Hướng dẫn Xác thực Số (Digital Authentication Guideline) bao gồm những quy định mà các phần mềm xác thực phải tuân theo. Trong bản thảo mới nhất của hướng dẫn này, Viện Tiêu Chuẩn và Công Nghệ Quốc Gia Hoa Kỳ (NIST) cho biết họ dự định loại bỏ phương thức xác thực hai lớp (two-factor authentication, gọi tắt là 2FA) dựa trên tin nhắn SMS.
Tin nhắn SMS là cách để các nhà cung cấp dịch vụ như Gmail gửi mã xác thực cho người dùng trước khi truy cập vào tài khoản email. Điều này bổ trợ cho mật khẩu thông thường, như một lớp "tường rào" thứ hai.
Phương pháp này sắp tới có thể bị cấm vì SMS tương đối không an toàn. Điện thoại có thể không nằm trong tay chính chủ sở hữu hoặc SMS có thể bị tấn công trong quá trình gửi, trang Softpedia nhận định.
Mặc dù các tiêu chuẩn của NIST là không bắt buộc về mặt pháp lý, hầu hết các công ty lớn, trong đó có Apple, đều tuân theo chúng.
Các tuỳ chọn xác thực 2FA của Apple hiện tại bao gồm:
- Gửi mã xác thực đến một thiết bị tin cậy (trusted device) như iPhone, iPad, iPod Touch hay Mac.
- Thực hiện một cuộc gọi đến số điện thoại tin cậy (trusted phone number).
- Gửi mã xác thực đến số điện thoại tin cậy thông qua tin nhắn SMS.
Dự thảo hiện tại của NIST yêu cầu các công ty phải đảm bảo số điện thoại tin cậy phải là số điện thoại thực và đang hoạt động với một nhà mạng, không phải số ảo hoạt động thông qua các dịch vụ VoIP. NIST giải thích rằng các dịch vụ VoIP có nguy cơ bị tấn công rất cao.