Este es el problema con U2F como el único método de autenticación: no hay ninguna verificación de que usted sea el propietario legítimo del dispositivo U2F solo porque lo tiene en su poder. Si U2F fuera la única forma de autenticación para todo, sería como tener una llave maestra para su automóvil, casa, caja de seguridad, caja de seguridad, puerta / edificio de la oficina y todo lo demás. En nuestra situación metafórica, si alguien te robara esa clave maestra, tendría acceso a casi todo en tu vida.
Ahora, puede ver mi escenario metafórico " clave maestra " como el mismo que una contraseña, pero esta es la razón por la que se recomienda a las personas que usen varias contraseñas diferentes. Usar diferentes contraseñas es como tener varias claves diferentes. En lugar de tener una tecla que desbloquea todo, es mejor tener teclas diferentes. Si solo le roban una llave, el ladrón solo tiene acceso a aquello para lo que esa llave robada funciona. (por ejemplo, si un ladrón le roba la llave a su auto, él / ella solo puede acceder a su automóvil). Esta es todavía una situación desagradable, pero es mucho mejor que ese ladrón que tiene acceso a todo lo que posee. Del mismo modo, se recomienda a las personas que usen contraseñas diferentes, de modo que si un "ladrón" obtuvo una de sus contraseñas, solo tendrá acceso a un número limitado de sus cuentas.
Usar solo U2F es esencialmente comparable a usar solo una contraseña para cada sitio web y usar solo una clave para todo en tu vida. No es ni razonable ni seguro. Como tal, U2F solo debe usarse como una segunda forma de autenticación en una estructura de autenticación de dos pasos.