Neue API ermöglicht App-Entwicklern die Authentifizierung von Benutzern über SIM-Karten

  • Die Erstellung von Online-Konten stellt eine Herausforderung für Ingenieure und Systemarchitekten dar: Wenn Sie zu viele Hürden aufstellen, riskieren Sie, echte Benutzer abzuweisen. Macht man es zu einfach, riskiert man Betrug oder gefälschte Konten.

    Das Problem mit der Identitätsüberprüfung

    Das traditionelle Modell der Online-Identität – Benutzername/E-Mail und Passwort – hat seine Nützlichkeit längst überlebt. So ist die Multifaktor- oder Zwei-Faktor-Authentifizierung (MFA oder 2FA) ins Spiel gekommen, um Schwachstellen des sogenannten wissensbasierten Modells zu beheben, in der Regel durch einen SMS-Passcode zur Verifizierung des Besitzes einer Handynummer.

    Die Einfachheit der SMS-basierten Verifizierung hat Apps im Sturm erobert – sie ist die Standardoption, da die meisten Benutzer ein Mobiltelefon besitzen. Dennoch haben bösartige Akteure gelernt, wie sie diese Verifizierungsmethode ausnutzen können, was zu der Bedrohung durch SIM-Swap-Betrug führt, der erschreckend einfach durchzuführen ist und dessen Vorfälle rapide ansteigen.

    Es hat nicht an Bemühungen gefehlt, einen sichereren Faktor zu finden, der dennoch universell einsetzbar ist. Zum Beispiel sind biometrische Verfahren sehr leistungsfähig, aber nicht jeder Benutzer hat ein Smartphone, das einen Fingerabdruck oder eine Gesichtserkennung aufnehmen kann. Authenticator-Apps sind eine starke Alternative, aber sie sind komplex und nicht für Gelegenheitsnutzer geeignet. Ähnlich sind Hardware-Token sehr sicher, aber nur für sehr technikaffine Menschen: Für den Durchschnittsverbraucher ist es unrealistisch, einen solchen Token zu kaufen und bei sich zu tragen.

    Einführung der SIM-basierten Verifizierung

    Manchmal ist die einfachste Lösung bereits in unseren Händen. SMS allein sind vielleicht nicht sicher, aber Handynummern, die an eine SIM-Karte gebunden sind, sind es schon: Sie sind eine eindeutige Paarung, die schwer zu fälschen oder zu kopieren ist.

    Die SIM-basierte Authentifizierung ist ein Durchbruch in Sachen Identität. Es ist nun möglich, Betrug und gefälschte Konten zu verhindern und gleichzeitig mobile Benutzer nahtlos zu verifizieren, indem die kryptografisch sicherste Kennung verwendet wird, die sie bereits haben – die in ihren mobilen Geräten eingebettete SIM-Karte.

    Die neueste Methode zur Verhinderung von Account-Takeovers und SIM-Swap-Betrug

    Wenn Sie sich Sorgen über SIM-Swap-Betrug als Bedrohung für Ihre Benutzer machen, haben Sie Recht. SIM-Swap-Betrug ist ein wachsendes Problem mit schwerwiegenden finanziellen Folgen – FinTechs und Kryptowährungs-Wallets wurden besonders ins Visier genommen, aber jede Plattform, die SMS zur Identitätsüberprüfung verwendet, ist gefährdet. Es braucht nur einen einzigen kompromittierten Benutzer, um große Supportprobleme und Markenschäden zu verursachen.

    Die SIM-basierte Authentifizierung bietet eine einfache Lösung mit einer sofortigen, umsetzbaren Reaktion. Betrüger versuchen in der Regel innerhalb von 24 Stunden auf die Konten ihrer Opfer zuzugreifen. Indem SubscriberCheck von tru.ID auf SIM-Tauschaktivitäten innerhalb der letzten 7 Tage prüft, können sie diese bereits am Tor erkennen.

    Wenn ein Wechsel der SIM-Karte stattgefunden hat, wird dieser Wechsel markiert, und Sie können eine erhöhte Sicherheit für die Benutzer implementieren oder den Zugriff ganz verhindern.

    So funktioniert die SIM-Authentifizierungs-API

    Die SIM-Karte im Telefon ist bereits beim Mobile Network Operator (MNO) authentifiziert. Die SIM-Authentifizierung ermöglicht es Mobilfunkkunden, Anrufe zu tätigen und zu empfangen und eine Verbindung zum Internet herzustellen.

    SubscriberCheck von tru.ID klinkt sich in denselben Authentifizierungsmechanismus wie die MNOs ein. Als Ergebnis macht die tru.ID API zwei Dinge. Erstens verifiziert sie, dass die Mobilfunknummer aktiv und mit der SIM-Karte des Mobiltelefons gepaart ist. Als Teil dieser Überprüfung ruft die API auch Informationen ab, ob die mit der Telefonnummer verbundene SIM-Karte kürzlich gewechselt wurde. Diese Überprüfungen können leicht mit APIs und SDKs integriert werden.

    Leistungsstark und privat: So nutzen Sie SubscriberCheck

    1 – Testen Sie die tru.ID API mit einer Rufnummer, die Sie verifizieren und deren SIM-Status überprüfen möchten.

    2 – Die tru.ID Plattform führt eine Suche nach der Telefonnummer durch, um festzustellen, mit welchem MNO sie verbunden ist.

    3 – tru.ID fragt dann diesen MNO nach einer eindeutigen Prüf-URL, die als Teil eines mobilen Authentifizierungs-Workflows verwendet wird.

    4 – Die tru.ID Plattform speichert diese MNO Check URL und gibt eine tru.ID Check URL zurück.

    [Blocked Image: https://thehackernews.com/images/-evzBUoEgHDs/YNnI0HmuEzI/AAAAAAAABFo/RGVquuXOT9kXwrcUOPtB29BAUMpKzImvQCLcBGAsYHQ/s728-e1000/sim-2fa-1.jpg]

    5 – Fordern Sie die tru.ID Check URL innerhalb der mobilen Anwendung mit dem tru.ID SDK für Android, 6, iOS oder React Native an. Es ist wichtig, das SDK zu verwenden, da es die Web-Anfrage über die authentifizierte mobile Datensitzung erzwingt.

    [Blocked Image: https://thehackernews.com/images/-5FyR8X5p_Xg/YNnInlXD1fI/AAAAAAAABFk/gNna-Smx-dgjtDDIvgYyekxctfVG017HgCLcBGAsYHQ/s728-e1000/sim-2fa-2.jpg]

    6 – Der MNO erhält die Web-Anfrage über einen Redirect von der tru.ID-Plattform. Der MNO stellt dann fest, ob die Telefonnummer, die mit der authentifizierten mobilen Datensitzung verbunden ist, mit der Telefonnummer übereinstimmt, die mit der angeforderten Prüf-URL verbunden ist. Wenn dies der Fall ist, wurde die Rufnummer erfolgreich verifiziert.

    7 – An diesem Punkt führt die tru.ID Plattform auch einen SIM-Kartenwechsel-Lookup durch und speichert das Ergebnis.

    8 – Sobald die Check-URL-Anfrage abgeschlossen und die SIM-Wechsel-Informationen abgerufen wurden, kann die mobile Anwendung das Ergebnis der Telefonverifizierung von der tru.ID API anfordern.

    [Blocked Image: https://thehackernews.com/images/-tNBpLTpYKY8/YNnIUaZTuXI/AAAAAAAABFU/belHIPlORuc3UUkx7VQmPIEWKbvsA7NyQCLcBGAsYHQ/s728-e1000/sim-2fa-3.jpg]

    9 – Verwenden Sie die Eigenschaften “phone verification match” und “SIM card change `no_sim_change” innerhalb Ihrer Anwendungslogik.

    [Blocked Image: https://thehackernews.com/images/-vFk6VPpu90M/YNnIU747sWI/AAAAAAAABFY/K0Ifb3asGUoWeUyREqV16bF_zxKm5Z6QgCLcBGAsYHQ/s728-e1000/sim-2fa-4.jpg]

    So fangen Sie an

    Natürlich gilt: Sehen ist Glauben. Sie können jetzt kostenlos mit dem Testen beginnen und innerhalb weniger Minuten Ihren ersten API-Aufruf tätigen – melden Sie sich einfach bei tru.ID an und schauen Sie in der Dokumentation nach, wie Sie loslegen können.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com