Het Amerikaanse National Institute of Standards and Technology (NIST) heeft verklaard waarom sms niet meer geschikt is voor twee-factor authenticatie en op den duur moet worden uitgefaseerd. Volgens het NIST spelen daarbij twee factoren een rol. De eerste reden is dat sms-berichten niet alleen meer alleen naar telefoons worden verstuurd. Door de opkomst van voip en andere ip-gebaseerde diensten kunnen sms-berichten ook via internet binnenkomen. Een aanvaller hoeft in dit geval niet meer de fysieke controle over de telefoon van de gebruiker te hebben om de extra inlogcode te onderscheppen. Maar zelfs als het sms-bericht naar een echte telefoon gaat biedt dit nog niet voldoende zekerheid. Onderzoekers hebben namelijk aangetoond dat het steeds eenvoudiger en goedkoper wordt om grote hoeveelheden sms-berichten te onderscheppen of door te sturen. — lees verder bij security.nl (30/7/2016)
Neem daarbij ook nog maar als derde goede reden dat niet iedereen zin heeft om ook nog eens zijn of haar gsm-nummer aan datagieren als google en co door te geven of na een hack op het internet te laten rondzwerven.