El mercado de la autenticación de usuarios esta cambiando. Hay un dispositivo digital que tiene más usuarios que cualquier otro en el mercado. Se usa desde los pueblos rurales en India hasta las grandes metrópolis: El teléfono móvil. Seria ideal aprovechar las ventajas de su teléfono, el cual básicamente siempre esta con usted, para autenticar a los usuarios a servicios online. Bueno esto ya es posible gracias a Mobile Connect.
GSMA y Mobile Connect
GSMA representa los intereses de los operadores móviles en todo el mundo. Existen varios grupos que trabajan de la mano de GSMA aconsejando en diferentes tecnologías móviles, en mejores practicas y estándares. Bajo el Grupo de Datos Personales (Personal Data Working Group), hay un grupo llamado Mobile Connect. En el núcleo de Mobile Connect, hay una versión adaptada del protocolo OpenID Connect que busca crear un ecosistema federado y de identidades móviles federadas.
Mobile Connect es Global
En algunas partes del mundo, el teléfono móvil es un dispositivo muy básico. En otras parte, la mayoría de las personas no se pueden despegar de sus dispositivos móviles, mientras verifican los estados de sus redes sociales, juegan, leen artículos, descargan aplicaciones entre muchos otros usos. El aspecto global de Mobile Connect toma esto en consideración y permite a los operadores móviles seleccionar el método de autenticación de usuario más apropiado para sus usuarios. Dispositivos más básicos pueden usar autenticación basada en SMS o SIM (no-PKI), en cuanto a dispositivos más avanzados pueden usar una aplicación o su propia huella para autenticar usuarios y servicios online.
GSMA llama a estos: autenticadores. Un autenticador es una tecnología que ofrece los medios para que el usuario final establezca su identidad. Un autenticador siempre usa un dispositivo que contiene un MSISDN (es decir el número de teléfono). Esto hace a Mobile Connect especial. El MSISDN puede ser considerado como un atributo único o un identificador.
Entonces como funciona el proceso de autenticacion: El usuario se conecta a un servicio online usando su número de teléfono, este número es enviado a través de un aplicativo llamado IDP Discovery a GSMA quien identificará el Operador del usuario móvil. Una vez que sea identificado el Operador, el IDP Discovery regresa al proveedor de servicio el nombre del operador para que el pueda solicitar la autenticación, de acuerdo al nivel del aplicativo, el enviará el pedido de autenticación usando uno de los diferentes métodos disponibles (SIM card, SMS, digital etc). Dependiendo de la operadora, habrán diferentes métodos de autenticación disponibles para los usuarios. Para el usuario este proceso es muy simple, el solo necesita escribir el número de teléfono y luego el recibirá la solicitud de autenticación de su operadora, todo esto ocurre en cuestión de segundos.
La comunicación entre el proveedor de servicios online y el portal de identidades es estandarizado, lo cual permite conectar servicios online y portales de identidad de forma global.
Mobile Connect es Federado
Otra parte muy importante de Mobile Connect es la federación. Federación es la tecnología (y los acuerdos) que permite a los usuarios moverse entre dominios independientes sin la necesidad de autenticarse nuevamente, osea usando una sola identidad. En el concepto de Mobile Connect, el usuario de un operador móvil por ejemplo de México, podrá acceder a un servicio online en la Ciudad de Nueva York. Lo que permite esto es algo llamado Discovery Service (Servicio de Descubrimiento).
El escenario normal es que el proveedor de servicios online este conectado al servicio de Discovery Service de GSMA (y al Portal de Identidad). El servicio de Discovery entrega la pantalla de inicio de sesión al usuario final cuando el número de teléfono es escrito por el usuario. El servicio de Discovery verificará el número de teléfono y comprobara que este pertenece a un operador basado en México y enruta la solicitud de autenticación al operador local del usuario. El operador local luego envía una solicitud de autenticación al usuario del dispositivo móvil y autentica al usuario.
Habilitando al Subscriptor
Cuando el operador decide implementar Mobile Connect necesitarán como primer paso construir la infraestructura. En este caso ellos adquieren o construyen un Portal de Identidad y seleccionan los autenticadores apropiados para sus subscriptores. La implementación de esta solución: el Portal de Identidades puede ser realizado de dos formas una fácil y una un tanto complicada. La forma fácil puede ser realizada por ejemplo usando el Portal de Identidades de GlobalSign como una solución de gestión, que puede ser implementado en hasta dos horas después de que recibimos la solicitud de la operadora. Existe una manera más difíci, costosa y complicada de realizar este proceso. El desarrollo interno necesitara un equipo que lo desarrolle, lo que puede ser muy costoso, también deben de realizar pruebas y actualizar el protocolo constantemente a medida que nuevas características sean necesarias en el futuro.
El siguiente paso es seleccionar el autenticador(es). El autenticador seleccionado depende de la situación del mercado y en que los subscriptores puedan usar. Hay opciones de autenticadores que se pueden basar en tecnologías basadas en SMS y no necesitaran nada adicional para ser instalado en el teléfono del usuario. La próxima categoría será un autenticador que involucre una instalación de una aplicación pequeña basada en SIM, pero sigue usando comunicaciones basadas en SMS. Las aplicaciones SIM un poco más avanzadas como por ejemplo operaciones basadas en PKI, usualmente requieren una nueva tarjeta SIM y significa que los operadores deben de visitar la tienda para cambiar la SIM, de todas formas ellos siguen usando SMS para la ultima parte del proceso desde el servidor de autenticación al dispositivo del usuario.
El costo de implementar un autenticador es un factor importante que se debe considerar. Un despliegue de Aplicaciones autenticadoras de teléfonos inteligentes (SAA) y el autenticador basado en SMS tienen cero costo para el operador. Uno basado en SIM no PKI tiene costos de mensajes SMS para ser desplegado. Si el usuario necesita cambiar SIM y visitar la tienda del operador móvil, el costo de despliegue estará entre $10 y $20 dolares por usuario.
Nivel de Confianza (LoA)
Dependiendo del autenticador seleccionado, el método tendrá un nivel de 1-4, que reflejará el nivel de Confianza (LoA por sus siglas en ingles) del autenticador. Un autenticador multi-factor tendrá un número más alto. Los autenticadores que verifican que una persona presiono "OK" en el teléfono móvil tienen un nivel bajo. El proveedor de servicios online puede solicitar cierto nivel de confianza (niveles de confianza) cuando desea autenticar al usuario final.
Es importante anotar que en este momento el LoA de Mobile Connect solo describe la fuerza del método de autenticación, no la identidad. La fuerza de la identidad se relaciona al proceso de registro y como el usuario ha sido verificado cuando adquiere su suscripción de teléfono móvil. En la mayoría de mercados, para obtener un teléfono móvil se necesita verificar la identidad.
Mobile Connect tiene el potencial de convertirse en un método global de autenticación para usuarios online.