La oss innse det: vi bruker alle e-post, og vi bruker alle passord. Passord skaper iboende sårbarhet i systemet. Suksessraten for phishing-angrep er skyhøye, og mulighetene for angrepet har mangedoblet seg etter hvert som liv beveget seg på nettet. Alt som trengs er ett passord for å bli kompromittert for at alle andre brukere skal bli ofre for et datainnbrudd.
For å levere ekstra sikkerhet er derfor digitale identiteter avhengige av bekreftelsesplaster. MFA (multifaktorautentisering) faller ofte tilbake til kunnskapsfaktorer som tilbakestilling av passord og OTP-koder, men disse er fortsatt sårbare. Så lenge legitimasjon kan deles eller avskjæres, kan de misbrukes.
Det som trengs er et paradigmeskifte – fra kunnskapsbasert legitimasjon til sterk besittelsesfaktorsikkerhet som ikke kan kompromitteres, sammen med annen verifiseringssikkerhet som biometri.
En ny possession-factor API tar nå sikte på å gjøre nettopp det, og erstatte kunnskapsbasert legitimasjon, ved å bruke SIM-kortet for possession factor-enhetsbinding og brukerautentisering, og dermed redusere muligheten for phishing.
Phishing: et menneskelig problem
Phishing og andre typer sosial ingeniørkunst er avhengig av at den menneskelige faktoren er det svakeste leddet i et brudd. De benytter seg av den praktiske, legitimasjonsbaserte tilgangen som gis til den gjennomsnittlige brukeren av en plattform, ved å lure de gjennomsnittlige brukerne til å dele legitimasjon. Og det fungerer: 83 % av de spurte organisasjonene sa at de opplevde et vellykket e-postbasert phishing-angrep i 2021.
Selv 2FA-koder er nå mål
Det er allment kjent at passord kan deles og derfor enkelt phishes. Men et mindre kjent faktum er at mange former for 2FA – for eksempel OTP eller PIN-kode lagt til i et forsøk på å forsterke de kjente svakhetene i passord – også er phishable.
Enda verre, kriminelle retter seg nå spesifikt mot disse metodene: forskere fant nylig det over 1200 phishing-sett designet for å stjele 2FA-koder er ute i drift.
Svaret på identitets- og tilgangsadministrasjon er derfor ikke å bruke flere patcher som dreper brukeropplevelsen, da disse ikke virkelig holder angripere ute. I stedet trenger MFA en sterkere, enklere besittelsesfaktor – med ingenting å skrive, noe som betyr ingenting å phish.
Formålsutformede MFA-besittelsesfaktorer inkluderer sikkerhetsdongler eller tokens. Men de er dyre, og ikke noe den gjennomsnittlige brukeren vil kjøpe. Sterkere sikkerhet for alle kan bare fungere med enheter som er allment tilgjengelige, enkle å bruke, enkle å integrere og kostnadseffektive.
Tast inn SIM-kortet. Den er inne i alles mobiltelefon, og er bygget på kryptografisk sikkerhet ved tilkobling til mobilnettverksautentisering.
Nå, for første gang, an API fra tru.ID åpner for SIM-basert mobilnettverksautentisering for alle bedrifter og apputviklere, noe som betyr at du kan utnytte sikkerheten til SIM-kortet som en sikker besittelsesfaktor for MFA.
SIM-basert autentisering: den nye phishing-resistente besittelsesfaktoren
SIM-kortet har mye for seg. SIM-kort bruker den samme svært sikre, kryptografiske mikrobrikketeknologien som er innebygd i alle kredittkort. Det er vanskelig å klone eller tukle med, og det er et SIM-kort i hver mobiltelefon – så alle brukerne dine har allerede denne maskinvaren i lommen.
Kombinasjonen av mobiltelefonnummeret med tilhørende SIM-kortidentitet (IMSI) er en kombinasjon som er vanskelig å phish, da det er en stille autentiseringssjekk.
Brukeropplevelsen er også overlegen. Mobilnettverk utfører rutinemessig stille kontroller av at en brukers SIM-kort samsvarer med telefonnummeret deres for å la dem sende meldinger, ringe og bruke data – noe som sikrer sanntidsautentisering uten å kreve innlogging.
Inntil nylig var det ikke mulig for bedrifter å programmere autentiseringsinfrastrukturen til et mobilnettverk inn i en app like enkelt som enhver annen kode. tru.ID gjør nettverksautentisering tilgjengelig for alle.
Legger til tru.ID SDK inn i eksisterende kontoreiser som bruker mobiltelefonnummeret, muliggjør umiddelbart besittelsesfaktorsikkerhet for hver bruker. Dessuten, uten ekstra input fra brukeren, er det ingen angrepsvektor for ondsinnede aktører: SIM-basert autentisering er usynlig, så det er ingen legitimasjon eller koder for å stjele, avskjære eller misbruke.
tru.ID får ikke tilgang til brukerens SIM-kort. I stedet bekrefter den SIM-kortstatus direkte med mobiloperatøren i sanntid. Den sjekker at et telefonnummer ikke er tilordnet et annet SIM-kort og for nylige SIM-endringer, noe som bidrar til å forhindre svindel med SIM-bytte.
Et eksempelscenario for å aktivere SIM-basert verifisering
Selv om det er en rekke prosesser beskrevet i scenariet nedenfor, må sluttbrukeren av systemet bare gjøre én ting – oppgi mobilnummeret sitt.
1 – Etter at brukeren har oppgitt sitt mobilnummer, utfører tru.ID API et oppslag etter telefonnummeret for å finne ut hvilken mobilnettoperatør (MNO) den er tilordnet til.
2 — tru.ID ber MNOen om en unik Sjekk URL for å starte arbeidsflyten for mobilautentisering.
3 — tru.ID lagrer MNOs sjekk-URL, og returnerer en tru.ID-sjekk-URL til webserveren din slik at den mobile enheten kan åpnes.
4 — Mobilapplikasjonen åpner tru.ID Check URL. Det foretrekkes å bruke tru.ID SDK-er for dette fordi det tvinger nettforespørselen til å gå over en mobildataøkt.
5 — MNO vil motta nettforespørselen via en omdirigering fra tru.ID-plattformen.
6 — Den endelige omdirigeringen tar enheten til webserverens endepunkt for omdirigeringsurl. Brødteksten i denne forespørselen vil inneholde en ‘kode’ og ‘check_id’, og webserveren sender denne koden til tru. IDs API for å fullføre SubscriberCheck-prosessen.
7 — MNO-en bestemmer så om telefonnummeret assosiert med den autentiserte mobildataøkten samsvarer med telefonnummeret assosiert med den forespurte sjekk-URLen. Hvis den gjør det, har telefonnummeret blitt bekreftet.
8 — tru.ID utfører et SIM-kortoppslag og lagrer resultatet av statusen.
9 — Ved fullføring av Sjekk URL-forespørselen, og når SIM-kortstatusen er hentet, kan mobilapplikasjonen be om resultatet av telefonverifiseringen fra tru.ID API.
10 — Bruk egenskapene for telefonverifiseringsmatch og SIM-kortendring `no_sim_change` i applikasjonslogikken din.
Hvordan komme i gang
Med tru. IDs utviklerplattform kan du begynne å teste SIM-basert autentisering med en gang, gratis, og foreta ditt første API-anrop innen minutter.
For å finne ut hvordan neste generasjons autentisering kan levere autentiseringsopplevelser med høy sikkerhet og lav friksjon til brukerne dine, bestill ganske enkelt en gratis demo eller besøk tru.ID.