Windows hello 本身就是一个 FIDO2 密钥,并且优先级高于外接 yubikey. 注册 key 的时候很容易就把 windows hello 注册进去了。
在 namecheap 上注册 yubikey, 发现注册 key 和使用的过程都莫名其妙。注册 key 和后面的每次登录到要我输入 windows hello PIN 码,而不需要去 touch yubikey.
直到,我试了一下拔掉 yubikey 还能不能登录。发现真的可以。
在带 TPM 的电脑上,windows hello 本身就是一个 FIDO2 authenticator. 也就是说,windows 电脑本身就可以作为一个 key 来使用。
并且,这个 TPM 模拟的 key 的优先级,是高于外接的 yubikey 的。如果按照默认的注册 key 流程走下去,就算插这个 yubikey, 也会把 TPM 模拟的 key 注册上去。
注册 key 过程中的文案根本不知道在说什么(微软这是继测试之后把产品团队也砍了吗),大概就是「 Mozilla Firefox 请求使用安全密钥」、「输入 windows hello PIN 确认」,我根本没有意识到这里调用的不是 yubikey.
要注册上 yubikey, 是需要在输入 windows hello PIN 的步骤点取消,然后才会 fallback 过去,提示触摸安全密钥。
这个问题真的挺严重的,我作为信息安全从业人员都被这文案骗过去了,它就不能在第一步先把能找到的 key 列出来让我选一个吗
网站应该是可以 override 这个顺序,或者拒绝掉 windows hello 作为 authenticator 的。Google 账户注册 key 的时候就会跳过 windows hello, 直接提示触摸安全密钥。
作为用户,就是注册 key 看到弹框里带有 windows hello 的就点取消。注册完 sign out, 拔掉 yubikey 再登录试试,看看会不会登录失败。
www.reddit.com/r/yubikey/comments/l7rl5r/users_accidentally_setting_fido2_pin/gl8nqu1
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.