本文旨在講解 FIDO、FIDO2、安全金鑰的定義,以及 OneKey 硬件錢包作為安全金鑰的建議使用方法。
什麼是安全金鑰 (Security Key) ?
安全金鑰 是一種實體裝置,它實施 FIDO 標準以提供 2FA 、MFA 或免密碼認證。當您登入到支援 FIDO 的平台時,您可以將安全金鑰作為輔助的登入驗證方式,配合您已有的密碼、生物辨識和認證器 APP 等驗證方式。
協定
|
相容的 OneKey 裝置
|
FIDO U2F
|
所有 OneKey 硬件錢包產品
|
FIDO2
|
OneKey Pro, OneKey Touch, OneKey 1S
|
所有型號的 OneKey 硬件錢包目前僅支援透過 USB 連接進行 FIDO/FIDO2 認證。
什麼是 FIDO 和 FIDO2 認證?
FIDO(Fast IDentity Online)是一個開放標準,旨在簡化和加強認證過程。該標準最初由 Google 和 Yubico 設計,並得到了 NXP Semiconductors 的支援,現在由 FIDO 聯盟主辦,旨在減少對密碼的依賴,因為密碼可能較弱並容易被破解。FIDO 透過使用公鑰加密來提供強大、抗網路釣魚的認證。
FIDO2 是 FIDO 聯盟和全球資訊網聯盟(W3C)發布的最新規範,它在原有的 FIDO U2F(Universal 2nd Factor)標準的基礎上進行了擴展,包含了兩個主要組件:
WebAuthn (Web Authentication): 一個 API,允許 Web 應用程式透過公鑰加密執行免密碼認證、基於令牌的認證和第二因素認證(2FA)。
CTAP (Client to Authenticator Protocol): 一個協議,允許外部裝置(如硬件令牌)透過標準化介面與瀏覽器進行互動。
FIDO 和 FIDO2 的主要區別:
免密碼認證: FIDO2 擴展了 FIDO U2F 的能力,允許免密碼登入,而 FIDO U2F 不支援此功能。
更廣泛的 Web 整合: 透過引入 WebAuthn,FIDO2 旨在與 Web 應用程式無縫整合,使其在各種平台和服務中更易於實施。
增強的安全功能: FIDO2 提供了更強的防網路釣魚攻擊和其他憑證盜竊的保護。
使用 OneKey 裝置作為安全金鑰 (Security Key)
OneKey 硬件錢包旨在提供強大的安全功能,包括 FIDO 和 FIDO2 支援。以下是設定安全金鑰的常見流程:
將 OneKey 裝置設定為安全金鑰:
透過 USB 連接 OneKey 裝置與您的電腦
進入帳號的安全設定(如 Google、Facebook 或任何支援的服務)。
這裡以Google帳號為例,選擇添加安全金鑰的選項,點擊使用其他裝置。
此時裝置會彈出新增安全金鑰授權(以OneKey pro為例)
確認後網頁會提示安全金鑰創建成功
使用 OneKey 裝置進行登入認證:
登入時,選擇安全金鑰作為驗證方法。
連接 OneKey 硬件錢包。
部分帳號可能需要您在硬件錢包螢幕上點擊確認,以完成登入。
注意事項
為了避免因遺失/重設硬件錢包 而導致您無法登入常用的帳號,建議在硬件錢包安全金鑰之外設定額外的驗證方法(例如:FaceID、TouchID)。
僅憑助記詞無法恢復 FIDO/FIDO 2 密鑰: FIDO 和加密錢包都依賴助記詞來恢復密鑰對(公鑰和私鑰),但與加密錢包不同,FIDO 認證密鑰還受到硬件裝置特定資訊(如序號)的影響。同一組助記詞在不同硬件錢包中可能會導致與所需的 FIDO2 認證密鑰對不匹配,因此登入失敗。例如:在 2 個 OneKey 硬件錢包擁有同一組助記詞的情況下,Google 和 Binance 帳號的登入驗證只認可初次設定密鑰的硬件錢包。
FIDO2 的計數器原理: FIDO2 中的計數器用於防止重送攻擊(竊盜者透過重設完成登入驗證)。一些帳號的伺服器和裝置(例如硬件錢包)會計數並記錄每個認證請求,以防止「重送攻擊」。對於採用「計數器」原理的伺服器,硬件錢包重設會導致伺服器和硬件錢包中的計數器記錄不匹配,因此使用相同的裝置(重設後)即使擁有相同的助記詞,也無法用於登入。
如需進一步協助或詳細說明,請參考我們的說明中心或聯繫我們的 or 支援團隊。 OneKey 為您保駕護航!