实名认证方式
1. 姓名 + 身份证号 + 公安系统接口
这是最原始的认证方式,缺点很明显:
- 需要具备调用公安系统公民信息接口的资质
- 无法保证被认证者的真实性。比如我在黑市两元钱购买了一张身份证,这个身份证的信息是真实有效的,但使用者却不是本人。这种身份证信息可能是身份证丢失,也可能是有人专门用不锈钢脸盆在农村骗取村民的身份证信息,甚至会诱使他们拍下手持身份证的照片,也有可能是早年深圳三和人才市场的落魄者出售身份证而来。
2. 姓名 + 身份证号 + 手持身份证照片
鉴于第一种方式可能会出现冒用的情况,因此后来出现了手持身份证验证本人的认证方式。但这种方式同样存在很大的漏洞:我直接诱使本人拍下手持身份证的照片,或者使用 Photoshop 修改身份证照片或者手持者照片,使二者一致,同样可以轻易绕过。
3. 绑定银行卡
银行卡开户时,柜员会进行实名认证,包括身份证有效性和真实性认证,身份证是否本人等。银行的实名信息相对可靠,因此,网络实名认证就可以根据用户在开户时的银行预留信息验证来进行实名认证
这种方式相对安全性最高,同时认证过程也是最复杂的。如果网站没有支付功能,只是匿名用户会经常发表一些政治敏感话题,导致网站有被查封的风险,此时我用这种方式实名认证就有些大题小做了。另一方面,有些用户的银行预留信息可能太久而模糊,会造成这样一些用户的认证困难,进而造成这部分用户的流失。
4. 使用支付宝实名认证
如今,几乎国内绝大多数的上网用户都拥有支付宝账户,而使用支付宝的前提就是要绑定银行卡,从而完成了支付宝的实名认证。
当支付宝积累了足够多的可信用户后,它就可以扩展一些能力,如为第三方提供实名认证能力,通过用户在旗下网站的行为进行用户画像等。
现在,支付宝已经推出了芝麻认证服务,根据其介绍
对个人进行实人认证,核验方式包括人脸识别、眼纹识别、姓名和身份证号验证等。芝麻认证主要解决线上实人开户、帐号实名认证、帐号实人登录等场景中个人身份的识别问题。与其他实人认证服务相比,芝麻认证在使用流程中甚至不需要用户做动作就能快速得出认证结果,速度快、体验好、通过率高,拥有业内独有的眼纹人脸双因子认证技术,安全水平已达金融级要求。
我们可以看到,这已经满足了大多数的网络实名认证场景,且速度快,体验好,作弊难。活体认证既解决了冒用的问题,也解决了用户活体的认证问题,而且整个认证过程只需两步:扫码 ==> 扫脸 ==> 完成。
现在的一些实名认证我都有些警惕,有些连https都不支持的网站都要收集个人信息,你的信息在数据库里更可能是明文存储的,造成了很大的安全风险。但现在国内的常用网站现在还有几个不要求实名认证的?
5. 未来:eID
eID (electronic IDentity) 是以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统”签发的公民网络电子身份标识,能够在不泄露身份信息的前提下在线远程识别身份。eID 不仅在中国支持,还是一个全球解决方案,早在 1999 年,欧盟就已经支持,以下是一些主要国家的支持情况。
- 1999 欧盟
- 2004 中国香港
- 2004 澳大利亚
- 2011 俄罗斯
- 2013 加拿大
- 2014 美国
目前,eID,在德国普及率较好,国内尚未普及,但中国手机制造商华为(荣耀)、OPPO、Vivo 最新款均已支持,希望工信部能推进一下 eID 的普及,连 Facebook 这样的公司都滥用用户信息,更遑论不知名的公司了。
