Что мне кажется нехорошим в сигналах, так это как они работают по умолчанию. Если какие-то сигналы приложению не нужны, оно должно явно сказать об этом. Если не скажет, то оно будет обрабатывать их не самым очевидным образом. Мне кажется, почти все сигналы по умолчанию было бы очевиднее всего игнорировать, а не падать в корку.
Я не считаю, что передача информации по SMS более надёжна, чем https.
Мой point был такой. Предположим, что злоумышленник получил доступ к аккаунту жертвы на сайте, но не имеет её второго фактора аутентификации — мобильного телефона, потому не может просто переслать себе деньги. Он решает оплатить что-то с помощью карты. Для этой задачи раньше ему нужно было подобрать больше десятичных цифр, чем после изменений в алгоритме. (Особенно с учётом того, что последние цифры являются полупубличной информацией, так что в теории их можно где-то найти.) Комбинаторная сложность в конкретном сценарии уменьшилась.
