Quindi mi sono guardato intorno e non l'ho trovato da nessuna parte. Cosa succede quando il server di risposta è un sito di phishing con token FIDO U2F?
In sostanza, se l'accesso fallisce, suppongo che l'utente proverà ancora un paio di volte, supponendo che qualcosa sia rotto e ricada all'utilizzo del fattore OTP 2 che sconfigge lo scopo.
L'altra opzione sarebbe che ci sarebbe una qualche forma di notifica, che sarebbe utile e logica, ma non ho visto nulla che dicesse che ciò accadesse.
Ho finito con chiedendo a Yubico informazioni su questo tramite twitter . L'autenticazione al momento non funziona, ma una produzione potrebbe aggiungere una schermata a una chiave che potrebbe fornire una notifica più utile.
Il comportamento predefinito dell'utente sarà di riprovare e quindi di eludere la chiave di sicurezza attraverso una password unica, che consente attacchi man in the middle. Quindi una nota importante sarà quella di insegnare agli utenti a non di usare mai l'opzione della password unica.
Leggi altre domande sui tag authentication one-time-password multi-factor