比如银行账号，就可以用更安全的U盾来验证，成本和安全性，他们显然选择安全性优先。

考虑另外一个软件，比如QQ和游戏账号，早几年的时候盗号有多疯狂你们应该清楚，现在QQ绑定手机号之后就很少听说盗号了，网易游戏账号登录用到的将军令就类似TOTP验证，也很少盗号了。 

 可以做多几种验证方式给用户选择。
像甲骨文云可以使用多种TOTP，还有硬件设备验证。
短信验证可以作为其中一种验证方式。