Mi sono interrogato su questo per un po ', ma non sono riuscito a trovare molto sul web, quindi spero che qualcuno possa indicarmi la direzione giusta per una migliore comprensione di questo argomento.
Sarebbe utile / sicuro utilizzare qualcosa come un dispositivo Fido U2F come metodo di autenticazione principale (principalmente pensando alle app Web qui, ma probabilmente non solo)?
Ho usato i certificati SSL sul lato client per questo, ma naturalmente ciò richiede la configurazione del client; So che lo stesso dovrebbe essere possibile usando una smartcard standard, ma ovviamente molti dispositivi al giorno d'oggi non dispongono di un lettore di smart card. I tasti Fido sembrano il perfetto fattore di forma per portare in giro una coppia di chiavi privata senza bisogno di un lettore; per i dispositivi mobili potresti usare solo NFC (come yubikey più recente) o un adattatore "on the go" integrato.
Ora capisco il problema del furto della chiave, ma immagino che possa essere risolto / attenuato usando un PIN per sbloccare la chiave, come con la maggior parte delle smartcard. Come ulteriore misura di sicurezza, i siti Web potrebbero chiedere una password come "2 ° fattore". Ciò significherebbe, naturalmente, dover ricordare una password, ma solo per quei sistemi veramente criptici si vuole assolutamente essere ben protetti.
Nella mia speranza, qualcosa del genere potrebbe aiutare a migliorare notevolmente sia dal punto di vista della sicurezza che a ridurre l'attrito di accesso (per gli utenti) e la complessità (anche per gli implementatori).
Ora, c'è qualche problema importante / blocco stradale in questo modo? Sembra quasi che i browser siano già in grado di utilizzare una smartcard per l'autenticazione, l'unica cosa che manca sarebbe sviluppare un dispositivo reale (supponendo che non sia possibile aggiungere un PIN ai dispositivi Fido).