<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Nov 15, 2016 at 10:07 PM, Jonathan Thornburg <span dir="ltr"><<a href="mailto:jthorn@astro.indiana.edu" target="_blank">jthorn@astro.indiana.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">What happens when the user's smartphone is pwned by a carelessly-coded<br>
or malicious app, exploiting yet another android/ios 0day?  At that point<br>
I don't see how the "security token" gives any security improvement<br>
over the bare (also pwned) client pc/mac.<br><div class="HOEnZb"></div></blockquote></div></div><div><br></div>Clearly a dedicated hardware token (or something like the new Apple T1 chip + Touch Bar) has better security properties than a smartphone which is running user-installable software.<div><br></div><div>But that's not what I was talking about. I was talking about which one is more likely to be adopted. In that regard I think something that runs on smartphones will beat a dedicated device any day.</div><div><div class="gmail_extra"><br></div><div class="gmail_extra">-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Tony Arcieri<br></div>
</div></div></div>