Сотрудниками Национального института стандартов и технологий США выпущен финальный предварительный вариант руководства по цифровой аутентификации (Digital Authentication Guideline). В документе присутствует намек на ввод запрета двухфакторной аутентификации с помощью SMS-сообщений.
Институт настоятельно советует организациям прекратить использовать данный механизм аутентификации, который в новых редакциях руководства, вероятно, будет охарактеризован как небезопасный и недопустимый.
В документе указано, что, если внеполосная проверка производится с помощью SMS-сообщения в публичной сети сотовой связи, то верификатор должен убедиться, что используемый телефонный номер на самом деле связан с мобильной сетью, а не с VoIP. Только после этого можно отправлять SMS-сообщение на номер, который был предварительно зарегистрирован в данном сервисе. По мнению представителей института, нельзя допускать смену телефонного номера без двухфакторной аутентификации. В новых редакциях документа применение SMS-сообщений при внеполосной проверке будет запрещено ввиду того, что этот механизм устарел.
Вместо SMS Национальный институт стандартов и технологий США советует производителям пользоваться токенами или криптографическими аутентификаторами даже в случаях кражи мобильного устройства. Эксперты признают подобный риск «приемлемым». Кроме того, сотрудники института положительно относятся к биометрическим системам аутентификации, однако, по их мнению, они должны использоваться лишь вместе с другими способами.
