深色模式
常见问题
基础问题
YuerKey 和 YubiKey 有什么区别?
YuerKey 是一款硬件安全密钥,支持类似 YubiKey 5 的核心功能(FIDO2、OpenPGP、PIV、OTP),同时还具备一些独特优势:
- 带彩色触摸屏:可以直接在设备上查看和管理密码、OTP 令牌
- 本地密码库:内置加密密码保险库,一键自动输入
- SmartCard-HSM:支持 PKCS#15 密钥管理,YubiKey 不支持此功能
- 价格更低:零售价 60 元起(YuerKey 1 Lite),远低于 YubiKey 的 400 元
YubiKey 5 的优势在于它是经过 FIDO 联盟官方认证的成熟商业产品,在企业合规、政府采购等场景中更被广泛接受。
支持哪些网站和服务?
任何支持 FIDO2 / WebAuthn 标准的网站和服务都可以使用 YuerKey,包括但不限于:
- 账号服务:Google、Microsoft、Apple
- 代码托管:GitHub、GitLab、Bitbucket
- 云服务:Cloudflare、AWS、Azure
- 社交媒体:Facebook、Twitter/X
- 密码管理器:1Password、Bitwarden、Dashlane
完整的支持列表可以参考 FIDO Alliance 官网。
可以同时使用多个 YuerKey 吗?
可以,而且我们强烈建议这样做。最佳实践是注册至少两个安全密钥:
- 一个日常随身携带使用
- 一个存放在安全的地方作为备份
这样即使日常使用的设备丢失或损坏,你仍然可以通过备份设备登录各个服务,不会被锁在门外。
设备需要充电吗?
YuerKey 通过 USB 供电,插入电脑即可工作,不需要单独充电。
Pro 和 Max 系列自带电池,无需接入 USB 也能查看密码库。
需要安装驱动吗?
不需要。YuerKey 使用标准的 USB HID 和 CCID 协议,以下操作系统均原生支持,即插即用:
- Windows 10 及以上版本
- macOS
- Linux(需要安装 udev 规则,详见 固件说明)
- Chrome OS
使用问题
OTP 验证码不正确?
OTP(尤其是 TOTP)依赖准确的时间。验证码不正确通常是因为设备时间与服务器时间不同步。解决方法:
- 通过 App 同步:打开 YuerKey App,连接设备后在设置中点击"同步时间"
- SNTP 自动校时:在设备设置中启用 SNTP 自动校时功能(需要先连接 WiFi)
- 手动检查:确认设备显示的时间与手机时间一致
如果时间已同步但验证码仍然不正确,请确认你添加 OTP 时使用的密钥(Secret)是否正确。
自动输入没有反应?
HID 自动输入功能模拟 USB 键盘来填入用户名和密码。如果没有反应,请逐一排查:
- 光标位置:确保光标已经点击在目标输入框内
- 系统拦截:某些操作系统(如 macOS)可能会提示"检测到新键盘",需要允许 USB HID 设备
- 安全软件:部分杀毒软件或企业安全软件会拦截模拟键盘输入,请检查是否有相关拦截提示
- 输入法干扰:将输入法切换到英文模式,避免中文输入法干扰字符输入
设备解锁很慢?
PIN 解锁使用 Argon2id 算法,这种算法故意消耗较多的计算资源,目的是让暴力破解变得极其困难。解锁耗时已优化到 3 秒以内。
如果你在安全的环境中使用,觉得每次解锁不够方便,可以在设备设置中选择"无锁屏"模式跳过 PIN 验证。但请注意,这会降低设备丢失时的安全性。
电脑不识别设备?
请按以下步骤排查:
- 换一个 USB 口:优先使用电脑背面的 USB 口(台式机)或直连口(笔记本),避免使用 USB Hub
- 检查数据线:确认 USB 线缆支持数据传输,很多充电线只有供电功能没有数据线
- 设备管理器:Windows 用户打开设备管理器,查看是否有带黄色感叹号的未知设备
- 重新插拔:拔出设备等待 5 秒后重新插入
- 重启电脑:某些 USB 驱动问题可以通过重启解决
FIDO2 相关
提示"不受支持的安全密钥"?
部分网站或服务只接受通过 FIDO 联盟认证的安全密钥。遇到此提示时可以尝试:
- 使用 Chrome 浏览器:Chrome 对 WebAuthn 的支持最为完善,兼容性最好
- 选择正确的选项:在服务的安全设置中,寻找"安全密钥"或"硬件密钥"选项,而非"指纹"或"面部识别"
- 检查服务要求:少数服务(如某些银行)确实强制要求 FIDO 认证设备,这种情况下暂时无法使用 YuerKey
如何备份 FIDO2 凭据?
FIDO2 协议在设计上就不支持导出私钥——这是一项安全特性,而非缺陷。私钥永远不离开设备,确保没有人(包括你自己)能复制它。
推荐的备份策略:
- 在每个服务上注册至少两个安全密钥
- 注册时保存服务提供的恢复码(Recovery Code)
- 部分服务支持设置备用验证方式(如手机验证),建议一并配置
浏览器兼容性?
以下浏览器版本支持 WebAuthn / FIDO2:
| 浏览器 | 最低版本 | 备注 |
|---|---|---|
| Chrome | 67+ | 推荐,兼容性最佳 |
| Firefox | 60+ | 完整支持 |
| Edge | 18+ | 完整支持 |
| Safari | 14+ | macOS / iOS 均支持 |
建议使用最新版浏览器以获得最佳体验。
OpenPGP 相关
gpg --card-status 没有输出?
请按以下步骤排查:
- 确认 USB 连接:设备必须通过 USB 连接电脑,蓝牙连接不支持智能卡功能
- 安装 GnuPG:确认系统已安装 GnuPG 2.2 或更高版本,终端中运行
gpg --version检查 - Linux udev 规则:Linux 用户需要安装 udev 规则才能访问智能卡设备,请参阅 Linux udev 规则 安装后重新插拔设备
- Windows 接口占用:确认没有其他程序(如其他智能卡管理工具)占用 CCID 接口。可以尝试关闭其他可能使用智能卡的程序后重试
- 重启 scdaemon:运行
gpgconf --kill scdaemon然后重试
为什么不支持卡上生成密钥?
当前版本要求先在电脑上生成 GPG 密钥,然后通过 keytocard 命令将子密钥导入设备。这是有意为之的设计选择:
- 确保备份:在电脑上生成密钥时,你可以导出并安全保存主密钥。一旦密钥导入设备,就无法再导出。如果设备损坏或丢失,没有备份意味着永久丢失密钥。
- 灵活管理:你可以保留主密钥的离线备份,只将日常使用的子密钥(签名、加密、认证)导入设备。
如何备份 GPG 密钥?
在将密钥导入设备之前,务必完成以下备份步骤:
bash
# 导出主密钥(包含私钥)
gpg --export-secret-keys --armor YOUR_KEY_ID > master-key-backup.asc
# 导出公钥
gpg --export --armor YOUR_KEY_ID > public-key.asc
# 导出信任数据库
gpg --export-ownertrust > trustdb-backup.txt将这些备份文件保存在安全的离线介质上(如加密 U 盘),存放在不同于设备的安全位置。
请注意:密钥一旦通过 keytocard 导入设备,本地电脑上的私钥副本会被删除,设备中的密钥也无法导出。没有备份就意味着不可恢复。
安全相关
忘记 PIN 怎么办?
分两种情况处理:
- 忘记 User PIN,但记得 Admin PIN:使用 Admin PIN 可以重置 User PIN,不会丢失任何数据
- User PIN 和 Admin PIN 都忘记了:只能执行恢复出厂设置,这会清除设备中的所有数据。请参考下一个问题了解恢复出厂设置的影响
建议将 Admin PIN 记录在安全的地方(如纸质记录存放在保险柜中),与设备分开保管。
恢复出厂设置会丢失什么?
恢复出厂设置会彻底清除设备中的所有用户数据,包括:
- 所有密码保险库中的记录
- 所有 FIDO2 / WebAuthn 注册凭据
- 所有 OpenPGP 密钥
- 所有 PIV 证书和密钥
- 所有 OTP 令牌(TOTP / HOTP)
- 所有 HSM 密钥域
- WiFi 配置、PIN 设置等个人配置
设备将恢复到出厂初始状态。请在执行此操作前确保你有必要的备份,特别是 GPG 主密钥和各服务的恢复码。
网络相关
OTA 更新失败?
固件 OTA 更新失败可能由以下原因导致:
- WiFi 不稳定:确保设备连接的 WiFi 信号良好且网络稳定。大型固件更新可能需要几分钟时间
- 服务器不可达:检查 WiFi 是否能正常访问互联网
不用担心更新中断:如果更新过程中断或新固件验证失败,设备会自动回滚到上一个正常工作的版本,不会变砖。
如何连接 WiFi?
有两种方式为设备配置 WiFi:
- 通过 App 蓝牙配网(推荐):打开 YuerKey App,通过蓝牙连接设备后,在网络设置中选择 WiFi 并输入密码。整个过程中 WiFi 密码通过加密蓝牙通道传输
- 设备端手动配置:在设备的设置菜单中找到 WiFi 设置,使用屏幕键盘输入 WiFi 名称和密码
WiFi 主要用于以下功能:
- OTA 固件更新
- 时间同步(OTP 功能需要)
- HTTP 文件服务器