问题标签 [fido-u2f]

我目前在使用以下命令在终端中生成 U2F 公钥/私钥对时遇到问题：

ssh-keygen -t ecdsa-sk -vv

运行此命令会提供以下错误：

我正在运行 MacOS，并将最新版本的 OpenSSH 更新为：

OpenSSH_8.3p1, OpenSSL 1.1.1g 21 Apr 2020

我当前的 libfido2 版本是：1.4.0通过 Homebrew 安装。

我的 Yubikey 模型是：Yubikey C Nano FIPS

我的 Yubikey 固件是：4.4.5

有谁知道这个错误的根源是什么？Yubikey FIPS 系列不支持这个命令吗？

为了解决这个问题，我要做的就是使用安全密钥（FIDO2 安全密钥）和我的 Microsoft 帐户（hotmail）登录我的电脑。有谁知道我怎样才能最好地做到这一点？

我尝试使用 Azure AD 的详细信息：

我有一个 AAD 租户，其中已为所有用户启用了安全密钥。在 AAD 中创建用户时，在http://myprofile.microsoft.com/中为该用户设置密钥，然后 AAD 加入我的 PC，我可以使用该特定帐户的注册安全密钥登录到我的 PC。

但是，如果我邀请具有常规“@outlook”或“@hotmail”帐户的外部用户加入我的 AAD，我将无法登录http://myprofile.microsoft.com/，因为该用户未添加到“Microsoft 服务” “租户并且无法访问应用程序'19db86c3-b2b9-44cc-b339-36da233a3be2'（我的访问）。相反，我尝试在 account.microsoft.com 中为 Microsoft 帐户设置安全密钥。

由于我的 PC 与 AAD 用户一起加入了 AAD，因此在登录期间存在安全选项，因此我尝试使用为该帐户设置的安全密钥登录我的 PC 上的“@hotmail”帐户。这似乎最初有效，直到它最终说“您无法使用此帐户登录。尝试另一个帐户”

有谁知道如何为常规 Microsoft 帐户设置安全密钥或如何为“Microsoft 服务”租户添加外部密钥？

谢谢！

我们想在 Azure AD 中使用 powershell 为 MFA 设置 FIDO2 安全密钥。我们无法找到任何自动化此配置的参考。请告知如何自动配置此配置。

根据本页下面的句子， “Yubico 的安全密钥”没有序列号。

序列号在所有 YubiKey 型号中都是唯一的，但没有序列号的安全密钥除外。

但是，在Yubico 演示站点中，同一个“Yubico”只能在1 个密钥中注册安全密钥。
所以，我认为“Yubico”有一些机制可以在不使用序列号的情况下识别每个“Yubiko”。
那么，webserver中的authenticator如何识别每个没有序列号的key呢？

Chrome 中提供的虚拟身份验证器扩展（虚拟身份验证器选项卡）用于在不使用物理身份验证器密钥的情况下测试/调试 FIDO2 Webauthn 身份验证机制。这在自动化测试中很有用，例如通过 Selenium。

1. 在 IAM 提供者的生产环境中是否应该允许？
2. 有没有办法在生产环境中禁用/禁止此注册？

我尝试使用虚拟身份验证器选项卡扩展设置 Google 帐户两步验证。但是 Google 不允许我们从虚拟身份验证器选项卡扩展中注册 FIDO 密钥。

Is it possible to have a FIDO2 usb key which I can use as a second factor without requiring me to perform the user presence check? All the keys I've checked so far (YubiKey, Solo Keys, etc.) require me to tab them.

The intention is to use such a key in order to verify that the authentication process was really initiated from my computer and nothing more. That means, I do not care if my computer gets cracked and then some bad guy performs an authentication via my computer. However, the key would at least prohibit others to authenticate as me from other devices. Having a "tab-less" FIDO2 key would be really convenient (for example, I would like to use it for my SSH keys, however, tabbing the FIDO key every time I login is cumbersome).

我正在为 Android 智能手机开发应用程序，以便通过 NFC 接口使用 FIDO U2F 协议进行 WebAuthn 身份验证。出于参考目的，我使用 Yubikey 5 NFC 令牌。该应用程序创建虚拟令牌并支持 FIDO U2F NFC 协议规范 v1.0。我的应用程序在一些演示站点上进行了测试，例如https://webauthn.org/、https://demo.yubico.com/webauthn-technical/registration，注册和身份验证在我的应用程序中正确进行。然后我在 mail.ru 邮政服务上测试注册和身份验证，一切都是正确的。

最后，我在 Gmail 上打开了两步验证，并成功注册了 Yubikey 5 NFC 令牌和我的应用程序虚拟令牌。然后我尝试使用这两种设备通过两步验证。当我在授权的第二步使用 Yubikey 5 NFC 令牌时，它会正确运行，在带有“确定”标记的对话框后，我单击下一步并进入 Gmail 帐户。但是我的应用程序以非常奇怪的方式未能通过身份验证。在我的应用程序回复身份验证命令并且 Gmail 对话窗口显示“确定”标记后，我单击“下一步”按钮并且没有进入 Gmail 帐户。以下是此过程的 2 个屏幕截图。

带有“OK”标记的对话框：

出现未知问题的对话框：

由于没有任何关于问题的额外信息，我不知道出了什么问题以及为什么在带有 OK 标记的对话框之后我无法进入 Gmail 帐户。您对这个问题或如何获得有关失败原因的额外信息有任何想法吗？

额外信息：我还检查了我的虚拟令牌应用程序以使用fastmail.com电子邮件服务，并且注册和验证都可以。使用Gmail，在进行第二步验证时，它似乎会检查证明证书中的一些信息。如果这是真的，我需要澄清证书中的哪些字段被检查。

由于 FIDO 密钥没有显示，因此您只能使用它们来验证自己，而不是授权某些操作（您不知道要授权什么操作）。

或者，如果您想授权某事，您需要相信您的浏览器显示的内容与您按下 FIDO 键上的按钮时将授权的内容相同 - 但我想知道为什么您根本需要硬件密钥，并且不要完全信任您的浏览器和您的密钥。

所以我不知何故看不到 FIDO 密钥的用处。有人可以启发我吗？

即使是一些简单的例子，比如登录我的电子邮件帐户——这难道不应该比身份验证更好吗？一旦我登录，控制我的浏览器（浏览器是中间人）的攻击者就可以永远保持登录状态，添加转发规则来拦截我的所有电子邮件，等等。

这一切是因为如果 FIDO 键必须包含显示器，它们会变得非常大吗？那么为什么不添加一个耳机插孔，至少通过文字转语音告诉我我正在授权什么？

我正在为我的网站实现 WebAuthn，并设置了userVerification: "required". 我在我的加密狗上设置了密码。如何重置我的加密狗密码？

我需要制作一个登录系统而不是使用 FIDO 令牌，我听说 Chrome 从版本 40 开始就本机支持 u2f。但我目前使用的是 chrome 89，我看到 window.u2f 是未定义的。

在 Firefox 中，u2f 变量是本地定义的

有使用 FIDO 令牌的演示应用程序（例如https://demo.yubico.com/webauthn-technical/registration和https://devise-fido-u2f.herokuapp.com/），此应用程序在 Chrome 浏览器中正常工作，但我已经能够弄清楚他们是如何做到的。

在谷歌浏览器中使用 u2f 唱歌的正确方法是什么？