כן, אבל 2FA לא מגן מפישינג, אלא אם יש לך ubikey או משהו פיזי אחר. וזה יחסית נדיר.
אני לא יודע מה ההיגיון שלהם, אבל אתה לחלוטין צודק לדעתי - צריך להחליף את כל הסיסמאות, רק כדי להיות בטוח. פשוט בגלל ה 2FA הססמאות פחות משנות בכלליות. כי גם אם אתה פורץ סיסמא של אתרים שיש להם 2FA, לא ממש תעזור לך רק הסיסמא. אבל למשל לברוקרים בישראל איו 2FA, ולכן פריצה של הסיסמא היא הרת אסון.
אז במינימום, מי שמשתמש ב lastpass היה צריך להחליף סיסמא ראשית ואת כל הסיסמאות של אתרים ללא 2FA.