La chiave U2F è apprezzata per le sue caratteristiche di sicurezza. Ma ho paura di usare qualcosa di così sicuro che quando è danneggiato non riesco ad accedere ai miei account. Così ho cercato ciò che è uno scenario di recupero e ad esempio Amazon lo descrive come seguenti:
if you can't sign in with your MFA device, you can sign in by verifying your identity using the email and phone that are registered with your account.
Ok, quindi potrei ottenere i miei dati senza U2F, ma poi ... il potenziale intruso non avrebbe bisogno nemmeno di U2F. Evitare il percorso di posta elettronica / telefono era il punto dietro il dispositivo U2F, giusto?
La mia domanda è la seguente: mi manca qualcosa o il caso del tasto U2F danneggiato (vero o falso) è in realtà un punto debole? Voglio dire che il recupero è facile per l'utente (e l'intruso) o è difficile / impossibile per l'utente (e l'intruso)? Queste sono solo due scelte, o c'è una via di mezzo, dove è facile per l'utente ma difficile da intromettersi?