<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Aug 5, 2015 at 10:09 AM, Ron Garret <span dir="ltr"><<a href="mailto:ron@flownet.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=ron@flownet.com&cc=&bcc=&su=&body=','_blank');return false;">ron@flownet.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">And in particular, has there ever been an attempt that was integrated into the browser so that the user could actually have a hope of knowing whether or not they were dealing with the One True Password Box?  (No, browser certificates don’t count.  Certs got the underlying auth right but dropped the ball in a big way on the UX.)</blockquote><div><br></div><div>FIDO U2F derives origin-specific ECC keys (derived using a hardware token) which are effectively "unphishable":</div><div><br></div><div><a href="https://fidoalliance.org/specifications/overview/">https://fidoalliance.org/specifications/overview/</a></div><div><br></div><div>It's integrated into Chrome. Support for other browsers has not been forthcoming though </div></div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>