WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Xác thực trên SIM giúp gia tăng an ninh cho thiết bị
Có một sự thật là tất cả chúng ta đều sử dụng email và mật khẩu, và đương nhiên sẽ không thể tránh khỏi sự xuất hiện của lỗ hổng trong hệ thống. Xác suất thành công của các cuộc tấn công lừa đảo đang gia tăng khi mọi hoạt động hiện nay đều diễn ra trực tuyến. Chỉ cần bị lộ mật khẩu, người dùng đều sẽ trở thành nạn nhân trong các vụ xâm phạm dữ liệu.
Phương thức MFA (xác thực đa yếu tố) thường chú trọng đến việc đặt mật khẩu và mã OTP, nhưng những yếu tố này vẫn dễ bị tấn công. Chỉ cần thông tin xác thực vẫn có thể được chia sẻ hoặc chặn, chúng có thể bị sử dụng sai mục đích.
Điều cần thiết là sự thay đổi mô hình – từ thông tin đăng nhập sang tăng cường an ninh với nhờ các phương thức xác mình khác như sinh trắc học.
Xác thực API có thể thực hiện chính xác điều đó, thay thế thông tin xác thực, bằng cách sử dụng thẻ SIM để ràng buộc thiết bị có yếu tố sở hữu và xác thực người dùng, do đó giảm khả năng lừa đảo.
2FA codes đang là mục tiêu
Mật khẩu có thể được chia sẻ, do đó dễ dàng bị lừa đảo. Nhưng một thực tế ít được biết đến là nhiều dạng 2FA - chẳng hạn như mã OTP hoặc mã PIN được thêm vào để tăng cường bảo mật, cũng có thể lừa đảo.
Tệ hơn nữa, hacker hiện đang nhắm mục tiêu cụ thể đến các phương pháp này: các nhà nghiên cứu gần đây đã phát hiện ra rằng hơn 1.200 bộ công cụ lừa đảo được thiết kế để đánh cắp mã 2FA đang hoạt động.
Do đó, câu trả lời cho việc quản lý danh tính và quyền truy cập là không áp dụng thêm các bản vá lỗi bởi những bản vá này không thực sự ngăn chặn hacker. Thay vào đó, MFA cần một yếu tố sở hữu mạnh mẽ hơn, đơn giản hơn.
MFA được thiết kế có mục đích bao gồm các khóa bảo mật hoặc mã thông báo. Nhưng giá thành đắt và không phải thứ mà người dùng bình thường sẽ mua. Tăng cường an ninh mạnh mẽ hơn chỉ hiệu quả khi có thể phổ cập rộng rãi và tiết kiệm chi phí.
Nhập thẻ SIM bên trong điện thoại di động của mọi người và được xây dựng dựa trên mã bảo mật khi kết nối và được xác thực qua mạng di động.
Hiện nay, một API từ tru.ID mở ra phương thức xác thực mạng di động dựa trên SIM cho mọi doanh nghiệp và nhà phát triển ứng dụng, có nghĩa là bạn có thể tận dụng tính bảo mật của thẻ SIM như một yếu tố sở hữu an toàn cho MFA.
Xác thực dựa trên SIM: Yếu tố chống lừa đảo mới
Thẻ SIM sử dụng cùng một công nghệ vi mạch mật mã, bảo mật cao được tích hợp trong mọi thẻ tín dụng. Rất khó sao chép hoặc giả mạo và có một thẻ SIM trong mọi điện thoại di động.
Sự kết hợp giữa số điện thoại di động với danh tính thẻ SIM được liên kết của nó (IMSI) là một sự kết hợp rất khó để lừa đảo vì đây là một kiểm tra xác thực im lặng.
Trải nghiệm người dùng cũng vượt trội. Các mạng di động thường xuyên thực hiện kiểm tra im lặng xem thẻ SIM của người dùng có khớp với số điện thoại của họ hay không để cho phép họ gửi tin nhắn, gọi điện và sử dụng dữ liệu - đảm bảo xác thực theo thời gian thực mà không yêu cầu đăng nhập.
Cho đến gần đây, các doanh nghiệp không thể lập trình cơ sở hạ tầng xác thực của mạng di động thành một ứng dụng dễ dàng như bất kỳ mã nào khác. tru.ID cung cấp xác thực mạng cho tất cả mọi người.
Việc thêm tru.ID SDK vào các tài khoản hiện có sử dụng số điện thoại di động sẽ ngay lập tức bật tính năng bảo mật theo yếu tố sở hữu của người dùng. Hơn nữa, không cần thêm thông tin đầu vào từ người dùng, không có vectơ tấn công nào đối với kẻ xấu: xác thực dựa trên SIM là ẩn, vì vậy không có thông tin xác thực hoặc mã nào để ăn cắp, đánh chặn hoặc sử dụng sai mục đích.
tru.ID không truy cập vào thẻ SIM của người dùng. Thay vào đó, nó xác minh trạng thái thẻ SIM trực tiếp với nhà khai thác di động trong thời gian thực. Nó kiểm tra xem một số điện thoại chưa được gán cho một SIM khác và các thay đổi SIM gần đây, giúp ngăn chặn gian lận hoán đổi SIM.
Minh họa bật xác minh dựa trên SIM
Một số tình huống miêu tả dưới đây, người dùng cuối của hệ thống chỉ cần cung cấp số điện thoại di động.
1 — Sau khi người dùng cung cấp số điện thoại di động, API tru.ID thực hiện tra cứu số điện thoại để xác định nhà khai thác mạng di động (MNO).
2 — tru.ID yêu cầu từ MNO một URL Kiểm tra duy nhất để bắt đầu quy trình xác thực di động.
3 — tru.ID lưu trữ URL Kiểm tra của MNO và trả về URL Kiểm tra tru.ID cho máy chủ web của bạn để thiết bị di động mở.
4 — Ứng dụng di động sẽ mở URL kiểm tra tru.ID, ưu tiên sử dụng tru.ID SDK vì buộc phải yêu cầu web qua phiên dữ liệu di động.
5 — MNO sẽ nhận được yêu cầu web thông qua chuyển hướng từ nền tảng tru.ID.
6 — Chuyển hướng cuối cùng đưa thiết bị đến điểm cuối url chuyển hướng của máy chủ web. Nội dung của yêu cầu này sẽ chứa một 'mã' và 'check_id', và máy chủ web gửi mã này để thực thi. API của ID để hoàn tất quá trình Kiểm tra người đăng ký
7 — Sau đó, MNO xác định xem số điện thoại được liên kết với phiên dữ liệu di động được xác thực có khớp với số điện thoại được liên kết với URL kiểm tra được yêu cầu hay không. Nếu đúng như vậy thì số điện thoại đã được xác minh thành công.
8 — tru.ID thực hiện tra cứu thẻ SIM và lưu trữ kết quả về trạng thái của nó.
9 — Khi hoàn thành yêu cầu Kiểm tra URL và khi trạng thái thẻ SIM đã được truy xuất, ứng dụng di động có thể yêu cầu kết quả xác minh số điện thoại từ API tru.ID.
10 — Sử dụng khớp xác minh điện thoại và thẻ SIM thay đổi các thuộc tính `no_sim_change` trong logic ứng dụng của bạn.
Với nền tảng 'tru. ID', bạn có thể bắt đầu thử nghiệm xác thực dựa trên SIM hoàn toàn miễn phí và thực hiện cuộc gọi API đầu tiên chỉ trong vòng vài phút.
Để tìm hiểu cách xác thực tiếp theo mang lại độ bảo mật cao, ít ma sát cho người dùng, chỉ cần đặt một bản demo miễn phí hoặc truy cập 'tru.ID'.
Phương thức MFA (xác thực đa yếu tố) thường chú trọng đến việc đặt mật khẩu và mã OTP, nhưng những yếu tố này vẫn dễ bị tấn công. Chỉ cần thông tin xác thực vẫn có thể được chia sẻ hoặc chặn, chúng có thể bị sử dụng sai mục đích.
Điều cần thiết là sự thay đổi mô hình – từ thông tin đăng nhập sang tăng cường an ninh với nhờ các phương thức xác mình khác như sinh trắc học.
Xác thực API có thể thực hiện chính xác điều đó, thay thế thông tin xác thực, bằng cách sử dụng thẻ SIM để ràng buộc thiết bị có yếu tố sở hữu và xác thực người dùng, do đó giảm khả năng lừa đảo.
2FA codes đang là mục tiêu
Mật khẩu có thể được chia sẻ, do đó dễ dàng bị lừa đảo. Nhưng một thực tế ít được biết đến là nhiều dạng 2FA - chẳng hạn như mã OTP hoặc mã PIN được thêm vào để tăng cường bảo mật, cũng có thể lừa đảo.
Tệ hơn nữa, hacker hiện đang nhắm mục tiêu cụ thể đến các phương pháp này: các nhà nghiên cứu gần đây đã phát hiện ra rằng hơn 1.200 bộ công cụ lừa đảo được thiết kế để đánh cắp mã 2FA đang hoạt động.
Do đó, câu trả lời cho việc quản lý danh tính và quyền truy cập là không áp dụng thêm các bản vá lỗi bởi những bản vá này không thực sự ngăn chặn hacker. Thay vào đó, MFA cần một yếu tố sở hữu mạnh mẽ hơn, đơn giản hơn.
MFA được thiết kế có mục đích bao gồm các khóa bảo mật hoặc mã thông báo. Nhưng giá thành đắt và không phải thứ mà người dùng bình thường sẽ mua. Tăng cường an ninh mạnh mẽ hơn chỉ hiệu quả khi có thể phổ cập rộng rãi và tiết kiệm chi phí.
Nhập thẻ SIM bên trong điện thoại di động của mọi người và được xây dựng dựa trên mã bảo mật khi kết nối và được xác thực qua mạng di động.
Hiện nay, một API từ tru.ID mở ra phương thức xác thực mạng di động dựa trên SIM cho mọi doanh nghiệp và nhà phát triển ứng dụng, có nghĩa là bạn có thể tận dụng tính bảo mật của thẻ SIM như một yếu tố sở hữu an toàn cho MFA.
Xác thực dựa trên SIM: Yếu tố chống lừa đảo mới
Thẻ SIM sử dụng cùng một công nghệ vi mạch mật mã, bảo mật cao được tích hợp trong mọi thẻ tín dụng. Rất khó sao chép hoặc giả mạo và có một thẻ SIM trong mọi điện thoại di động.
Sự kết hợp giữa số điện thoại di động với danh tính thẻ SIM được liên kết của nó (IMSI) là một sự kết hợp rất khó để lừa đảo vì đây là một kiểm tra xác thực im lặng.
Trải nghiệm người dùng cũng vượt trội. Các mạng di động thường xuyên thực hiện kiểm tra im lặng xem thẻ SIM của người dùng có khớp với số điện thoại của họ hay không để cho phép họ gửi tin nhắn, gọi điện và sử dụng dữ liệu - đảm bảo xác thực theo thời gian thực mà không yêu cầu đăng nhập.
Cho đến gần đây, các doanh nghiệp không thể lập trình cơ sở hạ tầng xác thực của mạng di động thành một ứng dụng dễ dàng như bất kỳ mã nào khác. tru.ID cung cấp xác thực mạng cho tất cả mọi người.
Việc thêm tru.ID SDK vào các tài khoản hiện có sử dụng số điện thoại di động sẽ ngay lập tức bật tính năng bảo mật theo yếu tố sở hữu của người dùng. Hơn nữa, không cần thêm thông tin đầu vào từ người dùng, không có vectơ tấn công nào đối với kẻ xấu: xác thực dựa trên SIM là ẩn, vì vậy không có thông tin xác thực hoặc mã nào để ăn cắp, đánh chặn hoặc sử dụng sai mục đích.
tru.ID không truy cập vào thẻ SIM của người dùng. Thay vào đó, nó xác minh trạng thái thẻ SIM trực tiếp với nhà khai thác di động trong thời gian thực. Nó kiểm tra xem một số điện thoại chưa được gán cho một SIM khác và các thay đổi SIM gần đây, giúp ngăn chặn gian lận hoán đổi SIM.
Minh họa bật xác minh dựa trên SIM
Một số tình huống miêu tả dưới đây, người dùng cuối của hệ thống chỉ cần cung cấp số điện thoại di động.
1 — Sau khi người dùng cung cấp số điện thoại di động, API tru.ID thực hiện tra cứu số điện thoại để xác định nhà khai thác mạng di động (MNO).
2 — tru.ID yêu cầu từ MNO một URL Kiểm tra duy nhất để bắt đầu quy trình xác thực di động.
3 — tru.ID lưu trữ URL Kiểm tra của MNO và trả về URL Kiểm tra tru.ID cho máy chủ web của bạn để thiết bị di động mở.
4 — Ứng dụng di động sẽ mở URL kiểm tra tru.ID, ưu tiên sử dụng tru.ID SDK vì buộc phải yêu cầu web qua phiên dữ liệu di động.
5 — MNO sẽ nhận được yêu cầu web thông qua chuyển hướng từ nền tảng tru.ID.
6 — Chuyển hướng cuối cùng đưa thiết bị đến điểm cuối url chuyển hướng của máy chủ web. Nội dung của yêu cầu này sẽ chứa một 'mã' và 'check_id', và máy chủ web gửi mã này để thực thi. API của ID để hoàn tất quá trình Kiểm tra người đăng ký
7 — Sau đó, MNO xác định xem số điện thoại được liên kết với phiên dữ liệu di động được xác thực có khớp với số điện thoại được liên kết với URL kiểm tra được yêu cầu hay không. Nếu đúng như vậy thì số điện thoại đã được xác minh thành công.
8 — tru.ID thực hiện tra cứu thẻ SIM và lưu trữ kết quả về trạng thái của nó.
9 — Khi hoàn thành yêu cầu Kiểm tra URL và khi trạng thái thẻ SIM đã được truy xuất, ứng dụng di động có thể yêu cầu kết quả xác minh số điện thoại từ API tru.ID.
10 — Sử dụng khớp xác minh điện thoại và thẻ SIM thay đổi các thuộc tính `no_sim_change` trong logic ứng dụng của bạn.
Với nền tảng 'tru. ID', bạn có thể bắt đầu thử nghiệm xác thực dựa trên SIM hoàn toàn miễn phí và thực hiện cuộc gọi API đầu tiên chỉ trong vòng vài phút.
Để tìm hiểu cách xác thực tiếp theo mang lại độ bảo mật cao, ít ma sát cho người dùng, chỉ cần đặt một bản demo miễn phí hoặc truy cập 'tru.ID'.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: