FIDO U2F sembra molto più sicuro delle password one-time-password (OTP), in particolare TOTP, a causa dell'architettura challenge-response. In che modo un utente U2F è ancora vulnerabile?
Suppongo che se il computer di un utente è compromesso o se l'utente perde il dongle U2F, tutte le scommesse sono disattivate, giusto? Ma il phishing non funziona più? (Non sono un aspirante hacker, solo un ragazzo che cerca di capire una tecnologia.)
EDIT: c'è una domanda correlata su U2F collegata ai commenti. Quella domanda chiede quanto sia sicuro U2F. Mi chiedo in particolare sulle vulnerabilità non risolte da U2F.
Grazie.