i gestori di password contano come un fattore di autenticazione MFA

È qui che il concetto di attribuire fattori di autenticazione in categorie specifiche (ciò che sai, ciò che hai, ciò che sei) diventa complicato. Mentre queste categorie tendono a essere considerate indipendenti, si sovrappongono in alcune aree.

Le password sono tradizionalmente "ciò che conosci" e immagino che molte persone le classifichino sempre in questo modo anche in questo scenario in cui l'utente non le conosce realmente. Altre persone direbbero che il trattamento della password in questa situazione lo ha convertito da un fattore "che conosci" a un fattore "che cosa hai". Alcuni potrebbero addirittura affermare che si adatta a entrambe le categorie contemporaneamente.

Dal punto di vista del sistema di autenticazione, non è in grado di capire se hai memorizzato una password o meno. Probabilmente è logico dal punto di vista della valutazione delle minacce che i proprietari del sistema assumano che il fattore di autenticazione venga utilizzato in modo tradizionale, anche se potrebbe non esserlo. Ma dal punto di vista dell'utente dovrebbero probabilmente valutare il rischio associato al modo in cui effettivamente gestiscono le loro password.

Tutto questo per dire che non credo che vi sia un chiaro consenso sulla risposta alla tua domanda, ma la maggioranza probabilmente classificherà ancora le password come un fattore "che conosci". E non penso che molte persone considererebbero l'uso di una password memorizzata come autenticazione a più fattori (MFA) senza aggiungere un altro fattore oltre alla password.

AGGIORNAMENTO: per quanto riguarda la nuova preoccupazione che hai modificato nella tua domanda, non credo che un requisito di criteri password complesso richieda che gli utenti utilizzino un gestore di password. La maggior parte delle persone non usa i gestori di password ( solo il 12% li usa a volte ) nonostante qualsiasi requisiti di complessità della password sui siti Internet che frequentano. Potrebbe esserci qualche correlazione tra utenti che registrano una password e requisiti di complessità / lunghezza estremi, ma non sono a conoscenza di uno studio che mostri questo.

Sembra che tu stia cercando di creare un caso che attenuando una politica di complessità della password attuale diminuirà l'uso della memorizzazione della password personale. La tua alternativa sembra essere un sistema stile passphrase XKCD che si occupa principalmente di soddisfare una lunghezza minima di 16 caratteri. E mentre sono d'accordo sul fatto che queste passphrase possono offrire una maggiore sicurezza senza influenzare indebitamente l'usabilità, non sono sicuro che inciderete molto sull'archiviazione delle password. Uno studio che ha confrontato l'uso di password e passphrase in stile XCKD ha rilevato che entrambi i gruppi di partecipanti sono stati memorizzati (ad es. il loro browser lo ha salvato, salvato in password manager, ecc.) password e passphrase una percentuale piuttosto simile del tempo. Entrambi i gruppi di utenti si preoccupano di dimenticare i loro segreti e di prendere provvedimenti per evitarlo. Anche se un nuovo criterio consente password o passphrase che sembrano più facili da ricordare rispetto a un criterio precedente, potrebbe non modificare immediatamente il comportamento degli utenti.

Ma tornando alla tua preoccupazione, mentre le persone potrebbero non essere d'accordo sul fatto che scrivere una password possa cambiare la sua categoria di fattori, non ho sentito alcuna seria discussione sul fatto che questa pratica significhi un sistema basato su di esso come un fattore di conoscenza perde MFA / 2FA stato quando questo accade. Credo che la maggior parte delle persone lo considererebbe ancora 2FA.

Se vuoi scrivere una giustificazione per rilassare i requisiti di complessità della tua password e sostenere le passphrase in stile XKCD penso che ci siano argomenti migliori per questa modifica che non contano sull'eliminazione dei gestori di password come vantaggio.

Potresti dire che il gestore delle password ha MFA, perché devi avere il database e conoscere la password principale.

Tuttavia, l'utente malintenzionato può comunque accedere all'applicazione ottenendo la password dell'applicazione. L'MFA effettivo gli impedirà di accedere al tuo account, perché non ha accesso al tuo telefono o al tuo keyfob. Questo manca con un gestore di password.

Quindi dipende dallo scenario di attacco. Un gestore di password offline come KeePassX ha l'autenticazione a due fattori nel senso che è necessario sia il database che la password. Ma questo non cambia nulla riguardo alle applicazioni in cui usi queste password.

Quando parli di autenticazione a più fattori, è utile ricordare lo scopo. Lo scopo è rendere più difficile per qualcuno rubare le tue credenziali di autenticazione.

Se qualcuno ha installato un keylogger sul tuo computer, probabilmente avrà accesso alle tue password, sia che le abbiate digitate o meno (alcuni gestori di password hanno difese contro questo). Tuttavia, non possono raggiungere il computer dalla tasca e prendere in prestito il tuo Yubikey. Quindi, due fattori.

Allo stesso modo, se qualcuno ti rapina e ruba la tua chiave, non ha accesso alle password memorizzate del tuo gestore di password (a meno che non abbiano preso il tuo telefono e abbia il negozio decrittografato sbloccato). Due fattori.

Non è tanto una questione di "Questo conta come qualcosa che conosco?" tanto quanto "È qualcosa che potrebbe essere rubato allo stesso modo di qualcosa che conosco?". La maggior parte dei modi in cui la si guarda, la risposta è sì, il che significa che dovresti considerarli solo un fattore.

Se è memorizzato in un vault della password o no una password è solo qualcosa che conosci . Potresti scriverlo su un foglio, darlo a qualcun altro e questo è sufficiente per usarlo, mentre puoi ancora usarlo allo stesso tempo . Semplicemente perché è una password lunga e complessa, dovrebbe essere più strong della semplice stringa 123 !

Al contrario, uno smartphone che riceve una chiave univoca tramite SMS è qualcosa che hai . Se do a qualcun altro il telefono che gli consente di ricevere gli SMS, non posso più utilizzarlo.

Quindi, poiché la password può essere utilizzata senza il vault, non esiste un MFA.

Quindi devi considerare l'autenticazione a più fattori per quanto riguarda il servizio a cui ti stai specificamente autenticando.

Ad esempio, stai tentando di accedere al tuo sito web delle risorse umane per esaminare il tuo stub di pagamento. Questo accesso è autenticato fornendo il tuo nome utente non privato e una password privata in questo esempio. Il fatto di archiviare la tua password privata in un luogo sicuro come un archivio KeePass o LastPass vault, non rende l'utilizzo di tale password privata come autenticazione a più fattori.

L'autenticazione a più fattori viene utilizzata esclusivamente per quanto riguarda il servizio a cui stai eseguendo l'autenticazione, il sito Web delle risorse umane non sa nulla della password utilizzata, a parte il fatto che è solo qualcosa che dovresti sapere. Ora se il sito web delle risorse umane ha chiesto la password e poi ha chiesto un file di chiave privata che hai generato in precedenza, sarebbe sia qualcosa che conosci (la tua password, protetta in un gestore di password) e qualcosa che hai (il file), perché tu stanno dimostrando la tua identità al servizio con questi 2 fattori.

Ora puoi proteggere questi fattori con altri fattori, come una password per decifrare le tue password crittografate o un lettore di impronte digitali sul tuo telefono dove ricevi un secondo codice fattoriale, ma questo non ti autentica in più di 1 il servizio a cui stai tentando di accedere.