Google ahora ha liberado sus claves "Titan" para la tienda general (aunque a través de una lista de espera). Cuando anunciaron por primera vez su producto, Yubico, su principal competidor, denunció el uso de Bluetooth:
La oferta de Google incluye una clave compatible con Bluetooth (BLE). Si bien Yubico inició previamente el desarrollo de una clave de seguridad BLE y contribuyó al trabajo de los estándares BLE U2F, decidimos no lanzar el producto ya que no cumple con nuestros estándares de seguridad, facilidad de uso y durabilidad. BLE no proporciona los niveles de garantía de seguridad de NFC y USB, y requiere baterías y un emparejamiento que ofrezcan una experiencia de usuario pobre.
Esta aspersión se produjo algún tiempo después de las revelaciones de una falla en la pila de Bluetooth, a saber, la vulnerabilidad de Blueborne.
Sin embargo, si U2F se basa en la criptografía de clave pública, ¿importa si alguien puede ver cada parte del intercambio de datos? Pensé que eso era parte del punto de U2F.
-
No me preocupa que un ISP malvado intercepte mis conexiones HTTPS; ¿Debo preocuparme por un espectador malvado cuando uso U2F sobre Bluetooth?
-
Si no, ¿le preocupa a Yubico el compromiso del propio dispositivo U2F, o simplemente lanzan miedo, incertidumbre y duda (A.K.A. "FUD") al producto de un competidor?