Si una clave SSH está protegida por una frase de contraseña, entonces simplemente se cifra con esa frase de contraseña. No hay un componente de autenticación adicional. Es decir, puede descifrar la clave del lado del cliente (y almacenar la clave descifrada), y el servidor nunca lo sabrá. De hecho, muchos usuarios usan "agentes clave" que le permiten ingresar su frase de contraseña de descifrado solo una vez, y el material clave se recuerda durante la sesión de inicio de sesión de la estación de trabajo.
Sin embargo, puede requerir en el servidor SSH tanto una frase de contraseña como una clave SSH, donde la frase de contraseña es la contraseña de usuario normal de su servidor. Si su clave SSH está encriptada (y no está usando un agente clave), entonces esto es en realidad dos contraseñas requeridas al iniciar sesión; Una para tu llave y otra para tu servidor. Probablemente esté más cerca del espíritu de la autenticación de dos factores.
Hay muchos que dirían, sin embargo, que el material clave en su computadora todavía es "algo que usted sabe", ya que es infinitamente copiable. En cambio, "algo que tienes" sería un token de hardware que no se puede duplicar. Es posible implementar claves SSH usando tokens de hardware, suponiendo que el token sea compatible con las claves RSA. Sin embargo, esto puede tardar un poco en configurarse.