Una clave cifrada por contraseña proporciona autenticación de dos factores, pero solo si se usa correctamente. Es fácil para el usuario hacer un mal uso de la clave, proporcionando solo un factor, y el servidor no puede detectar un uso incorrecto. Por lo tanto, una clave cifrada por contraseña no puede considerarse de dos factores sin supuestos adicionales. Desde el punto de vista del sistema en su conjunto, la clave cifrada por contraseña proporciona dos factores, pero desde el punto de vista del servidor, solo hay un factor, que es la clave privada.
La contraseña es lo que sabes. Sin embargo, la contraseña no es visible para el servidor. El servidor no sabe si usó una contraseña débil o ninguna contraseña. En cualquier caso, escribir una contraseña en una máquina que puede estar ejecutando un keylogger no es un uso válido de una contraseña para la autenticación.
El archivo de claves es lo que tienes, pero solo si no lo copia de ninguna manera. Estrictamente hablando, es la memoria USB donde se almacena el archivo de clave que es un factor de autenticación de algo que tienes. El archivo clave deja de ser un factor de autenticación una vez que permites que se copie de forma automática.
En el escenario que describe, donde copia la clave en una máquina que no controla, no es un uso válido. Transforma lo que tienes en lo que también tiene el atacante. Si el atacante puede instalar un keylogger en esa máquina, también puede instalar un programa que haga una copia del contenido de cada medio extraíble que está insertado en él. Lo que tienes debe estar vinculado a un objeto físico real que no sea accesible para el atacante. Una clave almacenada en su propia computadora portátil o teléfono inteligente está bien. Una tarjeta inteligente insertada en una ranura para tarjeta inteligente está bien (para el uso normal de tarjetas inteligentes, donde los secretos no dejan la tarjeta). Una memoria USB insertada en una máquina pública no proporciona un factor de autenticación.
Y sí, hay un programa malicioso comercial que captura el contenido de los medios extraíbles. Dependiendo de dónde se conecte, puede ser más o menos común que los keyloggers (aunque espero que los dos vayan juntos). El atacante que instala una imagen de disco extraíble puede estar después de los datos de autenticación, o posiblemente después de otros documentos confidenciales. Existe un mercado de reventa de secretos corporativos (documentos confidenciales, listas de contactos, etc.) que fomenta este tipo de malware, y obtener datos de autenticación es un beneficio adicional fácil.
Con un usuario que puede insertar su dispositivo USB en una máquina pública y escribir su contraseña allí, la clave cifrada con contraseña no proporciona ningún factor de autenticación.