Quên những âm mưu của máy làm mát nước hoặc những trận chiến trong phòng họp. Có một cuộc chiến mới trong văn phòng. Khi các công ty thúc đẩy nhân viên của họ quay trở lại không gian làm việc chung, nhiều công nhân thực sự không muốn – hơn 50 phần trăm nhân viên thà nghỉ việc, theo nghiên cứu của EY.
Trong khi các nhóm nhân sự lo lắng về trái tim và tâm trí của nhân viên, các chuyên gia bảo mật CNTT có một kế hoạch chiến đấu khác để soạn thảo – làm thế nào để làm cho điều bình thường mới của nơi làm việc kết hợp trở nên an toàn.
Đánh đổi giữa khả năng sử dụng và bảo mật
Lỗ hổng lớn nhất của một công ty tiếp tục là con người của nó. Trong một nơi làm việc kết hợp, chiến lược Zero Trust có nghĩa là bảo mật ngày càng được thắt chặt. MFA mà một công ty chọn ảnh hưởng đến khó đăng nhập vào email, trang tổng quan, công cụ quy trình làm việc, tài liệu khách hàng, v.v. Hoặc ngược lại, mức độ bảo mật truy cập yếu như thế nào.
Bây giờ hãy tưởng tượng viễn cảnh này. Một nhân viên mở cổng công ty, xác nhận lời nhắc trên ứng dụng công ty trên điện thoại của cô ấy, và thế là xong. Cô ấy đã được xác thực liền mạch bởi một yếu tố sở hữu mạnh mẽ bằng cách sử dụng số điện thoại di động đã đăng ký của công ty cô ấy so với SIM. Không có gì để nhớ, không có gì để quên, không có mã thông báo và không có mã để gõ ngược lại.
‘Điểm cuối’ là do con người
Để thực hiện chính sách Zero Trust vừa hiệu quả vừa dễ tiếp cận, đã đến lúc ngừng coi nhân viên là ‘điểm cuối’ và giải quyết các thói quen của con người trong vấn đề bảo mật. Ví dụ, một Cuộc thăm dò trên Twitter của tru.ID tiết lộ rằng 40% mọi người sử dụng ‘hệ thống tinh thần’ cho mật khẩu.
Những hệ thống tinh thần này đang trong cuộc chạy đua giữa sự phức tạp và trí nhớ. Mật khẩu bây giờ cần phải dài, phức tạp và vô nghĩa – và ngay cả những thứ đó vẫn bị xâm phạm, do rò rỉ cơ sở dữ liệu hoặc các trò gian lận lừa đảo. Điều này không bền vững.
Các yếu tố nội tại như sinh trắc học vẫn liên quan đến ma sát để thiết lập và sử dụng. Như chúng ta đã biết từ nhận dạng khuôn mặt hoặc dấu vân tay trên điện thoại của mình, sinh trắc học không phải lúc nào cũng hoạt động ngay lần đầu tiên và vẫn yêu cầu chuyển đổi dự phòng bằng mật mã. Thêm vào đó, không phải tất cả các cấp độ truy cập đều yêu cầu bảo mật nghiêm ngặt như vậy.
Yếu tố Chiếm hữu bằng Xác thực Mạng Di động
Trên phổ giữa mật khẩu và sinh trắc học nằm ở yếu tố sở hữu – phổ biến nhất là điện thoại di động. Đó là cách các ứng dụng SMS OTP và trình xác thực ra đời, nhưng những ứng dụng này đi kèm với rủi ro gian lận, các vấn đề về khả năng sử dụng và không còn là giải pháp tốt nhất.
Giải pháp đơn giản hơn, mạnh mẽ hơn để xác minh đã đồng hành cùng chúng tôi – sử dụng tính năng bảo mật mạnh mẽ của thẻ SIM có trong mọi điện thoại di động. Mạng di động xác thực khách hàng mọi lúc để cho phép cuộc gọi và dữ liệu. Thẻ SIM sử dụng bảo mật mật mã nâng cao và là một hình thức xác minh thời gian thực được thiết lập mà không cần bất kỳ ứng dụng hoặc mã thông báo phần cứng riêng biệt nào.
Tuy nhiên, điều kỳ diệu thực sự của xác thực dựa trên SIM là nó không yêu cầu người dùng thực hiện. Nó đã ở đó rồi.
Bây giờ, API của tru.ID mở ra xác thực mạng dựa trên SIM dành cho các nhà phát triển để xây dựng trải nghiệm xác minh dễ dàng nhưng an toàn.
Mọi lo ngại về quyền riêng tư đều được giảm bớt bởi tru.ID không xử lý thông tin nhận dạng cá nhân giữa mạng và các API. Nó hoàn toàn là một tra cứu dựa trên URL.
Đăng nhập không cần mật khẩu: Không người dùng nỗ lực và không tin cậy bảo mật
Một trong những cách để sử dụng các API tru.ID là xây dựng giải pháp không cần mật khẩu để đăng nhập từ xa bằng ứng dụng đồng hành để truy cập hệ thống doanh nghiệp. Bằng cách triển khai tương tác một lần chạm trên điện thoại di động, các doanh nghiệp có thể loại bỏ sự khó chịu của người dùng khỏi bảo mật từng bước và nguy cơ do lỗi của con người.
Dưới đây là quy trình làm việc mẫu cho ứng dụng đồng hành đăng nhập doanh nghiệp sử dụng các API tru.ID:
Lời nói đầu: người dùng đã cài đặt ứng dụng chính thức của công ty trên điện thoại của họ. Ứng dụng doanh nghiệp có nhúng các API xác minh tru.ID.
- Người dùng cố gắng đăng nhập vào hệ thống công ty (email, bảng điều khiển dữ liệu, v.v.). Điều này có thể trên máy tính để bàn hoặc điện thoại di động.
- Hệ thống xác định người dùng cố gắng đăng nhập và gửi Thông báo đẩy.
- Thiết bị di động và ứng dụng của công ty nhận được Thông báo đẩy và người dùng được nhắc Xác nhận hoặc Từ chối nỗ lực đăng nhập. Nếu đó là họ đang đăng nhập, họ sẽ chấp thuận.
- Khi người dùng chấp thuận, một yêu cầu được thực hiện tới API tru.ID thông qua chương trình phụ trợ để tạo URL kiểm tra cho số điện thoại đã đăng ký của người dùng đó.
- Sau đó, ứng dụng công ty sẽ yêu cầu URL kiểm tra đó qua kết nối dữ liệu di động bằng cách sử dụng tru.ID SDK. Đây là giai đoạn nhà mạng di động và tru.ID xác minh số điện thoại của thiết bị hiện tại có khớp với số điện thoại người dùng đã đăng ký trên hệ thống đăng nhập hay không. Lưu ý rằng không có PII nào được trao đổi. Đây hoàn toàn là một tra cứu dựa trên URL.
- Sau khi yêu cầu hoàn tất, hệ thống sẽ được tru.ID thông báo cho dù yêu cầu Kiểm tra URL và khớp số điện thoại có thành công hay không. Điều này đạt được thông qua một webhook.
- Nếu xác minh số điện thoại thành công, người dùng đã đăng nhập.
Mặc dù có một số bước trong cách tiếp cận này, điều quan trọng cần lưu ý là người dùng chỉ có một hành động: Xác nhận hoặc Từ chối đăng nhập.
Bắt đầu
Bạn có thể bắt đầu thử nghiệm miễn phí và thực hiện cuộc gọi API đầu tiên của mình trong vòng vài phút – chỉ cần đăng ký với tru.ID hoặc kiểm tra tài liệu. tru.ID rất muốn nghe ý kiến từ cộng đồng để thảo luận về các nghiên cứu điển hình.
