Да, конечно!
Там нет сомнений по этому поводу.
В подавляющем большинстве реализаций пароли являются единственной мерой безопасности, защищающей вашу учетную запись.
Другие механизмы, которые вы упомянули: капча или время блокировки при повторных попытках ввода пароля, лишь добавляют небольшое препятствие каналу, который вы используете для входа в систему. Они не имеют никакого значения, если база паролей была украдена и перебита в автономном режиме.
Второй фактор аутентификации повышает безопасность канала аутентификации, но он не должен заменять основные средства аутентификации, будь то полностью или частично.
Эти дополнительные меры часто плохо реализуются и их легко преодолеть в целевых атаках.
Легкий тест для этого - это то, что вам нужно сделать, чтобы заменить / перезапустить 2-й фактор. Если это личное посещение отделения банка, где вы получаете новый печатный планшет или токен безопасности, то вы можете предположить, что это безопасно, если это вызов в колл-центр и предоставление вашего адреса и девичьей фамилии вашей матери, после чего 2-й фактор отключен для вас, чтобы войти только с паролем, то это бесполезно.
Пользователи также не принимают меры предосторожности для отделения второго фактора от основных средств аутентификации. Например, используйте браузер + сохраненный пароль + генератор одноразового кода на одном мобильном устройстве.
