通行密钥登录 (Beta)
最后更新于
对应的官方文档地址
使用通行密钥登录目前尚处于测试阶段。
通行密钥可以作为使用主密码和电子邮件的替代方式来登录 Bitwarden。用于登录 Bitwarden 的通行密钥需要用户验证,这意味着您需要使用生物识别因素或安全钥匙等来成功建立对通行密钥的访问。
通行密钥登录可以绕过 Bitwarden 的两步登录,但只有支持 PRF 的浏览器(例如 Google Chrome)和身份验证器(例如 YubiKey 5)的组合才能用来设置使用通行密钥登录以进行密码库解密。如果不使用 PRF 通行密钥,则需要在登录后输入主密码才能解密密码库。
通行密钥目前可用于登录 Bitwarden 网页应用程序,并计划在未来的版本中支持其他客户端应用程序。
使用要求单点登录身份验证策略、受信任设备 SSO 或 Key Connector 的组织成员无法使用通行密钥登录。
您最多可以拥有 5 个通行密钥。要创建用于登录 Bitwarden 的通行密钥:
1、在 Web 应用程序中选择个人档案图标,然后从下拉菜单中选择账户设置。
2、在账户设置菜单中选择安全页面然后选择主密码选项卡。
3、在使用通行密钥登录部分,选择启用,或者如果已经设置了通行密钥,则选择新建通行密钥。系统将提示您输入主密码:
4、按照浏览器的提示创建 FIDO2 通行密钥。您可以使用生物识别等因素或创建 PIN 码来完成用户验证。
在此过程中,您可能需要取消浏览器希望您使用的默认验证器,例如,如果您想在 macOS 设备上使用硬件安全钥匙,它会优先使用 Touch ID。
5、给你您的通行密钥起个名称。
6、如果不想将通行密钥用于密码库加密和解密,请取消选中用于密码库加密复选框:
仅当您的浏览器(如 Google Chrome)和身份验证器(如 YubiKey 5)都支持 PRF 功能时,才会出现此选项。了解更多。
7、选择启用。
您的浏览器(例如 Google Chrome)和身份验证器(例如 YubiKey 5)都必须支持 PRF,以便支持使用密码密钥进行密码库的加密和解密。
虽然 Google Chrome 支持 PRF,但 Chrome 配置文件不支持作为 PRF 功能的身份验证器。以 YubiKey 5 为反例,它是一种支持 PRF 身份验证器。
您所拥有的设备和所处的环境将决定您使用通行密钥进行加密的能力。
您的通行密钥列表将显示每个密码是否用于加密,是否受支持但未启用,或不支持:
如果您在最初设置通行密钥时未勾选用于密码库加密复选框,或者例如您当时使用的浏览器不支持 PRF,请导航至此菜单然后选择设置加密按钮。
您可以使用同一界面上的移除按钮从 Bitwarden 中移除现有的通行密钥。从 Bitwarden 中移除通行密钥不会删除存储在 FIDO2 身份验证器中的私钥,但您将无法再使用它登录 Bitwarden。
创建了您的通行密钥后,您就可以使用它来登录 Bitwarden 网络应用程序了:
在 Bitwarden 登录界面,在通常输入电子邮件地址的地方,选择使用通行密钥登录。
按照浏览器的提示读取通行密钥,这将用于验证您与 Bitwarden 的身份。
如果您的通行密钥设置为用于密码库加密,那么就完成了!否则,请输入您的主密码然后选择解锁以解密您的密码库数据。
以下内容描述了使用通行密钥进行登录的机制。哪个选项卡与您相关,取决于您的通行密钥是否设置了加密。
当已注册的通行密钥用于登录 Bitwarden 时:
通过 WebAuthn API,验证器生成一个通行密钥公钥和私钥对。根据定义,该密钥对构成了您的通行密钥。
通过 WebAuthn API PRF 扩展,验证器生成一个 PRF 对称密钥。该密钥源自于您的通行密钥的特有的内部机密和 Bitwarden 提供的盐化。
Bitwarden 客户端生成一个 PRF 公钥和私钥对。PRF 公钥对您的账户加密密钥进行加密,您的客户端可以通过登录和解锁来访问该密钥,然后将生成的 PRF 加密的账户加密密钥发送到服务器。
使用 PRF 对称密钥对 PRF 私钥进行加密(参见第 2 步),然后将得到的 PRF 加密的私钥发送到服务器。
您的客户端将数据发送到 Bitwarden 服务器,以用于为您的账户创建一个新的通行密钥凭据记录。如果您的通行密钥凭据被注册为支持密码库加密和解密,此记录将包括:
通行密钥名称
通行密钥公钥
PRF 公钥
PRF 加密的账户加密密钥
PRF 加密的私钥
完成身份验证所需的通行密钥私钥只会以加密格式保留在客户端中。
当使用通行密钥登录,特别是解密您的保管库数据时:
使用 WebAuthn API 公钥加密技术,您的身份验证请求将被断言和确认。
您的 PRF 加密的账户加密密钥和 PRF 加密的私钥将从服务器发送到您的客户端。
使用 Bitwarden 提供的相同盐化和您的通行密钥特有的内部机密,PRF 对称密钥在本地被重新创建。
PRF 对称密钥用于解密您的 PRF 加密的私钥,从而生成您的 PRF 私钥。
PRF 私钥用于解密您的 PRF 加密的账户加密密钥,从而得到您的账户加密密钥。您的账户加密密钥用于解密您的密码库数据。
轮换您的账户加密密钥将使设置为用于密码库加密的任何通行密钥的加密和解密功能失效。在您轮换账户加密密钥时,该通行密钥用于在登录 Bitwarden 时进行身份验证的功能不会受到影响。