Dipenderà davvero dal tuo modello di minaccia.
Gli SMS potrebbero essere più facili da individuare o essere intercettati da un'app dannosa sul telefono. Quindi, se sei preoccupato per questo tipo di attacco, potrebbe essere meglio usare l'opzione di chiamata.
Tuttavia, la maggior parte dei telefoni non richiede lo sblocco di un dispositivo per accettare una chiamata, quindi se lasci il telefono incustodito, sulla scrivania, (o viene rubato) uno potrebbe usarlo per ottenere un codice, mentre per un SMS potresti bloccarlo Naturalmente la maggior parte delle persone al giorno d'oggi non lascia mai lo smartphone incustodito, ma questo è solo un esempio di come la definizione del modello di minaccia sia importante.
Per me, come SECONDO fattore di autenticazione, se non posso scegliere un generatore di OTP come Google Authenticator, uso gli SMS per non dover rispondere alle chiamate, che non è sempre conveniente, e anche perché non vedo SMS annusando come una possibilità reale nei miei casi d'uso.
Tuttavia, come sottolineato nei commenti di @cornelinux, l'autenticatore di Google è vulnerabile a determinati attacchi alla fase "accordo segreto", quindi di nuovo: definisce e controlla il tuo modello di minaccia.