Żeby tylko uściślić: zmienić można jedynie hasło do epuapu. 

Posiadając hasło do epuapu można zarządac jednorazowego klucza do podpisu konkretnego dokumentu na maila. To troche jak autoryzacja kodem sms, tylko, że zamiast komórki dostajesz kod na maila, czyli w to samo miejsce, które umożliwia Ci odzyskanie hasła do miejsca z którego możesz zażądać jednorazowego kodu autoryzacyjnego (do platformy epuap). Na tym polega słabość.