[potrzebne źródło]
Prawda jest taka, że praktycznie wszystkie strony, które implementują np. YubiKey, wymagają też dodania najpierw innej metody, np. TOTP z aplikacji Google Authenticator lub podobnej.
Klucze fizyczne natomiast są wygodniejsze niż konieczność sięgania do telefonu jeśli mamy je ciągle dostępne pod ręką (passthrough w klawiaturze, laptop). Czy są bezpieczniejsze? W teorii tak, w praktyce jeśli ktoś może “shakować” nam telefon, może też shakować komputer, na którym w końcu użyjemy tego fizycznego klucza.
Prawdziwe U2F (nie pole do wprowadzenia kodu, bo to też TOTP) ma natomiast ten teoretyczny benefit, że całkiem sensownie chroni przed phishingiem. Jednak z założenia osoby, które dobrowolnie skorzystają z takiego rodzaju dodatkowego uwierzytelniania, są prawdopodobnie tymi bardziej świadomymi.
Powoduje to, że atak taki jest mocno utrudniony już na samym początku. Najwięcej z tego zyskują firmy, które wymuszają na wszystkich swoich pracownikach użycie tego typu kluczy.