Una chiave crittografata con passphrase fornisce l'autenticazione a due fattori, ma solo se utilizzata correttamente. È facile per l'utente abusare della chiave, fornendo solo un singolo fattore, e il server non può rilevare un utilizzo errato. Quindi una chiave crittografata con passphrase non può essere considerata a due fattori senza ulteriori presupposti. Dal punto di vista del sistema nel suo insieme, la chiave crittografata con passphrase fornisce due fattori, ma dal punto di vista del server, esiste un solo fattore, che è la chiave privata.
La password è ciò che sai. Tuttavia, la password non è visibile al server. Il server non sa se hai usato una password debole o nessuna password. In ogni caso, digitando una password su una macchina che potrebbe essere in esecuzione un keylogger non è valido l'uso di una password per l'autenticazione.
Il file chiave è what-you-have, ma solo se non lo copi volenti o nolenti. A rigor di termini, è la chiavetta USB in cui è memorizzato il file chiave che è un fattore di autenticazione qualcosa-tu-hai. Il file chiave stesso smette di essere un fattore di autenticazione una volta che lo si consente di copiarlo dal bastone.
Nello scenario che descrivi, dove copi la chiave su una macchina che non controlli, non è un uso valido. Trasforma ciò che hai in ciò che ha anche l'attaccante. Se l'utente malintenzionato può installare un keylogger su quella macchina, può anche installare un programma che faccia una copia del contenuto di ogni supporto rimovibile inserito. Quello che hai deve essere legato ad un oggetto fisico reale che non è accessibile all'attaccante. Una chiave memorizzata sul tuo laptop o smartphone va bene. Una smartcard inserita in uno slot per smart card va bene (per l'uso normale della smartcard, in cui i segreti non lasciano la carta). Una penna USB inserita in una macchina pubblica non fornisce un fattore di autenticazione.
E sì, esiste un malware off-the-shelf che cattura il contenuto dei supporti rimovibili. A seconda di dove si collega, potrebbe essere più o meno comune dei keylogger (anche se mi aspetto che i due si incontrino spesso). L'autore dell'attacco che installa un imager del disco rimovibile potrebbe essere dopo i dati di autenticazione o eventualmente dopo altri documenti riservati. Esiste un mercato di rivendita per i segreti aziendali (documenti riservati, elenchi di contatti, ecc.) Che promuove questo tipo di malware e l'acquisizione dei dati di autenticazione è un vantaggio collaterale facile.
Con un utente che può inserire la sua chiavetta USB in una macchina pubblica e digitare lì la sua password, la chiave crittografata con passphrase fornisce zero fattori di autenticazione.