Az sms fallback-el az a baj, hogy oké, hogy te nem használod, de a támadó, ha már kompromittálta az sms elérésed, akkor saját maga kéri a banktól az sms fallback-et és máris ugyanott vagy: ő is megkapja és már authentikálta is magát vele.
De nyilván valamilyen net független failback kell, szerintem egy totp is jobb lenne az sms-nél.