Nové rozhranie API na overenie bez hesla používa zabezpečenie SIM karty na vzdialený prístup s nulovou dôverou

Zabudnite na konšpirácie s ochladzovačom vody alebo bitky v zasadacej miestnosti. V kancelárii je nová vojna. Keďže spoločnosti nútia svojich zamestnancov, aby sa vracali do spoločných pracovných priestorov, mnohí pracovníci to v skutočnosti nechcú – podľa prieskumu EY by viac ako 50 percent zamestnancov radšej skončilo.

Zatiaľ čo tímy ľudských zdrojov sa starajú o srdcia a mysle zamestnancov, odborníci na bezpečnosť IT musia navrhnúť iný bojový plán – ako zabezpečiť nový štandard hybridného pracoviska.

Kompromis medzi použiteľnosťou a bezpečnosťou

Najväčšou zraniteľnosťou spoločnosti naďalej zostávajú jej ľudia. Na hybridnom pracovisku znamená stratégia Zero Trust neustále sprísňujúce zabezpečenie. MFA, ktorú si spoločnosť vyberie, ovplyvňuje náročnosť prihlasovania do e-mailu, dashboardov, nástrojov pracovného toku, klientskej dokumentácie atď. Alebo naopak, aká je porézna bezpečnosť prístupu.

Teraz si predstavte tento scenár. Zamestnankyňa si otvorí firemný portál, potvrdí výzvu vo firemnej aplikácii v telefóne a je to. Bezproblémovo bola overená silným faktorom držby pomocou mobilného čísla registrovaného jej spoločnosťou na SIM karte. Nič na zapamätanie, na čo zabudnúť, žiadne tokeny a žiadne kódy, ktoré by ste si mali zadávať do odpočítavania.

„Koncové body“ sú ľudské

Aby bolo možné implementovať politiku nulovej dôvery, ktorá je účinná aj dostupná, je čas prestať považovať zamestnancov za „koncové body“ a zaoberať sa ľudskými návykmi v oblasti bezpečnosti. Napríklad a Twitter prieskum spoločnosti tru.ID ukázal, že 40 % ľudí používa na heslá „mentálny systém“.

Tieto mentálne systémy sú v pretekoch medzi zložitosťou a pamäťou. Heslá teraz musia byť dlhé, komplikované a nezmyselné – a dokonca aj tie sa stále porušujú vďaka únikom databáz alebo phishingovým podvodom. Toto jednoducho nie je udržateľné.

Inherentné faktory, ako je biometria, stále zahŕňajú trenie pri nastavovaní a používaní. Ako vieme z rozpoznávania tváre alebo odtlačkov prstov na našich telefónoch, biometria nie vždy funguje na prvýkrát a stále si vyžaduje núdzové prepnutie pomocou hesla. Navyše nie všetky úrovne prístupu vyžadujú také prísne zabezpečenie.

Faktor držby pomocou autentifikácie mobilnej siete

V spektre medzi heslami a biometriou leží faktor vlastníctva – najčastejšie mobilný telefón. Tak vznikli aplikácie SMS OTP a autentifikátor, ktoré však prinášajú riziko podvodu, problémy s použiteľnosťou a už nie sú tým najlepším riešením.

Jednoduchšie a silnejšie riešenie overovania tu máme odjakživa – s využitím silného zabezpečenia SIM karty, ktorá je v každom mobilnom telefóne. Mobilné siete neustále overujú zákazníkov, aby umožnili hovory a dáta. SIM karta využíva pokročilé kryptografické zabezpečenie a ide o zavedenú formu overovania v reálnom čase, ktorá nepotrebuje žiadne samostatné aplikácie ani hardvérové ​​tokeny.

Skutočným kúzlom overovania založeného na SIM karte je však to, že nevyžaduje žiadnu akciu používateľa. Už to tam je.

Rozhrania API od tru.ID teraz otvárajú sieťovú autentifikáciu založenú na SIM karte pre vývojárov, aby vytvorili bezproblémové, ale bezpečné overenie.

Akékoľvek obavy týkajúce sa súkromia sú zmiernené skutočnosťou, že tru.ID nespracúva osobne identifikovateľné informácie medzi sieťou a API. Je to čisto vyhľadávanie založené na adrese URL.

Prihlásenie bez hesla: Nulové úsilie používateľa a bezpečnosť nulovej dôvery

Jedným zo spôsobov využitia tru.ID API je vytvorenie riešenia bez hesla pre vzdialené prihlásenie pomocou sprievodnej aplikácie na prístup k podnikovému systému. Implementáciou interakcie jedným klepnutím na mobilnom telefóne môžu podniky odstrániť používateľské trenie v súvislosti so zvýšeným zabezpečením a riziko ľudskej chyby.

Tu je príklad pracovného postupu pre podnikovú sprievodnú aplikáciu prihlásenia pomocou tru.ID API:

Predslov: Používateľ má vo svojom telefóne nainštalovanú oficiálnu aplikáciu spoločnosti. Podniková aplikácia má vstavané rozhrania API na overenie tru.ID.

  1. Používateľ sa pokúša prihlásiť do firemného systému (e-mail, dátový panel atď.). Môže to byť na počítači alebo mobilnom zariadení.
  2. Systém identifikuje používateľa, ktorý sa pokúša prihlásiť, a odošle Push Notification.
  3. Mobilné zariadenie a firemná aplikácia dostanú Push Notification a používateľovi sa zobrazí výzva na potvrdenie alebo odmietnutie pokusu o prihlásenie. Ak sú to oni, kto sa prihlási, schvália to.
  4. Keď to používateľ schváli, cez backend sa odošle požiadavka na tru.ID API, aby sa vytvorila kontrolná adresa URL pre registrované telefónne číslo daného používateľa.
  5. Firemná aplikácia potom požiada o kontrolu adresy URL cez mobilné dátové pripojenie pomocou súpravy tru.ID SDK. Toto je fáza, keď operátor mobilnej siete a tru.ID overia, či sa telefónne číslo aktuálneho zariadenia zhoduje s telefónnym číslom, ktoré má používateľ zaregistrované v prihlasovacom systéme. Upozorňujeme, že nedochádza k výmene informácií umožňujúcich identifikáciu osôb. Toto je čisto vyhľadávanie založené na adrese URL.
  6. Po dokončení požiadavky bude systém informovaný prostredníctvom tru.ID, či bola požiadavka na kontrolu URL adresy a telefónneho čísla úspešná. To sa dosiahne pomocou webhooku.
  7. Ak bolo overenie telefónneho čísla úspešné, používateľ je prihlásený.

Aj keď v tomto prístupe existuje niekoľko krokov, je dôležité si uvedomiť, že používateľ má iba jednu akciu: Potvrdiť alebo odmietnuť prihlásenie.

Začať

Môžete začať testovať zadarmo a uskutočniť svoj prvý API hovor v priebehu niekoľkých minút – stačí sa zaregistrovať pomocou tru.ID alebo si pozrieť dokumentáciu. tru.ID si rada vypočuje názory komunity, aby prediskutovala prípadové štúdie.