Das US-amerikanische NIST (National Institute of Standards & Technology) hat in einem neuen Entwurf über behördlich anerkannte Zwei-Faktor-Anmeldungen erklärt, dass SMS nicht mehr als sicherer Weg für die Übermittlung des Authentifizierungs-Codes gilt. Dies hat verschiedene Gründe, auf welche die US-Behörde in dem Dokument auch näher eingeht. So lassen sich SMS abfangen oder umleiten, ohne dass dies vom Nutzer bemerkt werden kann. Außerdem ist es häufig möglich, die Telefonnummer für die SMS zu ändern, ohne dass eine Zwei-Faktor-Anmeldung erforderlich ist.


Zwar wird der Weg über SMS im aktuellen Entwurf noch geduldet, doch könnte es damit in einem Jahr dann vorbei sein. Bei der Umsetzung neuer Systeme zur Zwei-Faktor-Anmeldung sollten daher alternative Wege in Betracht gezogen werden. Hierzu macht das Dokument auch gleich einen Vorschlag: Statt SMS sollte eine Smartphone-App des Dienstes zum Einsatz kommen. Diese kann durch Verschlüsselungsmechanismen gesondert abgesichert werden, um Manipulationsmöglichkeiten wie bei der SMS zu vereiteln.

Für die Apple ID bedeutet dies das absehbare Ende der zweistufigen Anmeldung mit Telefonnummer. Apple könnte dann mittels Push-Technik nur noch vom Nutzer zuvor registrierte iOS-Geräte oder Macs nutzen, um dem Nutzer den Authentifizierungs-Code zukommen zu lassen. Sicherlich dürften auch andere IT-Unternehmen wie Facebook oder Google einen derartigen Weg wählen. Alternativ gibt es auch noch OTPs (One Time Password, Einmalkennwörter), welche durch zeitabhängige Berechnungen anhand eines geheimes Zweitkennwortes generiert werden und damit den Authentifizierungs-Code der aktuellen Minute darstellen.