Depende um pouco de como você configurou a VPN. Se você estiver usando chaves pré-compartilhadas, o PFS não está fazendo muito de qualquer maneira. Se você estiver usando certificados, capturar uma inicialização de sessão e a chave secreta de um dispositivo ficar comprometida (por exemplo, um telefone é roubado, tornando ambos triviais), é muito mais fácil calcular a chave no ASA (facilitando para alguém quem pode capturar qualquer sessão VPN para descriptografar a sessão).
Em qualquer caso, ainda levaria um tempo computacional significativo para descobrir as chaves e a capacidade de espionar as conexões VPN.