Sim, claro!

Não há dúvidas sobre isso.

Na grande maioria das implementações, as senhas são a única medida de segurança que protege sua conta.

Os outros mecanismos que você menciona: captcha ou tempo de bloqueio em novas tentativas de senha, apenas adicionam um pequeno obstáculo ao canal que você está usando para fazer o login. Eles não têm significado se o banco de dados de senhas for roubado e forçado por força bruta offline.

A segunda autenticação por fator adiciona segurança ao canal de autenticação, mas não deve substituir os principais meios de autenticação, total ou parcialmente.

Essas medidas adicionais são frequentemente mal implementadas e fáceis de serem superadas em ataques direcionados.

Um teste fácil para isso é o que você precisa fazer para substituir / reiniciar o segundo fator significa. Se for uma visita presencial a uma agência bancária na qual você recebe um novo bloco impresso ou token de segurança, pode assumir que é seguro, se for uma chamada para um call center e fornecer seu endereço e o nome de solteira de sua mãe. O segundo fator está desativado para você fazer o login apenas com senha, então é inútil.

Os usuários também não tomam precauções para separar o segundo fator dos principais meios de autenticação. Por exemplo, use o navegador + senha armazenada + gerador de código único em um único dispositivo móvel.