YuerKey

深色模式

FIDO2 / U2F 使用指南

概述

YuerKey 支持 FIDO2(WebAuthn + CTAP2.1)和 U2F 协议,可以在支持的网站和服务上注册为安全密钥,实现两步验证(2FA)或无密码登录(Passkey)。相比短信验证码和 TOTP,硬件安全密钥能有效防御钓鱼攻击。

注册安全密钥

通用步骤

大多数支持安全密钥的网站都遵循相似的注册流程:

  1. 在网站的安全设置中找到「安全密钥」或「两步验证」选项。
  2. 选择「添加安全密钥」或「注册新密钥」。
  3. 将 YuerKey 通过 USB 线连接到电脑。
  4. 浏览器弹出提示「请触摸您的安全密钥」。
  5. YuerKey 屏幕上显示注册请求信息(包含网站域名),确认是你正在操作的网站。
  6. 按下确认键完成注册。
  7. 在网站上为密钥命名(建议使用容易辨识的名称,如"YuerKey-主")。

以 Google 账户为例

  1. 打开 Google 账户安全性页面
  2. 找到「两步验证」,点击进入。
  3. 在「安全密钥」部分,点击「添加安全密钥」。
  4. 选择「USB 安全密钥」。
  5. 将 YuerKey 插入电脑 USB 口。
  6. YuerKey 屏幕显示 Google 的注册请求,按确认键。
  7. 为密钥命名(如"YuerKey-主"),点击完成。

以 GitHub 为例

  1. 打开 GitHub,进入 Settings → Password and authentication。
  2. 在 Two-factor authentication 部分,找到 Security keys。
  3. 点击「Register new security key」。
  4. 将 YuerKey 插入电脑 USB 口。
  5. YuerKey 屏幕显示 GitHub 的注册请求,按确认键。
  6. 输入密钥名称并保存。

其他常见支持的服务

以下服务均支持 FIDO2 安全密钥:

  • Microsoft 账户(Outlook、Azure AD)
  • Cloudflare
  • Dropbox
  • Twitter / X
  • Facebook
  • AWS(IAM 用户)
  • GitLab

使用安全密钥登录

两步验证(2FA)

注册安全密钥后,登录时的操作流程如下:

  1. 正常输入用户名和密码,点击登录。
  2. 网站提示使用安全密钥进行二次验证。
  3. 如果 YuerKey 尚未插入,将其插入电脑 USB 口。
  4. YuerKey 屏幕显示认证请求(包含网站域名)。
  5. 确认域名正确后,按确认键完成登录。

Passkey 无密码登录

部分支持 Passkey 的网站可以完全跳过密码,直接用安全密钥登录:

  1. 在登录页面选择「使用 Passkey 登录」或「使用安全密钥登录」。
  2. 浏览器请求安全密钥。
  3. YuerKey 屏幕显示确认提示。
  4. 按确认键,直接完成登录,无需输入任何密码。

说明:Passkey 需要在注册时创建 Discoverable Credential(可发现凭据),并非所有网站都支持此功能。

管理凭据

  • 在设备上查看:进入设备的「FIDO2」管理界面,可以查看已注册的所有凭据列表(显示网站域名和用户名)。
  • 通过 App 查看:在 YuerKey App 中可以查看凭据列表(只读,不可修改)。
  • 删除凭据:在设备的 FIDO2 管理界面中选择凭据,确认删除。删除后该网站将无法再使用此安全密钥登录,需要重新注册。

重要:删除设备上的凭据前,请先在对应网站上移除该安全密钥或添加替代验证方式,否则可能导致无法登录。

支持的算法

算法说明
ES256ECDSA P-256,最广泛支持的算法
ES384ECDSA P-384
ES512ECDSA P-521
Ed25519EdDSA Curve25519,高性能椭圆曲线
Ed448EdDSA Curve448
RS256RSA PKCS#1 v1.5 with SHA-256,兼容旧系统

高级特性(CTAP2.1)

YuerKey 实现了 CTAP2.1 协议,支持以下高级特性:

  • Large Blobs:可以在凭据中存储较大的附加数据(如 X.509 证书),部分企业应用场景需要此功能。
  • 凭据管理(Credential Management):在设备上直接浏览、管理所有已注册的 FIDO2 凭据,无需逐个网站检查。
  • HMAC-Secret 扩展:支持基于凭据的对称密钥派生,可用于离线场景下的数据加密(如 Windows Hello 的 PIN 解锁)。

常见问题

提示"不受支持的安全密钥"?

部分服务(如某些银行或政府网站)要求安全密钥通过 FIDO 联盟的官方认证。YuerKey 目前未通过 FIDO 联盟认证。建议:

  • 尝试使用 Chrome 浏览器,通常限制最少。
  • 检查服务是否有白名单设置,部分企业管理员可以手动添加。

浏览器不弹出安全密钥提示?

确认你的浏览器版本满足最低要求:

浏览器最低版本
Chrome67+
Firefox60+
Edge18+
Safari14+

如果版本满足但仍无提示,请检查:

  • 操作系统是否识别到 USB 设备(Windows 设备管理器、Linux lsusb)。
  • 是否有其他安全密钥管理软件冲突。

注册了多个安全密钥,如何选择?

服务会自动尝试已插入的安全密钥。如果有多个 YuerKey,确保插入正确的设备即可。设备屏幕上会显示请求来源的域名,帮助你确认操作的正确性。

安全密钥丢失了怎么办?

强烈建议注册至少两个安全密钥(一个日常使用,一个备用)。如果唯一的安全密钥丢失:

  1. 使用注册时保存的恢复码登录账户。
  2. 进入安全设置,移除丢失的安全密钥。
  3. 注册新的安全密钥。