由于 FIDO 密钥没有显示,因此您只能使用它们来验证自己,而不是授权某些操作(您不知道要授权什么操作)。
或者,如果您想授权某事,您需要相信您的浏览器显示的内容与您按下 FIDO 键上的按钮时将授权的内容相同 - 但我想知道为什么您根本需要硬件密钥,并且不要完全信任您的浏览器和您的密钥。
所以我不知何故看不到 FIDO 密钥的用处。有人可以启发我吗?
即使是一些简单的例子,比如登录我的电子邮件帐户——这难道不应该比身份验证更好吗?一旦我登录,控制我的浏览器(浏览器是中间人)的攻击者就可以永远保持登录状态,添加转发规则来拦截我的所有电子邮件,等等。
这一切是因为如果 FIDO 键必须包含显示器,它们会变得非常大吗?那么为什么不添加一个耳机插孔,至少通过文字转语音告诉我我正在授权什么?