La autenticación basada en teléfono debe ser más segura que basada en correo electrónico, ya que es más difícil controlar un teléfono que una cuenta de correo electrónico. ¿Debo usar la autenticación del teléfono a través de la verificación por correo electrónico?
verificación de SMS no se debe usar.
Una buena práctica en la autenticación de dos factores es utilizar una aplicación de autenticación (como Google Authenticator) como segundo factor. Si un atacante tiene acceso a tu teléfono, esto tampoco te ayudará. Pero el problema con SMS como segundo paso de verificación es que introduce riesgos adicionales relacionados con la seguridad del operador. Debido a esto, NIST ya no recomienda utilizar la autenticación de 2 factores basada en sms en la última publicación de sp800-63b ( enlace sección 5.1.3.2. Verificadores fuera de banda)
Es recomendable utilizar un segundo factor que esté físicamente separado del primer factor. De esta manera, incluso si se captura uno de los dispositivos, el adversario no puede obtener el control completo de la cuenta.
Si espera que la mayor parte de su tráfico entrante provenga de un dispositivo no móvil, el uso de una autenticación basada en el teléfono definitivamente sería seguro. Sin embargo, como buena práctica, debe considerar el caso de que un usuario haya perdido su teléfono y desee conectarse. Puede verificarlo en Dropbox.
Lea otras preguntas en las etiquetas authentication email multi-factor phone