Hmm, sería seguro proporcionado , como señala Steffen En una respuesta (no en la duplicación) estas cosas no le suceden (el teléfono se pierde, el teléfono muestra la contraseña en la pantalla de bloqueo, está infectado por malware y otros).
Lo que puedes hacer alternativamente es que puedes pedir una cadena aleatoria también durante el registro (como una contraseña, por lo tanto, con una mayor entropía). Y establece la contraseña como OTP + Random_string . Pídale al usuario que ingrese eso en el campo de la contraseña con el nombre de usuario como número de teléfono móvil (o lo que desee). Eso resolvería los problemas como lo indicó Steffen. Por lo tanto, sería mucho más seguro y casi a la par con 2FA.
Espero que esto ayude!