Национальный институт стандартов и технологий США (NIST) опубликовал новый проект своего руководства по цифровой аутентификации, которое устанавливает правила для всего программного обеспечения аутентификации. В документе NIST отказывается от использования SMS в качестве метода подтверждения второго уровня безопасности для различных учетных записей, «больше не» разрешая его использование в будущих рекомендациях, поскольку он считается недостаточно безопасным (через TechCrunch).
Настройка двухфакторной аутентификации через текстовые сообщения является одним из самых популярных способов, которыми пользователи добавляют дополнительный уровень безопасности к учетной записи помимо основного пароля, в том числе для собственных программ Apple, таких как Apple ID и iCloud. Помимо SMS, Apple позволяет пользователям реализовать двухфакторную аутентификацию с помощью простого push-уведомления, отправленного на другое «доверенное устройство«, или телефонного звонка.
Если проверка внеполосного канала должна осуществляться с помощью SMS-сообщения в общедоступной мобильной телефонной сети, проверяющий должен убедиться, что используемый предварительно зарегистрированный номер телефона действительно связан с мобильной сетью, а не с сервисом VoIP (или другим программным сервисом). Затем он отправляет SMS-сообщение на предварительно зарегистрированный номер телефона. Изменение предварительно зарегистрированного номера телефона не должно быть возможным без двухфакторной аутентификации в момент изменения. **Использование SMS для внеполосной проверки не рекомендуется и больше не будет разрешено в будущих версиях данного руководства**.
Новые рекомендации также требуют, чтобы компании гарантировали, что уведомления о двухфакторной аутентификации не проходят через службу VoIP, которая может быть легко скомпрометирована. NIST также включает «ограниченное использование» биометрических данных как способ доступа пользователей ко второму уровню аутентификации, что означает, что Apple может перейти на Touch ID в качестве альтернативы, если поддержка SMS для этой функции безопасности официально прекратится.
