U2F è pubblicizzato come un nuovo standard di autenticazione a 2 fattori che si è costruito in difesa dagli attacchi di phishing. A quanto ho capito, funziona registrando il dispositivo con ciascun servizio, creando così una coppia di chiavi unica. Se un sito di phishing finge di essere qualcuno, fallirà quel controllo crittografico e il key fob non si attiverà
Ma a quanto ho capito, il sito di phishing potrebbe ancora essere in grado di rubare la password dell'utente. Nulla impedisce all'utente di inserire inavvertitamente la propria password su un sito dannoso (anche se la singola password non è sufficiente per rompere l'account). È corretto?