Как сказала википедия, "По рекомендациям NIST 2016 года, в новых системах аутентификации не следует использовать SMS из-за опасности их перехвата и перенаправления" (подробнее если интересно можно почитать в статье на вики "Одноразовый пароль")
Я бы для OTP рассмотрела лучше почту. Или имеется в виду не one time password, а просто пароль, который один раз генерируется по номеру клиента и дальше его можно поменять?
Кодовое слово кажется излишним, люди не так часто меняют номера, даже при смене оператора можно не менять сам номер.