La nueva API de autenticación sin contraseña utiliza la seguridad de la tarjeta SIM para un acceso remoto de confianza cero

API sin contraseña

Olvídese de conspiraciones con enfriadores de agua o batallas en la sala de juntas. Hay una nueva guerra en el cargo. A medida que las empresas alientan a sus empleados a regresar al espacio de trabajo común, muchos empleados realmente no quieren hacerlo; según una investigación de EY, más del 50 por ciento de los empleados preferiría renunciar.

Si bien los equipos de recursos humanos se preocupan por los corazones y las mentes de los empleados, los profesionales de seguridad de TI deben diseñar un plan de combate diferente: cómo garantizar la seguridad del nuevo estándar de lugar de trabajo híbrido.

Compromiso entre usabilidad y seguridad

La mayor vulnerabilidad de la empresa sigue siendo su gente. En un lugar de trabajo híbrido, la estrategia de Zero Trust implica una seguridad cada vez más estricta. El MFA que elige la empresa afecta la dificultad de iniciar sesión en el correo electrónico, los paneles, las herramientas de flujo de trabajo, la documentación del cliente, etc. O viceversa, qué tan porosa es la seguridad de acceso.

Ahora imagina este escenario. El empleado abre el portal de la empresa, confirma la llamada en la aplicación de la empresa en su teléfono y listo. Fue fácilmente verificada por un fuerte factor de retención utilizando el número de teléfono móvil registrado de su empresa contra SIM. Nada que recordar, nada que olvidar, sin tokens ni códigos para ingresar en la cuenta regresiva.

Los «puntos finales» son humanos

Para implementar una política de confianza cero que sea efectiva y accesible, es hora de dejar de pensar en los empleados como «puntos finales» y abordar los hábitos de seguridad humana. por ejemplo y encuesta de Twitter tru.ID reveló que el 40% de las personas usan un «sistema mental» para las contraseñas.

Estos sistemas mentales están en una carrera entre la complejidad y la memoria. Las contraseñas ahora tienen que ser largas, complicadas y sin sentido, y todavía se rompen por filtraciones de bases de datos o estafas de phishing. Esto simplemente no es sostenible.

Los factores inherentes, como la biometría, todavía incluyen fricción durante la configuración y el uso. Como sabemos por el reconocimiento facial o las huellas dactilares en nuestros teléfonos, la biometría no siempre funciona la primera vez y aún requiere un restablecimiento de contraseña. Además, no todos los niveles de acceso requieren una seguridad tan estricta.

Factor de espera usando autenticación de red móvil

En el espectro entre las contraseñas y la biometría se encuentra el factor de propiedad, con mayor frecuencia el teléfono móvil. Así es como surgieron las aplicaciones de autenticación y OTP de SMS, pero conllevan el riesgo de fraude, problemas de usabilidad y ya no son la mejor solución.

Tenemos una solución de autenticación más simple y más fuerte aquí todo el tiempo, utilizando la fuerte seguridad de la tarjeta SIM que está en cada teléfono móvil. Las redes móviles verifican constantemente a los clientes para permitir llamadas y datos. La tarjeta SIM utiliza seguridad criptográfica avanzada y es una forma establecida de autenticación en tiempo real que no requiere aplicaciones separadas ni tokens de hardware.

Sin embargo, la verdadera magia de la autenticación de la tarjeta SIM es que no requiere ninguna acción por parte del usuario. Ya está allí.

Las API de tru.ID ahora abren la autenticación de red basada en SIM para los desarrolladores para que puedan crear una autenticación segura pero sin inconvenientes.

Cualquier problema de privacidad se alivia por el hecho de que tru.ID no procesa información de identificación personal entre la red y la API. Es una búsqueda puramente basada en URL.

Inicio de sesión sin contraseña: Cero esfuerzo del usuario y cero confianza

Una forma de usar la API tru.ID es crear una solución sin contraseña para el inicio de sesión remoto utilizando una aplicación complementaria para acceder al sistema empresarial. Al implementar la interacción con un solo clic en un teléfono móvil, las empresas pueden eliminar la fricción del usuario debido a una mayor seguridad y al riesgo de error humano.

Aquí hay un flujo de trabajo de ejemplo para una aplicación empresarial para iniciar sesión usando la API tru.ID:

Acceso remoto de confianza cero

Prólogo: el usuario tiene instalada en su teléfono la aplicación oficial de la empresa. La aplicación empresarial tiene API integradas para autenticar tru.ID.

  1. El usuario intenta iniciar sesión en el sistema de la empresa (correo electrónico, panel de datos, etc.). Puede ser en una computadora o teléfono móvil.
  2. El sistema identifica al usuario que intenta iniciar sesión y envía una notificación automática.
  3. El dispositivo móvil y la aplicación empresarial reciben una notificación automática y se solicita al usuario que confirme o rechace el intento de inicio de sesión. Si son ellos los que se inscriben, lo aprobarán.
  4. Cuando el usuario aprueba, se envía una solicitud a la API de tru.ID a través del backend para crear una URL de control para el número de teléfono registrado del usuario.
  5. Luego, la aplicación comercial solicita que se verifique la URL a través de la conexión de datos móviles utilizando el SDK tru.ID. Esta es la fase en la que el operador de red móvil y tru.ID verifican que el número de teléfono del dispositivo actual corresponde al número de teléfono registrado por el usuario en el sistema de inicio de sesión. Tenga en cuenta que no se intercambian datos personales. Esta es una búsqueda puramente basada en URL.
  6. Una vez que se complete la solicitud, tru.ID informará al sistema si la solicitud Verificar URL y número de teléfono fue exitosa. Esto se logra a través de un webhook.
  7. Si la verificación del número de teléfono fue exitosa, el usuario inicia sesión.

Aunque este enfoque implica una serie de pasos, es importante tener en cuenta que el usuario solo tiene una acción: confirmar o denegar el inicio de sesión.

Comienzo

Puede comenzar a realizar pruebas de forma gratuita y realizar su primera llamada a la API en cuestión de minutos: simplemente regístrese con tru.ID o consulte la documentación. A Tru.ID le gustaría escuchar a la comunidad para discutir estudios de casos.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática