两步登录 - 通行密钥
最后更新于
最后更新于
对应的
[译者注]:
FIDO:Fast IDentity Online(在线快速身份认证)。FIDO 是一套身份认证框架协议,由 维护并制定相应的技术规范和标准。
:Universal 2nd Factor(通用第二因素)。由 制定的一个开放认证标准,使用专门的 USB 或 NFC 设备来加强并简化双重认证。
:YubiKey 是由 公司生产的用于身份认证的硬件设备。部分 Yubikey 型号支持 FIDO。其他支持 FIDO 的硬件还有 Google 的 、FEITIAN 的等。
所有 Bitwarden 用户均可免费使用 FIDO2 WebAuthn 凭据进行两步登录。
[译者注]:2023.9.0 之前,FIDO2 WebAuthn 方式的两步登录适用于高级用户,包括付费组织(家庭、团队或企业)的成员,不适用于免费用户。
可以使用任何经过 FIDO2 WebAuthn 认证的验证器,包括 、、、 等安全密钥,以及 Windows Hello 和 Touch ID 等原生生物识别选项。
所有通过 Bitwarden 设置的新 FIDO 密钥都会注册为 WebAuthn 密钥。如果您已注册的 FIDO 密钥在网页 App 的两步登录 → 管理 FIDO2 WebAuthn 视图中被标记为(迁移自 FIDO),则说明该密钥为 U2F 密钥,应将其删除并重新注册,以便自动将该密钥设置为 WebAuthn 密钥。Bitwarden 将于 2025 年开始逐步停止对(迁移自 FIDO)U2F 密钥的支持。
FIDO2 WebAuthn 与大多数 Bitwarden 应用程序兼容。如果您想要使用不支持 FIDO2 WebAuthn 的应用程序版本,请确保您开启了其他两步登录方式。支持的应用程序包括:
具有 的浏览器的设备上的网页密码库
的浏览器上的浏览器扩展
具有 的浏览器的 Android 和 iOS 13.3+ 上的移动 App
macOS 和 Windows 10+ 上的桌面 App
要启用 FIDO2 WebAuthn 方式的两步登录:
丢失对两步登录设备的访问会永久性将您锁定在您的密码库之外,除非您将您的两步登录恢复代码写下并将其保存在安全的地方,或拥有已启用并可用的备用两步登录方式。
1、登录您的网页 App。
2、从导航选择设置 → 安全 → 两步登录:
3、定位到通行密钥选项然后选择管理按钮:
将提示您输入您的主密码以继续。
4、给您的安全密钥起一个友好的名称。
5、将安全密钥插入设备的 USB 端口,然后选择读取密钥。如果安全密钥具有按钮,请触摸它。
6、选择保存按钮。一个绿色的 已启用 消息表明已成功启用了 FIDO2 WebAuthn 方式的两步登录,并且您的密钥旁边将显示绿色的勾号 ✔️。
7、选择关闭按钮,并确认 FIDO2 WebAuthn 选项现在已启用(通过一个绿色的勾号 ✔️ 指示)。
重复此过程以向您的账户中添加最多 5 个 FIDO2 WebAuthn 安全密钥。
1、输入您的电子邮箱地址和主密码登录您的 Bitwarden 密码库。
2、系统会提示您读取安全密钥,例如将安全密钥插入设备的 USB 端口并轻按按钮:
勾选记住我复选框,以记住您的设备,有效期 30 天。记住您的设备意味着您不会被要求完成两步登陆步骤。
如果您使用具有 NFC 功能的 FIDO2 身份验证器,例如 YubiKey 或其他硬件安全密钥,您可能需要练习在您的设备中找到 NFC 阅读器,因为 NFC 阅读器在不同的设备上的物理位置不同(比如手机的顶部与底部,或正面与背面)。
硬件安全密钥通常有一个物理插头,在 NFC 识别困难的情况下会更可靠地工作。
在移动设备上,您可能会遇到您的 YubiKey 被连续读取两次的情况。当您设备的浏览器打开 YubiKey OTP 网站 (https://demo.yubico.com/yk),如果您的设备多次振动以发出多次 NFC 读取信号时,您就会知道发生了这种情况。
启用任何方式之后,应立即通过两步登录界面。此外,用户还可以创建 Bitwarden 来备份密码库数据。
以下内容假设 FIDO 2 WebAuthn 是您。完成以下步骤,以使用FIDO2 WebAuthn 设备访问您的密码库:
登录后,您将不会被要求完成第二步的两步登录步骤就可以解锁您的密码库。有关配置注销和锁定行为的帮助,请参阅。
要解决此问题,请使用 应用程序为您的密钥禁用 NFC → OTP 接口:
禁用 NFC → OTP 后,您将无法通过此密钥的 NFC 使用 (OTP)。在这种情况下,通过 USB 的 OTP 仍将按预期运行。