Para lo que vale, SMS no es muy seguro como un canal fuera de banda.
Lo que he visto en Europa es el uso de un dispositivo móvil registrado como segundo factor.
Sin embargo, el token introducido por el usuario (estilo de Google Authenticator) no se utiliza.
En cambio, cuando llega el momento de iniciar sesión, abre una aplicación móvil especial, ingresa un PIN en esa aplicación y la aplicación habla con el sitio de inicio de sesión que dice "aquí está mi token secreto" fuera de banda con la sesión web.
Por lo tanto, el dispositivo más su información de registro / aprovisionamiento más el PIN de usuario para la aplicación de autenticación / ID sirve como segundo factor, que es menos fácil de piratear que el canal de SMS basado en SS7 / número de teléfono.
El proveedor / nombre real de esta tecnología se me escapa, pero estoy seguro de que alguien más lo ayudará.