Adobe Sign-Authentifizierungsmethode: Wissensbasierte Authentifizierung (KBA)

Überblick

Die wissensbasierte Authentifizierung (Knowledge Based Authentication, KBA) ist eine Premium-Methode zur zweistufigen Authentifizierung, die eine Identitätsprüfung auf übergeordneter Ebene sicherstellt. Die KBA ist nur für die Überprüfung der Identität von US-basierten Empfängern gültig.

Im Rahmen des Authentifizierungsprozesses wird der Empfänger aufgefordert, seinen Vor- und Nachnamen sowie seine Privatadresse einzugeben. Optional kann der Empfänger die letzten vier Ziffern seiner US-Sozialversicherungsnummer eingeben.

Die eingegebenen Informationen werden verwendet, um mehrere öffentliche Datenbanken abzufragen und eine Liste mit drei bis vier nicht trivialen Fragen für den Empfänger zu erstellen.

Beispielfragen:

  • Wählen Sie die richtige Hausnummer der Adresse aus, die Sie {ein Name} mitgeteilt haben
  • Welches der folgenden Flugzeuge haben Sie besessen
  • In welchen der folgenden Städte haben Sie das College besucht
  • Von wem haben Sie die Immobilie {eine Adresse} gekauft
  • Welcher Altersbereich entspricht dem Alter von {ein Name}

 

Sobald die Authentifizierung erfolgt ist, erhält der Empfänger Zugriff auf die Vereinbarung und kann sie anzeigen und damit interagieren.

Wenn der Empfänger die Vereinbarung aus irgendeinem Grund schließt, bevor er seine Aktion abschließt, muss er sich erneut authentifizieren.

Um sich gegen Brute-Force-Authentifizierungsversuche zu sichern, kann die KBA-Methode so konfiguriert werden, dass die Vereinbarung nach einer festgelegten Anzahl von fehlgeschlagenen Versuchen abgebrochen wird.

Hinweis:

Die wissensbasierte Authentifizierungist nur für die Business- und Enterprise-Abovarianten verfügbar.

KBA ist eine Premium-Authentifizierungsmethode, bei der eine Gebühr pro Nutzung anfällt.

  • KBA ist nur für Empfänger in den USA erhältlich
  • In neuen Konten sind 50 kostenlose KBA-Transaktionen enthalten
  • Wenden Sie sich an Ihren Händler oder Vertriebspartner, um weitere Transaktionen zu erwerben


Ein Hinweis zu den personenbezogenen Daten des Empfängers

Die wissensbasierte Authentifizierung ist ein Dienst, der durch eine Partnerschaft mit InstantID Q&A von LexisNexis bereitgestellt wird.

Die Seite mit den Sicherheitsfragen ist ein iframe für den LexisNexis-Service. Alle während des Authentifizierungsprozesses eingegebenen und zurückgegebenen Empfängerdaten sind ausschließlich im LexisNexis-Frame enthalten und gehen niemals in den Adobe Sign-Dienst über.

Sobald LexisNexis den Empfänger überprüft hat, wird ein Authentifizierungstoken an Adobe Sign übergeben, um den Zugriff zu genehmigen. Die tokenID wird im Audit-Bericht als Teil des erfolgreichen Authentifizierungsdatensatzes gespeichert.


Konfigurieren der Methode Wissensbasierte Authentifizierung beim Erstellen einer neuen Vereinbarung

Wenn KBA aktiviert ist, kann der Absender diese Methode aus der Dropdown-Liste Authentifizierung rechts neben der E-Mail-Adresse des Empfängers auswählen:

Authentifizierungsmethode auswählen

Die KBA-Methode kann optional auch so konfiguriert werden, dass der Absender den Namen des Empfängers einfügen muss.

Diese Option stellt sicher, dass der Name des Empfängers über die gesamte Dauer der Transaktion konsistent bleibt.

KBA mit erzwungenen Namenswerten

Hinweis:

Wenn KBA für den Absender nicht als Option angezeigt wird, ist die Authentifizierungsmethode für die Gruppe, aus der der Benutzer sendet, nicht aktiviert.


Verbrauch von Premium-Authentifizierungstransaktionen

Als Premium-Authentifizierungsmethode müssen KBA-Transaktionen erworben und dem Konto zur Verfügung stehen, bevor Vereinbarungen mit konfigurierter KBA gesendet werden können.

KBA-Transaktionen werden pro Empfänger verbraucht.

Beispiel: Eine Vereinbarung, für die konfiguriert wurde, dass drei Empfänger über KBA authentifiziert werden, verbraucht drei Authentifizierungstransaktionen.

 

Bei einer mit mehreren Empfängern konfigurierten Vereinbarung wird für jeden Empfänger, der über KBA authentifiziert wird, eine Transaktion von dem für das Konto verfügbaren Gesamtvolumen abgezogen.

  • Wenn Sie einen Vereinbarungsentwurf mit konfigurierter KBA abbrechen, werden alle KBA-Authentifizierungstransaktionen auf das für das Konto verfügbare Gesamtvolumen zurückgebucht
  • Wenn Sie eine laufende Transaktion abbrechen, wird die Authentifizierungstransaktion nicht auf das für das Konto verfügbare Gesamtvolumen zurückgebucht.
  • Das Ändern einer Authentifizierungsmethode in KBA (von jeder anderen Methode) verbraucht eine Transaktion.
    • Wenn Sie für denselben Empfänger zwischen KBA und einer anderen Authentifizierungsmethode hin und her wechseln, wird insgesamt nur eine Transaktion verbraucht.
  • Wenn Sie die Authentifizierungsmethode von KBA in eine andere Methode ändern, wird die Transaktion nicht zurückgebucht.
  • Jeder Empfänger, der sich mit KBA authentifiziert, verbraucht nur eine Transaktion, unabhängig davon, wie oft er den Prozess versucht.

 

Verfügbares Volumen verfolgen

So überwachen Sie das Volumen der für das Konto verfügbaren KBA-Transaktionen:

  • Navigieren Sie zu Kontoeinstellungen > Sendeeinstellungen > Methoden zur Identitätsauthentifizierung
  • Klicken Sie auf den Link Nutzung verfolgen:
Nutzung verfolgen

Hinweis:

KBA-Transaktionen sind eine Ressource auf Kontoebene.

Alle Gruppen, die KBA aktivieren, verbrauchen ihr Volumen aus demselben gemeinsamen Transaktionspool.


Audit-Bericht

Eine erfolgreiche KBA-Identitätsprüfung wird explizit im Audit-Bericht unter Angabe des von LexisNexis bereitgestellten Authentifizierungstokens protokolliert.

KBA-Audit-Bericht – ID überprüft

Wird die Vereinbarung abgebrochen, weil der Empfänger sich nicht authentifizieren kann, wird der Grund ausdrücklich angegeben:

KBA-Audit-Bericht – ID-Überprüfung fehlgeschlagen


Best Practices und Überlegungen

  • Wenn Sie die Zwei-Faktor-Authentifizierung für interne Empfänger verwenden, sollten Sie die Adobe Sign-Authentifizierungsmethode anstelle von KBA in Betracht ziehen, um den Signaturprozess reibungslos zu gestalten und sich den Verbrauch von Premium-Authentifizierungstransaktionen zu ersparen.


Konfigurationsoptionen

Die wissensbasierte Authentifizierung bietet zwei Optionsgruppen, die auf Konto- und Gruppenebene konfiguriert werden können:

  • Sendeeinstellungen steuern den Zugriff des Absenders auf die KBA-Option sowie deren Konfiguration.
  • Sicherheitseinstellungen steuern das Benutzererlebnis des Empfängers.


Authentifizierungsmethode unter Sendeeinstellungen aktivieren

Sie können die Option zur Verwendung der wissensbasierten Authentifizierung für Absender aktivieren, indem Sie zu Sendeeinstellungen > Methoden zur Authentifizierung der Identität navigieren.

  • Wissensbasierte Authentifizierung: Wenn diese Option aktiviert ist, ist KBA eine verfügbare Option für die Vereinbarungen, die in der Gruppe erstellt werden.
  • (Optional) Der Unterzeichnername ist auf der Seite „Senden“ erforderlich: Wenn diese Option aktiviert ist, müssen Absender den Namen des Empfängers angeben. Dieser Namenswert bleibt während des gesamten Signaturzyklus bestehen; der Empfänger darf ihn nicht ändern.
    • Wenn Sie diese Option aktivieren, wird die Delegierung der Vereinbarung durch den Empfänger (einschließlich der automatischen Delegierung) verhindert.
    • Unterzeichner ersetzen funktioniert für den Absender auf der modernen Seite Verwalten.
  • (Optional) KBA verwenden, wenn die Vereinbarung angezeigt wird, nachdem sie signiert wurde: Wenn diese Option aktiviert ist, wird der Anforderer bei jedem Versuch, über einen Link auf die in Adobe Sign gespeicherte Online-Vereinbarung zuzugreifen, aufgefordert, sich mit dem KBA-Verfahren erneut zu authentifizieren (siehe unten).
  • (Optional) Sobald KBA aktiviert ist, können Sie diese Methode als Standardmethode definieren, die beim Erstellen einer neuen Vereinbarung angeboten wird.
  • Speichern Sie die Änderung auf der Seite.
Optionen für die Identitätsauthentifizierung mittels KBA


Authentifizierung erforderlich, um die ursprüngliche Online-Vereinbarung über einen Internetlink anzuzeigen

E-Mail-Vorlagen, wie die Verifizierung des Empfängers nach der Signatur, können einen Link zur ursprünglichen Vereinbarung auf den Adobe Sign-Servern enthalten:

E-Mail nach Signatur

Durch Aktivieren der Einstellung KBA verwenden, wenn die Vereinbarung angezeigt wird, nachdem sie signiert wurde wird bei jedem Versuch, über einen Link auf die Vereinbarung zuzugreifen, dazu aufgefordert, die Identität des Empfängers mithilfe von KBA erneut zu authentifizieren.

  • Diese Einstellung ist bei der Erstellung der Vereinbarung integriert. Wenn Sie die Einstellung ändern, wirkt sich dies nicht auf Vereinbarungen aus, die bereits in Bearbeitung sind.
  • Wenn die Methode zur Identitätsprüfung für den Empfänger geändert wird, ist die Authentifizierung zum Anzeigen der Vereinbarung über den Link deaktiviert.
  • Jedes Mal, wenn sich ein Empfänger authentifiziert, um die Vereinbarung anzuzeigen, werden Premium-Authentifizierungstransaktionen verbraucht.

Das Aufforderungsverfahren entspricht genau dem ursprünglichen Verfahren zur Authentifizierung des Empfängers:

Die Vereinbarung wird erst dann zur Ansicht geöffnet, nachdem die KBA-Aufgaben ordnungsgemäß gelöst wurden.

Es gibt keine Option zum Bearbeiten oder Deaktivieren der Authentifizierung, nachdem der Empfänger die durchgeführte Aktion unterzeichnet und abgeschlossen hat.


Sicherheitseinstellungen konfigurieren

Die wissensbasierte Authentifizierung bietet auf der Seite Sicherheitseinstellungen drei anpassbare Optionen:

  • Anzahl der Versuche einschränken: Diese Option ist standardmäßig aktiviert und bietet die Sicherheitsoption, die Vereinbarung abzubrechen, wenn ein Empfänger sich nicht innerhalb der festgelegten Anzahl von Authentifizierungsversuchen authentifiziert. Ist die Option deaktiviert, können Empfänger unendlich oft versuchen, sich zu authentifizieren.
    • Unterzeichner XX Versuche zur Bestätigung der Identität bis zum Abbruch der Vertragssignierung erlauben: Der Administrator kann die Anzahl der Authentifizierungsversuche beschränken. Sobald die Anzahl der Versuche überschritten ist, wird die Vereinbarung automatisch abgebrochen.
  • Schwierigkeitsgrad der wissensbasierten Authentifizierung: Definiert die Komplexität des Validierungsprozesses:
    • Mittel: Den Unterzeichnern werden drei Fragen gestellt, die sie alle richtig beantworten müssen. Wenn sie nur zwei Fragen richtig beantworten, erhalten sie zwei weitere Fragen, die sie beide richtig beantworten müssen
    • Hoch: Den Unterzeichnern werden vier Fragen gestellt, die sie alle richtig beantworten müssen. Wenn sie nur drei Fragen richtig beantworten, erhalten sie zwei weitere Fragen, die sie beide richtig beantworten müssen
KBA-Sicherheitsoptionen

Hinweis:

Wenn die Einstellungen in Ihrem Menü nicht angezeigt werden, stellen Sie sicher, dass die Authentifizierungsmethode auf der Seite Sendeeinstellungen aktiviert ist.


Automatischer Abbruch der Vereinbarung, wenn ein Empfänger sich nicht authentifizieren kann

Wenn die Einstellungen die Anzahl der KBA-Authentifizierungsversuche einschränken und der Empfänger sich nicht innerhalb der erlaubten Anzahl der Versuche authentifizieren kann, wird die Vereinbarung automatisch abgebrochen.

Der Ersteller der Vereinbarung erhält eine E-Mail, in der er über den Abbruch benachrichtigt wird, mit einem Hinweis auf die Identität des Empfängers, der sich nicht authentifizieren konnte.

Weitere Parteien werden nicht benachrichtigt.

Aufgrund eines ID-Fehlers abgebrochene Vereinbarung

Adobe-Logo

Bei Ihrem Konto anmelden