Quindi mi sono guardato intorno e non l'ho trovato da nessuna parte. Cosa succede quando il server di risposta è un sito di phishing con token FIDO U2F?
In sostanza, se l'accesso fallisce, suppongo che l'utente proverà ancora un paio di volte, supponendo che qualcosa sia rotto e ricada all'utilizzo del fattore OTP 2 che sconfigge lo scopo.
L'altra opzione sarebbe che ci sarebbe una qualche forma di notifica, che sarebbe utile e logica, ma non ho visto nulla che dicesse che ciò accadesse.