Aquí es donde el concepto de colocar factores de autenticación en categorías específicas (lo que sabes, lo que tienes, lo que eres) se vuelve complicado. Si bien estas categorías tienden a considerarse independientes, se superponen en ciertas áreas.
Las contraseñas son tradicionalmente "lo que sabes" y supongo que muchas personas siempre las clasificarían de esa manera, incluso en este escenario donde el usuario no las conoce realmente. Otras personas dirían que el tratamiento de la contraseña en esta situación lo ha convertido de "lo que sabes" a un factor de "lo que tienes". Algunos incluso pueden decir que encaja en ambas categorías simultáneamente.
Desde la perspectiva del sistema de autenticación, realmente no puede decir si ha memorizado una contraseña o no. Es probable que desde una perspectiva de evaluación de amenazas tenga sentido que los propietarios del sistema asuman que el factor de autenticación se está utilizando de manera tradicional, incluso si no fuera así. Pero desde la perspectiva del usuario, probablemente deberían evaluar el riesgo asociado con la forma en que realmente administran sus contraseñas.
Todo esto para decir que no creo que exista un consenso claro sobre la respuesta a su pregunta, pero la mayoría probablemente todavía clasificaría las contraseñas como un factor de 'lo que sabe'. Y no creo que la mayoría de las personas consideren el uso de una contraseña almacenada como autenticación multifactor (MFA) sin agregar otro factor además de la contraseña.
ACTUALIZACIÓN: Con respecto a la nueva inquietud que editó en su pregunta, no creo que un requisito complejo de política de contraseña requiera que los usuarios utilicen un administrador de contraseña. La mayoría de las personas no usan administradores de contraseñas ( solo el 12% las usa a veces ) a pesar de cualquier Requisitos de complejidad de contraseñas en los sitios de internet que frecuentan. Puede haber alguna correlación entre los usuarios que registran una contraseña y los requisitos extremos de complejidad / longitud, pero no conozco un estudio que muestre esto.
Parece que está intentando argumentar que la relajación de una política de complejidad de contraseña actual disminuirá el uso del almacenamiento de contraseña personal. Su alternativa parece ser un sistema de estilo de frase de contraseña XKCD que se preocupa principalmente por cumplir con una longitud mínima de 16 caracteres. Y aunque estoy de acuerdo en que estas frases de contraseña pueden ofrecer una mejor seguridad sin afectar excesivamente la capacidad de uso, no estoy seguro de que tenga un gran impacto en el almacenamiento de contraseñas. Un estudio que comparó el uso de contraseñas y frases de contraseña del estilo XCKD encontró que ambos conjuntos de participantes estaban almacenados (por ejemplo, lo anotaron, el navegador lo guardó, lo guardó en el administrador de contraseñas, etc., las contraseñas y las frases de contraseña un porcentaje bastante similar del tiempo. Ambos grupos de usuarios se preocupan por olvidar sus secretos y toman medidas para evitarlo. Incluso si una nueva política permite contraseñas o frases de contraseña que parecen más fáciles de recordar que una política anterior, es posible que no cambie inmediatamente el comportamiento del usuario.
Pero volviendo a su inquietud, si bien las personas pueden no estar de acuerdo sobre si escribir una contraseña cambia su categoría de factor, no he escuchado ninguna discusión seria de que esta práctica signifique que un sistema que confía en ella como un factor de conocimiento pierde MFA / 2FA estado cuando esto sucede. Creo que la mayoría de la gente todavía lo consideraría 2FA.
Si desea redactar una justificación para relajar los requisitos de complejidad de su contraseña y defender las frases de contraseña del estilo XKCD, creo que hay mejores argumentos para este cambio que no cuentan con la eliminación de los administradores de contraseñas como beneficio.