長期以來,許多從事數字身份並訪問在線服務的人一直是自我主張的身份(SSI)。現在,各個部門都相信SSI可能會幫助他們解決特定行業的一些主要問題,而電信行業就是最新的例子。
電信行業解決方案聯盟(ATIS)表明,電信將採用SSI作為打擊SIM交換欺詐的一種手段。
一個25頁報告on the topic from ATIS argues that “SSI not only addresses the core vulnerabilities of current identity verification systems, but it also gives users cryptographic proof of their identity and ownership of their telephone numbers. By shifting the paradigm from centralized to user-centric, decentralized management, SSI stands as a pillar of resilience against the growing tide of telecom-related fraud.”
ATIS總結了SIM的掉期及其泰坦尼克號的成本:聯邦調查局每年向美國的個人和企業報告7200萬美元的損失,而加拿大的電信監管機構卻計算了2019年8月至2020年5月的24,000多個未經授權的數字端口和SIM掉期。
SIM卡交換依賴於攻擊者已知的受害者的個人細節,通常是通過網絡釣魚或在黑暗網絡上出售受到破壞的個人身份信息。攻擊者電話電信運營商請求電話號碼傳輸,然後根據設備擁有或一次性密碼擊敗兩因素身份驗證。
應用SSI停止SIM交換欺詐的部分描述了在消費者的移動設備上使用數字錢包來存儲可驗證的憑據。這通過增強訂戶對電話號碼的控制來提高安全性,但也減少了承運人對更傳統和脆弱形式的身份驗證和授權形式的依賴。
報告指出:“此外,SSI的實施範圍超出了特定特定身份的發行。” “利用現有的數字身份證書,例如政府發行的ID或新引入的移動駕駛許可證(MDL)的數字版本(MDL)ISO 18013-5目前正在美國各個州進行部署的規格可以顯著增強承運人的入門和審查流程。 ”
ATI列出了幾種攻擊方案,以及SSI將如何幫助減輕它們,並提供有關行業如何實現這些好處的建議。
ATIS說,需要更強大的利益相關者協作,應該為更多的測試做好準備,然後在實施過程中產生挑戰。
這NFID基金會,本周正式推出,專注於將SSI的好處帶入物理訪問控制。
同時加強基於移動的身份驗證
如果電信要採用SSI,那將需要時間。同時,ATIS報告中提到的網絡釣魚和基於SIM的攻擊將繼續困擾移動安全性。
伸縮已經啟動了新的Omnichannel驗證API,以提供SMS身份驗證的替代方案。根據公告,SMS身份驗證成本正在波動,並且API在避免這種方法的同時,對這種方法的脆弱性提供了內置保護。
驗證API通過七個渠道(包括SMS,PUSH,Email和WhatsApp)捆綁通信,以允許企業添加以最少的資源添加新的身份驗證渠道。
TeleSign首席執行官Christophe van de Weyer說:“網絡釣魚嘗試,社會工程計劃和帳戶接管的一件事是,他們通常可以使用強大的客戶身份驗證技術在'前門'中停止它們。”
