2

我阅读了 Yubico 的所有出版物并查看了网络研讨会,但出于某种原因,他们保留了一些信息。

当将 Yubikey 5 用于 Single Strong Factor 时,他们声称身份验证器(我猜他们是指物理密钥的 CPU)为您使用“驻留密钥”方法注册的每个站点生成一个密钥对。他们承认注册人数是有限制的,因为他们每个人都占用了密钥上的一个位置,所以它不像 U2F 那样是无限的。因此我想知道:

  1. 新5系的槽位上限是多少?(目前我还不知道其他供应商提供 FIDO2)
  2. 可以手动重置旧使用的插槽以释放空间吗?
  3. 远程恶意站点能否潜在地创建多个密钥注册事件,导致密钥填满所有空闲插槽?
  4. 当我进入注册了多个帐户的服务的登录页面时,链的哪个部分要求我选择我希望登录的凭据?本地客户端(通常是 Web 浏览器)还是远程服务器?
  5. 远程服务器能否检测到两个帐户使用相同的密钥注册?这不是用户应该注意的隐私问题吗?

感谢您提供的任何信息,无论是一般的 FIDO2 还是具体的 Yubico 硬件。

(试图标记此 FIDO2 但我无法创建新标记)

4

2 回答 2

2

我可以尝试回答您的一些担忧:

  1. 基本上,硬件令牌有两种选择:为每个注册生成和存储新的密钥对(称为常驻密钥)或使用密钥包装和“存储”依赖方服务器上的密钥作为 credentialId ( https://www.w3. org/TR/webauthn/#sctn-credential-storage-modality)。YubiKey 5 支持两种选择:当依赖方要求使用您的密钥作为 MFA/passwordess ( "requireResidentKey": false) 时,会生成新的密钥对并存储在设备上;当依赖方要求仅将您的密钥用作第二个因素时,则使用密钥包装并且不使用内部存储器。YubiKey 5 只能存储25 个密钥对https://support.yubico.com/support/solutions/articles/15000014219-yubikey-5-series-technical-manual#FIDO2r09kph)。
  2. 您只能对令牌进行出厂重置(什么都没有)。这是由 CTAP2 ( https://fidoalliance.org/specs/fido-v2.0-rd-20170927/fido-client-to-authenticator-protocol-v2.0-rd-20170927.html#authenticatorReset ) 定义的。理论上 Yubico 可能会提供自定义工具来一一管理凭据,但我不知道有这样的工具。
  3. 除非您每次都触摸您的键(存在检测)。
  4. 这取决于依赖方。WebAuthn (FIDO2) 允许这两种情况,Yubikey 5 支持这两种情况。如果网站仅使用令牌作为第二个因素(如 U2F),那么它会要求提供特定的凭证。如果您的密钥用作无密码令牌并且依赖方不要求特定凭据,则平台(或浏览器)会收集链接到依赖方的所有​​凭据并显示选择对话框。
  5. 是和不是。依赖方可以向您的令牌提供已知凭证列表(CTAP2 中的排除列表),然后如果您的令牌已经具有该列表中的凭证,则您的令牌必须拒绝注册。但这仅对防止将相同的密钥分配给同一帐户有用。
于 2018-11-18T23:12:09.220 回答
1

对于问题 2。我已使用 yubikey Manger CLI 工具“ykman.exe”从 yubikey 5 系列清除 FIDO 注册

# PowerShell
Set-Location -Path "$env:ProgramFiles\Yubico\YubiKey Manager"
.\ykman.exe
于 2020-07-20T17:55:04.553 回答