У США двохфакторна аутентифікація на основі SMS повідомлень може бути заборонена.

Національний інститут стандартів і технологій США випустив останню попередню версію посібника з цифрової аутентифікації (Digital Authentication Guideline), в якому є натяк на заборону двофакторної аутентифікації на основі SMS повідомлень. Представники інституту настійливо рекомендують компаніям відмовитися від такого типу аутентифікації, який в майбутніх версіях керівництва, можливо, буде розглядатися як «неприпустимий» і «небезпечний».

«Якщо позасмугова перевірка здійснюється за допомогою SMS повідомлення в публічній мережі мобільного телефонного зв'язку, верифікатору необхідно переконатися, що використовуваний попередньо зареєстрований номер телефону дійсно пов'язаний з мобільною мережею, а не з VoIP (або іншим програмно-реалізованим сервісом). Тільки потім можлива відправка SMS повідомлення на попередньо зареєстрований телефонний номер. Зміна попередньо зареєстрованим номером не повинна бути можлива без двофакторної аутентифікації в ході зміни. Використання SMS повідомлень при позасмуговій перевірці є застарілою, і не буде дозволено в наступних версіях керівництва», - заявлено в документі.

У керівництві рекомендується використовувати виробникам токени або криптографічні аутентифікатори

, навіть незважаючи на те, що мобільний пристрій може бути вкрадено. Такий ризик визнається експертами як «прийнятний». Фахівці інституту також лояльно ставляться до біометричних систем аутентифікації, але тільки за однієї умови: "біометрія повинна бути використана тільки разом з іншим аутентифікаційних фактором».