No, sei sicuro
Anche se l'hai inserito in un computer malevolo, la tua chiave non può essere compromessa. Utilizza la stessa sicurezza di una carta di credito; significa una smart card. Questa smart card contiene una chiave privata che non viene divulgata a meno che non si apra fisicamente la smart card. Questo è il motivo per cui le carte di credito con una smart card sono molto meglio delle carte di credito con una banda magnetica. La striscia può essere copiata semplicemente scansionandola mentre è impossibile copiare la smart card semplicemente usandola.
Come funziona?
È fondamentalmente un meccanismo di risposta alle sfide. La smart card ha una chiave privata ed è l'unica entità che conosce questa chiave privata. Quando effettui l'autenticazione, ricevi una sfida; di solito un numero casuale o qualcosa del genere. Quindi, quando si preme il simbolo dell'oro sulla chiavetta USB, la sfida viene inviata alla smart card che la crittografa utilizzando la sua chiave privata e quindi restituisce la richiesta crittografata. Questa sfida crittografata viene quindi inviata al server che contiene tutte le chiavi pubbliche che corrispondono alle chiavi private che sono memorizzate su USB. Il server decrittografa quindi la sfida crittografata con la chiave pubblica corretta e verifica che corrisponda alla sfida.
Informazioni sul phishing
La protezione anti-phishing in U2F è di prim'ordine, a quanto pare. Guarda questa eccellente risposta:
Quanto sono sicuri i token FIDO U2F
Fai ancora attenzione ai computer compromessi
Anche se la tua chiavetta usb non può essere compromessa, tu, come utente, sei ancora vulnerabile se usi un computer compromesso. Su un computer compromesso, non puoi fidarti di nulla che vedi. Anche se tutto sembra a posto, url nel browser, certificato, ecc. Non ti puoi fidare di nulla. Potrei presentarti una pagina di accesso, ma in realtà utilizzerei le informazioni di accesso per cambiare la password per quel sito.
Conclusione
La tua chiave USB è sicura. Tu sei un'altra storia. Ad un certo punto, sei l'unico che può salvarti dall'utilizzarlo su una macchina infetta da virus.