SMSによる2要素認証は本当に非推奨なのか? - Got Some \W+ech?きっかけ ssmjpで発表してきました。最近、「NISTはSMSによる2段階認証を非推奨」という記事をよく見るようになりました。でも、それって昨年度のPreview版の話で、2017年7月のPublic版でもそうなの?という疑問がわいたので、根性だしてNIST SP800-63bを読んできました。 結論 Public版では非推奨ではありません。CISTによる指摘を、NISTが受け入れたようです。ただ、非推奨をそのまま取り下げたのではなく、SMSを超えて公衆交換電話網(PSTN)経路のOut-of-Band認証にスコープを広げ、「コレを使うならあれせいこれせい」といった諸条件を追加しています。このために、RESTRICTEDな認証と分類されています。ちなみに他の認証方式にRESTRICTEDに分類されたものはありません。 課せられた条件とは。 ちなみに諸条件は、下記の通りです。 RESTRI
俺のSMS認証がこんなに非推奨なわけがない
