Utilizzare una chiave di autenticazione USB U2F per accedere a servizi come Google sembra una buona idea. Tuttavia, questi servizi spesso consentono di registrare un metodo di autenticazione a due fattori di backup (2FA), che è possibile utilizzare nel caso in cui si perda il dispositivo fisico U2F.
Il fatto che si possa semplicemente usare un "metodo di backup" per accedere a questi servizi sembra sconfiggere il punto di avere la chiave U2F in primo luogo. Se la sicurezza è strong solo quanto il link più debole, un hacker con accesso tramite password a un account può semplicemente bypassare il dispositivo U2F affermando che la chiave è scomparsa, usando (per esempio) SMS.
D'altra parte, le persone potrebbero non voler rischiare che tutti i loro account web accedano a un singolo dispositivo USB. Se è collegato alle loro chiavi, ci sono tutte le possibilità che si perda, lasciato fuori dalla pioggia, ecc. Ecc. Idealmente, sarebbe possibile acquistare due dispositivi U2F registrati con lo stesso "segreto" identico. Non consentendo alcun altro metodo 2FA, quindi nel caso in cui il dispositivo U2F scomparisse, avrei conservato un backup in modo sicuro a casa.
Domanda : è possibile duplicare i dispositivi U2F e impostare servizi online (come Google) su solo consentire U2F, con nessun altro metodo di backup ? Ovviamente se un utente acquistasse due dispositivi U2F e questi dovessero perdere entrambi , l'utente verrebbe bloccato in modo irreversibile dai propri account online, ma questo sarebbe un rischio che l'utente firmi consapevolmente fino a. Non riesco davvero a vedere il punto nel passaggio ai dispositivi U2F a meno che questa non sia un'opzione.