新的无密码验证API使用SIM安全实现零信任远程访问

忘记水冷机阴谋或董事会争斗吧。办公室里发生了一场新的战争。随着公司推动员工返回公共工作区，许多员工实际上并不想–；安永的研究显示，超过50%的员工宁愿辞职。

虽然人力资源团队担心员工的心灵和想法，但IT安全专业人员有不同的作战计划要起草–；如何使混合工作场所的新常态安全。

可用性和安全性之间的权衡

公司最大的弱点仍然是员工。在混合工作场所，零信任战略意味着不断加强安全。公司选择的MFA会影响登录电子邮件、仪表盘、工作流工具、客户文档等的难度。或者，反过来说，访问安全性有多漏洞。

现在想象一下这个场景。员工打开公司门户，在手机上确认公司应用程序上的提示，就这样。她已经通过一个强大的占有因素，通过公司注册的手机号码与SIM卡进行无缝认证。没有要记住的，没有要忘记的，没有代币，也没有要在倒计时时键入的代码。

“终点”是人类的

为了实施一个既有效又容易获得的零信任政策，是时候停止将员工视为“终点”，并解决人类在安全方面的习惯了。例如，tru在Twitter上进行的民意调查。ID显示，40%的人使用“心理系统”作为密码。

这些心理系统在复杂性和记忆之间竞争。现在的密码需要长、复杂、荒谬–；而且，由于数据库泄露或网络钓鱼欺诈，即使是这些漏洞也会被破解。这是不可持续的。

生物特征识别等固有因素在设置和使用时仍存在摩擦。正如我们从手机上的人脸或指纹识别中了解到的那样，生物识别并不总是第一次工作，而且仍然需要密码故障切换。此外，并非所有级别的访问都需要如此严格的安全性。

使用移动网络认证的占有因子

在密码和生物特征之间的频谱上存在着占有因子–；最常见的是手机。短信OTP和认证应用就是这样产生的，但它们带来了欺诈风险和可用性问题，不再是最佳解决方案。

更简单、更强大的核查解决方案一直伴随着我们–；使用每部手机中SIM卡的强大安全性。移动网络随时对客户进行身份验证，以允许通话和数据。SIM卡使用高级加密安全性，是一种既定的实时验证形式，不需要任何单独的应用程序或硬件令牌。

然而，基于SIM卡的身份验证的真正魔力在于它不需要用户操作。它已经在那里了。

现在是tru的API。ID为开发者开放基于SIM卡的网络认证，以建立无摩擦但安全的验证体验。

任何对隐私的担忧都会因为tru。ID不会处理网络和API之间的个人身份信息。这纯粹是基于URL的查找。

无密码登录：零用户努力和零信任安全

使用tru的方法之一。ID API是为远程登录构建无密码解决方案，使用配套应用程序访问企业系统。通过在手机上实现一键式交互，企业可以消除用户在升级安全性方面的摩擦，以及人为错误的风险。

下面是一个使用tru的企业登录伴侣应用程序的工作流示例。ID API：

前言：用户在手机上安装了公司的官方应用程序。企业应用程序有tru。嵌入了身份验证API。

1. 用户尝试登录公司系统（电子邮件、数据仪表板等）。这可以在桌面或手机上。
2. 系统识别试图登录的用户并发送推送通知。
3. 移动设备和公司应用程序接收推送通知，并提示用户确认或拒绝登录尝试。如果是他们登录，他们会批准。
4. 当用户批准时，向tru发出请求。ID API通过后端创建该用户注册电话号码的检查URL。
5. 然后，公司应用程序将使用tru通过移动数据连接请求检查URL。ID SDK。这是移动网络运营商和tru合作的阶段。ID验证当前设备的电话号码是否与用户在登录系统上注册的电话号码匹配。请注意，不交换PII。这纯粹是基于URL的查找。
6. 请求完成后，tru将通知系统。ID检查URL请求和电话号码匹配是否成功。这是通过webhook实现的。
7. 如果电话号码验证成功，则用户已登录。

尽管这种方法有很多步骤，但需要注意的是，用户只有一个操作：确认或拒绝登录。