Supongo que la clave de seguridad a la que te refieres es una clave de seguridad U2F.
U2F tiene varias ventajas sobre otros esquemas 2FA como OTP, una de las mejoras más importantes es evitar el problema que señala. Con la mayoría de los esquemas 2FA, un phisher podría simplemente actuar como un proxy entre usted y el servicio legítimo, y obtener su contraseña y el código 2FA de esa manera. U2F evita esto con la ayuda del navegador.
La autenticación funciona de la siguiente manera: (algo simplificado)
- El sitio web envía un solicitud de firma
- El navegador valida que el AppID en la solicitud de firma
coincide con el dominio visitado (o que el dominio es un trust
faceta )
- El navegador reenvía la solicitud de firma al dispositivo U2F
- El dispositivo utiliza el identificador de AppID y la clave para recuperar la clave privada, que utiliza para firmar el desafío
- La firma se envía de vuelta al navegador y al sitio web para verificarla
Si un MitM simplemente actúa como un simple proxy, esto fallará en el paso 2, ya que el dominio no coincidirá con el AppID en la solicitud de firma. Si MitM filtra la solicitud de firma y modifica el AppID para que coincida con el dominio de phishing, fallará en el paso 4, ya que el identificador de AppID y la clave ya no especifican una clave válida.
Por supuesto, el phisher ya tiene su contraseña en este momento, por lo que deberá cambiarla, pero al menos no podrán ingresar a su cuenta.