Tweestapsverificatie via sms wordt vaak als de onveiligste 2fa-methode gezien. Dat ligt volgens critici grotendeels aan het feit dat sms aan een telefoonnummer is gekoppeld. Er zijn veel voorbeelden bekend waarbij accounts werden overgenomen door via social engineering een telefoonnummer over te nemen. Via de klantenservice van providers blijkt dat in veel gevallen niet erg moeilijk. Onder meer Microsoft heeft daarom in het verleden al opgeroepen om geen gebruik te maken van tweestapsverificatie via sms.