SMSによる2要素認証は本当に非推奨なのか?
きっかけ
ssmjpで発表してきました。最近、「NISTはSMSによる2段階認証を非推奨」という記事をよく見るようになりました。でも、それって昨年度のPreview版の話で、2017年7月のPublic版でもそうなの?という疑問がわいたので、根性だしてNIST SP800-63bを読んできました。
結論
Public版では非推奨ではありません。CISTによる指摘を、NISTが受け入れたようです。ただ、非推奨
をそのまま取り下げたのではなく、SMSを超えて公衆交換電話網(PSTN)経路のOut-of-Band認証にスコープを広げ、「コレを使うならあれせいこれせい」といった諸条件を追加しています。このために、RESTRICTED
な認証と分類されています。ちなみに他の認証方式にRESTRICTED
に分類されたものはありません。
課せられた条件とは。
ちなみに諸条件は、下記の通りです。
- RESTRICTED以外の認証方式を1つ以上提供しなければならない
- RESTRICTED認証方式のリスクアセスメントをしなければならない
- リスクアセスメントの結果を利用者にわかりやすい形で届けなければならない
- RESTRICTED認証方式が禁止されたときに備えた移行プランを準備しなければならない
B2BならいざしらずB2Cなサービスに2段階認証を整備するとなると、PSTN経路のOut-of-Band認証方式はほぼ避けられないですね。厳しいです。ちなみに日本においてPSTN経路は廃止される予定ですが、総務省の計画では2025年です。それまで2FAを準備しないのは、まあ、ないでしょうね... 米国でのサービス展開を考えているなら、今から対応しておいたほうがよさそうです。
ただ、アメリカみたいにグローバルなIT企業がばっこしているところだろ、本国のPSTNは安全でも、途上国のは脆弱な経路になるんだろうなぁ...とも思っています。
余談
NISTのパブコメはGithubで公開されています。本件のissueは下記をご参照ください。
色々差を感じるなぁ...エクセルやめようぜ...