在跟客戶介紹電子簽章系統時,很常被問到:「那這樣是不是隨便一個人拿到網址就可以打開來簽了?」就像之前文章有提到的,我們可以依照產業或文件安全等級需求,去設定需不需要在簽屬前進行身份驗證。
不過身份驗證 (Identity Verification, IDV) 也是有等級之分的。今天,就讓我們來認識不同等級的驗證以及他們的適用場景吧。
在講到驗證需求時,身為 PM 的我們首先可以協助客戶去釐清,自己的文件究竟屬於哪種等級,是否真的需要加上身份驗證功能。
方法 | 安全等級 | 優點 | 缺點 | 適用場景 |
---|---|---|---|---|
帳號密碼 / Email 連結 | 低 | 簡單普及、使用者熟悉 | 易被盜用或釣魚,無法確認真實身份 | 第一級 |
簡訊 OTP | 中 | 操作方便、體驗順暢 | 簡訊可能被攔截,仍無法完全確認個人真實性 | 第二級 |
FIDO 生物辨識 | 高 | 快速安全、支援密碼免除趨勢 | 需特定硬體支援,跨平台普及性尚不高 | 第二~三級 |
行動自然人憑證 | 最高 | 綁定政府簽發身份,具法律效力 | 需事先申請與綁定,流程較繁瑣,普及率不高 | 第三級 |
要選擇哪一種驗證方式,取決於簽署的文件有多重要。作為 PM 的我們要能夠去了解客戶的實際情況,去評估使用哪種方式才有最好的效益。
今天我們聊了如何確認簽署當下的身份,不過想想看,假如過了十年之後,發現當年簽的合約發生問題,我們該如何驗證當年的的簽爭依然有效呢?
明天,就讓我們來看看長期驗證 (LTV) 這個技術吧!