在我们的 Web 应用程序项目中，我们需要结合记忆的秘密令牌（密码）和超出范围的令牌来建立 MF 身份验证。早些时候，我们计划为令牌传递机制实施 SMS。但最近 NIST 的建议将其归入 RESTRICTED 类别，因此目前这似乎有风险，原因有两个：

1. 由于它属于 RESTRICTED 类别，因此需要执行多项支持活动（如风险分析、电话号码可携带性、设备更改等情况的方法）以成功符合任何适应此框架的标准。NIST 说“如本节和第 5.2.10 节所述，限制使用 PSTN 进行带外验证...”
2. 即使我们谨慎地实施它，NIST 也可以在不久的将来将其标记为“禁止”（他们也在论文中提到过）。因此，在这种情况下，需要彻底改变方法和实现。这肯定会导致返工。

所以我的问题围绕着这两个问题：

1. 什么可以用作替代品？
2. OOB 令牌通常应该在不同的频段上工作。如果我们使用任何可以在 Web 浏览器上运行的东西，比如 GAuth，会好吗？在第一印象中，一切（Web 应用程序和身份验证令牌应用程序）似乎都在同一个频段上工作。

RSA 令牌绝对是一种解决方案，但我们为成千上万的用户提供令牌是不可行的。

Authenticator app (TOTP) 似乎也是一种解决方案，但它是唯一的吗？如果是，为了维护和证明 OOB 条款应该注意什么？

如果对 NIST 的建议或任何其他方面有不同的解释，请告诉我？