我已成功使用 YubiKey 让我的 Chrome 和 Firefox 浏览器获取我的两步验证使用我的 Google 帐户。
不幸的是,我有几个 Windows 应用程序无法使用我的密钥。我在屏幕 1 中输入用户名,在屏幕 2 中输入密码,然后进入第三个密钥步骤:
我一直无法让这个窗口识别我的密钥。我甚至不知道使用什么浏览器进行身份验证。我的理解是 Windows 的Internet Explorer 11不支持金融信息披露办公室或者U2F所以我尝试禁用 Windows Internet Explorer,希望它能将后端切换到边缘这可能会更好。但事实并非如此。
我该怎么做才能让这些应用程序和其他具有类似界面和提示的应用程序识别我的密钥?如果不可能,为什么?此外,如果不可能,除了两步验证外,还有哪些其他选择?
Windows Mail 应用程序就是此类应用程序的一个示例(它会显示一条消息,提示“您只能在 Google Chrome 中使用安全密钥。”此类应用程序的另一个示例是UpSafe 的免费 Gmail 备份这将带我到上面的 U2F 提示屏幕图像。
我的一个设备是 Feitian MultiPass FIDO。另一个是 Yubico U2F FIDO USB 密钥。
答案1
内置 Windows邮件应用程序没有 FIDO 身份验证所需的处理程序,因此这样做是有道理的。(此外,持久邮件应用程序不是您要使用的东西外交部因为它需要能够在你和你的令牌不在的时候运行。为此,我建议你设置一个应用程序密码仅适用于受信任设备上的邮件应用程序。
看起来 UpSafe(他们网站上几乎没有发布任何文档,真丢脸)正在使用浏览器进行登录调用,然后在隔离环境中运行。这是一个不错的想法,但不是实现安全性的错误方式;作为代表您执行操作的外部服务,他们应该使用开放授权代币。
安全性和不受信任/半受信任的第三方提供商的理念是,他们永远不应该访问你的密码(这将使他们能够以你的身份操作,完全控制账户),相反,他们应该被授予他们由你仅有的他们需要的特定项目(阅读邮件、联系人等,但不能修改或创建)。这就是开放授权进来。
UpSafe,似乎(我真的希望他们能发布文档,这样我就可以更准确地谈论这个问题),但尚未实现这种类型的安全性。如果他们要求交互式登录,则表明他们正在保存您的密码并使用您的凭据访问帐户(就我个人而言,这是一个“逃跑”的迹象)。由于您保存的凭据在没有2FA键,然后它们会再次提示你,就像你更改了密码一样。重复。
在这两种情况下,您的问题都不在于 Google 身份验证或 YubiKey。而在于执行登录的应用程序。而且,这两种用例实际上都不适用于 MFA(它们需要持续的、用户不在场的访问才能正常运行)。
如果您的笔记本电脑上安装了邮件应用程序,那么这样做是有道理的——邮件应用程序的工作方式不利于 MFA,应该设置应用程序密码(它不是代表您进行访问的第三方提供商,它仍然是您;但它需要一直访问,即使没有您的密钥)。
就 UpSafe 而言,似乎(纯属猜测,没有任何文件)他们存储并重复使用密码(叽)。他们是外部第三方,确实应该使用开放授权,但如果您信任他们并且不介意授予他们对您帐户的完全访问权限,您也可以为他们使用应用程序密码。