Оказывается, физические ключи безопасности могут быть намного более эффективны, чем другие методы многофакторной аутентификации. В Google, например, физические ключи вместо одноразовых кодов стали использовать в 2017 году, и данные ни одного из 85 тысяч сотрудников не были украдены хакерами. С помощью ключей в Google проходят верификацию во многих приложениях, в зависимости от риска атаки на аккаунт и конфиденциальности информации.
Пользоваться таким ключом довольно просто - нужно лишь ставить его в разъём и нажать кнопку, без необходимости ввести пароль или генерировать одноразовый код. Конечно, метод имеет и свои недостатки, но очень надёжен и защищён от перехвата злоумышленниками.
На данный момент, аутентификация с использованием U2F-устройств распространена не шибко широко - такую технологию поддерживают Chrome, Firefox (не без настройки). У Edge функция появится только к концу 2018 года, а по интеграции данной функции в Safari данных нет совсем. Также ключ безопасности может использоваться лишь немногими сайтами и сервисами - например, Facebook и некоторыми менеджерами паролей - Keepass и LastPass. Будем надеяться, что позитивный опыт Google простимулирует распространение физических ключей.