Seguridad en las cuentas BBVA

Buenas desearía saber si se puede configurar BBVA el 2FA con una app en el móvil. Esto lo comento porque cuando se hace cualquier gestión desde mi laptop, me envían por SMS un código de verificación para validar la operación. Los SMS se puede leer fácilmente pues no van encriptados. Alguien que este monitoreando el tráfico de internet los puede interceptar. Si te clonan la sim estas en graves aprietos.
       Hay aplicaciones en android como authy que generan contraseñas cada 30 segundos. ¿Se puede usar este tipo de aplicaciones como 2FA para acceder a mi sesión o efectuar cualquier operación en mi cuenta?

 Otro asunto: en los videos sobre ciberseguridad del BBVA  hacen mucha referencia a la ciberseguridad y dicen que hay que poner contraseñas robustas, mayúsculas, minúsculas, números y caracteres especiales. Pero cuando cambio mi contraseña solo me deja poner 6 dígitos, en mayúsculas, minúsculas y números. ¿Porqué no se permite contraseñas más largas y robustas? Estas contraseñas según he podido leer son fáciles de romper con programas de fuerza bruta, aunque internamente la configuración del BBVA cree un hash de esta contraseña ¿Porqué usan SMS como segundo factor de autenticación cuando los SMS no van encriptados? Hablan mucho sobre ciberseguridad pero la realidad es que no es así. Me he puesto en contacto con BBVA, pero no me dan una respuesta clara y convincente. En cuanto a las contraseñas dicen que es como lo ha establecido la entidad. Espero no haberme extendido mucho. 
Gracias de antemano por las respuestas que me puedan dar. Saludos

En cuanto a los sms, si te clonan la tarjeta da igual que vayan encriptados o no. Lo de la contraseña es ridículo y nunca lo entenderé. No existe ninguna justificación para limitar el tamaño de una contraseña a tan pocos caracteres.

Te pueden clonar la sim  y entonces si pueden hacer operaciones peligrosas , pero primero deben entrar en tu aplicacion que tienen que saber tambien la contraseña ,, osea que complicado lo tienen.

Yo creo que estas cosas nunca hay que confiarse. Lo de la password es injustificable.

Es cierto, la contraseña de 6 dígitos de BBVA es demasiado pobre. Tampoco veo normal que la mayoría de los bancos usen el DNI como usuario sabiendo que este dato es relativamente conocido, lo ideal sería usar un usuario personalizado, esto añadiría bastante seguridad a la banca online.

Si podéis poner eSIM en vez de SIM estaréis un poco más seguros en el tema de clonación.

Saludos

Lo de la contraseña tiene su lógica dado que el número de intentos está limitado (si fallas cinco veces te bloquean el acceso a la web), por lo que una contraseñ  de seis caracteres ( con millones de posibles combinaciones) basta y sobra.

Hola agradezco a todos los comentarios expuestos.
Voy a responder sobre algunos de ellos lo que yo pienso.
En cuanto a la autenticación de segundo factor, se debería permitir el 2FA con una aplicación móvil, como authy o parecida que genera una contraseña cada 30 segundos, y es interna pues está dentro de tu teléfono. Si te entran en el teléfono o te lo roban, la aplicación esta protegida por contraseña. Así que bastante difícil superar esto.
En cuanto a las contraseñas de 6 caracteres hablé con atención al cliente de BBVA y me dijeron que el banco es el primer interesado en proteger las cuentas de los clientes y me dijo que había muy pocos casos de fraude y estos no eran por romper contraseña del usuario. Yo le dije que en los videos de BBVA sobre ciberseguridad explican con claridad, que las contraseñas han de ser robustas, largas, con números, mayúsculas y minúsculas y con caracteres especiales. La persona que me atendió no me supo responder a mi planteamiento.
En cuanto a la contraseña que se bloquea a los cinco intentos esto no lo sabía. De todas formas los malos tienen mil y unas maneras de acceder o romper lo que sea. En internet la seguridad al 100% no existe, si se proponen hacer algo y el premio es suculento lo consiguen.
Por eso no está de más el permitir contraseñas fuertes
Por eso tendrían que permitir:
1/ un nombre de usuario personalizado, no el DNI, pues por ejemplo no hace mucho hackearon La DGT, por lo que ya está circulando por Internet todos los datos de millones de españoles, incluidos los DNI.
2/ Una contraseña fuerte compuesta de lo que mencioné antes y
3/ Un 2FA seguro con una aplicación interna, por ejemplo desde el móvil como ya dije.
Resumiendo si un ladrón va a robar a una urbanización, escogerá las casas con cerraduras débiles y que no tengan cámaras de seguridad. Las que tienen cerraduras fuertes y grandes medidas de seguridad las pasarán por alto, a no ser que la casa sea de alguien importante y entonces el esfuerzo si que valdrá la pena.
Sé como habéis comentado que es difícil que puedan acceder, pero no es imposible. I la verdad creo que le costaría poco a BBVA implementar estas medidas de seguridad.
Gracias a todos.