Säkert sätt att verifiera ID?

Egentligen godtar den test-ID:n då den är till just för att man ska kunna testa sin BankID-implementation.

Vanligaste varianten är att man får ange sitt personnummer och sedan får ett brev hemskickat med en engångskod i.
Finns både skicka-brev-tjänster online och tjänster där man kan göra en slagning på någons personnummer och sedan få tillhörande folkbokföringsadress.

Va? Fejkade id'n testas ju på en helt annan bankid sajt. Om du har två bankid'n (ett test och ett skarpt med samma id) hur vet då https://test.bankid.com/SigOtherDevice/Step1 vilket bankid som ska verifieras? Är du säker på att det inte fungerar? Rent licensmässigt förstår jag inte heller. Vems licens? Har jag tecknat ett avtal med bankid som gör att jag inte får prova den sidan med andras bankid'n?
/aleph0

https://www.bankid.com/bankid_i_dina_tjanster/sa_kommer_du_igang

Du får inte använda (mobila) BankID utan ett affärsavtal som icke är gratis.

Efter att ha läst era svar så kommer jag troligtvis att göra följande:

1. Lösenord
2. E-mail verifiering eller SMS verifiering
3. Ladda upp en bild på ID kortet
4. Ett brev med engångskod skickas till adressen

Detta är inte bulletproof men huvudsyftet är att undvika fake accounts. Jag tror inte det är så många som orkar gå igenom dessa steg om man inte är en seriös klient.
Det blir dock en extra kostnad att behöva skicka en jävla massa brev..

Fast om du skickar ett brev med en engångskod så behöver du ju inte kräva att ladda upp ID-kortet och sedan gå igenom manuell behandling.
Utan du kan ju använda en automatisk tjänst för att skicka ut breven, t.ex. https://www.ekopost.se/ via API.
Sedan kan man iofs kräva postnummer, som då måste stämma mot folkbokföringen som en "sanity check", dvs så inte någon fyller i någon random personnummer.

Dvs användaren anger personnummer + postnummer -> brevet skickas ut.

Grejen är att min tjänst kommer att vara tillgänglig i flera andra länder som Holland, Frankrike och Tyskland.
Går det att göra något liknande i dessa länder, alltså att en t.ex. Holländare fyller i sitt personnummer så skickas det ett brev med engångskod. Eller fungerar detta bara i Sverige?

Beror på folkbokföring och sådant.
Men man kan ju ha olika valideringsprocesser för olika länder. T.ex. Sverige = fyll i personnummer och få brev osv...

Det kan också vara bra att ha flera olika valideringsprocesser så att de som t.ex. bor i andrahand inte hindras från att kunna använda din tjänst.

Om man kan ändra adressen som är registrerat till personnumret, då kan man också göra fusk accounts.
Fast du har rätt i att det är många som bor i andrahand som då inte skulle kunna registrera.

Jag kommer troligtvis att göra såhär:

1. Lösenord
2. E-mail verifiering och/eller SMS verifiering
3. Ladda upp en bild på ID kortet

Om jag märker att det skapas många fusk accounts så får jag (tyvärr) skicka engångskod i brev som fjärde steg.

Nej? Eftersom när ett account väl har skapats & godkänts så låser du personnumret så inte ett nytt kan skapas på samma personnummer. Adressen är då irrelevant.
Att man adressverifierar är för att inte någon ska kunna fylla i någon annans personnummer.
Tänk också på risken ifall någon laddar upp någons facebookbild av ett körkort eller liknande.
Därför är det bästa: fyll i personnummer -> brev hem. I praktiken omöjligt att fuska med.

Att ändra adressen på ett personnummer kan bara innehavaren av personnumret göra. När adressen har validerats, så har den som innehar personnumret validerat att han/hon faktiskt äger personnumret, varför det inte har någon betydelse om någon i efterhand ändrar adressen på sitt personnummer.