Hadapi saja: kita semua menggunakan email, dan kita semua menggunakan kata sandi. Kata sandi menciptakan kerentanan yang melekat dalam sistem. Tingkat keberhasilan serangan phishing meroket, dan peluang serangan telah berlipat ganda saat nyawa berpindah secara online. Yang diperlukan hanyalah satu kata sandi untuk dikompromikan agar semua pengguna lain menjadi korban pelanggaran data.
Oleh karena itu, untuk memberikan keamanan tambahan, identitas digital bergantung pada plester verifikasi. MFA (otentikasi multi-faktor) sering jatuh kembali ke faktor pengetahuan seperti pengaturan ulang kata sandi dan kode OTP, tetapi ini masih rentan. Selama kredensial dapat dibagikan atau dicegat, kredensial dapat disalahgunakan.
Yang dibutuhkan adalah perubahan paradigma – dari kredensial berbasis pengetahuan ke keamanan faktor kepemilikan yang kuat yang tidak dapat dikompromikan, di samping keamanan verifikasi lainnya seperti biometrik.
API faktor kepemilikan baru sekarang bertujuan untuk melakukan hal itu secara tepat, menggantikan kredensial berbasis pengetahuan, dengan menggunakan kartu SIM untuk pengikatan perangkat faktor kepemilikan dan otentikasi pengguna, sehingga mengurangi kemungkinan phishing.
Phishing: masalah manusia
Phishing dan jenis rekayasa sosial lainnya mengandalkan faktor manusia sebagai mata rantai terlemah dalam pelanggaran. Mereka memanfaatkan akses berbasis kredensial yang nyaman yang diberikan kepada rata-rata pengguna platform, dengan menipu pengguna rata-rata tersebut agar membagikan kredensial. Dan itu berhasil: 83% organisasi yang disurvei mengatakan bahwa mereka mengalami serangan phishing berbasis email yang berhasil pada tahun 2021.
Bahkan kode 2FA sekarang menjadi target
Sudah menjadi rahasia umum bahwa kata sandi dapat dibagikan dan, oleh karena itu, mudah di-phishing. Tetapi fakta yang kurang diketahui adalah bahwa banyak bentuk 2FA – seperti kode OTP atau PIN yang ditambahkan dalam upaya untuk memperkuat kelemahan yang diketahui dalam kata sandi – juga dapat phishable.
Lebih buruk lagi, penjahat sekarang menargetkan metode ini secara khusus: peneliti baru-baru ini menemukan bahwa lebih dari 1.200 kit phishing yang dirancang untuk mencuri kode 2FA sedang beroperasi.
Oleh karena itu, jawaban atas manajemen identitas dan akses adalah tidak menerapkan lebih banyak tambalan yang mematikan pengalaman pengguna, karena ini tidak benar-benar mencegah penyerang. Sebaliknya, MFA membutuhkan faktor kepemilikan yang lebih kuat dan sederhana – tanpa mengetik apa pun, tidak berarti apa pun untuk phish.
Faktor kepemilikan MFA yang dirancang khusus mencakup dongle atau token keamanan. Tapi harganya mahal, dan bukan sesuatu yang rata-rata akan dibeli oleh pengguna. Keamanan yang lebih kuat untuk semua orang hanya dapat bekerja dengan perangkat yang tersedia secara luas, mudah digunakan, mudah diintegrasikan, dan hemat biaya.
Masukkan kartu SIM. Itu ada di dalam ponsel semua orang, dan dibangun di atas keamanan kriptografi saat menghubungkan ke otentikasi jaringan seluler.
Sekarang, untuk pertama kalinya, API dari tru.ID membuka otentikasi jaringan seluler berbasis SIM untuk setiap bisnis dan pengembang aplikasi, yang berarti Anda dapat memanfaatkan keamanan kartu SIM sebagai faktor kepemilikan yang aman untuk MFA.
Otentikasi berbasis SIM: faktor kepemilikan baru yang tahan terhadap phishing
Kartu SIM memiliki banyak manfaat untuk itu. Kartu SIM menggunakan teknologi microchip kriptografi yang sangat aman dan sama yang terpasang di setiap kartu kredit. Sulit untuk digandakan atau diubah, dan ada kartu SIM di setiap ponsel – jadi setiap pengguna Anda sudah memiliki perangkat keras ini di saku mereka.
Kombinasi nomor ponsel dengan identitas kartu SIM yang terkait (IMSI) adalah kombinasi yang sulit untuk di-phishing karena merupakan pemeriksaan otentikasi diam-diam.
Pengalaman pengguna juga lebih unggul. Jaringan seluler secara rutin melakukan pemeriksaan diam-diam bahwa kartu SIM pengguna cocok dengan nomor telepon mereka untuk memungkinkan mereka mengirim pesan, melakukan panggilan, dan menggunakan data – memastikan autentikasi waktu nyata tanpa memerlukan login.
Sampai saat ini, bisnis tidak mungkin memprogram infrastruktur otentikasi jaringan seluler ke dalam aplikasi semudah kode lainnya. tru.ID membuat otentikasi jaringan tersedia untuk semua orang.
Menambahkan tru.ID SDK ke dalam perjalanan akun yang ada yang menggunakan nomor ponsel secara instan memungkinkan keamanan faktor kepemilikan untuk setiap pengguna. Selain itu, tanpa input tambahan dari pengguna, tidak ada vektor serangan untuk pelaku jahat: otentikasi berbasis SIM tidak terlihat, jadi tidak ada kredensial atau kode untuk dicuri, dicegat, atau disalahgunakan.
tru.ID tidak mengakses kartu SIM pengguna. Sebaliknya, itu memverifikasi status kartu SIM langsung dengan operator seluler secara real-time. Ini memeriksa bahwa nomor telepon belum ditetapkan ke SIM lain dan untuk perubahan SIM terbaru, membantu mencegah penipuan pertukaran SIM.
Contoh skenario untuk mengaktifkan verifikasi berbasis SIM
Meskipun ada sejumlah proses yang dijelaskan dalam skenario di bawah ini, pengguna akhir sistem hanya perlu melakukan satu hal – memberikan nomor ponsel mereka.
1 — Setelah pengguna memberikan nomor ponsel mereka, tru.ID API melakukan pencarian nomor telepon untuk menentukan operator jaringan seluler (MNO) mana yang ditugaskan.
2 — tru.ID meminta dari MNO URL Periksa unik untuk memulai alur kerja otentikasi seluler.
3 — tru.ID menyimpan URL Periksa MNO, dan mengembalikan URL Periksa tru.ID ke server web Anda agar perangkat seluler dapat dibuka.
4 — Aplikasi seluler membuka URL Periksa tru.ID. Lebih disukai menggunakan tru.ID SDK untuk ini karena memaksa permintaan web untuk melewati sesi data seluler.
5 — MNO akan menerima permintaan web melalui pengalihan dari platform tru.ID.
6 — Pengalihan terakhir membawa perangkat ke titik akhir url pengalihan server web. Isi permintaan ini akan berisi ‘kode’ dan ‘check_id’, dan server web mengirimkan kode ini ke tru. API ID untuk menyelesaikan proses SubscriberCheck.
7 — MNO kemudian menentukan apakah nomor telepon yang terkait dengan sesi data seluler yang diautentikasi cocok dengan nomor telepon yang terkait dengan URL Periksa yang diminta. Jika ya, maka nomor telepon telah berhasil diverifikasi.
8 — tru.ID melakukan pencarian kartu SIM dan menyimpan hasil statusnya.
9 — Setelah menyelesaikan permintaan Periksa URL, dan ketika status kartu SIM telah diambil, aplikasi seluler dapat meminta hasil verifikasi telepon dari tru.ID API.
10 — Gunakan kecocokan verifikasi telepon dan kartu SIM mengubah properti `no_sim_change` dalam logika aplikasi Anda.
Bagaimana cara memulai?
Dengan tru. Di platform pengembang ID, Anda dapat langsung mulai menguji otentikasi berbasis SIM, gratis, dan melakukan panggilan API pertama Anda dalam hitungan menit.
Untuk mengetahui bagaimana autentikasi generasi berikutnya dapat memberikan keamanan tinggi, pengalaman autentikasi gesekan rendah kepada pengguna Anda, cukup pesan demo gratis atau kunjungi tru.ID.
