Kabul edelim: hepimiz e-posta kullanıyoruz ve hepimiz şifre kullanıyoruz. Parolalar sistemde doğal güvenlik açığı oluşturur. Kimlik avı saldırılarının başarı oranı hızla yükselenve yaşamlar çevrimiçi hale geldikçe saldırı fırsatları büyük ölçüde arttı. Tek gereken, diğer tüm kullanıcıların bir veri ihlalinin kurbanı olması için tehlikeye atılacak bir paroladır.
Bu nedenle, ek güvenlik sağlamak için dijital kimlikler doğrulama sıvalarına dayanır. MFA (çok faktörlü kimlik doğrulama) genellikle parola sıfırlama ve OTP kodları gibi bilgi faktörlerine geri döner, ancak bunlar hala savunmasızdır. Kimlik bilgileri paylaşılabildiği veya ele geçirilebildiği sürece kötüye kullanılabilir.
İhtiyaç duyulan şey, bilgi tabanlı kimlik bilgilerinden, biyometri gibi diğer doğrulama güvenliklerinin yanı sıra, tehlikeye atılamayan güçlü sahiplik faktörü güvenliğine doğru bir paradigma değişimidir.
Yeni bir sahiplik faktörü API’si şimdi tam olarak bunu yapmayı hedefliyor, bilgi tabanlı kimlik bilgilerinin yerini alıyor, sahiplik faktörü cihaz bağlama ve kullanıcı kimlik doğrulaması için SIM kartı kullanarak, böylece kimlik avı olasılığını azaltıyor.
Kimlik avı: bir insan sorunu
Kimlik avı ve diğer sosyal mühendislik türleri, bir ihlaldeki en zayıf halka olarak insan faktörünü kullanır. Ortalama kullanıcıları, kimlik bilgilerini paylaşmaları için kandırarak, bir platformun ortalama kullanıcısına sağlanan kullanışlı, kimlik bilgilerine dayalı erişimi kullanırlar. Ve çalışıyor: %83 Ankete katılan kuruluşların yüzdesi, 2021’de başarılı bir e-posta tabanlı kimlik avı saldırısı yaşadıklarını söyledi.
2FA kodları bile artık hedef
Parolaların paylaşılabileceği ve bu nedenle kolayca kimlik avının yapılabileceği yaygın bir bilgidir. Ancak daha az bilinen bir gerçek, parolalardaki bilinen zayıflıkları güçlendirmek amacıyla eklenen OTP veya PIN kodu gibi birçok 2FA biçiminin de kimlik avı yapılabilir olmasıdır.
Daha da kötüsü, suçlular şimdi özellikle bu yöntemleri hedef alıyorlar: araştırmacılar yakın zamanda şunu buldular: 1.200’ün üzerinde 2FA kodlarını çalmak için tasarlanmış kimlik avı kitleri kullanımda.
Bu nedenle, kimlik ve erişim yönetiminin yanıtı, saldırganları gerçekten dışarıda tutmadığından, kullanıcı deneyimini öldüren daha fazla yama uygulamak değildir. Bunun yerine, MFA’nın daha güçlü, daha basit bir sahip olma faktörüne ihtiyacı var – yazacak hiçbir şey yok, kimlik avı için hiçbir şey yok.
Amaca yönelik tasarlanmış MFA sahiplik faktörleri arasında güvenlik dongle’ları veya belirteçleri bulunur. Ancak pahalıdırlar ve ortalama bir kullanıcının satın alacağı bir şey değildir. Herkes için daha güçlü güvenlik, yalnızca yaygın olarak bulunan, kullanımı kolay, entegrasyonu kolay ve uygun maliyetli cihazlarla çalışabilir.
SIM kartı girin. Herkesin cep telefonunda bulunur ve mobil ağ kimlik doğrulamasına bağlanırken kriptografik güvenlik üzerine kuruludur.
Şimdi, ilk kez bir tru.ID’den API Her işletme ve uygulama geliştiricisine SIM tabanlı mobil ağ kimlik doğrulamasını açar, bu da MFA için güvenli bir sahip olma faktörü olarak SIM kartın güvenliğinden yararlanabileceğiniz anlamına gelir.
SIM tabanlı kimlik doğrulama: yeni kimlik avına karşı dayanıklı sahip olma faktörü
SIM kartın yapacak çok şeyi var. SIM kartlar, her kredi kartında yerleşik olarak bulunan aynı yüksek düzeyde güvenli, kriptografik mikroçip teknolojisini kullanır. Klonlamak veya kurcalamak zordur ve her cep telefonunda bir SIM kart vardır – bu nedenle kullanıcılarınızın her birinin cebinde zaten bu donanım vardır.
Cep telefonu numarasının ilişkili SIM kart kimliğiyle (IMSI) birleşimi, sessiz bir kimlik doğrulama kontrolü olduğu için kimlik avı yapılması zor bir kombinasyondur.
Kullanıcı deneyimi de üstündür. Mobil ağlar, kullanıcıların mesaj göndermelerine, arama yapmalarına ve veri kullanmalarına izin vermek için kullanıcının SIM kartının telefon numarasıyla eşleştiğini rutin olarak sessiz kontroller yaparak oturum açmaya gerek kalmadan gerçek zamanlı kimlik doğrulaması sağlar.
Yakın zamana kadar, işletmelerin bir mobil ağın kimlik doğrulama altyapısını başka herhangi bir kod kadar kolay bir şekilde bir uygulamaya programlaması mümkün değildi. tru.ID, ağ kimlik doğrulamasını herkesin kullanımına sunar.
tru.ID SDK’sını ekleme cep telefonu numarasını kullanan mevcut hesap yolculuklarına anında her kullanıcı için sahiplik faktörü güvenliği sağlar. Ayrıca, kullanıcıdan ekstra bir girdi olmadan, kötü niyetli aktörler için herhangi bir saldırı vektörü yoktur: SIM tabanlı kimlik doğrulama görünmezdir, bu nedenle çalınacak, engellenecek veya kötüye kullanılacak hiçbir kimlik bilgisi veya kod yoktur.
tru.ID, kullanıcının SIM kartına erişmez. Bunun yerine, SIM kart durumunu doğrudan mobil operatörle gerçek zamanlı olarak doğrular. Bir telefon numarasının başka bir SIM’e atanıp atanmadığını ve son SIM değişikliklerini kontrol ederek SIM takas sahtekarlığını önlemeye yardımcı olur.
SIM tabanlı doğrulamayı etkinleştirmek için örnek bir senaryo
Aşağıdaki senaryoda açıklanan bir dizi işlem olmasına rağmen, sistemin son kullanıcısının tek bir şey yapması gerekir – cep telefonu numarasını sağlamak.
1 — Kullanıcı cep telefonu numarasını girdikten sonra, tru.ID API, hangi mobil şebeke operatörüne (MNO) atandığını belirlemek için telefon numarasını arar.
2 — tru.ID, mobil kimlik doğrulama iş akışını başlatmak için MNO’dan benzersiz bir Kontrol URL’si ister.
3 — tru.ID, MNO’nun Kontrol URL’sini saklar ve mobil cihazın açılması için web sunucunuza bir tru.ID Kontrol URL’si döndürür.
4 — Mobil uygulama tru.ID Kontrol URL’sini açar. Web isteğini bir mobil veri oturumu üzerinden olmaya zorladığı için bunun için tru.ID SDK’larının kullanılması tercih edilir.
5 — MNO, web talebini tru.ID platformundan bir yönlendirme yoluyla alacaktır.
6 — Son yönlendirme, cihazı web sunucusunun yönlendirme url uç noktasına götürür. Bu isteğin gövdesi bir ‘kod’ ve ‘check_id’ içerecektir ve web sunucusu bu kodu tru’ya gönderir. Abone Kontrolü işlemini tamamlamak için kimliğin API’si.
7 — Ardından MNO, kimliği doğrulanmış mobil veri oturumuyla ilişkili telefon numarasının, istenen Kontrol URL’si ile ilişkili telefon numarasıyla eşleşip eşleşmediğini belirler. Varsa, telefon numarası başarıyla doğrulanmıştır.
8 — tru.ID, bir SIM kart araması yapar ve durumunun sonucunu saklar.
9 — URL’yi Kontrol Et isteği tamamlandığında ve SIM kart durumu alındığında, mobil uygulama tru.ID API’sinden telefon doğrulamasının sonucunu talep edebilir.
10 — Uygulama mantığınızdaki telefon doğrulama eşleşmesini ve SIM kart değişikliği `no_sim_change` özelliklerini kullanın.
nasıl başlanır
Tru ile. ID’nin geliştirici platformu sayesinde, SIM tabanlı kimlik doğrulamasını hemen ücretsiz olarak test etmeye başlayabilir ve dakikalar içinde ilk API çağrınızı yapabilirsiniz.
Yeni nesil kimlik doğrulamanın kullanıcılarınıza nasıl yüksek güvenlik, düşük sürtünmeli kimlik doğrulama deneyimleri sunabileceğini öğrenmek için ücretsiz bir rezervasyon yaptırmanız yeterlidir. demo veya ziyaret et tru.ID.