Como todos los documentos de FIDO Alliance establecen, los protocolos FIDO U2F nunca deben ser objeto de abuso para identificar si un usuario tiene varias cuentas en un solo servicio, o para que los servicios se confabulen y descubran la identidad de un usuario específico.
Entonces, ¿por qué, cuando hago una solicitud de API de autenticación web, el número de serie de mi dispositivo se envía en el Certificado de certificación?
Esto sucede con la clave de seguridad Yubico, Yubico 4, Key-ID (Feitian Technologies under the hood) y no estoy 100% seguro, pero parece que HyperFIDO también lo está haciendo.
Esto parece algo que puede vincular directamente a un usuario con un servicio específico. Sin mencionar que si hubiera algún incumplimiento futuro en el que resulte que estos fabricantes tengan una base de datos que vincule las publicaciones seriadas con los secretos principales, esto sería una pesadilla.
Por favor, responda para mitigar mis miedos (o, de hecho, confírmelos, si esta es la realidad).
(edite: aquí hay algo de código en el que se muestra la imagen. No todos los dispositivos mostrarán un número de serie aquí, pero si imprime el certificado de atestación de datos binarios como ASCII es claramente visible. Pondré un poco de código para que uno pueda verlo por sí mismo.)