استفاده از پیامک برای احراز هویت دو مرحله ای احتمالا در آینده منسوخ خواهد شد

وقتی از فرایند احراز هویت دو مرحله ای (2FA) اپل استفاده کنید، یکی از گزینه ها این است که کدی از طریق پیامک برایتان ارسال می شود. با این همه، موسسه ملی استانداردها و فناوری آمریکا که در واقع استانداردهای مربوط به این نرم افزارها را تعیین می کند، اخیرا اعلام کرده ارسال پیام متنی روش ایمنی برای این منظور نیست و به همین خاطر در آینده این شیوه منسوخ خواهد شد.

البته دستورالعمل های این سازمان جنبه حقوقی و الزام آور ندارند، با این همه بسیاری از شرکت ها از آنها تبعیت می کنند و در نتیجه بعید نیست که اپل بعد از انتشار این بیانیه، پشتیبانی از سیستم احراز هویت پیامکی را متوقف نماید.

گزینه های فعلی پیش روی شرکت ساکن کوپرتینو برای احراز هویت دو عاملی به شرح زیرند:

• ارسال کد برای دستگاه معتبر (آیفون، آیپد، آیپاد تاچ و مک)
• تماس صوتی با دستگاه معتبر
• ارسال کد از طریق پیامک به یک شماره موبایل معتبر

طبق پیش نویس کنونی از سوی موسسه ملی استانداردها و فناوری آمریکا، شرکت ها تنها باید مطمئن شوند که شماره موبایل های معتبر به یک شبکه متصل باشند و شماره های مجازی که از سرویس VoIP استفاده می کنند، در شبکه حضور نداشته باشند. علت هم این است که سرویس های یاد شده امکان تضعیف شدن دارند.

یکی از جملات تامل برانگیز و ابهام آور در این بیانیه بدین شرح است: «تایید خارج از باند با استفاده از پیامک منسوخ است و در نسخه های بعدی این دستورالعمل غیرمجاز قلمداد می گردد.»

از جمله عوامل سردرگمی در اینجا استفاده از عبارت «خارج از باند» است که می توان آن را به طرق مختلفی تعبیر کرد. منظور از این عبارت یک کانل فیزیکی جداگانه است که در فرهنگ اصطلاحات مخابراتی گاهی اوقات از آن برای اشاره به سرویس های VoIP استفاده می گردد.

با این همه، در حوزه امنیت، لاگین تحت وب و دریافت کد تاییدیه از طریق موبایل هم خارج از باند محسوب می شود. در بیانیه موسسه ملی استانداردها و فناوری آمریکا احتمالا منظور مورد دوم است و این یعنی کلیه موارد استفاده از SMS منسوخ خواهند شد.