Aplikacje w formie nakładki są nie do uniknięcia, tak samo fałszywe strony internetowe. ALE ciągłe wymaganie podania klucza w aplikacji nie rozwiązuje ani nie adresuje tego zagrożenia. Nadal, jak będzie fałszywa aplikacja/nakładka, to i tak ktoś może podać prawdziwe dane logowania. Sam fakt posiadania klucza likwiduje zagrożenia przejęcia konta, bo i tak na fałszywej stronie się nie uda logowanie
Czyli jednak pomaga likwidować zagrożenia
Natomiast nie widzę żadnego powodu, aby w prawdziwej aplikacji pytać o klucz za każdym logowaniem - przecież to jest prawdziwa aplikacja, posiadanie klucza nie jest dodatkowym czynnikiem przy podawaniu loginu/hasła, bo aplikacja jest już zarejestrowana.
Skąd pewność, że to prawdziwa aplikacja? Nawet jeśli zarejestrujesz ją kluczem U2F skąd będziesz wiedział, że np. przez jakiś backdoor w telefonie nie podmienił Ci jej na fałszywą. Logując się na serwery banku masz po prostu gwarancję, że bez tego klucza przestępca nie zaloguje się na Twoje konto. Oprócz kontrolą nad Twoim smartfonem musi mieć jeszcze Twój klucz.
Jak dla mnie to jakaś nadgorliwa nic nie wnosząca funkcjonalność, która przesunęła szalą bezpieczeństwa kosztem wygody do poziomów absurdu.
Dla Ciebie nic nie wnosząca a dla mnie i innych jak najbardziej podnosząca bezpieczeństwo. Nawiasem mówiąc trochę sam sobie przeczysz skoro piszesz, że szala przesunęła się w stronę bezpieczeństwa. Skoro uważasz, że klucz odbiera Ci wygodę - po prostu z niego nie korzystaj i tyle. Możesz uważać, że to absurd a jednak ludziom coraz częściej znikają pieniądze z konta.
