<div dir="ltr">I strongly agree with Larry. I have had money stolen from accounts protected with SMS 2FA because it is not secure. I do not support enablement of SMS 2FA at all, even as a second option. I *do* support mandatory enforcement of TOTP or FIDO 2FA for all users, new or not.<div><br></div><div>-Ross<br><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><pre style="white-space:pre-wrap;color:rgb(0,0,0)">In answer to the consult:
Once SMS-based two-factor authentication (2FA) is available for ARIN 
Online, do you believe ARIN *should not* proceed with requiring 2FA 
authentication (SMS-based or TOTP) for all ARIN Online accounts?  If so, 
why?

SMS 2FA is subject to security flaws, interception, sim-card theft, etc.
I don't believe SMS 2FA is appropriate at all.

TOTP or FIDO should be the only methods, IMO.


-- 
Larry Rosenman                     <a href="http://www.lerctr.org/~ler">http://www.lerctr.org/~ler</a>
Phone: +1 214-642-9640                 E-Mail: <a href="https://lists.arin.net/mailman/listinfo/arin-consult">ler at lerctr.org</a>
US Mail: 5708 Sabbia Dr, Round Rock, TX 78665-2106</pre></blockquote></div></div>