«Zero Trust» - или «Нулевое доверие» - все чаще принимается в качестве наилучшей стратегии для обеспечения безопасности приложений и предотвращения утечек данных. Чтобы помочь достичь прогресса на пути к Zero Trust, теперь есть новый, простой способ реализовать непрерывную проверку пользователей, подключившись непосредственно к используемым операторами мобильной связи системам аутентификации без накладных расходов на обработку или хранение пользовательских данных.
Прежде чем мы покажем вам, как это работает и как это интегрировать, давайте начнем с фундаментальной проблемы.
Zero Trust и аутентификация.
Модель Zero Trust при проверке подлинности личности по сути означает недоверие к тому, что пользователь является тем, за кого себя выдает, независимо от его местонахождения или предыдущих успешных попыток. Zero Trust - это стратегический подход к управлению доступом, который жизненно важен для предотвращения появления недобросовестных пользователей.
По мере того, как мир переходит в облака и сеть сотрудников, партнеров и клиентов становится все более распределенной, надежная аутентификация становится все более важной.
С повышением уровня безопасности возрастает и неудобство - пользователям приходится придумывать сложные пароли, запоминать вопросы и прерывать рабочие процессы на ввод кодов приложений-аутентификаторов, SMS PIN-кодов и других методов многофакторной аутентификации.
Компромисс между безопасностью и пользовательским опытом.
Мы знаем, что аутентификационные факторы знания – например, пароли – совсем не идеальны. Взломанные пароли являются причиной большинства утечек данных и атак, а по оценкам Forrester Research, в корпоративной среде каждый сброс пароля сотрудника обходится в 70 долларов США на работу службы поддержки. И это без учета общего разочарования пользователей.
Биометрия, с другой стороны, нереальна в качестве требований Zero Trust для среднего пользователя. Вам также не нужно запрашивать такую личную информацию для всех типов доступа.
Факторы владения обеспечивают «золотую середину», а доказательство владения мобильным устройством является более универсальным. Кроме того, номера мобильных телефонов не являются слишком персональными данными.
Однако проверки владения, использующие коды - даже приложения-аутентификаторы - уязвимы для атак типа «человек посередине» (MITM) и подмены SIM, а также создают проблемы с использованием - от SMS-кодов, которые никогда не приходят, до необходимости набирать цифры в приложении-аутентификаторе в ограниченные сроки.
Более простая и безопасная форма проверки фактора владения при сохранении Zero Trust уже находится в руках пользователей - это мобильный телефон и SIM-карта в нем.
Как верифицировать пользователей путем прямого подключения к мобильным сетям.1
SIM-карта в телефоне уже аутентифицирована оператором мобильной сети. Именно аутентификация SIM-карты позволяет клиентам мобильной связи совершать и принимать телефонные звонки и подключаться к сети передачи данных. Теперь вы можете использовать этот же мощный метод аутентификации для своего веб-сайта или мобильного приложения, используя tru.ID
tru.ID напрямую сотрудничает с мировыми операторами связи, предлагая три вида API, которые интегрируются с инфраструктурой аутентификации сети, используя соединение для передачи данных и не собирая никакой персонально информации. API tru.ID проверяет, не менялась ли недавно SIM-карта, связанная с номером телефона, обеспечивая прозрачную непрерывную проверку.
Нулевое трение, нулевое доверие, нулевое знание.
Аутентификация на основе SIM-карты незаметна для пользователя - проверка SIM-карты происходит в фоновом режиме, как только пользователь вводит свой номер мобильного телефона. Если на вашем сайте или в приложении уже сохранен номер мобильного телефона, еще лучше - никаких действий от пользователя не требуется. Эта схема создает беспроблемный опыт работы с учетными записями без ущерба для безопасности.
Во время поиска номера и SIM-карты не происходит обмена персонально идентифицируемыми данными пользователя или информацией приложения - проверка осуществляется через соединение для передачи данных и подтверждает официальную информацию оператора.
Как начать работу.
Для непрерывной авторизации Zero Trust в фоновом режиме с использованием SIM-карты рекомендуется использовать SIMCheck, дополнительным преимуществом которого является быстрая, простая интеграция на стороне сервера. Если поиск вернет недавние изменения в статусе SIM, вы можете выбрать дополнительную поэтапную проверку.
Как все это достигается программно? С помощью одного вызова API. Когда на стороне клиента происходит что-то, требующее пошаговой проверки или проверки безопасности, клиент сообщает об этом серверу, который делает этот вызов API, чтобы проверить, не изменилась ли SIM-карта для телефонного номера пользователя:
curl --location --request POST 'https://eu.api.tru.id/sim_check/v0.1/checks' \
--header 'Content-Type: application/json' \
--header 'Authorization: Bearer ' \
--data-raw '{"phone_number": ""}'
Ответ API SIMCheck будет выглядеть примерно так, где свойство `no_sim_change` является ключом, сообщающим нам, менялась ли SIM-карта в последнее время:
{
"check_id": "",
"status": "COMPLETED",
"no_sim_change": true,
"charge_amount": 1.00000,
"charge_currency": "API",
"created_at": "2021-07-13T23:44:19+0000",
"snapshot_balance": 10.000
}
После этого сервер сообщает клиенту, можно ли продолжить транзакцию или запрос. Если нет - ваш сайт или приложение может либо отказать в доступе, либо потребовать дополнительную не телефонную форму аутентификации.
Хотите попробовать сами? Вы можете начать бесплатное тестирование и сделать свой первый вызов API в течение нескольких минут - просто зарегистрируйтесь на сайте tru.ID или ознакомьтесь с документацией. tru.ID заинтересован в получении информации от сообщества для обсуждения конкретных примеров.
Чтобы узнать больше о том, как работает аутентификация на основе SIM, вы можете прочитать об аутентификации пользователей с помощью SubscriberCheck здесь.
Источник: https://thehackernews.com
