2016年7月下旬，有大量新闻报道"宣布2FA结束于SMS"，因为美国NIST建议在其指南的下一版本中弃用2FA代币的SMS带外交付渠道。

在2016年6月/7月时间框架的文件草案中，第5.1.3.2节以：

到期对于短信可能被截获或重定向的风险，新系统的实现者应该仔细考虑其他身份验证器。如果要使用公共移动电话网络上的SMS消息进行带外验证，验证者应验证所使用的预注册电话号码实际上与移动网络相关联，而不是与VoIP（或其他基于软件的）服务相关联。然后它将短信发送到预先注册的电话号码。更改预注册电话号码时，未经双因素认证，不得更改。使用SMS的OOB已被弃用，并且在本指南的未来版本中可能不再被允许。

这一不幸的发现被多家新闻机构发现，包括：

TechCrunch:NIST宣布基于SMS的双因素认证的时代已经过去注册：美国标准实验室说短信不利于认证CXO公司今日网：基于SMS的双因素身份验证即将结束CNET：基于短信的双因素认证很快将被禁止《今日科技》：告别短信双因素认证

虽然这是一份行业和一般新闻机构的评选，但肯定不是一份全面的榜单，淘客宝，更多的出版物通过短信跳出了2FA。遗憾的是，标题，正如你所看到的，是相当具有误导性的，看云，我们相信这确实损害了2FA的概念，通过短信渠道。NIST的这一建议草案还引发了包括美国CTIA在内的众多组织的大力游说。

某些东西肯定奏效了。

在2017年6月发布的NIST特别出版物800-63B（数字身份指南：认证和生命周期管理）中，不推荐将SMS作为2FA的带外信道的建议已不再适用。它不见了！已从文档中删除！

第5.1.3.2节不再提及"弃用短信"。事实上，第5.1.3.1节承认短信可能是一种特定的带外设备：

使用SIM卡或唯一标识该设备的同等设备向公共移动电话网络进行身份验证。只有当验证器通过PSTN（短信或语音）将秘密发送到带外设备时，才应使用此方法。

本版本或任何其他版本中不再提及弃用短信。

该符号和其他一些文本清楚地表明，淘客app定制，短信（和语音）可以用作带外信道（例如，通过使用公共交换电话网（PSTN）。该文件明确指出，物联网是啥，拥有移动设备应通过SIM卡进行身份验证，并明确排除电子邮件或VoIP渠道，因为它们不能"证明拥有特定设备"。

这排除了可以在SIM卡移动设备以及桌面或其他设备上运行的某些类型的消息应用程序，不是由SIM卡唯一识别的：Facebook Messenger、WhatsApp、微信、谷歌语音和许多其他。但是传统的短信，甚至RCS可能会被使用。

我们仍然可以指出短信的一些漏洞，正如最近的一些头条所强调的那样（注意新闻机构是如何迅速地发布坏消息的，但是当业界对我们的抱怨有点辩护时，短信作为2FA渠道虽然不完美，但仍然是非常有效的）。在最终文件中，NIST确实指出：

如果要使用PSTN进行带外验证，验证者应验证使用的预注册电话号码是否与特定物理设备相关。更改预先注册的电话号码被视为绑定新的验证者，并且只能按照第6.1.2节所述进行。

此外，他们还提醒实施者：

验证者应考虑设备交换、SIM卡更改、号码移植等风险指标，或其他在使用PSTN传递带外认证秘密之前的异常行为。

移动行业，特别是移动网络运营商，已经部署了大量的控制措施，以打击SIM卡交换、短信截获和其他对最广泛使用的2FA信道的威胁，这些威胁很少见，但仍然造成了一些不良影响对于极少数的订户来说。尽管不可否认，短信息仍然是最广泛使用和最有效的方式，大数据研发，人们可以添加第二个身份验证因素来保护自己和提供服务的公司。

此外，全球行业协会，如GSM协会，都有活跃的工作组，设计附加标准，将A2P SMS的安全性扩展到2FA以及其他类型的高价值企业消息。这只会改善短信作为一个带外通道。

这是一个非常好的消息，为认证部门的行业和肯定的支持者2FA的短信。NIST承认SMS仍然是2FA的有效带外认证通道，证明了尽管存在一些已知但罕见的威胁，全球推回和有效的反驳导致了一个主要的影响因素退后考虑，可能会导致无数人没有一个简单的基于短信的双因素认证选项。

谢谢你，NIST！

请在Twitter上关注我。@wdudley2009年