clave U2F es elogiada por sus características de seguridad. Pero temo usar algo tan seguro que cuando esté dañado no pueda acceder a mis propias cuentas. Así que busqué en el escenario de recuperación y, por ejemplo, Amazon lo describe como siguiente:
si no puede iniciar sesión con su dispositivo MFA, puede iniciar sesión en Verificando su identidad usando el correo electrónico y el teléfono que están registrados. con tu cuenta.
Ok, entonces podría obtener mis datos sin U2F, pero entonces ... el intruso potencial no necesitaría U2F también. Evitar la ruta del correo electrónico / teléfono fue el punto detrás del dispositivo U2F, ¿no?
Mi pregunta es la siguiente: ¿Falto algo o el caso de una clave U2F dañada (verdadera o falsa) es en realidad un punto débil? Quiero decir, ¿la recuperación es fácil para el usuario (e intruso) o es difícil / imposible para el usuario (e intruso)? ¿Son esas dos únicas opciones, o hay un punto intermedio, donde es fácil para el usuario pero difícil para el intruso?