什么是身份认证信息(身份认证全解析)
在面向外部客户的互联网产品的业务中,实名认证似乎是一个无法规避的事情。其实在很多场景下我们都需要对客户进行身份认证,这不但是业务需求还是法规要求。
比如:
《互联网用户账号名称管理规定》要求:「互联网信息服务提供者应当按照‘后台实名、前台自愿’的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。」
《中华人民共和国网络安全法》规定:「网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供百思特网相关服务。」
《网贷机构业务活动管理暂行办法百思特网》第十一条「参与网络借贷的出借人与借款人应当为网络借贷信息中介机构核实的实名注册用户。」
《非银行支付机构网络支付业务管理办法》第二章第六条「支付机构应当遵循‘了解你的客户’原则,建立健全客户身份识别机制。」(「‘了解你的客户’,KYC,不单单是支付业务的要求,所有金融业务都有相关的要求。」)
还有好多类似的要求,本文就是来总结下到底市场上有多少种身份认证的方式。因为作者个人阅历有限,不能完全列举,欢迎补充。
身份认证的分类
根据认证个体不同,身份认证包括个人和企业身份认证两种。鉴别审核方式主要分为面对面及远程身份认证两种。
面对面主要是通过线下网点进行面对面核实,不在我们的讨论范围之内。
个人身份认证
1. 手机验证码
这应该算是最弱的一种身份认证,一般用于登录、简单的意愿认证阶段。通过向绑定的手机号发送验证码,客户将验证码返填到平台指定的输入位置完成认证。
验证码的发送方式目前主要包括短信和语音两种。短信能力最容易获得,通过对接短信通道发送验证码也最为普遍。但是受限制于运营商网络、短信通道稳定性及不同客户手机的屏蔽设置原因,不能保证 100% 的送达率。这时候语音验证码方式便出现了,理论上电话的送达率要远远超过短信。
但语音验证码也不是十全十美:
成本相对于短信要高;
用户需要接听并记忆验证码,记忆成本比短信高(毕竟短信可以复制粘贴,而且可以随时查阅)。
这里有个小贴士:语音验证码的方案一定要提示用户接听平台外拨的电话,不然很有可能被当做广告或者骚扰电话拒接。不要为什么会有这个小贴士,有就是我灵光一现!
2. 免密登录/本机校验
最近(其实也好久了)三大服务商都相继推出了免密登录/本机校验功能。这是一项面向 App 的功能,它基于运营商特有的网关取号、验证能力,能自动通过底层数据网络网关和短信网关直接识别本机号码,在不会泄漏用户信息的前提下,安全、快速地验证用户身份,用户免输账号密码,一键注册/登录。相较传统的验证码方式,一键免密登录不受制于短信通讯网络,安全性得到保证。
目前,移动开放平台[1],支持移动和电信的手机号码;联通手机号需要单独向联通[2]申请;电信也提供了天翼账号[3]申请页面。(据说电信支持验证其他运营商的账号,不过成功率较低。)
问题有几个:
移动本机校验要预存 10w RMB,我想了下我们这种 B端低频业务得花到地老天荒;
联通免密登录要日活 1000w 以上、本机验证 Xw 以上(具体X 是多少不太清楚);
对于我这种两个手机号两个手机的人,使用安了其他 SIM 卡的手机登录只能退化到验证码方案。
另外,你也可以去找集成服务商。
以上两种方案都输入很弱很弱的身份认证方式,一般都用在登录等地方。
3. 简项核查
简项核查其实就是我们长百思特网期说的身份证二要素认证,通过对接全国公民身份证号码查询服务中心(NCIIC)或其授权服务商(一定要是有授权的啊!!不然《网络安全法》可能会成为法院给你下达判决书时引用的法律。)核查「身份证号+姓名」是否一致。
NCIIC 会给你返回「一致」、「不一致」、「查无数据」的核查结果,每次核查不管结果都会收费。因为 NCIIC 是公安部的事业单位,所以其数据最权威最准确最稳定,除一些限制查询数据(涉密、涉军、涉密人员)外都可以查询到,出生、死亡、姓名变更也都可以查询到。
对了,最近 NCIIC 发布了一条通知,说:取消通过合作伙伴提供公民身份信息认证服务的模式。原通过合作伙伴使用公民身份信息认证服务的用户,请直接与查询中心联系,由查询中心提供免费公民身份信息认证服务,大家需要关注下。
4. 人像核查
由于现在个人信息泄露很普遍,单靠身份证二要素认证门槛太低(Google 一下你会发现有很多身份证照片)。这时候就需要引入另外一个认证要素:人像核查。
通过输入姓名、身份证号和拍取验证人图像,通过接口向国家人口数据库进行查询比对。
5. 运营商三要素认证
随着手机实名制的推进,运营商也推出了基于手机号的实名认证服务。通过上送手机号、姓名、身份证号与运营商系统数据进行真实性核验,一般还会辅以验证码或者运营商本机认证服务加强认证的严格性。
6. 银行卡三要素/四要素实名认证
在很多互联网金融业务中,大家都接触过银行卡要素认证的方式。通过银联的实名认证接口,对用户姓名、身份证号、银行卡号(三要素)或者姓名、身份证号、银行卡号、预留手机号(四要素)进行校验。
目前互金领域主要采用的是带预留手机号的四要素认证,主要还是因为信息泄漏的原因,三要素比较容易获得,但预留手机号也被盗用的概率不大。
一般的业务设计是用户输入姓名、身份证号、银行卡号和预留手机号,并向预留手机号发送验证码要求客户返填。随后上送到银联接口进行校验。这样做的目的是在实名认证的同时也完成了银行卡绑定的工作,一举两得。