两步登录-YubiKey
对应的官方文档地址
YubiKey 方式的两步登录适用于高级用户,包括付费组织(家庭、团队或企业)的成员。
可以使用任何支持 OTP 功能的 YubiKey ,包括所有 YubiKey 4 和 5 系列设备以及 YubiKey NEO 和 YubiKey NFC。最多可以添加 5 个 YubiKey 到您的账户中。
大多数现代 YubiKeys,包括 5 系列钥匙,都支持 FIDO2 WebAuthn 协议。如果您的密钥支持它,我们建议按照这些说明将您的密钥设置为 FIDO2 WebAuthn 设备。您可以使用 YubiKey Manager 应用程序来检测是否支持 FIDO2 WebAuthn。
设置 YubiKey
要启用 YubiKey 方式的两步登录:
丢失对您的 YubiKey 的访问会永久性将您锁定在您的账户之外。除非您将您的两步登录恢复代码写下并将其保存在安全的地方,或拥有已启用并可用的备用两步登录方式。
启用任何方式之后,应立即通过两步登录界面获取您的恢复代码。
1、登录您的网页密码库。
2、选择个人资料图标并然后下拉列表中选择账户设置:
3、选择安全页面和两步登录选项卡:
4、定位到 YubiKey 安全钥匙选项然后选择管理按钮:
将提示您输入主密码以继续。
5、将 YubiKey 插入计算机的 USB 端口。
6、在您的网页密码库对话框中选择第一个空白的 Yubikey 输入字段。
7、触摸 YubiKey 上的按钮。
如果您要在支持 NFC 的移动设备上使用 Yubikey,请勾选我的钥匙之一支持 NFC 复选框。
8、选择保存按钮。一个绿色的 已启用 消息表明已成功启用 FIDO U2F 的两步登录。
9、选择关闭按钮,并确认 YubiKey OPT 安全钥匙选项现在已启用(通过一个绿色的勾号 ✔️ 指示)。
重复此过程以向您的账户中添加最多 5 个 YubiKey。
我们建议在继续测试两步登录之前保持活动的网页密码库选项卡为打开状态,以防出现配置错误的情况。当您确认它正常工作后,你应该注销所有的 Bitwarden 应用程序,以为每个应用程序立即激活两步登录。您最终会被自动注销。
自托管设置
如果您是组织管理员,则需要在 global.override.env 中配置一对环境变量,以允许调用 YubiKey OTP API:
globalSettings__yubico__clientId | 使用从 Yubico 钥匙收到的 ID 替换这个值。 在此处注册 Yubico 密钥。 |
globalSettings__yubico__key | 输入从 Yubico 收到的键值。 |
使用 YubiKey
以下内容假设 YubiKey 是您已启用的最高优先级方式。完成以下步骤,以使用两步登录访问您的密码库:
1、在任一个 Bitwarden 应用程序中输入您的电子邮件地址和主密码登录密码库。
系统将提示您将 YubiKey 插入计算机的 USB 端口,或将 YubiKey 靠近支持 NFC 的设备背面:
勾选记住我复选框,以记住您的设备,有效期 30 天。记住您的设备意味着您不会被要求完成两步登陆步骤。
如果您在移动设备上使用的是非 NFC 的 YubiKey:
将 YubiKey 插入设备。
点击取消以结束 NFC 提示。
点击用灰色下划线表示的文本输入字段
点击或按下您 YubiKey 上的按钮以插入代码
2、点击或选择继续以完成登录。
登录后,您将不会被要求完成第二步的两步登录步骤就可以解锁您的密码库。有关配置注销和锁定行为的帮助,请参阅密码库超时选项。
NFC 故障排除
如果您的 YubiKey 的 NFC 功能无法正常使用:
检查 NFC 是否已启用:
将 YubiKey 插入设备
选择 Interface 选项卡,然后检查 NFC 部分中的所有复选框是否都已选中
检查 NFC 的配置是否正确:
将 YubiKey 插入设备
选择 Tools 选项卡
选择 NDEF Programming 按钮
选择您希望 YubiKey 在 NFC 上使用的配置插槽
选择 Program 按钮。
(仅 Android)检查如下项目:
在设置过程中勾选了我的钥匙之一支持 NFC 复选框。
您已在 Android 设备上启用了 NFC(设置 → 更多)。
您的键盘布局/格式/模式已设置为 QWERTY。
最后更新于