\u00a0<\/p>\n
Para oferecer seguran\u00e7a adicional, portanto as identidades digitais contam com emplastros de verifica\u00e7\u00e3o. A MFA (autentica\u00e7\u00e3o multifator) geralmente recorre a fatores de conhecimento, como redefini\u00e7\u00f5es de senha e c\u00f3digos OTP, mas ainda s\u00e3o vulner\u00e1veis. Contanto que as credenciais possam ser compartilhadas ou interceptadas, elas podem ser usadas indevidamente.<\/p>\n
\u00a0<\/p>\n
O que \u00e9 necess\u00e1rio \u00e9 uma mudan\u00e7a de paradigma, de credenciais baseadas em conhecimento para uma forte seguran\u00e7a do fator de posse que n\u00e3o pode ser comprometida, juntamente com outras verifica\u00e7\u00f5es de seguran\u00e7a, como a biometria.<\/p>\n
\u00a0<\/p>\n
Uma nova API de fator de posse agora visa fazer exatamente isso, substituindo credenciais baseadas em conhecimento, usando o cart\u00e3o SIM para vincula\u00e7\u00e3o de dispositivo de fator de posse e autentica\u00e7\u00e3o de usu\u00e1rio, reduzindo assim a possibilidade de phishing.<\/span><\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n Phishing e outros tipos de engenharia social dependem do fator humano para ser o elo mais fraco em uma viola\u00e7\u00e3o. Eles fazem uso do acesso conveniente e baseado em credenciais oferecido ao usu\u00e1rio m\u00e9dio de uma plataforma, enganando esses usu\u00e1rios m\u00e9dios para que compartilhem credenciais. E funciona, 83% das organiza\u00e7\u00f5es pesquisadas disseram que sofreram um ataque de phishing baseado em e-mail bem-sucedido em 2021.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n \u00c9 do conhecimento geral que as senhas podem ser compartilhadas e portanto facilmente pass\u00edveis de phishing. Mas um fato menos conhecido \u00e9 que muitas formas de 2FA, como o c\u00f3digo OTP ou PIN adicionados em um esfor\u00e7o para refor\u00e7ar as fraquezas conhecidas nas senhas tamb\u00e9m s\u00e3o pass\u00edveis de phishing.<\/p>\n \u00a0<\/p>\n Pior ainda, os criminosos agora est\u00e3o mirando especificamente nesses m\u00e9todos, pesquisadores descobriram recentemente que mais de 1.200 kits de phishing projetados para roubar c\u00f3digos 2FA est\u00e3o em opera\u00e7\u00e3o.<\/p>\n \u00a0<\/p>\n A resposta ao gerenciamento de identidade e acesso, portanto \u00e9 n\u00e3o aplicar mais patches que matam a experi\u00eancia do usu\u00e1rio, pois eles n\u00e3o mant\u00eam os invasores realmente afastados. Em vez disso, a MFA precisa de um fator de posse mais forte e simples, sem nada para digitar, ou seja, nada para phishing.<\/p>\n \u00a0<\/p>\n Os fatores de posse de MFA projetados especificamente incluem dongles ou tokens de seguran\u00e7a. Mas eles s\u00e3o caros e n\u00e3o s\u00e3o algo que o usu\u00e1rio m\u00e9dio comprar\u00e1. Uma seguran\u00e7a mais forte para todos s\u00f3 pode funcionar com dispositivos amplamente dispon\u00edveis, f\u00e1ceis de usar, f\u00e1ceis de integrar e econ\u00f4micos.<\/p>\n \u00a0<\/p>\n Insira o cart\u00e3o SIM. Est\u00e1 dentro do telefone celular de todos e \u00e9 constru\u00eddo com base na seguran\u00e7a criptogr\u00e1fica ao conectar-se \u00e0 autentica\u00e7\u00e3o de rede m\u00f3vel.<\/p>\n \u00a0<\/p>\n Agora, pela primeira vez, uma API da tru.ID abre a autentica\u00e7\u00e3o de rede m\u00f3vel baseada em SIM para todos os desenvolvedores de neg\u00f3cios e aplicativos, o que significa que voc\u00ea pode aproveitar a seguran\u00e7a do cart\u00e3o SIM como um fator de posse segura para MFA.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n O cart\u00e3o SIM tem muito a oferecer. Os cart\u00f5es SIM usam a mesma tecnologia de microchip criptogr\u00e1fico altamente segura que \u00e9 incorporada em todos os cart\u00f5es de cr\u00e9dito. \u00c9 dif\u00edcil clonar ou adulterar, e h\u00e1 um cart\u00e3o SIM em cada telefone celular, ent\u00e3o cada um de seus usu\u00e1rios j\u00e1 tem esse hardware no bolso.<\/p>\n \u00a0<\/p>\n A combina\u00e7\u00e3o do n\u00famero de telefone celular com a identidade do cart\u00e3o SIM associado (o IMSI) \u00e9 uma combina\u00e7\u00e3o dif\u00edcil de phishing, pois \u00e9 uma verifica\u00e7\u00e3o de autentica\u00e7\u00e3o silenciosa.<\/p>\n \u00a0<\/p>\n A experi\u00eancia do usu\u00e1rio tamb\u00e9m \u00e9 superior. As redes m\u00f3veis realizam rotineiramente verifica\u00e7\u00f5es silenciosas de que o cart\u00e3o SIM de um usu\u00e1rio corresponde ao seu n\u00famero de telefone para permitir que enviem mensagens, fa\u00e7am chamadas e usem dados, garantindo autentica\u00e7\u00e3o em tempo real sem exigir login.<\/p>\n \u00a0<\/p>\n At\u00e9 recentemente, n\u00e3o era poss\u00edvel para as empresas programar a infraestrutura de autentica\u00e7\u00e3o de uma rede m\u00f3vel em um aplicativo t\u00e3o facilmente, quanto qualquer outro c\u00f3digo. tru.ID torna a autentica\u00e7\u00e3o de rede dispon\u00edvel para todos.<\/p>\n \u00a0<\/p>\n A adi\u00e7\u00e3o do SDK tru.ID em jornadas de contas existentes que usam o n\u00famero de telefone celular permite instantaneamente a seguran\u00e7a do fator de posse para todos os usu\u00e1rios. Al\u00e9m disso, sem entrada extra do usu\u00e1rio, n\u00e3o h\u00e1 vetor de ataque para agentes mal-intencionados, a autentica\u00e7\u00e3o baseada em SIM \u00e9 invis\u00edvel, portanto, n\u00e3o h\u00e1 credenciais ou c\u00f3digos para roubar, interceptar ou usar indevidamente.<\/p>\n \u00a0<\/p>\n tru.ID n\u00e3o acessa o cart\u00e3o SIM do usu\u00e1rio. Em vez disso, ele verifica o status do cart\u00e3o SIM diretamente com a operadora m\u00f3vel em tempo real. Ele verifica se um n\u00famero de telefone n\u00e3o foi atribu\u00eddo a outro SIM e se h\u00e1 altera\u00e7\u00f5es recentes no SIM, ajudando a evitar fraudes de troca de SIM.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n Embora existam v\u00e1rios processos descritos no cen\u00e1rio abaixo, o usu\u00e1rio final do sistema precisa fazer apenas uma coisa, fornecer seu n\u00famero de telefone celular.<\/p>\n \u00a0<\/p>\n 1 \u2014<\/b> Depois que o usu\u00e1rio fornece seu n\u00famero de celular, a API tru.ID realiza uma pesquisa pelo n\u00famero de telefone para determinar a qual operadora de rede m\u00f3vel (MNO) ele est\u00e1 atribu\u00eddo.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n 2 \u2014<\/b> tru.ID solicita do MNO um URL de verifica\u00e7\u00e3o exclusivo para iniciar o fluxo de trabalho de autentica\u00e7\u00e3o m\u00f3vel.<\/p>\n 3 \u2014<\/b> tru.ID armazena a URL de verifica\u00e7\u00e3o do MNO e retorna uma URL de verifica\u00e7\u00e3o tru.ID ao seu servidor web para o dispositivo m\u00f3vel abrir.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n 4 \u2014<\/span><\/b> O aplicativo m\u00f3vel abre a URL de verifica\u00e7\u00e3o tru.ID. \u00c9 prefer\u00edvel usar SDKs tru.ID para isso porque for\u00e7a a solicita\u00e7\u00e3o da Web a ser feita em uma sess\u00e3o de dados m\u00f3veis.<\/span><\/p>\n 5 \u2014<\/span><\/b> A MNO receber\u00e1 a requisi\u00e7\u00e3o web via redirecionamento da plataforma tru.ID.<\/span><\/p>\n 6 \u2014<\/span><\/b> O redirecionamento final leva o dispositivo para o endpoint de URL de redirecionamento do servidor web. O corpo desta solicita\u00e7\u00e3o conter\u00e1 um ‘c\u00f3digo’ e o ‘check_id’, e o servidor web envia este c\u00f3digo para tru. API do ID para concluir o processo SubscriberCheck.<\/span><\/p>\n \u00a0<\/p>\n<\/div>\n \u00a0<\/p>\n 7 \u2014<\/span><\/b> O MNO determina ent\u00e3o se o n\u00famero de telefone associado \u00e0 sess\u00e3o de dados m\u00f3veis autenticada corresponde ao n\u00famero de telefone associado \u00e0 URL de verifica\u00e7\u00e3o solicitada. Se isso acontecer, o n\u00famero de telefone foi verificado com sucesso.<\/span><\/p>\n 8 \u2014<\/span><\/b> tru.ID realiza uma pesquisa de cart\u00e3o SIM e armazena o resultado de seu status.<\/span><\/p>\n 9 \u2014<\/span><\/b> Ap\u00f3s a conclus\u00e3o da solicita\u00e7\u00e3o Check URL, e quando o status do cart\u00e3o SIM for recuperado, o aplicativo m\u00f3vel pode solicitar o resultado da verifica\u00e7\u00e3o do telefone \u00e0 API tru.ID.<\/span><\/p>\n \u00a0<\/p>\n<\/div>\n 10 \u2014<\/span><\/b> Use a correspond\u00eancia de verifica\u00e7\u00e3o de telefone e as propriedades de altera\u00e7\u00e3o do cart\u00e3o SIM `no_sim_change` dentro da l\u00f3gica do seu aplicativo.<\/span><\/p>\n \u00a0<\/p>\n<\/div>\n<\/div>\n \u00a0<\/p>\n Com tru. Com a plataforma de desenvolvedor do ID, voc\u00ea pode come\u00e7ar a testar a autentica\u00e7\u00e3o baseada em SIM imediatamente, gratuitamente, e fazer sua primeira chamada de API em minutos.<\/span><\/p>\n \u00a0<\/p>\n Para descobrir como a autentica\u00e7\u00e3o de \u00faltima gera\u00e7\u00e3o pode oferecer experi\u00eancias de autentica\u00e7\u00e3o de alta seguran\u00e7a e baixo atrito para seus usu\u00e1rios, basta reservar uma <\/span>demonstra\u00e7\u00e3o<\/span> gratuita ou visitar <\/span>tru.ID<\/span><\/a> .<\/span><\/p>\n<\/div>\n \u00a0<\/p>\n Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/05\/sim-based-authentication-aims-to.html<\/a>\u00a0\u00a0 (Autor: Phishing, um problema humano<\/strong><\/h2>\n
At\u00e9 os c\u00f3digos 2FA agora s\u00e3o alvos<\/span><\/strong><\/h2>\n
Autentica\u00e7\u00e3o baseada em SIM, o novo fator de posse resistente a phishing<\/span><\/strong><\/h2>\n
Um cen\u00e1rio de exemplo para habilitar a verifica\u00e7\u00e3o baseada em SIM<\/strong><\/h2>\n
![\"Autentica\u00e7\u00e3o](\"https:\/\/thehackernews-com.translate.goog\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhDNWBdZYH_e14LZRQDpqvVtKGbzxoNXdTFx1CmhmXEjxDqMazn7LisCGKmtchKSqxl9VJk_dLAhOsYAet1IVSAT1ArH-7KLfjg3RTn502ioROMCBpy85ZqGxQTm5oVRz-lCCcUJKnB25taWHFbDpdtEHSUjLLEKB88S_ye_0Vp3dRukAsO3MUntYWJ\/s728-e100\/image-1.png?_x_tr_sl=auto&_x_tr_tl=pt&_x_tr_hl=pt\" "\\"Autentica\u00e7\u00e3o")
<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a>\n<\/a><\/div>\n<\/div>\nComo come\u00e7ar<\/span><\/span><\/strong><\/h2>\n