我一直在尝试查找此信息,但我能找到的只是使用信用卡进行验证的答案,而不是真正的答案。
我试图弄清楚公司如何/从何处获取信息以要求您验证您没有窃取某人的身份。例如:
您拥有以下哪些汽车?
您住在以下哪个地址?
你的xyz车是什么颜色的?
xyz年住在哪个城市?
通常,输入的唯一信息是您的社交和姓名。我希望能够在我的服务中提供相同的验证,但不知道在哪里可以找到它。如果可能的话,我更愿意自己构建它,但如果有它的服务,那也可以。
至于自己构建它,我很好奇公司是如何获得这种信息的。例如,要获得我汽车的颜色,您需要根据非常机密的 DMV 记录进行验证,或者我猜可能是保险公司。他们是否有合同允许他们将所述信息用于这些目的,或者他们如何获取数据?
有专业服务可以对个人进行背景验证/审计并收集信息以交叉验证。因此,它本身是一种服务,除了您想要使用它的应用程序之外(长话短说,您不想仅仅为了您的应用程序/服务而这样做,如果您认为它是新的商机,那么它就是一个不同的球赛并且超出了这个问题的范围)
背景验证主要有两种类型 1. 犯罪/个人记录 2. 财务/信用验证记录
根据要求,包含这些记录的详细信息会有所不同。
我不确定您所在地区的犯罪/个人记录服务提供商(因为这些将是国内/国家特定的机构)但是对于财务/信用验证记录,您可以与 Experian、Equifax 等服务提供商合作(再次考虑到法律方面的特定国家捕获部分 PII)。
哦,请注意,当您将在您的应用程序中嵌入/使用他们的服务时,您需要遵守有关如何保护静态和传输中数据的准则,必须通过他们的独立审核,例如 Experian 独立 3rd 方评估( EI3PA)、Equifax 审核等与 PCI 审核一样严格,需要由独立的 QSA 每年执行。
最后以下是一些能够为您完成这项工作的公司(至少具有更好的 SEO)。
(可能已弃用)VeriSign 的消费者身份验证服务 - http://xml.coverpages.org/VerisignCAS.html
益百利:http ://www.experian.com/decision-analytics/identity-and-fraud/identity-verification-screening.html
米卡: http: //www.miicard.com/
特鲁利奥:https ://www.trulioo.com/
i-Verified 背景筛查解决方案:http: //i-verified.us/
访问背景屏幕有限责任公司:http ://www.accessbackgroundscreen.com/id9.html
AAIMCheck:http ://www.aimea.org/AAIMCheck/Background-Verification.aspx 信用验证:http ://www.creditverification.com/
如果需要,einvestigator 有一份私人调查员名单:https ://www.einvestigator.com/missouri-private-investigators/
临别礼物,很少有有价值的链接,现在或将来可能会有所帮助。
https://en.wikipedia.org/wiki/Identity_verification_service
http://www.businessnewsdaily.com/7638-best-background-check-services.html
http://www.businessnewsdaily.com/7636-choosing-a-background-check-service.html
您在评论中提到了 PayPal。Paypal 和类似网站等网站拥有您提供给他们的信息。这就是他们验证数据的方式。最初的问题令人困惑:“我试图弄清楚公司如何/从何处获取信息以要求您验证您没有窃取某人的身份。 ”任何要求我验证我是谁的公司都必须是我拥有的公司与某种形式的金融交易开展业务的既得利益。例如支付账单、转账、检查病史等。任何与我相关的事情都必须验证我是谁——这意味着我必须事先向他们提供某种形式的信息。如果某家公司随机要求我核实任何内容,而我对该公司没有既得利益,我会联系律师。
现在,当谈到填写汽车等的信用申请时,您仍然必须向该公司提供一些初始形式的数据。然后那家公司可以做基本信息挖掘,然后再问你一个问题:“你5年前住在哪里。” 任何组织都不会在任何人身上随机存储那么多数据。当这种情况发生时(比如你填写了一张信用表格),公司通常会依赖LexisNexis(它收购了 Choicepoint)这样的数据经纪人。
(已编辑)至于您的问题,问题来自哪里,我不知道没有标准。如果您正在构建一个应用程序(基于或不基于网络)的东西,这里是一个入门
这是我一直关心的事情。正如您所指出的,几乎所有常见的安全问题实际上都是公共知识,尽管通常需要跳过一些障碍,对于研究高价值受害者的老练攻击者来说并没有太大的挑战。
人们假设数据都是在提供商之间收集或共享的,这使情况变得更加复杂。 它不是。 当我的一张信用卡转移到另一家发卡行时,他们得到了我的大量数据,但没有得到我的密码数据。当我打电话给他们寻求支持时,我问了这个(我为不同的帐户使用了不同的“母亲的娘家姓”,它们都不是祖先的名字);他们说它是空白的,所以我们设置了一个新的。
我的印象是他们什么也没说。如果他们没有您母亲的娘家姓的答案,他们只会在您第一次提供时保存您的答案,以便他们可以将其与您未来的答案进行比较。这是各种不安全的行为,因此您应该确保在您打开此类帐户后立即设置(否则只有您的地址和财务凭证的攻击者将更容易窃取您的 ID)。
正如我在上面的故事中所指出的,财务信息(实际上是赚钱所需的任何东西)确实是共享的;这就是金融公司如何获得大部分利润的方式(网络上的定向广告并不是第一个加入这个游戏的!)。
此 SE 问题中包含的挑战问题不是由公共记录填充的(尽管您可能会对它们的简单程度感到惊讶)。当您设置帐户时,他们被要求询问您。
除了预先定义的挑战问题外,一些较好的信用卡发卡机构会询问您最近的购买情况(如果他们不愿意提供这些数据,这很清楚地证明您至少一直在使用该卡) .
您可以与Trulioo API集成,并立即验证超过 50 亿个人和 2.5 亿个组织。尽管您可以通过各种方式(例如,Java、C# 等)使用 API,但有几个快速启动项目可以使集成变得容易。
如果您使用的是 npm,则可以运行npm i trulioo以安装EmbedID 组件。
npm install trulioo-react
然后在你的 jsx 中:
import EmbedID from 'trulioo-react/EmbedID'
const handleResponse = (e) => {
// handle verification submission result here ...
}
<EmbedID url='URL' handleResponse={handleResponse} />
handleResponse是来自供应商的回调,这里有更多关于响应结构的信息。
为避免CORS问题,您将需要一个后端服务器;您可以自己构建或使用trulioo-react-sample-app:
TRULIOO_BASE_URL=
TRULIOO_USERNAME=
TRULIOO_PASSWORD=
TRULIOO_PORT=
SIGNATURE_ALGORITHM=
PRIVATE_KEY_FILE_PATH=
只需在您的 cmd/终端中运行以下命令即可享受旅程。
# install the libraries needed
npm i
# start the server
npm start
trulioo-react免责声明:我为 Trulioo 工作,我是trulioo-react-sample-app项目的作者。