U2F se promociona como un nuevo estándar de autenticación de 2 factores que incluye defensa contra ataques de phishing. Como lo entiendo, esto funciona registrando el dispositivo con cada servicio, creando así un par de llaves único. Si un sitio de suplantación de identidad simula ser alguien, fallará esa comprobación criptográfica y el llavero no se activará
Pero como lo entiendo, el sitio de phishing aún puede ser capaz de robar la contraseña del usuario. Nada impide que el usuario ingrese inadvertidamente su contraseña en un sitio malicioso (aunque la contraseña única no es suficiente para descifrar la cuenta). ¿Es eso correcto?