@winnie13ua рассуждаем логически. Как могут атаковать SMS 2FA?
Вариант первый: прочитать смс вместо пользователя. Либо через перехват, либо через спизженый телефон
Тут уже все, никакая энтропия не поможет

Или, попытаться этот код угадать (чем люди в здравом уме заниматься не будут)
У 4-значного кода 10 000 комбинаций (10⁴)
Если валидная одна, то шанс её угадать 1/10 000
Теперь, мы разрешаем не один код, а 3
Шансы соответственно 1/3 333
В три раза больше, но все ещё маловероятно