Если авторизация производится по паролю и коду из sms, при этом сброс пароля производится только по коду из sms, то получается, что смысла в такой двухэтапной авторизации нет, так как злоумышленникам достаточно завладеть телефоном или перехватывать sms, а пароль - лишняя сущность. Тогда какой смысл в этой схеме?