本文旨在讲解 FIDO、FIDO2、安全密钥的定义,以及 OneKey 硬件钱包作为安全密钥的建议使用方法。
什么是安全密钥 (Security Key) ?
安全密钥 是一种物理设备,它实施 FIDO 标准以提供 2FA 、MFA 或免密码认证。当您登录到支持 FIDO 的平台时,您可以将安全密钥作为辅助的登录验证方式,配合您已有的密码、生物识别和认证器 APP 等验证方式。
协议 | 兼容的 OneKey 设备 |
FIDO U2F | 所有 OneKey 硬件钱包产品 |
FIDO2 | OneKey Pro, OneKey Touch, OneKey 1S |
所有型号的 OneKey 硬件钱包目前仅支持通过 USB 连接进行 FIDO/FIDO2 认证。
什么是 FIDO 和 FIDO2 认证?
FIDO(Fast IDentity Online) 是一个开放标准,旨在简化和加强认证过程。该标准最初由 Google 和 Yubico 设计,并得到了 NXP Semiconductors 的支持,现在由 FIDO 联盟主办,旨在减少对密码的依赖,因为密码可能较弱并容易被破解。FIDO 通过使用公钥加密来提供强大、抗钓鱼的认证。
FIDO2 是 FIDO 联盟和全球万维网联盟(W3C)发布的最新规范,它在原有的 FIDO U2F(Universal 2nd Factor)标准的基础上进行了扩展,包含了两个主要组件:
- WebAuthn (Web Authentication): 一个 API,允许 Web 应用程序通过公钥加密执行免密码认证、基于令牌的认证和第二因素认证(2FA)。
- CTAP (Client to Authenticator Protocol): 一个协议,允许外部设备(如硬件令牌)通过标准化接口与浏览器进行交互。
FIDO 和 FIDO2 的主要区别:
- 免密码认证: FIDO2 扩展了 FIDO U2F 的能力,允许免密码登录,而 FIDO U2F 不支持这一功能。
- 更广泛的 Web 集成: 通过引入 WebAuthn,FIDO2 旨在与 Web 应用程序无缝集成,使其在各种平台和服务中更易于实施。
- 增强的安全功能: FIDO2 提供了更强的防钓鱼攻击和其他凭证盗窃的保护。
使用 OneKey 设备作为安全密钥 (Security Key)
OneKey 硬件钱包旨在提供强大的安全功能,包括 FIDO 和 FIDO2 支持。以下是设置安全密钥的常见流程:
-
将 OneKey 设备设置为安全密钥:
- 通过 USB 连接 OneKey 设备与您的计算机
- 进入帐号的安全设置(如 Google、Facebook 或任何支持的服务)。
- 选择添加安全密钥的选项,并平台要求注册您的 OneKey 设备。
-
使用 OneKey 设备进行登录认证:
- 登录时,选择安全密钥作为验证方法。
- 连接 OneKey 硬件钱包。
- 部分帐户可能需要您在硬件钱包屏幕上点击确认,以完成登录。
-
注意事项
- 为了避免因丢失/重置硬件钱包 而导致您无法登陆常用的账户,建议在硬件钱包安全密钥之外设置额外的验证方法(例如:FaceID、TouchID)。
- 仅凭助记词无法恢复 FIDO/FIDO 2 密钥: FIDO 和加密钱包都依赖助记词来恢复密钥对(公钥和私钥),但与加密钱包不同,FIDO 认证密钥还受到硬件设备特定信息(如序列号)的影响。同一组助记词在不同硬件钱包中可能会导致与所需的 FIDO2 认证密钥对不匹配,因此登录失败。例如:在 2 个 OneKey 硬件钱包拥有同一组助记词的情况下,Google 和 Binance 帐户的登录验证只认可初次设置密钥的硬件钱包。
- FIDO2 的计数器原理: FIDO2 中的计数器用于防止重放攻击(盗窃者通过重置完成登录验证)。一些帐户的服务器和设备(例如硬件钱包)会计数并记录每个认证请求,以防止“重放攻击”。对于采用“计数器”原理的服务器,硬件钱包重置会导致服务器和硬件钱包中的计数器记录不匹配,因此使用相同的设备(重置后)即使拥有相同的助记词,也无法用于登录。
如需进一步帮助或详细说明,请参考我们的帮助中心或联系我们的 or 支持团队。 OneKey 为您保驾护航!