将用户名和密码分成多个实例或（更好）多种通信形式是相当标准的。有些人发送两封单独的电子邮件（大声笑），有些人发送电子邮件和电话询问密码，您会发现各种分离这些的方法。但是有几件事应该记住。

1) 任何写在任何地方或通过任何方法以明文形式发送的任何密码都应被假定为已泄露。2）您可以通过发送临时密码来帮助缓解＃1，要求用户在首次登录时更改密码，否则会在 24 小时内到期等

虽然我在传达密码时会遵循常识，但我认为最终用户是风险的最高点，而不是向他们提供密码的行为。

FWIW，我见过不止一家电话公司在帐单上打印短信消息....至少Skype应该是ssl连接。

是的，出于您描述的基本原因，这是一种标准做法。但是，如果用户名是通过电子邮件发送的，而密码是通过 Skype 或其他信使发送的，那么攻击者所要做的就是在您的网络端口上监听与邮件服务器和信使服务的连接。

但是，如果密码保存在缓存中的某处或者用户没有删除 SMS 消息，您就会遇到问题。不过，如果它是一次性密码，则问题不大。

分离通信渠道是个好主意，但使用 SMS 作为密码就不是那么回事了。我宁愿通过短信发送用户名，通过加密电子邮件发送密码。

发送长期密码文本并不是一个好主意，因为您不知道哪些运营商将传输您的文本以及如何传输。这个StackExchange 问题解释了 SMS 加密的标准程序，但您应该记住，整个基础设施并不在您手中；最好有自己的加密。

每当您发送必须持续使用一段时间的凭证时，您都需要使用端到端加密来执行此操作。毕竟，当你收到密码时，你可能不在电脑前，如果它被截获，有人可能会在你这样做之前登录并设置另一个密码。

您应该只发送一次性密码，并且只有当您确信发送密码的设备在收件人手中时。仅仅因为某人的手机被盗而将其锁定在帐户之外是一个坏主意，尤其是在所有智能手机用户中有一半甚至不使用 PIN 或手势来保护他们的设备的情况下。

因此，密码短信是多种形式的2 因素身份验证中的一种，使用一次性密码（理想情况下，为手机被盗的人提供替代方案），但不适用于发送丢失的密码或密码重置链接。