Francamente? Detesto esse modelo de autenticação como usuário, no dia a dia. Acredito que o telefone celular do usuário seria o ideal... Até pela segurança das pessoas que aqui estão participando. O gmail utiliza esse recurso quando você acessa por outro dispositivo.
Do ponto de vista de segurança, autenticação por número de celular é extremamente não aconselhável. SIM Swap é uma realidade e no brasil é um problema sério.
Além disso:
- É extremamente caro. Cada mensagem de texto custa dinheiro.
- É fácil remover o chip e usar em outro celular, burlando autenticação do usuário no aparelho.
- Outros pontos que não convem citar aqui, achei esse artigo bom suficiente caso queira entender um pouco melhor do assunto.
Como usuário também detesto esse modelo de autenticação. Ao invés dessa forma, seria interessante, na minha opinião, utilizar o modelo de autenticação adotada pelo Discord, por exemplo. Na autenticação de dois fatores do Discord, utiliza-se o Authy. É bem intuitivo, só não sei se tem custos altos.