Het Amerikaanse National Institute of Standards and Technology, oftewel NIST, heeft in een concept van een guideline aangegeven dat het gebruik van sms voor authenticatiedoeleinden ongeschikt is. In de toekomst zou deze methode dan ook niet meer toegepast mogen worden.
De zogenaamde 'Digital Authentication Guideline' is een document dat aangeeft op welke manier ontwikkelaars veilige software kunnen bouwen en hoe overheden en andere organisaties de veiligheid van producten kunnen inschatten, zo meldt Softpedia. In een recente conceptversie van deze richtlijn gaat het instituut, dat onder andere verantwoordelijk is voor de standaardisering van encryptie, in op tweetrapsauthenticatie door middel van sms.
In de richtlijn schrijft het NIST dat het gebruik van sms voor out of band-authenticatie afgeschaft is, oftewel 'deprecated' in de woorden van NIST. Deze manier van authenticatie zou in de komende richtlijnen dan ook niet meer toegestaan zijn. In de huidige richtlijn kan dat nog wel, al moet bij verificatie van tevoren vastgesteld worden of een telefoonnummer daadwerkelijk op een mobiel netwerk aanwezig is, en niet door een voip-dienst wordt aangeboden. Dit zou te grote risico's met zich meebrengen.
Het instituut gaat zelf niet op de risico's in, maar volgens Softpedia zouden berichten via voip-diensten onderschept kunnen worden. De organisatie stelt dat authenticatie-applicaties voor smartphones de voorkeur hebben bij out of band-authenticatie. Daarbij is er een kanaal aanwezig voor privécommunicatie, naast een tweede kanaal voor de authenticatie zelf.
NIST identificeert wel andere risico's van authenticatiemethodes, zo kan een fysieke authenticator in de vorm van bijvoorbeeld een telefoon gestolen worden. Ook zijn duplicatie, phishing en social engineering voorbeelden van dergelijke risico's. Om deze te bestrijden voert NIST enkele oplossingen aan, zoals multifactorauthenticatie bij diefstal of dynamic outputs bij phishing, waardoor een eenmalig gestolen code geen toekomstige codes prijsgeeft.