米国国立標準技術研究所(NIST)のデジタル認証ガイドラインの新しい草案により、Appleなどのテクノロジー企業が二要素認証にSMSの使用をやめる可能性がある。
テッククランチ:
いずれにせよ、変更点は数多くありますが、おそらくジョーとジェーン シックスパックにとって最も関係があるのは、SMS を「帯域外認証システム」として使用すること (基本的には 2FA 用の 1 回限りの使用コードを配信する方法) が積極的に推奨されていないことです。
テキストメッセージによる2要素認証は、企業やユーザーがアカウントのセキュリティを一層強化するための手段として広く利用されています。AppleのApple IDとiCloudサービスでは、SMSメッセージを使用してパスコードを送信し、2要素認証を有効にします。メッセージは「信頼できる」デバイス、電話番号、または通話で送信されます。
帯域外認証を公衆携帯電話網上のSMSメッセージを用いて行う場合、検証者は、使用される事前登録電話番号がVoIP(またはその他のソフトウェアベース)サービスではなく、実際にモバイルネットワークに関連付けられていることを確認するものとします(SHALL)。検証後、SMSメッセージを事前登録電話番号に送信します。事前登録電話番号の変更は、変更時に二要素認証を行わない限り不可能とします(SHALL NOT)。SMS を用いた帯域外認証は非推奨であり、本ガイダンスの将来のリリースでは許可されなくなります。
NIST ガイドラインは実際の法律と同じ法的効力はないが、ほとんどの大手企業がガイドラインに従っているため、Apple やその他の企業は推奨事項が公開されれば SMS 認証のサポートを中止する可能性が高い。
Apple アカウントの 2 要素認証の現在の仕組みの詳細については、Apple サポート Web サイトをご覧ください。
