Así que he mirado alrededor y no he encontrado esto en ninguna parte. ¿Qué sucede cuando el servidor de respuestas es un sitio de phishing con tokens FIDO U2F?
Básicamente, si el inicio de sesión simplemente falla, asumo que el usuario lo intentará de nuevo un par de veces, asumirá que algo está roto y recurrirá al factor OTP 2 que anula el propósito.
La otra opción sería que hubiera algún tipo de notificación, lo que sería útil y lógico, pero no he visto nada que diga que esto suceda.
Terminé preguntándole a Yubico sobre esto a través de twitter . La autenticación actualmente solo falla, pero un fabricante podría agregar una pantalla a una clave que proporcionaría una notificación más útil.
El comportamiento predeterminado del usuario será intentarlo de nuevo y luego sortear la clave de seguridad a través de una contraseña de un solo uso, lo que permite al hombre en los ataques intermedios. Por lo tanto, una nota al margen importante será enseñar a los usuarios a no utilizar la opción de contraseña única.
Lea otras preguntas en las etiquetas authentication one-time-password multi-factor