使用APP的时候,我们经常会碰到实名认证的环节,常见于通信行业和金融行业,还有一些跨境电商,上传身份证用于清关;租赁行业,比如最近流行的摩拜单车。而在互联网实名制的大风潮下,相信更多产品的用户账号需要实行实名认证。
那么实名认证的目的是什么? 主要有两点:对于产品来说,确认用户本人的真实操作,减低平台风险,以及出于监管的需要,当发生恶意攻击或恶意交易时能够有根可循;对于用户来说,保障个人的资金、信息的安全,当权益受侵时能够有据可依。
实名认证的技术安全性主要体现在信息校验的的准确程度,理论上用户绑定的信息越多,用户信息的真实性和准确性也会越高,有较多的身份要素进行比对,但另一方面认证流程不能让用户感到繁琐和产生疑虑,这就需要在界面设计上考虑交互流程的合理流畅,达到用户心理上的安全感,这样用户才会信任和继续使用你的产品。
目前远程实名认证的方式主要有三种:
1.姓名+身份证号码+手机号验证,这是基本三要素,如果是银行安全系度更高的还需要银行卡号,密码等。用户通过回填验证码证明了该手机号是自己的,说明自己是自然人,但目前通信运营商的实名制度并不完善,如果发生手机丢失或恶意交易(比如之前有人利用移动注销卡片的漏洞进行钱财诈骗)则无法判断是否本人操作。姓名+身份证号码验证身份证号与姓名是否对应,但调用公安部身份证号查询服务中心的接口并不容易,普通机构无法验证身份证卡片真实性,而且就算上传手持身份证照片也无法判断是否人证合一(百度一下你就知道)。所以这种方法最大的bug就是无法保证本人操作,无法判断是否人证合一。
2.人工视频审核。客服让用户开启摄像头,回答客服的问题,手持身份证验证。这种方法其实是人工版的活体识别,但缺点是成本高效率低,用户体验不够流畅。
3.授权第三方征信服务。以芝麻信用为例,APP客户端是通过接入芝麻服务SDK方式来授权,将入参信息(身份证+姓名+手机号或人脸信息)发送给芝麻信用的接口进行查询,芝麻会判断输入手机号是否支付宝实名认证账户绑定手机号,如果是且当前设备是该用户常用的可信设备,则免去短信验证过程,简化授权过程。在身份证+姓名+手机号的基础上加入人脸识别,芝麻会根据活体人脸查询与用户身份证照片的匹配信息,有效解决了方法一无法判断是否人证合一的问题。这种方法最突出的优点是用户体验流程的简化和流畅,用户同意授权芝麻信用而不是直接输入提交信息,降低了输入个人信息的心理门槛;人脸识别操作简单,用户根据提示头部摆动,验证结果即时反馈,高效准确,给用户更强的安全感。值得注意的是,授权第三方征信服务需要其数据库和产品用户有80%以上的重合度,否则接入也查询不到。
就目前而言,能够帮助用户快速、安全地有效录入个人信息和保证认证合一,身份证识别+人脸识别的模式应该是比较高效安全的。如果以后个人信用记录的使用范围更广,不局限于信贷方面的约束,那是不是除了实名验证以外,还能评估风险程度呢?
参考资料:
互联网常见实名认证方式介绍http://www.woshipm.com/pmd/351836.html
芝麻信用产品标准授权服务说明 https://b.zmxy.com.cn/technology/technicalAuths.htm
