<div dir="ltr"><div><span style="font-size:12.8px"><br></span></div><div style="font-size:12.8px"><span style="font-size:12.8px">James, I use this every day for gmail and for my IU accounts. Here is proof of existence.  I will put up our draft tech report of a usability study later today. </span></div><div style="font-size:12.8px"><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><a href="https://www.yubico.com/products/yubikey-hardware/fido-u2f-security-key/?gclid=CjwKEAiAlZDFBRCKncm67qihiHwSJABtoNIgKc2Vj5RTXVm2Jop7NzzDCZ1DhlLz81kQJPfYDcXhGxoCT_Hw_wcB">https://www.yubico.com/products/yubikey-hardware/fido-u2f-security-key/?gclid=CjwKEAiAlZDFBRCKncm67qihiHwSJABtoNIgKc2Vj5RTXVm2Jop7NzzDCZ1DhlLz81kQJPfYDcXhGxoCT_Hw_wcB</a></span><br></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">And, fyi, Sec Clinton's server was apparently the only one that was not hacked. DNC was. State was. NSA/Snowden. </span></div><div style="font-size:12.8px"><span style="font-size:12.8px"><br></span></div><span style="font-size:12.8px">"James A. Donald" <</span><a href="mailto:jamesd@echeque.com" style="font-size:12.8px">jamesd@echeque.com</a><span style="font-size:12.8px">></span><br style="font-size:12.8px"><span style="font-size:12.8px">To: Theodore Ts'o <</span><a href="mailto:tytso@mit.edu" style="font-size:12.8px">tytso@mit.edu</a><span style="font-size:12.8px">></span><br style="font-size:12.8px"><span style="font-size:12.8px">Cc: </span><a href="mailto:cryptography@metzdowd.com" style="font-size:12.8px">cryptography@metzdowd.com</a><br style="font-size:12.8px"><span style="font-size:12.8px">Subject: Re: [Cryptography] [FORGED] Re: So please tell me. Why is my</span><br style="font-size:12.8px"><span style="font-size:12.8px">        solution wrong?</span><br style="font-size:12.8px"><span style="font-size:12.8px">Message-ID: <</span><a href="mailto:5d071fe0-7b8a-5913-92e1-55841aa6496c@echeque.com" style="font-size:12.8px">5d071fe0-7b8a-5913-92e1-<wbr>55841aa6496c@echeque.com</a><span style="font-size:12.8px">></span><br style="font-size:12.8px"><span style="font-size:12.8px">Content-Type: text/plain; charset=utf-8; format=flowed</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">On 2/11/2017 6:31 AM, Theodore Ts'o wrote:</span><br style="font-size:12.8px"><span style="font-size:12.8px">> So this is not vaporware, in that there *are* multiple sites/services</span><br style="font-size:12.8px"><span style="font-size:12.8px">> which are using U2F.</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">True, but neither I, nor secretary of State Hillary Clinton, would have</span><br style="font-size:12.8px"><span style="font-size:12.8px">been happy with those sites and services.</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">Further, because id dongles are proprietary and costs money, can never</span><br style="font-size:12.8px"><span style="font-size:12.8px">become a universal standard - and we only get real security if secure</span><br style="font-size:12.8px"><span style="font-size:12.8px">stuff becomes a universal standard the way regular email is standard now.</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">Right now, banks are pushing people to use security devices, and the</span><br style="font-size:12.8px"><span style="font-size:12.8px">device generates a use once password, and they make you type in the use</span><br style="font-size:12.8px"><span style="font-size:12.8px">once password every time you authorize a transaction. It is a pain in</span><br style="font-size:12.8px"><span style="font-size:12.8px">the ass.   Having dongles where you just press a button would be much</span><br style="font-size:12.8px"><span style="font-size:12.8px">better, so don't tell me that they are available right now.   If they</span><br style="font-size:12.8px"><span style="font-size:12.8px">were available right now I would use them, the banks would use them, and</span><br style="font-size:12.8px"><span style="font-size:12.8px">Secretary of State Hillary Clinton would have used them.</span><br style="font-size:12.8px"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><br></div><div dir="ltr"><br></div><div dir="ltr"><br></div><div dir="ltr"><br></div><div dir="ltr"><br></div><div dir="ltr">Prof. L. Jean Camp<br><a href="http://www.ljean.com" target="_blank">http://www.ljean.com</a></div><div dir="ltr"><br>Human-Centered Security<div><a href="http://usablesecurity.net/" target="_blank">http://usablesecurity.net/</a></div><div><br>Make a Difference <br><a href="http://www.ieeeusa.org/policy/govfel/congfel.asp" target="_blank">http://www.ieeeusa.org/policy/govfel/congfel.asp</a></div></div></div></div></div></div>
</div>