¿U2F evita el phishing de las contraseñas?

No, y no están diciendo que pueden evitar el phishing de las contraseñas. Están diciendo que el phishing solo con la contraseña no le dará acceso al atacante a su cuenta.

Puede ingresar su contraseña de Gmail en su pregunta anterior y U2F no lo impedirá. De la misma manera, un sitio de phishing puede reunir credenciales y U2F no participa en ningún momento.

El objetivo es que para ingresar con éxito a la cuenta, se necesita la contraseña y el dispositivo U2F. La contraseña aún está comprometida, pero la cuenta está protegida contra cualquier persona que no tenga también el llavero físico.

No, U2F no evita en absoluto el phishing de ningún tipo (contraseña o de otro tipo). La resistencia al phishing y U2F son 2 preocupaciones completamente separadas.

El primero es humano (aprende cómo identificar y evitar el phishing) y el segundo es técnico (hacer que un producto sea más resistente en los casos de compromiso de contraseña).

Esencialmente, U2F le brinda una capa de seguridad adicional si lo roban con éxito. En ese escenario, tener un segundo método de autenticación que no se puede compartir digitalmente hace que, si usted está secuestrado y su nombre de usuario / contraseña / etc. están completamente comprometidos, el atacante aún no puede acceder al recurso protegido. Por lo tanto, en ese sentido, ciertamente está destinado a brindar resistencia contra los efectos del phishing exitoso.

Sin embargo, el phishing es un ataque de ingeniería social. La única forma de prevenirlo es fortalecer sus controles humanos ('administrativos'), para que las personas puedan evitar dar información a fuentes no confiables. U2F no tiene ningún impacto aquí (aparte de hacer que los humanos piensen más en la seguridad).