在跟客戶介紹電子簽章系統時，很常被問到：「那這樣是不是隨便一個人拿到網址就可以打開來簽了？」就像之前文章有提到的，我們可以依照產業或文件安全等級需求，去設定需不需要在簽屬前進行身份驗證。

不過身份驗證 (Identity Verification, IDV) 也是有等級之分的。今天，就讓我們來認識不同等級的驗證以及他們的適用場景吧。

區分風險等級

在講到驗證需求時，身為 PM 的我們首先可以協助客戶去釐清，自己的文件究竟屬於哪種等級，是否真的需要加上身份驗證功能。

• 第一級，低風險：只需確認意願。如：內部行政文件、網站服務條款。
• 第二級，中風險：需適當確認身份。如：人事聘僱合約、租賃合約、一般商業合約。
• 第三級，高風險：需使用多因子身份驗證 (Multi-Factor Authentication , MFA)，達到法律認可。如：金融貸款、保險、醫療手術同意書。

常見的身份驗證方法比較

1. 帳號密碼 / Email 連結
   • 安全等級：低，僅能證明你能存取某個信箱或帳號
   • 優點：簡單、普級，使用者幾乎人人都有。
   • 缺點：容易被盜用或釣魚，無法確認真實身份。
   • 適用場景：第一級。
2. 簡訊 OTP (一次性密碼)
   • 安全等級：中，能證明使用者當下持有某支已註冊的手機門號。
   • 優點：方便、使用者體驗順暢。
   • 缺點：簡訊可能被攔截。
   • 適用場景：第二級。
3. FIDO (Fast IDentity Online) 生物辨識驗證
   • 安全等級：高，利用指紋、人臉、虹膜等生物特徵進行本地裝置驗證。
   • 優點：快速、安全，符合密碼免除的趨勢。
   • 缺點：需特定硬體支援，跨平台普及性尚不高。
   • 適用場景：第二~三級。
4. 行動自然人憑證 (Mobile Citizen Digital Certificate)
   • 安全等級：最高，透過綁定政府簽發的數位身份憑證來進行驗證。
   • 優點：具備法律高效力的身份認證。
   • 缺點：使用者需先申請級綁定，過程繁瑣，普及率尚待提升。
   • 適用場景：第三級。

要選擇哪一種驗證方式，取決於簽署的文件有多重要。作為 PM 的我們要能夠去了解客戶的實際情況，去評估使用哪種方式才有最好的效益。

今天我們聊了如何確認簽署當下的身份，不過想想看，假如過了十年之後，發現當年簽的合約發生問題，我們該如何驗證當年的的簽爭依然有效呢？
明天，就讓我們來看看長期驗證 (LTV) 這個技術吧！