数字身份中的信任级别(LoA)解析 (ZH)
信任级别(LoA)对数字身份至关重要,它定义了对用户身份验证的信任度。本文探讨了不同的LoA级别、其应用以及如何为各种用途选择合适的LoA。.
LoA 定义信任级别(LoA)量化了对所声明身份真实性的信心,涵盖了身份验证、认证强度以及与个人绑定等因素。
分层方法存在不同的LoA级别(例如,NIST LoA 1-4,eIDAS 低、实质性、高),以匹配各种数字服务和交易的风险和安全需求。
特定用例选择正确的LoA至关重要;简单的论坛登录所需的LoA低于金融交易或访问高度敏感的个人数据。
动态编排像Didit这样的现代身份平台允许企业动态编排验证流程,以达到特定的LoA级别,从而优化安全性和用户体验。
什么是信任级别(LoA)?
在数字世界中,建立对用户声明身份的信任至关重要。信任级别(LoA)提供了一个标准化框架,用于评估和传达对所声明身份合法性的信心。本质上,LoA表明了您对一个人是否是其所声称的身份的确定程度,这取决于他们所经历的身份验证和认证过程的严格性。
各种标准机构,例如美国的NIST(国家标准与技术研究院)和欧洲的eIDAS(电子身份识别、认证和信任服务),都定义了自己的LoA框架。尽管它们的具体内容可能有所不同,但核心概念保持一致:更高的LoA意味着对用户身份的更大信心,通常需要更严格的验证步骤。
影响特定LoA的因素包括:
- 身份验证:身份最初是如何验证的?是基于自我声明、政府颁发的身份证件还是亲自核查?
- 认证强度:用户如何认证其身份?是简单的密码、多因素认证(MFA)还是生物识别?
- 与个人的绑定:数字身份与唯一的物理个人绑定得有多紧密?
- 欺诈检测:有哪些措施可以检测和防止冒名顶替者或合成身份?
常见的LoA框架及其特点
让我们看看两个著名的LoA框架,以了解它们的区别:
NIST的数字身份指南(SP 800-63-3)
- LoA 1(低):对所声明的身份提供一定的信心。通常涉及通过电子邮件/电话验证的自我声明身份。适用于滥用风险较低的公共信息访问。示例:匿名论坛帖子或新闻通讯订阅。
- LoA 2(中):信心增加。身份验证通常涉及针对权威来源的远程验证(例如,身份证件扫描+自拍)。认证通常使用单因素远程认证(如密码)或基本MFA。示例:访问非敏感在线服务,基本电子商务。
- LoA 3(高):高信心。强大的身份验证,通常需要与物理个人进行强绑定,可能通过生物识别验证或NFC文档读取。认证通常涉及强大的MFA(例如,生物识别、硬件令牌)。示例:网上银行、访问个人数据的政府服务、高价值金融交易。
- LoA 4(非常高):非常高的信心。需要亲自进行身份验证或同等方式,以及高度安全的加密认证。专为风险极高的交易或访问关键基础设施而设计。在纯在线场景中很少实施。
eIDAS法规(欧盟)- 低、实质性、高
- 低:对所声明的身份提供有限的信心。类似于NIST LoA 1,通常依赖于基本注册和单因素认证。示例:访问一般公共信息。
- 实质性:提供实质性的信心。需要通过针对官方文件的远程验证进行身份验证和强认证(例如,MFA)。与NIST LoA 2-3相当。示例:访问包含个人数据的公共服务,在线报税。
- 高:提供高水平的信心。涉及严格的身份验证,可能需要面对面或同等远程的生物识别验证,结合强大的加密认证。与NIST LoA 3的更高级别一致。示例:开立银行账户、电子签署合同、跨境公共服务。
根据您的用例匹配LoA:实际示例
关键在于选择一个平衡安全要求、用户体验和运营成本的LoA。过度验证可能导致摩擦和放弃,而验证不足则会使您面临欺诈和合规风险。
低LoA用例
- 新闻通讯注册/博客评论:简单的电子邮件验证(Didit的电子邮件验证模块)通常就足够了。欺诈风险最小,目标是减少垃圾邮件。
- 基本内容访问:对于提供免费内容且需要快速登录的平台,用户名/密码组合以及用于账户恢复的基本电子邮件或电话验证可能就足够了(Didit的电话验证)。
中LoA用例
- 电子商务账户创建:当用户创建账户以保存配送详细信息或查看订单历史记录时,身份证件扫描结合被动活体检测(Didit的身份验证+被动活体检测)提供了一个很好的平衡。这有助于防止多账户和基本欺诈。
- 游戏平台:对于受年龄限制的游戏或游戏内购买,可能需要年龄估算(Didit的年龄估算)或完整的身份验证才能符合法规。
- 访问非敏感客户门户:在初始身份验证后,多因素认证(MFA)步骤,例如向注册电话或电子邮件发送一次性密码,通常是合适的。
高LoA用例
- 金融账户开户(KYC/AML):这是一个典型的高LoA场景。它要求通过政府颁发的身份证件验证、主动活体检测、人脸匹配以及全面的AML筛查(Didit的身份验证+主动活体检测+人脸1:1匹配+AML筛查)进行强大的身份验证。持续的AML监控也至关重要。
- 受监管的在线服务(例如,赌博、加密货币交易所):与金融服务类似,这些服务需要严格的KYC/AML流程,以防止欺诈、洗钱并确保年龄合规性。NFC文档读取可以增加额外的保障层。
- 远程医疗/医疗保健访问:在患者访问敏感健康记录或接受医疗建议之前验证患者身份需要高度的信心。对于回头用户,生物识别认证(Didit的生物识别认证)在这里至关重要。
- 政府服务(高价值):访问税务记录、申请福利或数字签署法律文件需要非常高的保障,以防止身份盗窃。
Didit如何帮助实现所需的LoA
Didit的一体化身份平台旨在提供灵活性和强大功能,以实现任何所需的信任级别,并根据特定的用例和监管需求进行定制。
- 模块化架构:Didit提供18个可组合模块,从基本的电子邮件验证到高级NFC文档读取和持续AML监控。每个模块都有助于提高用户身份的LoA。
- 工作流编排:可视化工作流构建器允许企业拖放这些模块以创建自定义验证流程。这意味着您可以设计根据风险因素、交易价值或用户行为动态调整LoA的工作流。例如,简单的登录可能只需要人脸匹配,而高价值提款则会触发完整的身份验证、活体检测和AML筛查。
- 生物识别验证:通过被动和主动活体检测、1:1人脸匹配和生物识别认证,Didit提供了对于更高LoA至关重要的强大生物识别功能。
- 身份证件和数据库验证:Didit的身份验证支持220多个国家/地区的14,000多种文档类型,结合NFC读取和数据库验证,提供政府级别的身份保障。
- 欺诈信号和AML:集成的IP分析、设备数据以及针对1,300多个全球观察名单的实时AML筛查显著增强了对用户身份的信心并降低了欺诈风险,这对于更高的LoA至关重要。
- 可重用KYC:对于回头用户,Didit的eIDAS2兼容可重用KYC允许用户通过生物识别重新认证共享预验证凭证,在保持高LoA的同时大大改善用户体验。
通过编排这些强大的工具,企业可以精确控制每次交互的信任级别,确保合规性,最大程度地减少欺诈,并在不增加不必要摩擦的情况下优化用户旅程。
准备好开始了吗?
理解和实施正确的信任级别是构建安全合规的数字服务的基础。借助Didit,您可以获得一个强大、灵活的平台来管理您的所有身份需求,从基本验证到最严格的LoA要求。探索Didit如何提升您的身份策略。