yubikey

无法使用 Yubikey 设置 pam_oath:OTP 无权以用户身份登录
yubikey

无法使用 Yubikey 设置 pam_oath:OTP 无权以用户身份登录

所以,我想要的是使用 Yubikey 作为第二因素或唯一因素登录系统。 我使用 Linux Mint 21.3,我的 Yubikey 是 5C NFC。 我的/etc/pam.d/common-auth: auth [success=1 default=ignore] pam_unix.so nullok auth requisite pam_deny.so auth required pam_oath.so debug usersfile=/etc/users.oath digits=...

Admin

Windows 11 2FA 提示打开控制台而不是 GUI 窗口
yubikey

Windows 11 2FA 提示打开控制台而不是 GUI 窗口

前段时间,我开始在一些支持 FIDO2 的网站上使用 FIDO2 密钥(准确地说是 Yubikey 5 NFC)作为第二因素身份验证的一种形式。 但是,在我的系统发生一些变化之后,很可能是 2023 年秋季的 Windows 11 更新之一,情况发生了变化: 重现步骤: 前往我已将 FIDO2 密钥注册为 2FA 方法的站点。示例:https://dash.cloudflare.com/ 使用正确的用户名和密码登录(第一个因素) 预期的 安全提示要求“触摸我的安全密钥”作为第二因素身份验证: 实际的 相反,我的 Windows 11 现在显示以下内容:...

Admin

在 yubikey 中存储洋葱地址
yubikey

在 yubikey 中存储洋葱地址

我希望能够.onion安全地保存洋葱 (v3) 地址,而无需 Yubikey 中的最终字符串。我希望 Yubikey 在触摸事件时以纯文本形式提供此地址。我曾尝试使用 ykman-gui 和 yubikey-personalization-gui 将它们作为静态密码存储在地址槽 2 中,但它似乎不接受洋葱格式,可能是由于长度或字符格式限制。 还有其他方法可以尝试吗?可能是在命令行中使用一些文档不全的参数,或者以某种方式编码洋葱地址? ...

Admin

通过 PinEntry 解锁卡后,YubiKey Authenticator 应用程序无法识别 YubiKey
yubikey

通过 PinEntry 解锁卡后,YubiKey Authenticator 应用程序无法识别 YubiKey

我在 macOS 上设置了一个非常基本的密码/OTP: 我的 YubiKey 有 sig/aut/enc 子密钥,用于加密/解密密码存储中的密码 我的 OTP 仅存在于我的 YubiKey 上 - 我使用 Yubikey Authenticator macOS 应用程序来生成它们 除了一些奇怪的问题外,这个设置运行得很好: 如果我插入 YubiKey 并通过 YubiKey 验证器生成 OTP,我将无法再解密密码,因为 gpg-agent/pinentry 不再识别该卡。 如果我插入 YubiKey 并解锁卡来解密密码,YubiKey Authenti...

Admin

设置默认安全密钥设置(Windows 11)
yubikey

设置默认安全密钥设置(Windows 11)

从最新的 Windows Insider Build(开发频道)23541.1000 ni_prerelease 开始,当 Windows 提示输入安全密钥时会出现以下内容: 而在这次更新之前,它只是Security key,并会自动启动“触摸按键”的提示。我没有将手机连接到机器,也永远不会,理想情况下我想完全禁用该iPhone, iPad, or Android device选项。 我找不到任何设置Sign-in options表明可以设置默认值,或者完全禁用该选项,所以我觉得注册表混乱是有序的,但不知道它会在哪里。 ...

Admin

Windows 10 上没有密钥图标选项
yubikey

Windows 10 上没有密钥图标选项

我正在尝试在 Windows 10 设备上启用密钥登录。 我已在 gpedit.msc 中启用 UseSecurityKeyForSignin 和 EnableFIDODeviceLogon 以及 WHfB。根据 RSOP,密钥登录已启用,WHfB 已启用,但登录页面现在除了密码之外不显示任何选项。 我还在 intune 中启用了策略(./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin)并将其同步,但仍然没有密码选项。 当我转到登录设置->安全密钥时,它会检测...

Admin

Yubikey ssh 身份验证失败,显示“ECDSA-SK 签名失败”
yubikey

Yubikey ssh 身份验证失败,显示“ECDSA-SK 签名失败”

我有一个 Yubikey(Yubico 的安全密钥 NFC),我正尝试在 Linux 机器上设置它,以在可发现密钥模式下进行 SSH 身份验证。我已关注本教程并使用 ssh-keygen -t ecdsa-sk -O resident -O application=ssh:YourTextHere -O verify-required 之后,公钥被复制到目标服务器,我可以正确登录 ssh -i /root/.ssh/YourTextHere server 但是,当我尝试在代理上连接加载密钥而不使用证书时,出现以下错误: sign_and_send_pu...

Admin

如果你可以生成无限数量的密钥,那么 Yubikeys/FIDO2 密钥的生成将如何进行?
yubikey

如果你可以生成无限数量的密钥,那么 Yubikeys/FIDO2 密钥的生成将如何进行?

我在问自己他们是如何做到的,或者是否有人可以向我解释。 我发现这个来源在那里描述了它,但我不太明白。 据我了解,它不是将私钥存储在设备上,而是存储在它发送到的服务器上。这显然是在使用 Yubikey 特定密钥加密私钥时完成的。在身份验证时,“密钥句柄”被发回并解密,并使用一些元数据对质询进行签名并发回所有内容。 ​ 在凭证注册期间,YubiKey 会随机生成一个新的密钥对,该密钥对是新凭证独有的。私钥以及有关凭证的一些元数据使用以下方式加密:认证加密使用主密钥。此主密钥对于每个 YubiKey 都是唯一的,由设备本身在首次启动时生成,并且绝不会以任何形式离...

Admin

YubiKey 在 WSL 中无法工作(未找到设备),但在 Windows 下直接运行正常
yubikey

YubiKey 在 WSL 中无法工作(未找到设备),但在 Windows 下直接运行正常

我使用 Yubikey 连接多个服务器。我在 Windows 下执行此操作,这与 .ssh 目录中的 sshconfig 配合得很好。 现在我遇到一种情况,我需要在 Linux 下运行一些东西,并使用 YubiKey 连接到相同的服务器。所以我安装了 WSL(Ubuntu),并将我的配置和密钥从我的 Windows SSH 配置复制到 WSL 环境。当连接到仅使用密码或仅使用密钥文件而不使用 YubiKey 的服务器时,SSH 通常可以正常工作。 但是每个需要 YubiKey 的连接都会失败并出现以下错误(由于显而易见的原因,更改了 IP 和名称): Con...

Admin

如何使用 U2F 硬件验证器解锁通过 SSH 连接的计算机中的 SSH 密钥?
yubikey

如何使用 U2F 硬件验证器解锁通过 SSH 连接的计算机中的 SSH 密钥?

我有多台计算机,我都在这些计算机上生成了 ed25519-sk SSH 密钥,它们都使用相同的 U2F 硬件验证器 (yubikey 5C NFC)。我现在处于涉及三台计算机的情况:X、Y 和 Z。我拥有计算机 X 的物理所有权以及 U2F 密钥。我使用 U2F 密钥通过 VPN SSH 进入计算机 Y。然后我想从计算机 Y 通过 SSH 进入计算机 Z,该计算机不在 VPN 上,但可以在 Y 的 LAN 上访问。计算机 Y 上的 SSH 密钥需要将 U2F 密钥插入计算机 Y 的 USB 端口才能使用。但是,我离计算机 Y 很远,只能在计算机 X 上插入 ...

Admin

无法将 Windows OpenSSH 代理与 GPG Agent 和 Yubikey 一起使用
yubikey

无法将 Windows OpenSSH 代理与 GPG Agent 和 Yubikey 一起使用

我有一个 Yubikey,上面加载了 ed25519 证书。其中一个是身份验证证书。我可以通过运行 导出它的 sha 值gpg --export-ssh-key {key_id},并且运行gpg-connect-agent readkey {keygrip}似乎可以导出公钥,正如我所期望的那样,所以我认为它运行正常。我已在 gpg 代理中启用了详细调试和日志记录,但我没有看到任何东西,即使我从连接代理运行命令也是如此。 我正在运行 Windows OpenBSD SSH 代理,但它似乎不想与 GPG 代理通信,我无法从中获取任何调试信息。我在这里陷入了死胡同...

Admin

YubiKey 更改了身份
yubikey

YubiKey 更改了身份

我拔下 YubiKey,过一会儿再插上。现在,当我尝试使用硬件密钥登录网站时,Chrome 会弹出一个窗口,提示“安全密钥看起来不熟悉”。 我仍然可以对所有添加的帐户使用身份验证器。我还可以使用 yubikeys 证书解密我的 bitlocker 加密拇指驱动器。 这表明密钥是相同的,并且我没有意外插入第二把密钥。 Yubikey 的身份如何改变?我该怎么做才能防止这种情况发生? ...

Admin

网站能否检测到同一个物理 FIDO 密钥是否用于多个账户?
yubikey

网站能否检测到同一个物理 FIDO 密钥是否用于多个账户?

如果我有一个帐户,比如说谷歌帐户,并且只在位置 A 使用这个帐户,使用设备 A,而另一个谷歌帐户只在位置 B 使用设备 B,如果我对两个帐户使用相同的 2fa FIDO 密钥,谷歌有没有办法知道两个帐户都使用相同的密钥? ...

Admin

为什么 YubiKey(USB 密钥)需要管理员权限(或任何其他设备)
yubikey

为什么 YubiKey(USB 密钥)需要管理员权限(或任何其他设备)

在全新安装 Windows 10 或 11 后一段时间,使用Yubico 钥匙(USB 密钥),他们需要程序的管理员权限才能检测到它。 它是随机发生的,或者我不记得/无法想象我对系统做了什么(安装了应用程序或驱动程序?)。 使用 Yubico 论坛的这个程序,在 Windows 上检测 YubiKey 需要管理员权限, 我有: 创建文件错误 5。 在另一台具有相同配置的电脑上进行了测试,我无需管理员权限即可访问 USB。 使用最新版本的 Windows 10/11,安装驱动程序,不使用任何防病毒软件,仅使用默认Windows Defender的。 我想追...

Admin

GPG 定期与蒙特雷的 yubikey 失去连接
yubikey

GPG 定期与蒙特雷的 yubikey 失去连接

gpg 和我的 yubikey 之间的连接似乎会定期失败。解密尝试会遇到 pinentry-mac 对话框“请插入序列号为 X 的卡”。 gpg --card-status -v报告 gpg: Note: RFC4880bis features are enabled. gpg: selecting card failed: Operation not supported by device gpg: OpenPGP card not available: Operation not supported by device 重新启动总是可以解决问题,但重新...

Admin