<div dir="ltr"><div>One of my main problems with SMS 2FA from a usability standpoint, aside from SS7 hijacks and security problems, is that it cannot be relied upon when traveling in many international locations. I have been <i>so many places</i> where there is just about zero chance of my T-Mobile SIM successfully roaming onto the local network and receiving SMS at my US or Canadian number successfully. <br></div><div><br></div><div>What am I supposed to do, take the SIM out of my phone, put it in a burner and give it to a trusted family member in North America, just for the purpose of receiving SMS 2FA codes (which I then have to call them and get the code from manually each time), before going somewhere weird?</div><div><br></div><div>In the pre covid19 era when people were actually traveling places, imagine you've had reason to go somewhere weird and need access to a thing (such as your online banking, perhaps?) protected by SMS 2FA, but you have absolutely no way of receiving the SMS where you're presently located...</div><div><br></div><div>Many of the people designing SMS 2FA systems used by people with accounts/services in the US 50 states and Canada seem to assume that their domestic customers will forever remain in a domestic location.</div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Apr 18, 2021 at 5:44 AM Mark Tinka <mark@tinka.africa> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
On 4/18/21 05:18, Mel Beckman wrote:<br>
<br>
> No, every SMS 2FA should be prohibited by regulatory certifications. <br>
> The telcos had years to secure SMS. They did nothing. The plethora of <br>
> well-secured commercial 2FA authentication tokens, many of them free, <br>
> should be a mandatory replacement for 2FA in every security governance <br>
> regime, such as PCI, financial account access, government web portals, <br>
> etc.<br>
<br>
While I agree that SMS is insecure at the moment, I think there still <br>
needs to be a mechanism that does not rely on the presence of an <br>
Internet connection. One may not be able to have access to the Internet <br>
for a number of reasons (traveling, coverage, outage, device, money, <br>
e.t.c.), and a fallback needs to be available to authenticate.<br>
<br>
I know some companies have been pushing for voice authentication for <br>
their services through a phone call, in lieu of SMS or DTMF-based PIN's.<br>
<br>
We need something that works at the lowest common denominator as well, <br>
because as available as the Internet is worldwide, it's not yet at a <br>
level that one would consider "basic access".<br>
<br>
Mark.<br>
</blockquote></div>