Was ist Silent Network Authentication?
Lesezeit: 4 Minuten
Silent Network Authentication (SNA) ist eine Form der sicheren Nutzerauthentifizierung, mit der Sie Endbenutzer, Konten und Transaktionen schützen, ohne dass die Nutzer warten oder ihre App verlassen müssen. SNA verwendet direkte Verbindungen zum Netzbetreiber, um den Besitz einer Telefonnummer im Hintergrund zu überprüfen, ohne dass eine Nutzereingabe erforderlich ist. Es gibt weder 6-stellige Sicherheitscodes noch muss eine Authentifizierungs-App heruntergeladen werden. Das heißt, dass es nichts gibt, was Betrüger abfangen können. Aus diesem Grund ist SNA immun gegen Social Engineering und gleichzeitig weiterhin eine benutzerfreundliche Lösung.
SNA basiert auf demselben System, das Betreiber zur Authentifizierung von Mobiltelefonanrufen und Datensitzungen im Netzwerk verwenden, sodass sich Ihr Unternehmen auf ein hohes Maß an Sicherheit für jede überprüfte Telefonnummer verlassen kann.
Das zugrunde liegende Authentifizierungssystem ist standardisiert und vertrauenswürdig, aber die Erweiterung dieser Art der Authentifizierung auf Unternehmen über eine ähnliche API wie Silent Network Authentication-Kanal von Verify ist relativ neu. SNA wird manchmal als Telefonnummernverifizierung oder Header-Authentifizierung bezeichnet.
In diesem Blogbeitrag erfahren Sie, was SNA ist, wie es funktioniert und ob diese Art der nahtlosen Authentifizierung zu Ihrem Unternehmen passt.
Die beste Funktion von SNA ist, dass der Authentifizierungsprozess im Hintergrund abläuft.
Zunächst geben die Nutzer ihre Anmeldedaten ein. Dabei kann es sich entweder um eine Telefonnummer oder um eine E-Mail-Adresse handeln, die mit einer Telefonnummer in Ihrer Anwendungsdatenbank verknüpft ist.
Schritt 2 ist zwar optional, die direkte Netzbetreiberverbindung und -verifizierung kann jedoch 1 bis 4 Sekunden* dauern – was aber immer noch viel schneller ist als ein Prozess mit einem Einmalkennwort. Daher empfehlen wir, den Nutzer während der Wartezeit einen Zwischenbildschirm anzuzeigen, damit sie wissen, dass die Authentifizierung im Hintergrund abgewickelt wird.
Sobald das mobile Netzwerk die Nutzer authentifiziert hat, können Sie sie zu anmeldepflichtigen Inhalten auf Ihrer Website oder in Ihrer Anwendung weiterleiten.
SNA wird bei Registrierungen, Anmeldungen oder Transaktionen verwendet, um zu überprüfen, ob die SIM-Karte (Subscriber Identity Module) der Nutzer aktiv mit dem mobilen Netzwerk verbunden und nicht gefälscht oder geklont ist. Die SNA-Technologie basiert auf der standardisierten GSM-Authentifizierung (Global System for Mobile Communications).
Wenn Nutzer SNA während der Anmeldung, Bezahlung oder immer dann auslösen, wenn Ihre App diese Verifizierung durchführen soll, startet der Browser oder die mobile Anwendung eine mobile Datensitzung auf dem Gerät. Um die GSM-Authentifizierung nutzen zu können, muss SNA über mobile Daten ausgeführt werden, nicht über WLAN [1].
Hier sehen Sie, wie GSM-Authentifizierung und SNA auf technischer Ebene funktionieren:
Schritt 1:
Das mobile Netzwerk (bzw. der Netzbetreiber) aktiviert eine SIM-Karte mit einem eindeutigen Authentifizierungsschlüssel (bekannt als Ki). Dies geschieht, wenn Nutzer eine neue SIM-Karte erhalten. Beide Parteien verfügen über den eindeutigen Schlüssel, aber er wird kein weiteres Mal über das Netzwerk geteilt.
Schritt 2:
SNA initiiert eine Authentifizierungsaufforderung. Das Mobilfunknetz sendet eine Zufallszahl mit einer Länge von 128 Bit (bekannt als RAND) über das Netzwerk an die SIM.
Jetzt haben sowohl das Mobilfunknetz als auch die SIM zwei wichtige Informationen: den Authentifizierungsschlüssel (Ki) und die Zufallszahl (RAND).
Schritt 3:
Sowohl die SIM als auch das Mobilfunknetz nutzen Ki und RAND als Eingabe für eine Einwegfunktion. Die Ausgabe der Einwegfunktion ist eine „signierte Antwort“ (SRES).
Schritt 4:
Die SIM-Karte sendet ihre SRES zurück an das Mobilfunknetz.
Schritt 5:
Das Mobilfunknetz überprüft, ob die beiden SRES übereinstimmen. Wenn dies der Fall ist, wird der User authentifiziert.
Diese Form der symmetrischen Kryptografie macht es für Angreifer sehr schwierig, SRES zu erraten und vorzutäuschen. Das macht diese Authentifizierungsmethode sowohl sicher als auch deterministisch. SNA bietet ein ähnliches Maß an Sicherheit, dank Authentifizierungs-Apps (TOTP) wie Authy oder Google Authenticator.
Es gilt hervorzuheben, dass Nutzer keine Schritte oder Eingaben vornehmen müssen, um die SIM-Karte zu authentifizieren. Alles geschieht im Hintergrund. Diese Art von sicherer und nahtloser Authentifizierung wünschen sich sowohl die Unternehmen als auch die Endnutzer.
Silent Network Authentication ist eine besonders nützliche Form der Authentifizierung, wenn Ihr Unternehmen Folgendes erreichen will:
1. Verringerung der OTP-bezogenen Probleme
SNA ist die einzige Methode, mit der der Besitz von Telefonnummern überprüft wird, ohne dass zusätzliche Nutzereingaben erforderlich sind. Sehen Sie sich nachfolgend einen direkten Vergleich zwischen SMS-Authentifizierung (links) und SNA (rechts) an.
2. Reduzierung der Kosten für den Kundensupport im Zusammenhang mit der Authentifizierung
Wenn Nutzer während des Authentifizierungsprozesses zu viele Probleme feststellen, brechen sie den Vorgang entweder ab oder sie wenden sich an den Support. Beides kostet Ihr Unternehmen Geld. SNA funktioniert nahtlos. Das heißt, Nutzer müssen sich kein Passwort merken, nicht auf ein OTP warten und keine Anwendung herunterladen, um sich zu authentifizieren. Dadurch spart Ihr Unternehmen Zeit und Geld.
3. Verbesserung der Kontosicherheit
Unternehmen verwenden gerne SMS zur Authentifizierung, weil sie einfach zu implementieren sind und weltweit ohne Konfiguration funktionieren. OTP können allerdings abgefangen werden. Wenn Sie SNA als Standard einführen, wird dieses Risiko eliminiert und die Sicherheit für Ihre App und Ihre Nutzer wird verbessert. Dann können Sie wieder auf SMS-Authentifizierung in Verbindung mit SIM-Austausch-Erkennung zurückgreifen, um ein nahtloses Erlebnis zu gewährleisten.
Jede Authentifizierungsmethode hat ihre Vor- und Nachteile, und SNA bietet zwar ein großartiges, nahtloses Erlebnis, funktioniert aber nicht in jeder Umgebung. Folgendes muss gegeben sein:
1. Nutzer müssen ein Mobilgerät mit Mobilfunkverbindung (nicht mit WLAN-Verbindung) verwenden.
Damit SNA funktioniert, muss die Sitzung über mobile Daten ausgeführt werden. Nur dann wird der zugrunde liegende GSM-Authentifizierungsprozess ausgelöst. Bei der Verwendung einer WLAN-Verbindung werden mobile Daten umgangen. Deshalb funktioniert SNA nicht über WLAN. Sie können erzwingen, dass Anforderungen in Ihrer mobilen Anwendung über mobile Daten abgewickelt werden. Dann müssen Sie aber die Nutzer auffordern, WLAN zu deaktivieren, wenn sie einen mobilen Browser wie Safari oder Chrome verwenden.
2. SNA ist nur in bestimmten Ländern erhältlich.
Twilio Verify SNA wird bis Ende des dritten Quartals 2022 in 30 Ländern eingeführt, darunter Deutschland, die USA, Kanada, das Vereinigte Königreich, Frankreich, Spanien, Indien und Indonesien. Wenden Sie sich an uns, um mehr über unsere Abdeckung zu erfahren.
3. Telefone mit Dual-SIM erfordern eine zusätzliche Konfiguration.
Einige Nutzer verfügen über Dual-SIM-Geräte, die zwei verschiedene Datennetzwerke nutzen können. Die Verify API verfügt über integrierte Dual-SIM-Prüfungen, benötigt aber die IP-Adresse der aktiven Datensitzung, um Nutzer mit dem richtigen Netzwerk zu authentifizieren. Lesen Sie mehr darüber, wie Sie Dual-SIM verwalten können, oder wenden Sie sich an uns, um mehr darüber zu erfahren, wie wir mit diesem und anderen Grenzfällen umgehen.
In den Best Practices für die Implementierung von SNA erfahren Sie mehr über den Umgang mit diesen Edge-Szenarien.
Weitere Informationen zur Verify API-Implementierung finden Sie in der Dokumentation. Wenden Sie sich dann an den Vertrieb, um eine Freischaltung des Features zu erhalten und mit dem Entwickeln zu beginnen.
Die folgenden Best Practices für Kontosicherheit könnten Sie ebenfalls interessieren:
Verwandte Posts
Ähnliche Ressourcen
Twilio Docs
Von APIs über SDKs bis hin zu Beispiel-Apps
API-Referenzdokumentation, SDKs, Hilfsbibliotheken, Schnellstarts und Tutorials für Ihre Sprache und Plattform.
Ressourcen-Center
Die neuesten E-Books, Branchenberichte und Webinare
Lernen Sie von Customer-Engagement-Experten, um Ihre eigene Kommunikation zu verbessern.
Ahoy
Twilios Entwickler-Community-Hub
Best Practices, Codebeispiele und Inspiration zum Aufbau von Kommunikations- und digitalen Interaktionserlebnissen.