新的零信任API为开发者提供移动运营商身份验证

零信任越来越多地被采用为维护应用程序安全和防止数据泄露的最佳策略。为了帮助在零信任方面取得进展，现在有了一种新的、简单的方法，可以通过直接连接到移动运营商使用的认证系统来实现连续用户验证–；无需处理或存储用户数据的开销。

在我们向您展示它如何工作以及如何集成它之前，让我们先从基本挑战开始。

零信任和认证

身份验证的零信任模型本质上意味着永远不要相信返回的用户就是他们声称的那个人，不管他们在哪里或之前的成功尝试。零信任是访问管理的一种战略方法，对于防范不良行为者至关重要。

随着世界转向云，员工、合作伙伴和客户的网络越来越分散，更紧密的身份验证过程变得更加重要。

但更大的安全带来更大的摩擦–；用户必须发明复杂的密码，记住安全问题，并使用验证器应用程序代码、SMS PIN码和其他多因素身份验证（MFA）方法中断工作流程。

安全性和用户体验之间的权衡

我们知道，密码等知识因素并不理想。大多数数据泄露和攻击背后都是密码泄露，Forrester Research估计，在企业环境中，每个员工密码重置都需要70美元的帮助台支持。这还没有考虑到总体令人沮丧的用户体验。

另一方面，由于对普通用户的零信任要求，生物特征识别是不现实的。您也不需要为所有类型的访问请求此类个人信息。

占有因素提供了坚实的中间立场，而移动设备的占有证明更为普遍。此外，手机号码也不太个人化。

然而，使用代码–；甚至认证应用程序–；易受中间人（MITM）和SIM卡交换攻击，并造成用户体验问题–；从永远不会到达的短信代码，到从验证器应用程序输入数字以对抗倒计时的压力。

用户已经掌握了一种更简单、更安全的方式来检查占有率，同时保持零信任–；是手机和里面的SIM卡。

如何通过直接连接到移动网络来验证用户

手机内的SIM卡已通过移动网络运营商（MNO）的身份验证。SIM认证允许移动客户拨打和接听电话，并连接到数据。现在，您可以使用tru为自己的网站或移动应用程序使用同样强大的身份验证方法。身份证件

特鲁。ID直接与全球运营商合作，提供三种API，它们与网络的身份验证基础设施集成，使用数据连接，不收集任何个人身份信息（PII）。真相。ID API验证与电话号码相关联的SIM卡最近是否已更改，从而提供无提示、连续的验证。

零摩擦、零信任、零知识

基于SIM卡的身份验证对用户不可见–；一旦用户输入手机号码，SIM卡的检查就会在后台进行。如果你的网站或应用程序已经存储了手机号码，那就更好了——根本不需要用户操作。这种改进的用户体验在不影响安全性的情况下创造了无缝的帐户体验。

在MNO号码和SIM卡查找–期间，不会交换任何可识别个人身份的用户数据或应用程序信息；检查通过数据连接进行，并验证官方运营商信息。

如何开始

对于使用SIM卡在后台进行的连续零信任授权，建议使用SIMCheck，它还具有快速、简单和服务器端集成的额外好处。如果查找返回SIM卡最近的更改，您可以选择实施额外的升级验证。

这一切是如何通过编程实现的？只需要一个API调用。当客户端发生需要升级或安全检查的情况时，客户端会通知服务器，服务器会调用此API以检查SIM卡是否已更改用户的电话号码：

curl--位置--请求帖子'https://eu.api.tru.id/sim_check/v0.1/checks“\--header”内容类型：application/json“\--header”授权：Bearer<；令牌>；'\--数据原始'{“电话号码”：“<；电话号码>；”}”

SIMCheck API响应看起来像这样，其中“no_sim_change”属性是告诉我们sim卡最近是否已更改的关键：

{“检查id”：“<；检查id>；”，“状态”：“已完成”，“无sim变更”：真，“费用金额”：1.00000，“费用货币”：“API”，“创建时间”：“2021-07-13T23:44:19+0000”，“快照余额”：10.000}

之后，服务器会通知客户机事务或请求是否可以继续。如果失败，你的网站或应用程序可以拒绝访问，或者要求额外的非电话形式的身份验证。

想自己试试吗？您可以免费开始测试，并在几分钟内调用第一个API–；就跟特鲁签约吧。识别或检查文档。特鲁。ID渴望听取社区的意见，讨论案例研究。

要了解基于SIM卡的身份验证工作原理的更多信息，您可以在此处阅读有关使用SubscriberCheck对用户进行身份验证的内容。