U2F能防止密码的钓鱼吗？

Question

U2F被吹捧为一种新的2要素认证标准，它建立起来是为了抵御网络钓鱼攻击。据我所知，这是通过向每个服务注册设备来实现的，从而创建了一个独特的键盘。如果一个网络钓鱼网站假装是某个人，他们将无法通过密码检查，并且密钥fob不会被激活

但据我所知，网络钓鱼网站可能仍然能够窃取用户密码。没有什么可以阻止用户无意中在恶意站点上输入密码(即使单个密码不足以破解帐户)。对吗？

Answer 1

不，他们并没有说他们可以防止密码的仿冒。他们说，仅仅仿冒密码不会让攻击者访问您的帐户。

您可以在上面的问题中输入Gmail密码，U2F不会阻止这一点。同样，网络钓鱼网站可以收集凭据，U2F在任何时候都不涉及。

目标是要成功进入帐户，一个人需要密码和U2F设备。密码仍然被破坏，但帐户是受保护的任何人谁也没有物理密钥fob。

Answer 2

不，U2F根本不阻止任何类型的钓鱼(密码或其他)。对网络钓鱼和U2F的弹性是两个完全不同的关注点。

第一个是人(学习如何识别和避免被钓鱼)，第二个是技术(在密码泄露的情况下使产品变得更硬)。

本质上，如果您成功地钓鱼，U2F将为您提供一个额外的安全层。在该场景中，有第二种不能以数字方式共享的身份验证方法，因此，如果您被钓鱼，并且您的用户名/密码/等被完全破坏，攻击者仍然无法访问受保护的资源。因此，在这个意义上，它当然是为了提供抗御效果，成功的网络钓鱼。

然而，网络钓鱼是一种社会工程攻击。防止这种情况的唯一方法是加强你的人力(“管理”)控制，使人们能够避免将信息提供给不可信的来源。U2F在这方面没有任何影响(除了让人类更多地考虑安全性之外)。