Suppongo che la chiave di sicurezza a cui ti stai riferendo sia una chiave di sicurezza U2F.
U2F ha diversi vantaggi rispetto ad altri schemi 2FA come OTP, uno dei più grandi miglioramenti è quello di prevenire il problema che si sottolinea. Con la maggior parte degli schemi 2FA, un phisher potrebbe semplicemente fungere da proxy tra te e il servizio legittimo e ottenere la tua password e il codice 2FA in questo modo. U2F impedisce questo con l'aiuto del browser.
L'autenticazione funziona come segue: (in qualche modo semplificato)
- Il sito Web invia un richiesta di firma
- Il browser convalida l'AppID nella richiesta di firma
corrisponde al dominio visitato (o che il dominio è un attendibile
sfaccettatura )
- Il browser inoltra la richiesta di firma al dispositivo U2F
- Il dispositivo utilizza l'AppID e l'handle della chiave per recuperare la chiave privata, che viene utilizzata per firmare la sfida
- La firma viene inviata nuovamente al browser e sul sito Web per verificarlo
Se un MitM agisce semplicemente come un semplice proxy, questo non riuscirà nel passaggio 2, in quanto il dominio non corrisponderà all'appID nella richiesta di firma. Se MitM filtra la richiesta di firma e modifica l'AppID in modo che corrisponda al dominio di phishing, non riuscirà nel passaggio 4, poiché l'AppID e l'handle della chiave non specificano più una chiave valida.
Ovviamente, il phisher ha già la tua password a questo punto, quindi dovresti cambiarlo, ma almeno non possono entrare nel tuo account.