Nhưng không phải mọi phương pháp dùng mã xác thực này là an toàn . Viện Tiêu chuẩn và công nghệ Mỹ ( NIST ) , cơ quan thiết lập những hướng dẫn và những quy tắc trong mật mã và an ninh , đã đề xuất không nên dùng dựa trên SMS và sẽ không cho phép thực hiện việc này trong tương lai .

Những đề xuất sơ bộ hiện thời đã đưa ra một số lí do tại sao NIST lại cho rằng việc sử dụng mã xác thực dựa trên SMS không còn an toàn . Một trong những nguyên nhân đó là dịch vụ truyền thông VoIP ngày càng phát triển nên rất khó xác định tin nhắn SMS được gửi thực sự thông qua mạng mobile truyền thống mà không phải dịch vụ với số điện thoại ảo . Tin tặc có thể tìm được nhiều cách để truy cập từ xa , can thiệp hoặc định hướng lại tin nhắn SMS . Kết quả là NIST không tán thành sử dụng SMS để chứng thực và sẽ không cho phép sử dụng trong tương lai .

Các nhà cung cấp có thể thay thế bằng ứng dụng 2FA như Google Authenticator hoặc RSA SecurID mà có thể tạo ra những mã chứng thực hoặc những thiết bị riêng biệt như khóa an ninh , Smart Card … NIST cũng đề nghị “dùng hạn chế” sinh trắc học để làm lớp chứng thực thứ hai cho người dùng .