Hmm, sarebbe sicuro fornito , come indicato da Steffen in una risposta (non duplicandola) queste cose non ti capita (telefono che si perde, telefono che mostra la password sulla schermata di blocco, infetto da malware e altri).
Quello che puoi fare in alternativa è che puoi chiedere una stringa casuale anche durante la registrazione (molto simile a una password, quindi con maggiore entropia). E imposta la password come OTP + Random_string . Chiedi all'utente di inserirla nel campo della password con il nome utente come numero di cellulare (o quello che vuoi), che risolverebbe i problemi come affermato da Steffen. Quindi sarebbe molto più sicuro e quasi alla pari con 2FA.
Spero che questo aiuti!