Marcin Mokrzycki <m...@p...pl> writes:

>> Ale całkowicie cię ten klucz zabezpieczy, jak hackerzy przejmą władzę
>> na komputerem?
>
> Tak.

Nie. Nie zabezpieczy ani całkowicie, ani nawet w istotnym stopniu.
I proponuję nie wprowadzać innych w błąd, zwłaszcza w poważnej sprawie.

Klucz U2F może zneutralizować _niektóre_ próby ataków, ale jeśli intruz
będzie miał pełny dostęp do komputera ofiary, która w tym czasie będzie
przeprowadzać (na tym komputerze) operacje np. bankowe, to U2F nie
wystarczy.

Zawsze potrzebny jest bezpieczny komputer, smartfon itp.

Klucz U2F może zabezpieczyć Cię przed zalogowaniem się intruza na Twoje
konto na jego komputerze, wtedy gdy sam śpisz (albo w każdym razie nie
używasz klucza, który leży na stole odpięty od USB i innego np. NFC).

Klucz U2F potwierdza tylko, że został użyty w jakimś komputerze. Zwykle
robi się to tylko podczas bardziej ryzykownych operacji. Klucz nie
potwierdza jednak co to za operacja, ani nawet co to za komputer. No
i oczywiście klucz nie wie kto go aktualnie używa.

Jeśli użytkownik dysponuje bezpiecznym smartfonem z aplikacją bankową
(np. używaną tylko do zatwierdzania operacji), to jest to zdecydowanie
bezpieczniejsza opcja od typowego klucza U2F - bo smartfon wyświetli
szczegóły operacji i ofiara będzie miała szansę zorientować się co się
dzieje.

Klucze U2F mają sens wtedy, gdy używamy ich w bezpiecznym środowisku,
ale np. jeśli intruz ma możliwość pasywnego podsłuchu np. klawiatury.
--
Krzysztof Hałasa