通用第二因素 (U2F) 是一种开放式身份验证标准，它通过使用基于智能卡中类似安全技术的专用 USB 或 NFC 设备来加强和简化双因素身份验证 (2FA)。虽然最初由谷歌和 Yubico 开发，恩智浦半导体也做出了贡献，但该标准现在由 FIDO 联盟主办。非对称密码学的安全特性属于 OneKey 的安全哲学。借助 OneKey 中的 U2F 支持，可以确保在线帐户和身份的安全。

U2F 的好处

• 私钥永远不会通过互联网发送
• 由于公钥加密，机密信息永远不会共享。
• 比传统的 2 因素身份验证更易于使用。 
• 无需重新输入一次性代码。
• 没有与私钥共享的个人信息。 

虽然理论上备份更容易，但并非所有 U2F 密钥都可以。当使用 U2F 时，供应商没有共享秘密，也没有存储机密数据库，黑客不能简单地窃取整个数据库来获得访问权限。相反，他必须以个人用户为目标，这成本和时间要高得多。此外，可以备份秘密（私钥）。

它是如何工作的？

登录网站时，用户通常通过提供用户名和密码来验证自己的身份。使用 OneKey 和 U2F，用户必须通过点击 OneKey 设备上的按钮来额外确认登录。

OneKey 始终为每个注册的用户帐户使用唯一签名。

• OneKey 要求用户在设备初始设置期间备份恢复种子。这是设备所有功能的一次性过程。恢复种子代表设备生成的所有私钥，可随时用于恢复链接的钱包。
• 允许无限数量的 U2F 身份，这些身份都保存在一个备份下。
• 恢复种子安全地存储在 OneKey 中。它永远不会被共享，因为它永远不会离开设备。没有病毒或黑客可以访问它。
• 通过屏幕验证进行网络钓鱼防护。OneKey 始终显示用户要登录的网站的 URL，以及具体要授权的内容；因此可以验证发送到设备的内容是否与预期的相同。

带有 U2F 的 OneKey

为了提高您的在线安全性，OneKey 可以作为 U2F 的硬件安全令牌，但具有备份/恢复功能和便利性。您可以开始使用 OneKey 作为您的第二因素身份验证令牌，使用 Google、GitHub 或 Dropbox 等服务。OneKey 的另一个优势是它的用户可以真正验证他们将要在设备显示屏上授权的内容。

在这个简短的教程中，我们将向您展示如何在 Google 帐户上启用双因素身份验证并将 OneKey 设备注册为 U2F 身份验证令牌。

1. 访问 Google.com 并登录您的帐户

2. 访问“安全”设置并启用“两步验证”

访问您的 Google 帐户后，导航至页面左侧的安全设置。您将看到启用两步验证的选项。启用此功能后，除了标准密码外，您的 Google 帐户还需要进行二次验证。

单击两步验证，然后单击开始以继续。

3. 从用于登录的其他选项中选择“安全密钥”

Google 会要求您重新登录您的帐户。这是一项安全预防措施，可确保您是更改设置的人。

登录时，Google 会要求您选择首选的两步验证方法。Google 将提供他们的本地解决方案，但您有更好的解决方案，您的 OneKey 设备。因此，单击选择另一个选项并选择安全密钥

4. 连接您的 OneKey 设备并将其注册为此服务的 U2F 安全密钥

5. 命名您的安全令牌

您可以在此处选择 Google 在您使用您的设备时看到的名称。此名称与您首次初始化设备时选择的名称不同。

6. 享受吧！

下次登录您的 Google 帐户时，系统会要求您确认在您的设备上登录。

U2F支持

- U2F 在 Chrome/Chromium 浏览器中启用，开箱即用

- 在 Firefox 中，您需要手动启用 U2F：
在 Firefox 地址栏中键入 about:config，然后按 Enter

搜索 u2f
双击 security.webauth.u2f 以启用 U2F（或右键单击并选择切换）

在 OneKey 上恢复 U2F 计数器

在另一个 OneKey 上恢复种子也会恢复所有 U2F 密钥，因为它们是从一个主密钥派生的。由于 U2F 的设计，某些服务可能会实现一个记录登录次数的计数器。但是，如果您的固件版本为 1.4.2 或更高，U2F 计数器会自动恢复。

如何将 U2F 添加到 sudo 命令

1.打开sudo配置文件：

sudo nano /etc/pam.d/sudo

2. 在文件末尾添加：

# u2f authentication
auth required pam_u2f.so authfile=/etc/u2f_mappings cue