¿los administradores de contraseñas cuentan como un factor de autenticación MFA?

Aquí es donde el concepto de colocar factores de autenticación en categorías específicas (lo que sabes, lo que tienes, lo que eres) se vuelve complicado. Si bien estas categorías tienden a considerarse independientes, se superponen en ciertas áreas.

Las contraseñas son tradicionalmente "lo que sabes" y supongo que muchas personas siempre las clasificarían de esa manera, incluso en este escenario donde el usuario no las conoce realmente. Otras personas dirían que el tratamiento de la contraseña en esta situación lo ha convertido de "lo que sabes" a un factor de "lo que tienes". Algunos incluso pueden decir que encaja en ambas categorías simultáneamente.

Desde la perspectiva del sistema de autenticación, realmente no puede decir si ha memorizado una contraseña o no. Es probable que desde una perspectiva de evaluación de amenazas tenga sentido que los propietarios del sistema asuman que el factor de autenticación se está utilizando de manera tradicional, incluso si no fuera así. Pero desde la perspectiva del usuario, probablemente deberían evaluar el riesgo asociado con la forma en que realmente administran sus contraseñas.

Todo esto para decir que no creo que exista un consenso claro sobre la respuesta a su pregunta, pero la mayoría probablemente todavía clasificaría las contraseñas como un factor de 'lo que sabe'. Y no creo que la mayoría de las personas consideren el uso de una contraseña almacenada como autenticación multifactor (MFA) sin agregar otro factor además de la contraseña.

ACTUALIZACIÓN: Con respecto a la nueva inquietud que editó en su pregunta, no creo que un requisito complejo de política de contraseña requiera que los usuarios utilicen un administrador de contraseña. La mayoría de las personas no usan administradores de contraseñas ( solo el 12% las usa a veces ) a pesar de cualquier Requisitos de complejidad de contraseñas en los sitios de internet que frecuentan. Puede haber alguna correlación entre los usuarios que registran una contraseña y los requisitos extremos de complejidad / longitud, pero no conozco un estudio que muestre esto.

Parece que está intentando argumentar que la relajación de una política de complejidad de contraseña actual disminuirá el uso del almacenamiento de contraseña personal. Su alternativa parece ser un sistema de estilo de frase de contraseña XKCD que se preocupa principalmente por cumplir con una longitud mínima de 16 caracteres. Y aunque estoy de acuerdo en que estas frases de contraseña pueden ofrecer una mejor seguridad sin afectar excesivamente la capacidad de uso, no estoy seguro de que tenga un gran impacto en el almacenamiento de contraseñas. Un estudio que comparó el uso de contraseñas y frases de contraseña del estilo XCKD encontró que ambos conjuntos de participantes estaban almacenados (por ejemplo, lo anotaron, el navegador lo guardó, lo guardó en el administrador de contraseñas, etc., las contraseñas y las frases de contraseña un porcentaje bastante similar del tiempo. Ambos grupos de usuarios se preocupan por olvidar sus secretos y toman medidas para evitarlo. Incluso si una nueva política permite contraseñas o frases de contraseña que parecen más fáciles de recordar que una política anterior, es posible que no cambie inmediatamente el comportamiento del usuario.

Pero volviendo a su inquietud, si bien las personas pueden no estar de acuerdo sobre si escribir una contraseña cambia su categoría de factor, no he escuchado ninguna discusión seria de que esta práctica signifique que un sistema que confía en ella como un factor de conocimiento pierde MFA / 2FA estado cuando esto sucede. Creo que la mayoría de la gente todavía lo consideraría 2FA.

Si desea redactar una justificación para relajar los requisitos de complejidad de su contraseña y defender las frases de contraseña del estilo XKCD, creo que hay mejores argumentos para este cambio que no cuentan con la eliminación de los administradores de contraseñas como beneficio.

Podría decir que el administrador de contraseñas tiene MFA, porque tiene que tener la base de datos y conocer la contraseña maestra.

Sin embargo, el atacante aún puede obtener acceso a la aplicación al obtener la contraseña de la aplicación. El MFA real le impediría acceder a su cuenta, porque no tiene acceso a su teléfono o llavero. Esto falta en un administrador de contraseñas.

Depende del escenario de ataque. Un administrador de contraseñas fuera de línea como KeePassX tiene autenticación de dos factores en el sentido de que necesita tanto la base de datos como la contraseña. Pero esto no cambia nada acerca de las aplicaciones donde utiliza esas contraseñas.

Cuando se habla de autenticación multifactor, es útil recordar el propósito. El propósito es hacer que sea más difícil para alguien robar sus credenciales de autenticación.

Si alguien instaló un keylogger en su computadora, entonces probablemente tengan acceso a sus contraseñas, ya sea que las haya escrito directamente o no (algunos administradores de contraseñas tienen defensas contra esto). Sin embargo, no pueden sacar la computadora de su bolsillo y pedir prestado su Yubikey. Por lo tanto, dos factores.

De manera similar, si alguien le roba la llave y le roba la llave, no tiene acceso a las contraseñas almacenadas de su administrador de contraseñas (a menos que se hayan llevado su teléfono y tenga la tienda descifrada desbloqueada). Dos factores.

En realidad no es tanto una cuestión de "¿Esto cuenta como algo que sé?" tanto como "¿Es esto algo que podría ser robado de la misma manera que algo que sé?". La mayoría de las formas en que lo miras, la respuesta es sí, lo que significa que debes considerarlos solo un factor.

Si está almacenado en una bóveda de contraseñas o no en una contraseña es solo algo que usted sabe . Puede escribirlo en un papel, dárselo a otra persona y eso es suficiente para que él lo use, mientras que todavía puede usarlo al mismo tiempo . Simplemente, ya que es una contraseña larga y compleja, se espera que sea más fuerte que la mera cadena 123 .

Por el contrario, un teléfono inteligente que recibe una clave única a través de SMS es algo que usted tiene . Si le doy el teléfono a otra persona para que reciba los SMS, ya no puedo usarlo.

Así que aquí, como la contraseña se puede usar sin la bóveda, no hay MFA.

Por lo tanto, debe considerar la autenticación multifactor en relación con el servicio contra el que se está autentificando específicamente.

Como ejemplo, está intentando iniciar sesión en el sitio web de recursos humanos para ver su comprobante de pago. Este acceso se autentica al proporcionar su nombre de usuario no privado y una contraseña privada en este ejemplo. El hecho de que almacene su contraseña privada en una ubicación segura como una tienda KeePass o un almacén de LastPass, no hace que el uso de esa contraseña privada sea una autenticación multifactor.

La autenticación multifactor solo se usa en relación directa con el servicio contra el que se está autentificando, el sitio web de Recursos Humanos no sabe nada acerca de la contraseña utilizada, aparte de que es algo que solo usted debe saber. Ahora, si el sitio web de Recursos Humanos solicitó esa contraseña y luego un archivo de clave privada que generó anteriormente, eso sería algo que usted sabe (su contraseña, protegida en un administrador de contraseñas) y algo que tiene (el archivo), porque están demostrando su identidad al servicio con esos 2 factores.

Ahora puede proteger esos factores con otros factores, como una contraseña para descifrar sus contraseñas cifradas o un lector de huellas digitales en su teléfono, donde recibe un segundo código de factor, pero eso no lo autentica de más de una manera. el servicio al que intentas acceder.