本文主要是总结一下现在市场上有多少种身份认证的方式,可能不够齐全,欢迎补充~
在面向外部客户的互联网产品的业务中,实名认证似乎是一个无法规避的事情。其实在很多场景下我们都需要对客户进行身份认证,这不但是业务需求还是法规要求。
比如:
《互联网用户账号名称管理规定》要求:「互联网信息服务提供者应当按照‘后台实名、前台自愿’的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。」《中华人民共和国网络安全法》规定:「网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。」《网贷机构业务活动管理暂行办法》第十一条「参与网络借贷的出借人与借款人应当为网络借贷信息中介机构核实的实名注册用户。」《非银行支付机构网络支付业务管理办法》第二章第六条「支付机构应当遵循‘了解你的客户’原则,建立健全客户身份识别机制。」(「‘了解你的客户’,KYC,不单单是支付业务的要求,所有金融业务都有相关的要求。」)还有好多类似的要求,本文就是来总结下到底市场上有多少种身份认证的方式。因为作者个人阅历有限,不能完全列举,欢迎补充。
身份认证的分类
根据认证个体不同,身份认证包括个人和企业身份认证两种。鉴别审核方式主要分为面对面及远程身份认证两种。
面对面主要是通过线下网点进行面对面核实,不在我们的讨论范围之内。
个人身份认证
1.手机验证码
这应该算是最弱的一种身份认证,一般用于登录、简单的意愿认证阶段。通过向绑定的手机号发送验证码,客户将验证码返填到平台指定的输入位置完成认证。
验证码的发送方式目前主要包括短信和语音两种。短信能力最容易获得,通过对接短信通道发送验证码也最为普遍。但是受限制于运营商网络、短信通道稳定性及不同客户手机的屏蔽设置原因,不能保证%的送达率。这时候语音验证码方式便出现了,理论上电话的送达率要远远超过短信。
但语音验证码也不是十全十美:
成本相对于短信要高;用户需要接听并记忆验证码,记忆成本比短信高(毕竟短信可以复制粘贴,而且可以随时查阅)。这里有个小贴士:语音验证码的方案一定要提示用户接听平台外拨的电话,不然很有可能被当做广告或者骚扰电话拒接。不要为什么会有这个小贴士,有就是我灵光一现!
2.免密登录/本机校验
最近(其实也好久了)三大服务商都相继推出了免密登录/本机校验功能。这是一项面向App的功能,它基于运营商特有的网关取号、验证能力,能自动通过底层数据网络网关和短信网关直接识别本机号码,在不会泄漏用户信息的前提下,安全、快速地验证用户身份,用户免输账号密码,一键注册/登录。相较传统的验证码方式,一键免密登录不受制于短信通讯网络,安全性得到保证。
目前,移动开放平台[1],支持移动和电信的手机号码;联通手机号需要单独向联通[2]申请;电信也提供了天翼账号[3]申请页面。(据说电信支持验证其他运营商的账号,不过成功率较低。)
问题有几个:
移动本机校验要预存10wRMB,我想了下我们这种B端低频业务得花到地老天荒;联通免密登录要日活0w以上、本机验证Xw以上(具体X是多少不太清楚);对于我这种两个手机号两个手机的人,使用安了其他SIM卡的手机登录只能退化到验证码方案。另外,你也可以去找集成服务商。
以上两种方案都输入很弱很弱的身份认证方式,一般都用在登录等地方。
3.简项核查
简项核查其实就是我们长期说的身份证二要素认证,通过对接全国公民身份证号码查询服务中心(NCIIC)或其授权服务商(一定要是有授权的啊!!不然《网络安全法》可能会成为法院给你下达判决书时引用的法律。)核查「身份证号+姓名」是否一致。
NCIIC会给你返回「一致」、「不一致」、「查无数据」的核查结果,每次核查不管结果都会收费。因为NCIIC是公安部的事业单位,所以其数据最权威最准确最稳定,除一些限制查询数据(涉密、涉军、涉密人员)外都可以查询到,出生、死亡、姓名变更也都可以查询到。
对了,最近NCIIC发布了一条通知,说:取消通过合作伙伴提供公民身份信息认证服务的模式。原通过合作伙伴使用公民身份信息认证服务的用户,请直接与查询中心联系,由查询中心提供免费公民身份信息认证服务,大家需要