有用そうなGoogleのフィッシング対策の記事が見つかったので投稿しますよ 
。
Google社員のフィッシングを0にした物理キー。
Google社員はもう1年以上、被害ゼロ。秘密はセキュリティキーにあり
https://www.gizmodo.jp/2018/08/google-employees-secret-to-never-getting-phished-is-using-physical-security-keys.html
。Google社員のフィッシングを0にした物理キー。
Google社員はもう1年以上、被害ゼロ。秘密はセキュリティキーにあり
https://www.gizmodo.jp/2018/08/google-employees-secret-to-never-getting-phished-is-using-physical-security-keys.html
投稿ありがとうございます。Krebs の記事を翻訳したものが記事になっていたようですね。
原文は 7/23 ですが、26日には攻撃は不可能ではないという記事も出ているのがあったり、色んな人が反応しているようです。
https://blog.knowbe4.com/yes-googles-security-key-is-hackable
私自身も u2f(ユビキー)使ってますが、nannaさんが仰るように最後は個人に行き着きますし、普及すればするほど u2f も攻撃の対象になってくると思うので、常に新しいものを追いかけ続ける必要があると考えています。