Utiliser une "authentification à double facteur" à l'aide d'une confirmation par SMS/mobile apporte bien plus de problèmes que ça n'en résout vraiment. Banques, email,  billetterie ... utilisent tous ce système. Beaucoup de profils sur les réseaux sociaux ont un numéro de mobile publié. Bien rythmé, cette petite attaque "hameçon" a plus de 50% de chances de réussir à mon avis.