SMS şifresi, günümüzün en yaygın kullanılan iki aşamalı kimlik doğrulama sistemlerinden biri, ancak bu durum kısa süre içinde değişebilir. ABD'nin Ulusal Teknoloji ve Standartlar Enstitüsü (NIST) tarafından yayınlanan yeni Dijital Kimlik Doğrulama Kılavuzu'nda kimlik doğrulama yazılımlarının SMS'i bir kenara bırakması tavsiye ediliyor.
SMS tabanlı iki aşamalı kimlik doğrulamanın tedavülden kalkması önerisinde sürecin tek başına yeterince güvenli olmayabileceği gerçeği yatıyor. Zira, kılavuzda belirtildiği gibi SMS mesajlarının kesintiye uğratılıp, farklı alıcılara yönlendirilebilmesi veya alıcının VoIP kullanması nedeniyle güvenlik riskleri barındırıyor. Müşterilerin SMS ile iki aşamalı doğrulamayı kullanabilmeleri için bulut tabanlı bir numara servisi kullanmıyor olması şartı aranıyor ABD'de.
If out of band verification is to be made using a secure application (e.g., on a smart phone), the verifier MAY send a push notification to that device. The verifier then waits for a establishment of an authenticated protected channel and verifies the authenticator’s identifying key. The verifier SHALL NOT store the identifying key itself, but SHALL use a verification method such as hashing (using an approved hash function) or proof of possession of the identifying key to uniquely identify the authenticator. Once authenticated, the verifier transmits the authentication secret to the authenticator. Depending on the type of out-of-band authenticator, either: * The verifier waits for the secret to be returned on the primary communication channel.
NIST'in kılavuzunda SMS ile iki aşamalı doğrulamanın akıllı telefonlar, biyometrik ya da parmak izi doğrulama sistemleriyle birlikte kullanılabileceği belirtiliyor. Yukarıda gördüğünüz kesit, akıllı telefonlarda işlemin nasıl yapılacağına dair bir örnek oluşturuyor.
Henüz taslak aşamada olan çalışmalarda, kılavuz yayınlanma aşamasını kamuoyundan gelen yorumlar takip edecek. Bunun için GitHub'ı kullanan kurumun pratiği standart hale getirmesiyle başta Apple olmak üzere birçok teknoloji şirketinin SMS tabanlı kimlik doğrulamadan vazgeçebileceği belirtiliyor. Yöntem, son dönemde Yahoo'dan Twitter'a ve Google'a kadar birçok farklı şirket tarafından kullanılmaya başlamıştı. Google I/O 2015 konferansında güvenlik şifrelerine alternatif olarak kullanılabilecek, güvenlik ve şifreleme cihazlarını tanıtmıştı. Değişiklik, şirketleri bu yönde daha yaygın kullanılabilecek çözümler üretmeye itebilir.
