<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Nov 15, 2016 at 2:18 PM, Ray Dillinger <span dir="ltr"><<a href="mailto:bear@sonic.net" target="_blank">bear@sonic.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">> Is it really that hard to convince people to carry a U2F / OpenPGP token<br>
> with USB/NFC/BLE capabilities in their keychain? It shouldn't be.<br>
<br>
</span>This is actually a quite good idea.  The mental model of a keyed<br>
lock, with a physical key, works reasonably well for at least some<br>
plausible implementations of client-side authentication.</blockquote><div><br></div><div>I've been a big fan of FIDO for the past two years and I've really wanted to support U2F tokens specifically for the real-world analogy to keys, but I don't think it's really practical for everyone to buy a U2F token. I would love to see everyone using hardware tokens this way, but I just don't see it happening.</div><div><br></div><div>That said, another FIDO standard, UAF, should enable smartphones to work as cryptographic authentication tokens. I think this approach is much more practical.</div><div><br></div></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Tony Arcieri<br></div>
</div></div>