Ecco il problema con U2F come unico metodo di autenticazione: non esiste alcuna verifica che tu sia il legittimo proprietario del dispositivo U2F solo perché ce l'hai in tuo possesso. Se U2F fosse l'unica forma di autenticazione per tutto, sarebbe come avere una chiave master per la tua auto, casa, cassastrong, cassetta di sicurezza, porta / edificio per uffici e tutto il resto. Nella nostra situazione metaforica, se qualcuno ti rubasse quella chiave principale, avrebbe accesso a quasi tutto nella tua vita.
Ora puoi visualizzare il mio scenario metaforico " chiave principale " come se fosse una password, ma questo è il motivo per cui le persone sono incoraggiate a utilizzare diverse password diverse. L'utilizzo di password diverse è come avere più chiavi diverse. Piuttosto che avere una chiave che sblocca tutto, è meglio avere chiavi diverse. Se solo una chiave viene rubata da te, il ladro ha accesso solo a qualsiasi chiave rubata. (ad esempio, se un ladro ruba la chiave della tua auto, lui / lei può accedere solo alla tua auto.) Questa è ancora una situazione spiacevole, ma è molto meglio di quel ladro che ha accesso a tutto ciò che possiedi. Allo stesso modo, le persone sono incoraggiate a utilizzare password diverse, quindi se un "ladro" ha ottenuto una delle tue password, lui / lei avrebbe solo accesso a un numero limitato di account.
L'utilizzo di U2F è essenzialmente paragonabile all'utilizzo di una sola password per ogni sito Web e all'utilizzo di una sola chiave per ogni aspetto della tua vita. Non è né ragionevole né sicuro. Pertanto, U2F deve essere utilizzato solo come seconda forma di autenticazione in una struttura di autenticazione a due fasi.