<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Wed, 5 Aug 2015 at 18:51 Tony Arcieri <<a href="mailto:bascule@gmail.com">bascule@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Aug 5, 2015 at 10:09 AM, Ron Garret <span dir="ltr"><<a href="mailto:ron@flownet.com" target="_blank">ron@flownet.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">And in particular, has there ever been an attempt that was integrated into the browser so that the user could actually have a hope of knowing whether or not they were dealing with the One True Password Box?  (No, browser certificates don’t count.  Certs got the underlying auth right but dropped the ball in a big way on the UX.)</blockquote><div><br></div></div></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>FIDO U2F derives origin-specific ECC keys (derived using a hardware token) which are effectively "unphishable":</div><div><br></div><div><a href="https://fidoalliance.org/specifications/overview/" target="_blank">https://fidoalliance.org/specifications/overview/</a></div><div><br></div><div>It's integrated into Chrome. Support for other browsers has not been forthcoming though </div></div></div></div></blockquote><div><br></div><div>I use one of those, but it doesn't really help with my other devices.</div><div><br></div><div>And I'm screwed if I lose it (well, I'm not, because I'll be given another, but if I were a member of the public I would be).</div><div><br></div></div></div>