电子签名与双重认证区别

kujind

请问大家，对于计算机化系统，电子签名与双重认证区别是什么？

woshini2ge

电子签名
电子签名是一种电子形式的数据，它附着于电子文档或电子记录等，以识别签名人的身份、表明签名人对内容的认可。在计算机化系统中，电子签名是通过密码学技术手段来实现的。例如，使用私钥加密的数字签名，只有对应的公钥才能验证签名的有效性。
它可以是简单的电子符号、图像，也可以是基于复杂算法的加密数据。电子签名的目的是提供一种类似于手写签名在纸质文件上的功能，确保电子文档的完整性和不可否认性。
双重认证
双重认证（也称为双因素认证）是一种身份验证方法，要求用户提供两种不同类型的身份验证因素来访问计算机化系统或资源。这两种因素通常来自以下不同的类别：
知识因素：如密码、个人识别码（PIN）等，是用户知道的信息。
持有因素：如智能卡、硬件令牌、手机（用于接收验证码等）等，是用户持有的设备或物品；或者生物特征因素，如指纹、面部识别等，是用户本身具有的生物特征。

琦瑞福生

大哥比方
一个是办公室你可以用电脑登陆修改后输入账号密码的电子签名
另一个就是D级区虹膜识别认证，这个是因为你没法输入账号密码啥的

vugjkhoi

路过看看！

kujind

琦瑞福生 发表于 2024-10-12 16:38
大哥比方
一个是办公室你可以用电脑登陆修改后输入账号密码的电子签名
另一个就是D级区虹膜识别认证，这 ...

那对于计算机化系统，修改重要参数和配置，需要输入的用户名和密码属于电子签名码

wudizzx

电子签名除了ID和密码外，还需要说明签名意图，即这个签名的用途是什么？是批准放行，还是拒绝，还是审核通过等。
我不是很理解“双重认证”在你这边的含义是什么，但仅从字面上理解，应该是对一些关键的步骤额外要求一次账号和密码的输入，这个是从安全角度上的措施，但仅验证账号登录仍为一致，并不涉及认证或者说签名的意图。

johnny1986

kujind 发表于 2024-10-14 10:06
那对于计算机化系统，修改重要参数和配置，需要输入的用户名和密码属于电子签名码

不依据生物测定学的电子签名应：
(1) Employ at least two distinct identification components such as an identification code and password.
使用至少二种截然不同的证明成分，例如识别码和密码

上面是PART 11 的原文。即非生物测定的电子签名，严格意义上是需要双因素认证的（所知的+所有的）。但国内实际现在都是使用账户+密码（均为所知的）的形式。
回到你的问题，属于电子签名，但等级较低，我个人觉得并不完全符合part11的要求

kujind

johnny1986 发表于 2025-12-7 14:44
不依据生物测定学的电子签名应：
(1) Employ at least two distinct identification components such a ...

那这个PART11的要求，是不是绝大部分的计算机化系统都不满足这个要求，因为他们几乎清一色的账户密码认证，很少有生物识别，但是目前实践中也未被审计人员所挑战。

补充内容 (2025-12-19 15:30):
21 CFR Part 11是美国FDA针对电子记录和电子签名的一项重要法规。下面我将为您详细解读其中关于电子签名的定义、核心要求以及为确保合规性需要采取的措施。
📜 电子签名的法律定义与效力
根据21 CFR Part 11，电子签名被定义为“与手写签名具有相同法律效力，且由一个个体执行、采纳或授权的符号或一系列符号的计算机数据编制”。这意味着，一旦符合本法规的要求，FDA即认为电子签名完全等同于传统的手写签名，具有同等的法律约束力。
一个符合规定的电子签名在展示时，必须包含以下三项关键信息，以确保其意图明确、可追溯：
签名者身份：签名者的印刷体姓名。
签名时间点：签名生效的日期和时间戳。
签名含义：签署的具体原因，例如审核、批准、承担责任或原创作者等。
⚙️ 电子签名的核心要求
为确保电子签名的可靠性和安全性，21 CFR Part 11提出了一系列具体的技术和管理要求。
1. 唯一性与身份验证
每个电子签名必须唯一地对应一个特定个体，不能被其他人重复使用或重新分配。在为用户创建或分配电子签名凭据之前，组织必须严格校验该用户的真实身份。
2. 签名组与控制
对于非生物识别方式的电子签名，法规要求其至少由两种独立组件构成，最典型的组合是识别码（用户名）和密码。关于在何时使用全部组件，法规有细致规定：
在一次连续的登录会话期内，用户执行第一个签名时必须输入全部组件（如用户名和密码）。
在同一会话期内后续的签名，则至少需要使用一个仅能由该用户本人控制的组件（例如仅需输入密码）。
如果签名操作发生在不同的登录会话中，则每一次都必须使用全部电子签名组件

johnny1986

kujind 发表于 2025-12-19 10:58
那这个PART11的要求，是不是绝大部分的计算机化系统都不满足这个要求，因为他们几乎清一色的账户密码认证 ...

只是非生物识别的方式要求有2种同时，也有很多计算机化系统是满足的，用的方式如U-KEY(硬件)+账户密码。比如流程审批类的计算机化系统通常都是如此，MES, ERP。。。你说的修改关键参数，需要输入密码，本质上是权限控制，但现在也很多人把他看成电子签名的形式，源头可能是设备供应商都宣传这是电子签名的的形式，理解不同。