Seguridad en las cuentas BBVA

Buenas desearía saber si se puede configurar BBVA el 2FA con una app en el móvil. Esto lo comento porque cuando se hace cualquier gestión desde mi laptop, me envían por SMS un código de verificación para validar la operación. Los SMS se puede leer fácilmente pues no van encriptados. Alguien que este monitoreando el tráfico de internet los puede interceptar. Si te clonan la sim estas en graves aprietos.
       Hay aplicaciones en android como authy que generan contraseñas cada 30 segundos. ¿Se puede usar este tipo de aplicaciones como 2FA para acceder a mi sesión o efectuar cualquier operación en mi cuenta?

 Otro asunto: en los videos sobre ciberseguridad del BBVA  hacen mucha referencia a la ciberseguridad y dicen que hay que poner contraseñas robustas, mayúsculas, minúsculas, números y caracteres especiales. Pero cuando cambio mi contraseña solo me deja poner 6 dígitos, en mayúsculas, minúsculas y números. ¿Porqué no se permite contraseñas más largas y robustas? Estas contraseñas según he podido leer son fáciles de romper con programas de fuerza bruta, aunque internamente la configuración del BBVA cree un hash de esta contraseña ¿Porqué usan SMS como segundo factor de autenticación cuando los SMS no van encriptados? Hablan mucho sobre ciberseguridad pero la realidad es que no es así. Me he puesto en contacto con BBVA, pero no me dan una respuesta clara y convincente. En cuanto a las contraseñas dicen que es como lo ha establecido la entidad. Espero no haberme extendido mucho. 
Gracias de antemano por las respuestas que me puedan dar. Saludos

En cuanto a los sms, si te clonan la tarjeta da igual que vayan encriptados o no. Lo de la contraseña es ridículo y nunca lo entenderé. No existe ninguna justificación para limitar el tamaño de una contraseña a tan pocos caracteres.

Te pueden clonar la sim  y entonces si pueden hacer operaciones peligrosas , pero primero deben entrar en tu aplicacion que tienen que saber tambien la contraseña ,, osea que complicado lo tienen.

Yo creo que estas cosas nunca hay que confiarse. Lo de la password es injustificable.

Es cierto, la contraseña de 6 dígitos de BBVA es demasiado pobre. Tampoco veo normal que la mayoría de los bancos usen el DNI como usuario sabiendo que este dato es relativamente conocido, lo ideal sería usar un usuario personalizado, esto añadiría bastante seguridad a la banca online.

Si podéis poner eSIM en vez de SIM estaréis un poco más seguros en el tema de clonación.

Saludos

Lo de la contraseña tiene su lógica dado que el número de intentos está limitado (si fallas cinco veces te bloquean el acceso a la web), por lo que una contraseñ  de seis caracteres ( con millones de posibles combinaciones) basta y sobra.