关于受信任设备
最后更新于
最后更新于
对应的
受信任设备 SSO 允许用户,并使用设备存储的加密密钥解密其密码库,而无需输入主密码。受信任设备必须在登录尝试前注册,或。
受信任设备 SSO 可为企业终端用户提供零知识和端到端加密的无密码体验。这可以防止用户因忘记主密码而被锁定,让他们享受简化的登录体验。
要开始使用受信任设备 SSO:
为您的组织。
向管理员提供有关的信息。
向最终用户提供有关的信息。
以下选项卡描述了不同的受信任设备程序中的加密过程和密钥交换:
当新用户加入组织时,会使用组织公钥对其账户加密密钥进行加密,从而创建账户恢复密钥()。账户恢复是启用受信任设备 SSO 的先决条件。
然后询问用户是否想要记住或信任此设备。当他们选择这样做时:
客户端生成新的设备密钥。该密钥永远不会离开客户端。
客户端生成新的 RSA 密钥对:设备私钥和设备公钥。
用户的账户加密密钥使用未加密的设备公钥进行加密,然后将结果值作为公钥-已加密的用户密钥发送到服务器。
设备公钥使用用户的账户加密密钥进行加密,然后将结果值作为用户密钥-已加密的公钥发送到服务器。
设备私钥使用第一个设备密钥进行加密,然后将结果值作为设备密钥-已加密的私钥发送到服务器。
最重要的是,当用户开始登录时,公钥-已加密的用户密钥和设备密钥-已加密的私钥将从服务器发送到客户端。
如果用户需要轮换其账户加密密钥,将使用用户密钥-已加密的公钥。
本表格提供了有关上述过程中所使用的每一种密钥的更多信息:
设备密钥
AES-256 CBC HMAC SHA-256,长度为 512 位(其中密钥 256 位,HMAC 256 位)
设备私钥和设备公钥
RSA-2048 OAEP SHA1,长度为 2048 位
公钥-已加密的用户密钥
RSA-2048 OAEP SHA1
用户密钥-已加密的公钥
AES-256 CBC HMAC SHA-256
设备密钥-已加密的私钥
AES-256 CBC HMAC SHA-256
虽然使用受信任设备 SSO 可以消除对主密码的需求,但并非在所有情况下都能消除主密码本身:
如果用户是在受信任设备 SSO 激活之前入职的,或者如果他们从组织邀请中选择了创建账户,则他们的账户将保留其主密码。
用户在账户恢复后至少登录一次,以便完全完成账户恢复流程。
撤销对组织的访问权限,但不将其从组织中移除,仍可让他们登录 Bitwarden 并只能访问其个人密码库。
根据您的客户端内存中是否有主密码哈希(由客户端应用程序最初被访问的方式决定),它可能会表现出以下行为变化:
验证
如果用户不使用主密码访问客户端,所有这些功能都将使用基于电子邮件的 TOTP 验证来取代主密码确认。
密码库锁定/解锁
如果客户端应用程序既没有启用 PIN 也没有启用生物识别,则密码库将始终注销而不是锁定。解锁和登录始终需要互联网连接。
主密码重新提示
更改电子邮箱地址
CLI
触发记录的流程后,客户端就获得并解密了账户加密密钥。
管理员可在设备批准页面上。
按照安全白皮书中「」部分的说明,获取并解密用户的账户加密密钥。
只有拥有主密码的用户才能轮换其。。
当用户轮换其时,正常轮换过程如下:
如果用户是在受信任设备 SSO 激活之后入职的,并从组织邀请中选择登录 → 企业 SSO 进行 ,则他们的账户将无需拥有主密码。如果您更改为主密码,只要这些用户仍然是组织的成员,系统就会在他们登录时提示创建一个主密码()。
如果使用账户恢复功能恢复了用户账户,就必须为其分配一个主密码。目前,有了主密码后,就无法将其从账户中移除,因此,为了避免出现这种结果,我们建议:(i) 指导用户将数据导出到备份中;(ii) 完全删除丢失的账户;(iii) 要求用户;(iv) 用户完成这些后,指导他们导入备份。
对于那些因使用受信任设备 SSO 而没有主密码的账户,或将切断其对 Bitwarden 账户的所有访问权限,除非:
您事先使用功能为其分配了主密码。
此外,除非在将用户从组织中删除之前执行上述步骤,否则用户将无法重新加入您的组织。在这种情况下,用户将需要,并接收新的邀请以创建账户并加入您的组织。
Bitwarden 客户端应用程序中有许多功能通常需要输入主密码才能使用,包括、更改、检索 等。
一般情况下,被锁定的密码库可以使用主密码解锁。如果用户不使用主密码访问客户端,则被锁定的客户端应用程序只能使用 或解锁。
如果用户不使用主密码解锁其密码库,则将被禁用。
的用户将无法更改他们电子邮箱地址。
的用户将无法访问密码管理器 CLI。