Persona：网络身份的基石，验证流程的乐高积木

01.

身份在数字时代的演变

Ernest Cline 2011年的科幻小说《头号玩家》在2018年被斯皮尔伯格拍成了电影。小说中的故事发生在 2045 年，当时我们的星球已经陷入能源危机和恶劣的气候变化。随着物理世界的崩溃，人类选择在 OASIS 中度过了他们大部分清醒的时间，作为一个沉浸式的虚拟现实世界，OASIS 成为人类的游乐场。用故事主人公的话说：

与此同时，主人公说了一句意味深长的话。

“他们留下来是为了成为想成为的人”，我经常思考这句话。

今天，我们在网上花费的时间比以往任何时候都要更多：全世界平均每人每天花 7 个小时上网。而随着我们在网上度过更多时间，我们的网络身份同样变得重要起来，或者在某些情况下，甚至比我们的线下身份更加重要。对于年轻一代的数字原住民们来说这一点变得愈加现实。

在我的成长过程中，我的网络身份是在 AOL Instant Messenger（AOL 推出的点对点即时消息应用）和 Myspace 中形成的。而对今天的孩子来说，它是 Fortnite 皮肤和 Roblox 头像、是 Bitmojis和 Discord 用户名。

随着我们渐渐成为数字优先的物种，身份的概念变得越来越紧迫，越来越错综复杂；正如 TechCrunch 的资深作者 Paul Sawers 在 VentureBeat 中所说的那样：

很多围绕身份所写的东西都比较粗线条 —— 身份将如何在数字时代演变，Web3 的朋友们提出了 DID 的概念。但更为近在眼前的是，飞速发展的数字经济已经提出了迫切的需求：一个可靠并且可扩展的身份基础设施，一个支持我们在各个网络空间中拥有不同身份的平台。

02.

身份验证为什么重要

Persona 正在为数字经济建立身份基础设施。当我们都拥有更加复杂、动态和多元的网络身份时，Persona 成为将它们紧密缝合在一起的连接器。

首先，我们先举一些通俗易懂的例子来说明为什么身份非常重要。

假设我是Airbnb，在我的平台上有成千上万的房东。所有的客人都将住在这些人的家里，作为平台我需要确保每个房东都对自己和房源的描述是真实的。同样，对于市场另一边的用户们也应如此。我该如何淘汰行为不端的人，以及又该如何防止身份欺诈？Airbnb是一个建立在信任基础上的平台，而信任与身份是密不可分的。

或者，如果我是 Uber，我如何确保接载乘客的司机就是我们在系统中批准的那个人本人，而不是某个仅是使用该车的陌生人？

上周末，我去 DoorDash 上订购晚餐，并且将一瓶酒加入购物车。DoorDash 需要验证我已经超过 21 岁，才可以合法地购买酒类饮品 —— 下面是我经历的用户流程：

身份支撑着互联网上的每一次互动和交易，而身份验证的各类方法与基础设施却仍然围绕着对实体世界的模仿构建：SSN（社会安全码）、实际居住地址、安全验证问题……

在 2022 年，难道没有比尝试记住你第一辆车的品牌和型号更好的方法来验证身份吗？

03.

Persona 是什么

我们生活在一个 70 亿人智能手机的世界，这个设备提供了生物识别超能力和可以记录 3D 面部扫描的摄像头。一定有更安全的方法来管理我们的身份，而这就是 Persona 的作用。

Persona 的特殊之处主要有三点：

1. Persona旨在服务任何用户；

2. Persona 灵活且强大，提供了低代码的使用体验；

3. Persona 的愿景已经超越了身份验证，延伸到身份基础设施。

旨在服务多种用例和场景

Persona 身上最大的 fun fact 是，它所服务的使用场景十分地广泛。事实证明，不同行业的公司都会出于各类原因而十分关心身份问题。

Square 使用 Persona 在疫情期间对 PPP 贷款（The Paycheck Protection Program，工薪保护计划）申请人进行自动身份验证。在疫情期间，数以百万计的小型企业依靠 PPP 贷款来维持生计，但这些商家需要快速、轻松地证明他们的贷款资格。而 Persona 为这一工作流程提供了源动力，成功帮助 Square 发放了超过 10 亿美元的政府贷款。

Square 是小商户线下收单巨头，并且将自己提供的金融服务延伸到贷款。这样的 Fintech 公司是 Persona 服务的主要行业这一，因为资金的流动在很大程度上都依赖于明确知晓发送者和接收者。此外，Brex 在其现金管理产品 Brex Cash 上也使用了 Persona 来确认客户的身份并用来检测欺诈行为。

一个相近的行业是加密货币。一旦涉及到身份，加密货币总是特殊和有趣的，因为它的文化强调匿名和化名。Paradigm 的投资合伙人这样理解加密货币的化名文化：

加密货币正在改变人们的在线生活和工作方式。一位 Web2 工程师在辞职后表示：“在未来的一年里，我可能将会从一个只打一份工转变为使用化名跨越各种项目。”

最大的加密货币公司之一 BlockFi（这篇文章写于 6 月初，随后三箭资本暴雷，这让 BlockFi 很难再被称作“最大的”加密货币公司）与 Persona 进行了合作，以遵守 Know Your Customer 和Anti-Money Laundering 的法规。而随着加密货币继续以新的方式塑造在线身份，Persona 的身份产品也将逐渐出现新的使用场景。

回到上面的食品配送的例子，Persona 与食品配送领域的许多客户合作，对快递员进行身份验证（想象美团让骑手们拍照打卡）。通过创建可定制的验证流程，这些公司能够提高运营效率，同时最大限度上减少欺诈的情况。

所有的外卖送餐公司都需要验证快递员

Persona的建立也是为了服务更复杂的使用场景：

Remote 是我们在 Index 的另一项投资。它让公司能够在全球任何地方雇佣员工或合同工。在一个全球化、分布式团队的世界里，管理工资、福利和跨国税收的需求正在爆炸性增长。在 Remote 的网页上有一些反复出现的关键词：全球人力资源、国际薪资、每个大洲。Remote为 150 个国家的员工和合同工提供服务，这要求其需要做到与每一个国家的身份验证都能够兼容。而 Persona 覆盖了 200 个国家和 20 种语言，已经被配置到了Remote 的雇员入职流程中。

当涉及到身份验证时，医疗保健业是对其要求最细致的领域之一，远程医疗的趋势则进一步加深这种要求。为了防止更多的处方药滥用，各州颁布了药物识别法（drug identification laws），要求在配药前进行身份验证。像 SimpleHealth 这样的公司选择了使用 Persona 来验证其用户的处方药资格。

Persona 还有其他几十个非常有趣的应用场景：

• UrbanSitter 作为连接父母和保姆的交易平台，使用了 Persona 来确保其业务的安全；
  

• 火热的一站式 HR 及管理平台 Rippling 用 Persona 来防止非法人员接管其平台上的员工账户；

• 房车租赁公司 Outdoorsy 则用 Persona 来验证他们的租车客户是否是本人；

• ……

上个月我又遇到了一个有趣的用例。我的一个朋友买了辆特斯拉，在车被送到她家后，特斯拉要求她用电子签名的方式签收新车。

特斯拉的这个举动是想要确保收到汽车的人和之前进行车辆登记的人相同。而我的朋友在浏览用户流程时给我发了短信 —— 她看到了是 Persona 来为特斯拉提供身份验证服务。

像乐高积木般搭建身份验证流程

在创立 Persona 前，它的 CEO Rick Song 帮助 Square 构建了身份管理系统。而它的 CTO Charles Yeh 在数据基础设施领域工作，帮助保护了 Dropbox 最敏感的数据。Rick 和 Charles 亲身经历了业务对 Persona 的强烈需求，所以他们选择开始去实现这款自己非常希望拥有的产品。

从一开始，Rick 和 Charles 就知道他们的产品一定需要具有很高的灵活性。当你面向的各类使用场景时，你的产品需要能够快速的进行定制。因此，Rick 和 Charles 让身份验证满足了可配置化。

你可以把 Persona 想象成身份验证的积木，它们可以以新的方式进行组装、分解和再组合。

客户从而能够将 Persona  适配于不同用户的需求。

Coursera 是世界上最大的在线学习平台之一，拥有 8200 万线上注册用户。这样庞大的规模意味不同的学生使用 Coursera 的方式也不一样：一些人用Coursera来代替学士学位，而另一些人则仅仅将 Coursera 作为获取有趣知识的休闲方式。

在提供课程证书时，Coursera 使用 Persona 来验证学习者的身份。针对上面的两种不同用户，Coursera 会根据情况来对他们进行不同的审核。

身份的组成部分有很多，一些场景往往只需要它的一部分。Persona的优雅之处在于它能让客户自己挑选那些需要的部分。

有时这些部分只是身份证和地址的核查。有时则可能需要进行现场自拍认证。例如，Brex 使用自拍视频验证来增加一层额外的欺诈保护机制。而这整个流程可以在 10 秒内处理完毕。

最关键的是，Persona 的核心是为了便捷的使用：客户不需要依靠工程团队来进行设置，Persona提供了一个无代码的拖放界面，使用 if/then 逻辑就能定制工作流程。

你可以在这个工作流程中添加特定的规则。例如，Sonder 是一家酒店管理公司，在 28 个城市有 5000 个地址。在预订住宿时，客户就需要提供身份验证材料。Sonder 使用了 Persona 的工作流程产品来制定具体的验证规则：例如“对已经过期的身份证进行标记，以便之后进行人工审查”。

同时，Brex 用自定义图标、文本颜色和主题变化来定制 Persona。由于最终使用场景是面向消费者的，Persona 和客户的一致目标是创造愉快且统一的用户体验。

打造身份基础设施

Rick 总喜欢说：“身份不应该局限在单一的时间点，它也并不是一刀切或交易性的；身份是动态的、基于场景的。身份是一种关系。”

因此 Persona 的野心远远超过了身份验证这一点。它旨在成为身份生命周期管理的一站式：收集、验证、调查、决策。

客户们正在渐渐使用 Persona 来处理身份最核心的部分。例如，Sonder 公司正在寻求一个能够优先考虑其用户数据隐私的合作伙伴。所谓的 PII（Personal Identifiable Information，个人验证信息）是一个微妙和敏感的东西。而 Persona 能够充当 Sonder 的 PII 保管人，安全地存储、管理和处理其所有的数据。

作为一家医疗保健公司，SimpleHealth 需要为其 PHI（protected health Information，受保护的健康信息）制定技术、物理和行政保障措施。Persona通过了SOC 2 Type II 认证，并符合 HIPAA 合规，在与SimpleHealth 的合作中帮助他们进行端到端的身份管理。

Persona 的目标不是为身份验证提供一个单一解决方案，或仅仅解决单一痛点。Persona的愿景是能够建立一个“身份层”，促进企业和个人之间的信任，帮助企业以最简单的方式去建立定制的身份计划，并且在这之后提升个人的身份体验，使其更加个性化、安全和方便。

04.

Persona 的人才旋涡

在 Index Ventures，我们的合伙人 Mark 经常谈论“人才旋涡”这个概念。“人才旋涡”是那些不断吸引最优秀人才的公司。这类公司往往对员工有着极高的要求，并且积累了世界级的工程师、产品经理、销售人员和设计师。

优秀的人总是会吸引其他优秀的人，可能在你意识到这之前，这些公司就已经成为了全世界顶尖 1% 创业人才的聚集地。在过去，这种情况已经屡次发生，从 2000 年代的 PayPal 到 2010 年代的 Stripe。而我们又再次在 Persona 身上看到了这种场景。

Persona 团队的几十名成员也来自于其他的人才旋涡，如 Square 和 Dropbox、Plaid 和 Uber 等；一些硅谷最好的工程师也正在加入 Persona。当我问其团队成员是因为什么吸引到他们加入 Persona 时，他们不约而同地提到了同一个关键词：赋能授权（empowerment）。

Persona 的未来愿景是为客户建立灵活和可配置的工具，而这种精神也为Persona 的员工文化注入动力：任人唯贤，注重产品。团队中的每个人都是 owner。

Persona 的使命是将在线身份人性化 —— 企业应该要做到能够管理不同的身份来赢得用户信任，同时还能使个人用户保持尝试新的自我表达形式，并让他们灵活控制自己的因素。

也许身份曾经的确是僵硬的，但现如今我们的数字世界需要更多的流动感。我们需要拉动现代经济的新型轨道 —— 具有关系性、场景性和动态性的身份。

05.

身份验证的沿革与趋势

在 Fintech 和 SaaS 的子版块图谱里，Persona 所处的身份验证赛道在相当长一段时间都是“不受欢迎的孩子”，但是过去两年我们观察到了明显的转折。

由于疫情对人们数字生活参与度的提升，在线身份验证的需求量爆棚，在 2021 年诞生了多家独角兽，而且它们针对的客户群也不太相同：

• Socure 在 21 年 11 月以 45 亿美元估值融了4.5 亿美元 E 轮，它主打针对美国市场的身份解析引擎，客户包括大型银行、交易所、Fintech 公司以及非金融服务客户；

• Persona 在 21 年 9 月以 15 亿美元估值融了 1.5 亿美元，领投方为 Founders Fund，像上文所表明的那样，它的客户不局限在金融服务或 Fintech 公司，而是包括 DoorDash、Coursera、Sonder 等各个行业的公司；

• ID.me 在 21 年 3 月以 15 亿美元估值完成了 1 亿美元融资，它的安全数字身份网络主要用于帮助退伍军人、学生、失业者等群体进行身份验证，帮助了数百万人领取疫情的失业救济金，它的代表性合作伙伴和客户包括 IRS 在内的 6 个联邦机构和 27 个州；

• ……

Plaid 则也在 22 年 5 月推出了 Plaid Identity Verification 产品，也进入了这个赛道。在这些新一批独角兽进入大众视线前，我们熟悉的身份验证公司主要有 2 类，它们的诞生也体现出身份验证在信息媒介上的变化：

Equifax 等征信局和 LexisNexis 这样的数据机构，它们在 1990 年代开始尝试将自己掌握的信用档案货币化，逐步发展到提供 API 让客户入参姓名跟出生日期来查询信用记录，在当时可以防止完全虚构的身份。

在 2010 年左右，随着图像信息在互联网上的重要性增加，开始出现一批新型的身份验证供应商。典型的代表有 3 类：

• 去年又融资 1.5 亿美元的 Jumio，它以人工检查为主的方式验证护照、ID 的图像，有一支数千人的审核团队在低成本地区，特点是正确通过率能达到 70% 以上并且有全球服务的能力，但是处理速度相对较慢；

• Authentix 和 ID Checker 这类基于 OCR 的身份验证公司，它们可以更实时，但是正确通过率较低，可能只有 50% 左右；

• 采用 OCR、机器学习模型以及人工辅助判断的 Onfido，通过率和处理速度都介于以上两者之间。

以上两类公司代表着身份验证的第一重含义 —— Verification，让客户确认自己拿到的身份数据是真的。但是身份验证还有第二重含义 —— Authentication，让客户确认提供数据和未来使用服务的人跟数据所显示的是同一个人。

上文中 Persona 服务 DoorDash 的就是典型的用例。如何在更低用户摩擦的情况下进行 Authentication 是我们认为值得关注的机会。除此之外，身份验证还有 3 个趋势是我们保持关注的：

• 传统玩家正在专注于大客户，比如 Onfido 的基础收费已经超过 5 万美元/年，因此涌现了 Vouched、Ekata 等公司在 Onfido 这种产品上包一层面向小客户销售和服务；

• SSN 等政府类身份数据的重要性在降低，Persona 有许多围绕人脸识别的用例，这是生物特征识别中的生理特征，此外我们认为行为特征（键盘敲击行为、鼠标滑动轨迹）也是一个重要方向，Sardine 是这个领域的领先者；

• 当前的身份验证供应商仍然太过分散，这包括信息层面每家的专长不一样（比如 SSN 和邮箱需要分别对接两家公因数），还包括在跨地域时每个国家的数据档案源、身份验证要求、证件特点不一样，因此出现了整合数据源的 Trulioo 和帮助企业管理身份验证及反洗钱供应商的编排层软件 Alloy 等公司。

除了这些趋势之外，隐私计算和 Web3 的理念也是整个身份验证行业的未来发展方向：让用户掌握自己的身份，并且可以自行选择向查询者暴露多少信息。

     延伸阅读