在對外提供的時候很謹慎,需要接入公司有一定資質。

因為法人身份證除了企業經營者外不容易被掌握,所以四要素認證可以實現企業實名認證。另外還可以增加法人掃臉等活體認證方式。

問題很明顯,就是數據源不容易獲得。

3. 隨機打款認證

隨機打款認證應該是目前企業認證中最為普遍的身份認證方式了,用戶提供企業三要素、對公銀行賬號信息,平臺通過網銀或者第三方支付通道向對公賬號打入一筆金額(一般為 0~1 元)。用戶在收到款項后將金額在指定的頁面填寫,平臺對金額進行校驗。

還有一種隨機打款的變形,用戶提供企業三要素、對公銀行賬號信息后平臺展示一個隨機數字及收款賬戶??蛻粼谥付〞r間內(比如三天或者一周)將這個數字的金額打款至指定的收款賬戶,系統收到款項后完成認證。不過這種認證方式一般用在非常強勢的平臺上,比如微信公眾號認證似乎曾經用過后來下了。

隨機打款認證應該算是非常的嚴謹了,畢竟一般情況下企業的銀行賬戶開戶,銀行管控都非常嚴格(面簽甚至需要到企業現場查驗),使用上也都是管控非常嚴格(出納甚至直接是老板控制。)。

身份認證全解析

身份認證全解析

境外個人身份認證方案

先說明下,我指的認證方案是境外人士在境內平臺發生業務的身份認證方案。

在很多時候我們會遇到境外個人的在我們的系統上發生業務,市場上似乎沒有這樣的數據源,那么 身份認證怎么辦捏。

當然辦法還是有的——通過大陸銀行發放的銀行開來打款認證。→_→相信銀行的力量。

奇特的認證方式

我還遇到了一個方案,通過銀行網銀發放的數字證書來做實名認證。用戶輸入姓名、身份證號(或者企業名稱、統一社會信用代碼)并插入銀行頒發的U-Key,系統將用戶信息和 U-key 中的數字證書信息上送到銀行系統進行校驗。

這個方式的存在的問題是需要對接銀行的系統,而且各家銀行的數字證書服務商不是一家,兼容性差,需要一家一家的去接。(比如很多銀行是自己提供數字證書服務、中行以及一些股份制、城商行是CFCA 提供。)

據我所知是 CFCA 有提供相應的服務(支持用 CFCA 作為數字證書服務機構的銀行Ukey),工行的開放平臺(工行自己的 Ukey)也有相應服務。

身份認證全解析

最后啰嗦幾句

可以引入 OCR 來減少用戶輸入,優化用戶體驗。

一定要找有合法授權的服務商,尤其是現在這種嚴管高壓態勢下,接入不合法的數據很有可能會觸犯網絡安全法。另外還有一些不正規的服務商會在數據中摻假,他們會配合羊毛黨進行各種犯罪和欺詐。

References

[1]移動開放平臺:http://dev.10086.cn/idenLogin

[2]聯通:https://saas.wostore.cn/docIndex.html

[3]天翼賬號:https://id.189.cn/

[4]國家企業信用信息公示系統:http://www.gsxt.gov.cn/index.html

#專欄作家#

張小璋,公眾號:張小璋的碎碎念(ID:SylvainZhang),人人都是產品經理專欄作家。野蠻生長的產品經理,專注于互聯網金融領域。

本文原創發布于人人都是產品經理。未經許可,禁止轉載。

題圖來自 Unsplash,基于 CC0 協議

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. 身份認證,也就是證明你是你,基本三個邏輯,你知道的(口令),你擁有的(手機驗證碼,一鍵登錄,身份證),你天生擁有的(指紋人臉,dna,虹膜,聲紋等等)。
    這里面法定身份是特殊的,法理上,是需要法定身份背書場景,比如電子合同等才有必要。
    現在濫用情況普遍,公安部才要求關閉非必要查詢接口。
    前面2種是黑產,羊毛黨的生產資料。所以基于密碼和手機號的身份認證,本身會帶來大量假賬號。

    類似金融領域,政府領域,以及企業的網絡應用逐步開始普及指紋人臉的(這里強調下,是基于后臺不存個人生物特征前提)認證方式。
    比如,支付寶,微信,銀行交易,手機開機,賬號登錄等等場景

    回復
  2. 公眾號認證現在是認證機構往對公賬號小額打款驗證,但打完款并沒有電話或者其他方式確認收到的金額,然后就認證成功了,不知道什么原理。

    來自北京 回復
    1. 應該是審核公司沒有盡職吧→_→流程是需要審核公司的人電話確認的

      來自北京 回復
  3. 寫得不錯,很有啟發

    來自北京 回復