以下是 U2F 作为唯一身份验证方法的问题：无法验证您是 U2F 设备的合法所有者，因为您拥有它。如果 U2F 是所有事物的唯一身份验证形式，那就像为您的汽车、房屋、保险箱、保险箱、办公室门/建筑物以及其他所有事物拥有一把万能钥匙。在我们的比喻情况下，如果有人从你那里偷走了万能钥匙，他们几乎可以接触到你生活中的一切。

现在，您可能会将我的隐喻“万能钥匙”场景视为与密码相同，但这就是鼓励人们使用多个不同密码的原因。使用不同的密码就像拥有几个不同的密钥。与其拥有一把可以解锁一切的钥匙，不如拥有不同的钥匙。如果您只偷了一把钥匙，那么小偷只能访问被盗钥匙的任何用途。（例如，如果一个小偷偷了你的车钥匙，他/她只能进入你的车。）这仍然是一个不愉快的情况，但它比小偷获得你拥有的一切要好得多。同样，我们鼓励人们使用不同的密码，因此如果“小偷”获得了您的一个密码，他/她将只能访问有限数量的您的帐户。

只使用 U2F 本质上相当于每个网站只使用一个密码，而生活中的每一件事都只使用一个密钥。这既不合理也不安全。因此，U2F 只能用作两步认证结构中的第二种认证形式。

如果有人窃取了我的 U2F，他们可以不受限制地访问使用它作为单一因素的每个站点，直到我设法记住我使用过的每个站点并从所有站点中撤消它。

从我的 USB 插槽中窃取 U2F 设备的工作量比窃取我的密码管理器的数据库和解锁它的密码要少几个数量级。如果这受到损害，至少我可以查阅它以获取我需要轮换密码的网站的权威列表。

使用 U2F 令牌作为唯一身份验证机制的主要问题是服务器无法识别用户。因此服务器无法发送正确的密钥句柄，也无法决定使用哪个公钥进行签名验证