No. Diría que el dispositivo 2FA en cuestión protegerá su cuenta más que la contraseña. La idea detrás del dispositivo 2FA es evitar que alguien remoto a usted acceda a su cuenta. Por ejemplo, hackearlo desde el otro lado del globo. (NOTA: NO se aplica a ciertos tokens basados en eventos con 6/8 dígitos, ver más adelante)
Sin embargo, cambiar la contraseña es una medida para evitar que la contraseña sea robada y / o adivinada, por ejemplo, la base de datos de contraseñas filtradas sin conocimiento. O si alguien te surfeaba por el hombro. O si la contraseña se filtró debido a un troyano o virus en una computadora de terceros que utilizó.
Cuando usa un token 2FA, si el token está completamente basado en software, existe la posibilidad de que un adversario con acceso físico a su token de software lo haya copiado. En tales casos, cambiar la contraseña puede bloquear efectivamente a un atacante con una "Semilla de Token" robada, para que no use su cuenta.
Sin embargo, si utiliza una tecnología de token seguro que no se puede copiar, por ejemplo, un token físico, YubiKey, token basado en tarjeta inteligente o incluso un token basado en teléfono inteligente que usa hardware de almacenamiento basado en hardware , entonces está seguro y no necesita cambiar la contraseña. Incluso podría usar una contraseña fácil como "Contraseña1".
La posibilidad de que alguien robe físicamente el token es mínima, y si eso sucediera, sería capaz de detectar esto fácilmente ("¿Dónde está mi token?"), y luego realizar acciones para restablecer y bloquear el token robado .
Dependiendo de la tecnología de token, existe el riesgo de que el código del token se pueda forzar de manera bruta. Los tokens basados en el tiempo no tienen esta limitación, ya que siempre puede imponer un límite de tiempo de 30 segundos después de 3 inicios de sesión fallidos, y será imposible forzar el token, ya que cambia cada 30 segundos. Lo mismo se aplica al token basado en desafío, solo genera un nuevo desafío para cada intento, por lo que cada intento tendrá un "código de token correcto" diferente, por lo que el atacante debe adivinar el código del token en el primer intento.
Sin embargo, un "token basado en eventos", tiene el riesgo de que alguien sea objeto de fuerza bruta, a menos que el código del token tenga caracteres suficientes para no ser forzado de forma bruta (por ejemplo, Yubikey es un token seguro basado en eventos que no puede ser de fuerza bruta
Pero los tokens basados en eventos de 6 dígitos no son seguros.