SMS no es un medio seguro de autenticación, pero es más seguro que nada. El punto de un segundo factor es requerir más de un atacante antes de que puedan obtener acceso. La idea es que, con suerte, el tiempo necesario para comprometer el segundo factor compre el tiempo suficiente para detectar y corregir el compromiso del primero.
Por lo tanto, no es necesario que los mensajes SMS sean imposibles de comprometer, solo que sea lo suficientemente difícil como para comprometer los mensajes SMS que es más difícil para un atacante obtener la contraseña y el SMS juntos. Existen opciones mucho mejores, como las soluciones HOTP, pero a menudo requieren la distribución de dispositivos independientes (si no desea el mismo problema de malware del teléfono).
La seguridad se trata de equilibrar el riesgo y el costo. Los mensajes SMS son baratos y proporcionan seguridad adicional, incluso si no son seguros por sí mismos. Suben un poco la barra casi sin costo alguno.