问密码管理器是否计算为MFA身份验证因子？

EN

在这里，将身份验证因素放入特定类别(您所知道的、您拥有的、您是什么)的概念变得复杂起来。虽然这些类别往往被认为是独立的，但它们确实在某些领域重叠。

密码传统上是“你知道的”，我想很多人都会这样分类，即使在这样的情况下，用户并不真正知道密码。其他人会说，在这种情况下，密码的处理已经将密码从“你知道的”转换为“你拥有的”因素。有些人甚至可能声称它同时属于这两种类型。

从身份验证系统的角度来看，它无法真正判断您是否记住了密码。从威胁评估的角度来看，对于系统所有者来说，假设身份验证因素是以传统方式使用的，即使它可能不是这样，这可能是有意义的。但从用户的角度来看，他们可能应该评估与他们如何实际管理密码相关的风险。

所有这些都是为了说，我不认为对你的问题的答案有明确的共识，但大多数人可能仍然会把密码归类为“你知道什么”的因素。而且，我认为大多数人不会考虑使用存储密码作为多因素身份验证(MFA)，而不添加密码之外的另一个因素。

更新:关于您在问题中编辑的新问题，我不认为复杂的密码策略要求需要用户使用密码管理器。大多数人不使用密码管理器(只有12%的人有时使用它们。)，尽管他们经常使用的网站上有任何密码复杂性要求。在记录密码的用户和极端的复杂性/长度需求之间可能有一些关联，但我不知道有研究表明这一点。

看起来，您试图证明，放松当前的密码复杂性策略将减少个人密码存储的使用。您的替代方案似乎是一个XKCD密码风格的系统，它主要关心满足至少16个字符的长度。虽然我同意这些密码可以提供更好的安全性而不会过度影响可用性，但我不确定您会对密码存储产生多大影响。密码的使用与XCKD风格密码的比较的一项研究发现，两组参与者都存储了密码(例如，记录下来，让他们的浏览器保存它，保存在密码管理器中等等)，密码和密码在大多数情况下都是相同的。这两组用户都担心忘记自己的秘密，并采取措施防止这种情况发生。即使新策略允许比以前的策略更容易记住的密码或密码，它也不会立即更改用户行为。

但是，回到您的关注，虽然人们可能不同意写一个密码是否改变了它的因素类别，但我还没有听到任何严肃的讨论，认为这种做法意味着一个系统依赖它作为知识因素时失去了MFA/2FA状态。我相信大多数人仍然会认为这是2FA。

如果您想要为放松密码复杂性要求和倡导XKCD风格的密码提供理由，我认为有更好的理由支持这种更改，而不指望将密码管理器作为一种好处。

您可以说密码管理器有MFA，因为您必须拥有数据库并知道主密码。

但是，攻击者仍然可以通过获取应用程序密码来访问应用程序。实际的MFA将阻止他访问您的帐户，因为他没有访问您的电话或键盘。密码管理器中缺少这个。

所以这取决于攻击场景。脱机密码管理器(如KeePassX )具有双重身份验证，也就是说您同时需要数据库和密码。但这不会改变您使用这些密码的应用程序的任何内容。

因此，您必须查看有关特定身份验证的服务的多因素身份验证。

例如，您正在尝试登录到您的人力资源网站来查看您的薪资存根。此访问是通过提供非私有用户名和本例中的私有密码进行身份验证的。事实上，您将私有密码存储在一个安全的位置，如KeePass商店或LastPass保险库，这并不意味着使用该私有密码是一种多因素身份验证。

多因素认证只在直接涉及到您要验证的服务时使用，HR网站除了您应该知道的密码外，不知道其他密码的任何信息。现在，如果HR网站要求提供密码，然后要求提供您以前生成的私钥文件，那么这将是您所知道的东西(您的密码，在密码管理器中受到保护)和您拥有的东西(文件)，因为您正在用这两个因素向服务证明您的身份。

现在，您可以使用其他因素来保护这些因素，比如解密加密密码的密码，或者在您的手机上接收第二个因素代码的指纹阅读器，但这不会以超过1种方式验证您试图访问的服务。