Google ha ora rilasciato le sue chiavi "Titan" al grande magazzino (anche se tramite una lista d'attesa). Quando hanno annunciato per la prima volta il loro prodotto, Yubico, il loro principale concorrente, ha denunciato l'uso del Bluetooth:
Google’s offering includes a Bluetooth (BLE) capable key. While Yubico previously initiated development of a BLE security key, and contributed to the BLE U2F standards work, we decided not to launch the product as it does not meet our standards for security, usability and durability. BLE does not provide the security assurance levels of NFC and USB, and requires batteries and pairing that offer a poor user experience.
Questa aspersione è arrivata qualche tempo dopo le rivelazioni di un difetto nello stack Bluetooth, ovvero la vulnerabilità di Blueborne.
Tuttavia, se l'U2F si basa sulla crittografia a chiave pubblica, è importante che qualcuno possa vedere ogni parte dello scambio di dati? Ho pensato che fosse parte del punto di U2F.
-
Non mi preoccupo di un ISP malvagio che intercetta le mie connessioni HTTPS; dovrei preoccuparmi di un malvagio spettatore quando uso U2F su Bluetooth?
-
In caso contrario, Yubico è preoccupato per il compromesso del dispositivo U2F stesso, o sta semplicemente lanciando Fear, Uncertainty e Doubt (A.K.A. "FUD") sul prodotto di un concorrente?