Cześć i czołem,
ING ponoć jest członkiem FIDO Alliance. Zaiste wpisywanie wybranych znaków, zamiast całego hasła podnosi poziom bezpieczeństwa, ale wystarczą trzy próby i już możliwie jest wygarnięcie całego hasła w ataku MIDM, czy nawet phishingowym podkładaniu lewej witryny.
Logowanie z pomocą klucza U2F znacznie podnosi bezpieczeństwo w takich przypadkach, wręcz uniemożliwia ataki phisingowe. Nawet dodanie głupiego 8 cyfrowego OATH-HOTP z trzykrotnym generowaniem byłoby jakimś utrudnieniem.
Google po dwóch latach analizowania systemu U2F zachwala te modę i reakcję na jej wdrożenie przez użytkowników.
http://fc16.ifca.ai/preproceedings/25_Lang.pdf
Klucze to prosty, tani (zależy), łatwy w obsłudze i zachowujący prywatność system weryfikacji dwuetapowej.
Można nawet wdrożyć możliwość (wedle woli) jednego klucza do logowania, a drugiego do autentykacji transakcji.
Google wspiera, Facebook wspiera (ba, nawet wziąłbym od nich funkcjonalność szyfrowania maili z pomocą przesłanego im klucza PGP), GitHub wspiera, Windows wspiera, Apple wspiera, DropBox wspiera, GNU/Linuxowe dystrybucje wspierają.
Już nie tylko Chrome, ale też Opera (która zaczęła bazować na Chromium)
TLDR;
U2F jest spoko, czemu by nie dać takiej możliwości klientom?
)))))))))
