Nell’ultima bozza delle Digital Authentication Guideline, le regole che i software di autenticazione dell’identità delle persone devono rispettare, l’Istituto Nazionale degli Stati Uniti per gli standard e le tecnologie (US National Institute for Standards and Technology) si appresta ad eliminare l’autenticazione a due fattori basata sull’invio di SMS.
Per aggiungere un ulteriore livello di sicurezza ald un proprio account (Google, Microsoft, Facebook o altro) è possibile attivare la verifica in due passaggi (conosciuta anche con il nome di autenticazione a due fattori), che prevede oltre all’inserimento della combinazione di username e password (che potrebbe essere indovinata da terze persone per violare l’account) anche di un altro elemento non noto, come un codice temporaneo che viene inviato al telefono via SMS. Se i due passaggi vengono superati allora si potrà accedere all’account, ma se non si completa il secondo passaggio allora l’accesso viene negato.
Ci possono essere diversi metodi per completare la verifica dell’identità col secondo passaggio, ad esempio si puo’ ricevere un codice sul telefono via SMS oppure si puo’ installare un’app nel telefono per approvare o non approvare una richiesta di accesso evitando di copiare e incollare codici, oppure si puo’ ricevere una chiamata sul telefono con un voce registrata che ‘detta’ un codice. In ogni caso, il dispositivo su cui ricevere la chiamata, l’SMS o la notifica deve essere prima verificato.
Tuttavia, l’ultima bozza delle Digital Authentication Guideline vorrebbe eliminare come "secondo fattore" di autenticazione il codice ricevuto via SMS sul telefono. Questo perchè si ritiene che questo metodo possa essere poco sicuro. Ad esempio, il telefono potrebbe non essere in possesso del reale proprietario, oppure l’SMS potrebbe essere intercettato da un qualche virus installato sul device.
Nel progetto di legge si legge che la verifica tramite SMS "è deprecata, e non sarà più consentita nelle versioni future di questa guida".
Resteranno disponibili gli altri metodi oggi attivi come l’uso di un’applicazione sul telefono o l’uso di sensori biometrici, come ad esempio un lettore di impronte digitali.
