Windows hello 会破坏 yubikey u2f/fido2 的正确运行
source link: https://www.v2ex.com/t/788645
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
TL;DR
Windows hello 本身就是一个 FIDO2 密钥,并且优先级高于外接 yubikey. 注册 key 的时候很容易就把 windows hello 注册进去了。
怎么发现的
在 namecheap 上注册 yubikey, 发现注册 key 和使用的过程都莫名其妙。注册 key 和后面的每次登录到要我输入 windows hello PIN 码,而不需要去 touch yubikey.
直到,我试了一下拔掉 yubikey 还能不能登录。发现真的可以。
在带 TPM 的电脑上,windows hello 本身就是一个 FIDO2 authenticator. 也就是说,windows 电脑本身就可以作为一个 key 来使用。
并且,这个 TPM 模拟的 key 的优先级,是高于外接的 yubikey 的。如果按照默认的注册 key 流程走下去,就算插这个 yubikey, 也会把 TPM 模拟的 key 注册上去。
问题出在哪里
注册 key 过程中的文案根本不知道在说什么(微软这是继测试之后把产品团队也砍了吗),大概就是「 Mozilla Firefox 请求使用安全密钥」、「输入 windows hello PIN 确认」,我根本没有意识到这里调用的不是 yubikey.
要注册上 yubikey, 是需要在输入 windows hello PIN 的步骤点取消,然后才会 fallback 过去,提示触摸安全密钥。
这个问题真的挺严重的,我作为信息安全从业人员都被这文案骗过去了,它就不能在第一步先把能找到的 key 列出来让我选一个吗
Migration
网站应该是可以 override 这个顺序,或者拒绝掉 windows hello 作为 authenticator 的。Google 账户注册 key 的时候就会跳过 windows hello, 直接提示触摸安全密钥。
作为用户,就是注册 key 看到弹框里带有 windows hello 的就点取消。注册完 sign out, 拔掉 yubikey 再登录试试,看看会不会登录失败。
References
www.reddit.com/r/yubikey/comments/l7rl5r/users_accidentally_setting_fido2_pin/gl8nqu1
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK