Authentification De L'opérateur Mobile

Zero Trust est de plus en plus adopté comme la meilleure stratégie pour maintenir la sécurité des applications et prévenir les violations de données. Pour aider à progresser sur Zero Trust, il existe désormais un nouveau moyen simple de mettre en œuvre une vérification continue des utilisateurs en se connectant directement aux systèmes d’authentification utilisés par les opérateurs mobiles – sans la surcharge de traitement ou de stockage des données des utilisateurs.

Avant de vous montrer comment cela fonctionne et comment l’intégrer, commençons par le défi fondamental.

Table des matières hide
1 Zéro confiance et authentification
2 Le compromis entre sécurité et UX
3 Comment vérifier les utilisateurs en se connectant directement aux réseaux mobiles
4 Zéro friction, zéro confiance, zéro connaissance
5 Comment commencer

Zéro confiance et authentification

Le modèle de vérification d’identité Zero Trust signifie essentiellement de ne jamais croire qu’un utilisateur qui revient est bien celui qu’il prétend être, quel que soit son emplacement ou ses précédentes tentatives réussies. Zero Trust est une approche stratégique de la gestion des accès qui est vitale pour empêcher les mauvais acteurs.

À mesure que le monde évolue vers le cloud, avec un réseau d’employés, de partenaires et de clients de plus en plus distribué, des parcours d’authentification plus stricts deviennent encore plus importants.

Mais avec une plus grande sécurité vient une plus grande friction – les utilisateurs doivent inventer des mots de passe complexes, mémoriser les questions de sécurité et interrompre leurs flux de travail avec des codes d’application d’authentification, des codes PIN SMS et autres méthodes d’authentification multifacteur (MFA).

Publicité

Le compromis entre sécurité et UX

Nous savons que les facteurs de connaissance comme les mots de passe sont loin d’être idéaux. Les mots de passe compromis sont à l’origine de la majorité des violations de données et des attaques, et Forrester Research estime que dans l’environnement de l’entreprise, chaque réinitialisation de mot de passe d’un employé coûte 70 $ en assistance technique. C’est sans tenir compte de l’expérience utilisateur frustrante dans l’ensemble.

La biométrie, en revanche, est irréaliste en tant qu’exigences Zero Trust pour l’utilisateur moyen. Vous n’avez pas non plus besoin de demander de telles informations personnelles pour tous les types d’accès.

Les facteurs de possession constituent un terrain d’entente solide, et la preuve de possession d’un appareil mobile est plus universelle. De plus, les numéros de téléphone portable ne sont pas trop personnels.

Cependant, les contrôles de possession qui utilisent des codes – même des applications d’authentification – sont vulnérables à l’homme du milieu (MITM) et Échange de carte SIM attaques, ainsi que la création de problèmes UX – des codes SMS qui n’arrivent jamais à la pression de taper des chiffres à partir d’une application d’authentification contre un compte à rebours.

Une forme plus simple et plus sûre de vérification du facteur de possession tout en maintenant Zero Trust est déjà entre les mains des utilisateurs – c’est le téléphone mobile et la carte SIM qu’il contient.

Comment vérifier les utilisateurs en se connectant directement aux réseaux mobiles

La carte SIM dans le téléphone est déjà authentifiée auprès de l’opérateur de réseau mobile (MNO). C’est l’authentification SIM qui permet aux clients mobiles de passer et de recevoir des appels téléphoniques et de se connecter aux données. Vous pouvez désormais utiliser cette même méthode d’authentification puissante pour votre propre site Web ou application mobile, en utilisant tru.ID.

tru.ID s’associe directement à des opérateurs mondiaux pour proposer trois types d’API qui s’intègrent à l’infrastructure d’authentification du réseau, en utilisant la connexion de données et sans collecter aucune information personnellement identifiable (PII). L’API tru.ID vérifie si la carte SIM associée au numéro de téléphone a récemment changé, fournissant une vérification silencieuse et continue.

Zéro friction, zéro confiance, zéro connaissance

L’authentification basée sur la carte SIM est invisible pour l’utilisateur – la vérification de la carte SIM s’effectue en arrière-plan une fois que l’utilisateur a saisi son numéro de téléphone mobile. Si votre site ou votre application contient déjà le numéro de téléphone mobile, c’est encore mieux : aucune action de l’utilisateur n’est requise. Cette UX améliorée crée des expériences de compte transparentes sans compromettre la sécurité.

Aucune donnée d’utilisateur personnellement identifiable ou information d’application n’est échangée lors de la recherche du numéro MNO et de la carte SIM – la vérification s’effectue via une connexion de données et valide les informations officielles du transporteur.

Comment commencer

Pour une autorisation Zero Trust continue en arrière-plan à l’aide de la carte SIM, SIMCheck est recommandé, ayant l’avantage supplémentaire d’être une intégration rapide, facile et côté serveur. Si la recherche renvoie des modifications récentes à la carte SIM, vous pouvez choisir de mettre en œuvre une vérification supplémentaire.

Comment tout cela est-il réalisé par programme ? Avec un appel API. Lorsque quelque chose se produit côté client qui nécessite une intensification ou un contrôle de sécurité, le client informe le serveur, qui effectue cet appel API pour vérifier si la carte SIM a changé pour le numéro de téléphone de l’utilisateur :

curl –location –request POST ‘https://eu.api.tru.id/sim_check/v0.1/checks’

–header ‘Type de contenu : application/json’

–header ‘Autorisation : porteur

–data-raw ‘{« phone_number »: « « }’

La réponse de l’API SIMCheck ressemblera à ceci, où la propriété `no_sim_change` est la clé pour nous dire si la carte SIM a changé récemment :

{

« check_id »: « « ,

« statut »: « TERMINE »,

« no_sim_change »: vrai,

« charge_amount »: 1.00000,

« charge_currency »: « API »,

« created_at »: « 2021-07-13T23:44:19+0000 »,

« snapshot_balance »: 10.000

}

Après cela, le serveur informe le client si la transaction ou la demande peut se poursuivre. En cas d’échec, votre site ou votre application peut soit refuser l’accès, soit exiger une forme d’authentification supplémentaire non téléphonique.

Vous voulez l’essayer par vous-même ? Vous pouvez commencer à tester gratuitement et faire votre premier appel API en quelques minutes – il suffit de vous inscrire avec tru.ID ou de vérifier le Documentation. tru.ID souhaite avoir des nouvelles de la communauté pour discuter d’études de cas.

Pour en savoir plus sur le fonctionnement de l’authentification basée sur SIM, vous pouvez en savoir plus sur l’authentification des utilisateurs avec SubscriberCheck ici.


Rate this post
Publicité
Article précédentNetflix prévoit-il d’ajouter des jeux vidéo à son service sans frais supplémentaires ?
Article suivantL’Italie émet un avertissement concernant le principal échange de crypto-monnaie Binance
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici