两步登录 - 通行密钥

[译者注]

  • FIDO:Fast IDentity Online(在线快速身份认证)。FIDO 是一套身份认证框架协议,由 FIDO 联盟维护并制定相应的技术规范和标准。

  • U2F:Universal 2nd Factor(通用第二因素)。由 FIDO 联盟制定的一个开放认证标准,使用专门的 USB 或 NFC 设备来加强并简化双重认证。

  • YubiKey:YubiKey 是由 Yubico 公司生产的用于身份认证的硬件设备。部分 Yubikey 型号支持 FIDO。其他支持 FIDO 的硬件还有 Google 的 Titan 安全钥匙、FEITIAN 的安全钥匙等。

所有 Bitwarden 用户均可免费使用 FIDO2 WebAuthn 凭据进行两步登录。

[译者注]:2023.9.0 之前,FIDO2 WebAuthn 方式的两步登录适用于高级用户,包括付费组织(家庭、团队或企业)的成员,不适用于免费用户。

可以使用任何经过 FIDO2 WebAuthn 认证的验证器,包括 YubiKeySoloKeysGoogle TitanNitrokey 等安全密钥,以及 Windows Hello 和 Touch ID 等原生生物识别选项。

FIDO2 WebAuthn 与大多数 Bitwarden 应用程序兼容。如果您想要使用不支持 FIDO2 WebAuthn 的应用程序版本,请确保您开启了其他两步登录方式。支持的应用程序包括:

  • 具有支持 FIDO2 的浏览器的设备上的网页密码库

  • 支持 FIDO2 的浏览器上的浏览器扩展

  • 具有支持 FIDO2 的浏览器的 Android 和 iOS 13.3+ 上的移动 App

  • macOS 和 Windows 10+ 上的桌面 App

设置 FIDO2 WebAuthn

要启用 FIDO2 WebAuthn 方式的两步登录:

1、登录您的网页 App。

2、从导航选择设置安全两步登录

两步登录

3、定位到通行密钥选项然后选择管理按钮:

两步登录提供程序

将提示您输入您的主密码以继续。

4、给您的安全密钥起一个友好的名称

5、将安全密钥插入设备的 USB 端口,然后选择读取密钥。如果安全密钥具有按钮,请触摸它。

某些设备(包括支持通行密钥的 Windows Hello 或 macOS 设备)是原生 FIDO2 身份验证器,它们将默认提供这些选项。如果您想注册安全密钥或其他验证器,您可能需要选择尝试另一种方式其他选项取消按钮以打开其他选项。

6、选择保存按钮。一个绿色的 已启用 消息表明已成功启用了 FIDO2 WebAuthn 方式的两步登录,并且您的密钥旁边将显示绿色的勾号 ✔️

7、选择关闭按钮,并确认 FIDO2 WebAuthn 选项现在已启用(通过一个绿色的勾号 ✔️ 指示)。

重复此过程以向您的账户中添加最多 5 个 FIDO2 WebAuthn 安全密钥。

我们建议在继续测试两步登录之前保持活动的网页密码库选项卡为打开状态,以防出现配置错误的情况。当您确认它正常工作后,您应该注销所有的 Bitwarden App,以为每个 App 立即激活两步登录。您最终会被自动注销。

使用 FIDO2 WebAuthn

以下内容假设 FIDO 2 WebAuthn 是您已启用的最高优先级方式。完成以下步骤,以使用FIDO2 WebAuthn 设备访问您的密码库:

1、输入您的电子邮箱地址和主密码登录您的 Bitwarden 密码库。

2、系统会提示您读取安全密钥,例如将安全密钥插入设备的 USB 端口并轻按按钮:

FIDO2 提示

登录后,您将不会被要求完成第二步的两步登录步骤就可以解锁您的密码库。有关配置注销和锁定行为的帮助,请参阅密码库超时选项

NFC 故障排除

如果您使用具有 NFC 功能的 FIDO2 身份验证器,例如 YubiKey 或其他硬件安全密钥,您可能需要练习在您的设备中找到 NFC 阅读器,因为 NFC 阅读器在不同的设备上的物理位置不同(比如手机的顶部与底部,或正面与背面)。

YubiKey NFC 故障排除

在移动设备上,您可能会遇到您的 YubiKey 被连续读取两次的情况。当您设备的浏览器打开 YubiKey OTP 网站 (https://demo.yubico.com/yk),如果您的设备多次振动以发出多次 NFC 读取信号时,您就会知道发生了这种情况。

要解决此问题,请使用 YubiKey Manager 应用程序为您的密钥禁用 NFCOTP 接口:

YubiKey Manager

最后更新于