通话更安全，阅读短信只需要一个简单的程序，而监控通话则需要一个真实的人，从而增加了很多工作量。

阅读短信是您可以在任意数量的手机上做的事情，而同时收听那么多电话是不可能的（除非你是美国国家安全局我猜）。即使你找到了一种方法来记录通话然后发送它，这里的编程工作量要大得多，你还需要更多的处理能力和带宽，再次降低你被它抓住的机会。

编辑：我只是想补充一下，当然其他人谈论你的威胁模型是对的。如果你把手机放在一边，人们可以拿着它听密码，当然短信会更好。但是话又说回来，如果您甚至没有锁定它，那也没关系。

如您所见，是的，这取决于您，但如果您确实有密码并且您不会将手机放在周围，那么通话会更好。

这实际上取决于您的威胁模型。

SMS 可能更容易被嗅探，或者被手机上的恶意应用程序拦截。因此，如果您担心这种攻击，最好使用看涨期权。

但是，大多数手机不需要设备解锁来接听电话，因此如果您将手机无人看管，例如放在办公桌上（或被盗），则可以使用它来获取代码，而对于 SMS，您可以锁定它。当然，如今大多数人都不会在无人看管的情况下离开智能手机，但这只是说明定义威胁模型的重要性的一个例子。

对我来说，作为第二个身份验证器因素，如果我不能选择像 Google Authenticator 这样的 OTP 生成器，我使用 SMS 是为了不需要接听电话，这并不总是很方便，也因为我不认为 SMS 嗅探是一种在我的用例中真正的可能性。然而，正如@cornelinux 评论所指出的那样，谷歌身份验证器在“秘密协议”阶段容易受到某些攻击，所以再次：定义并检查你的威胁模型。

两者都不。如果攻击者可以诱骗您的移动提供商相信他或她就是您，则 SMS 和电话都可以转发到攻击者选择的电话。像这样的移动帐户劫持攻击（目前）还不是很常见，但它们肯定在上升。

更好的选择（正如@Jedi 简要提到的）是使用身份验证器应用程序生成一次性代码，该代码可用作登录 MS 帐户的第二个因素。（是否访问 Outlook.com 或任何其他消费者 Microsoft 服务。）可以在此处找到有关如何设置的信息. 就这种方法的安全性而言，最坏的情况取决于攻击者能否轻松地 (1) 获得您的手机的物理所有权并窃取身份验证器应用程序用于从手机存储中计算一次性代码的共享秘密或（2）通过远程攻击彻底破坏手机并做同样的事情。攻击者做这些事情所涉及的困难在很大程度上取决于手机的操作系统、配置和硬件安全元素。但很可能，在整个过程中，采用这条路线会使攻击者的工作比使用 SMS 或通话中的音频代码更加困难。

（现在，当然，这并不一定意味着手机身份验证器应用程序方法比现在存在的所有其他可能的身份验证技术更好。智能卡或加固的 USB 密钥方法可能会更强大，就像高-使用专用硬件令牌[示例]实现的安全挑战-响应机制，就像......但这里我们谈论的是 Microsoft 帐户身份验证今天支持的 2FA 选项。）

这取决于您需要进行身份验证的频率以及您感知到的威胁模型是什么。只要您保护密码并密切关注您的帐户活动，无论通话是否被窃听或短信是否被嗅探都无关紧要。

就我个人而言，我发现 SMS 机制到达速度更快且干扰更少（尤其是在课堂或会议中）。正如@user2765654 所说，呼叫嗅探更难自动化，但如果它变得流行，这些工具将变得更加普遍（识别数字是最简单的语音识别任务）。更好的是使用身份验证器应用程序 - 我相信 Outlook 现在也支持这一点。