U2F 到底是什么，有什么用？

tl;dr: U2F 非常重要，因为它是保护账户凭据最安全的选择。因此，请尽可能激活它。

事实上，U2F 非常重要，每个电子邮件服务都应该支持它。

原因很简单:您的电子邮件帐户是您在线身份的大门。想想看:亚马逊、X、贝宝（仅举几例）等服务都与您的电子邮件账户相关联。即使您在这些服务中使用了强大的密码，但如果敌对攻击者进入了您的邮箱，这些密码也很容易被重置。

这就是（FIDO）U2F 安全密钥的保护作用。如果在您的电子邮件账户上激活，例如在 Tuta 中激活，恶意攻击者几乎不可能接管您的邮箱。

什么是 U2F（通用第二因子）？- 定义

U2F 是一种开放式身份验证标准，它使用一个密钥提供多种服务。它简化并提升了 2FA（双因素身份验证）提供的安全性，因为不需要驱动程序或客户端软件。

通用第二要素身份验证是指一个单独的设备，它持有登录数字账户所需的额外密钥。您只需插入一个设备作为第二要素，而无需输入特定代码（OTP）。

**进一步阅读:保护数字身份的 4 种方法。

一键开启隐私保护。

Get

U2F 安全密钥与 2FA 身份验证

U2F 密钥与 2FA 不同:2FA 是双因素身份验证，包括第二因素的所有方法（如短信、TOTP、U2F 等）。U2F 安全密钥只是设置双因素身份验证的一种方法，但却是最安全的方法！

使用 U2F 安全密钥有什么好处？

1. 快速验证:缩短验证时间
2. 安全性强:完全部署后不会接管账户
3. 多种选择:可访问近 1,000 个应用程序和服务

缺点是什么？

与 TOTP（使用共享密码）相比，U2F 解决方案有一个明显的缺点:U2F 没有备份共享密码恢复码的选项。

如果丢失了硬件安全密钥，就无法登录原来使用该硬件安全密钥保护的服务和应用程序。因此，大多数服务都提供了重置登录凭据以重新获得访问权的方法。

例如，Tuta 提供了一个恢复代码，必须输入正确的密码才能重置（在这种情况下:删除）丢失的 U2F 安全密钥。此外，Tuta 还可以注册多个 U2F 安全密钥。如果其中一个丢失，用户仍可使用其他已注册的 U2F 安全密钥登录。

U2F 真的对每个人都有必要吗？

一般来说，我们 Tuta 建议每个人都使用 U2F 安全密钥来保护他们的 Tuta 登录凭据。

在 Tuta，我们建议大家使用 Yubikey 等第二要素。

U2F 身份验证

U2F - 使用硬件安全密钥的第二因素身份验证 - 是保护您的在线账户免受恶意攻击（如凭证填充）的最安全方法。它也比通过 OTP 或 TOTP（所谓的一次性密码或基于时间的一次性密码）进行的第二因素身份验证更安全。这些密码是生成的，仅在短时间内有效。因此，我们 Tuta 强烈建议激活硬件密钥来保护您的加密邮箱。

一键开启隐私保护。

Get

U2F 安全密钥如何防范网络钓鱼？

U2F 安全密钥可加固您的登录凭证，确保任何人都无法接管您的账户—即使是在成功的网络钓鱼攻击之后。

在数字化的今天，所有事情都在网上进行，网络钓鱼电子邮件也变得越来越复杂。这意味着遭受此类攻击的风险也在增加。网络钓鱼电子邮件的发件人通常会试图让你点击一个链接来输入密码。如果出现这种情况，攻击者就能轻易窃取你的密码并接管你的账户。

但是，如果您的账户激活了 U2F 等第二要素，密码对攻击者就毫无用处，您的账户也就安全了。

此外，启用了 U2F 的用户登录会与原点绑定；这意味着只有真正的网站才能使用密钥（第二要素）进行身份验证。即使用户被骗以为是真实的钓鱼网站，验证也会失败。

为什么要激活第二因素身份验证 (2FA)？

1. U2F 安全密钥可加强对账户（如电子邮件、硬盘或社交媒体账户）的保护。
2. U2F 安全密钥是最安全的双因素身份验证。
3. U2F 设备会创建一个加密密钥来解锁您的账户。
4. 有了 U2F 安全密钥，网络钓鱼攻击就几乎不可能了。

U2F 安全密钥如何工作？

对于用户来说，U2F 安全密钥非常简单。登录时，您只需输入用户名和密码，然后将类似 USB 的硬件密钥插入设备并轻触即可完成验证过程。

在技术方面，这个过程要复杂得多。Fido 联盟对这一过程解释如下:

“U2F 设备和协议需要保证用户隐私和安全。作为协议的核心，U2F 设备有能力（理想情况下，体现在安全元件中）铸造特定于原产地的公钥/私钥对。在用户注册步骤中，U2F 设备会将公钥和密钥手柄交给原在线服务或网站”。

“之后，当用户执行身份验证时，原在线服务或网站会通过浏览器将密钥手柄发回给 U2F 设备。U2F 设备使用密钥手柄识别用户的私人密钥，并创建一个签名，该签名将被发回原点，以验证 U2F 设备的存在。因此，密钥句柄只是 U2F 设备上特定密钥的标识符”。

“U2F设备在注册过程中创建的密钥对是特定于原点的。在注册过程中，浏览器会向 U2F 设备发送一个来源哈希值（协议、主机名和端口的组合）。U2F 设备会返回一个公钥和一个密钥句柄。非常重要的是，U2F 设备会将请求的来源编码到密钥柄中”。

“之后，当用户尝试进行身份验证时，服务器会将用户的密钥句柄发回给浏览器。浏览器发送该密钥手柄和请求验证的来源的哈希值。U2F 设备在执行任何签名操作前，会确保已将此密钥句柄发送到特定来源的哈希值。如果不匹配，则不会返回签名。这种来源检查可确保 U2F 设备向特定在线服务或网站签发的公钥和密钥句柄不会被其他在线服务或网站（即有效 SSL 证书上名称不同的网站）使用。这是一个重要的隐私属性—假设浏览器正常工作，网站只能使用特定 U2F 设备向特定网站签发的密钥，才能通过用户的 U2F 设备验证身份。如果不存在这种来源检查，由 U2F 设备签发的公钥和密钥手柄就可以用作’超级密钥’，让多个串通的网站能够对特定用户的身份进行强力验证和关联。"

"用户可以在网络上的多个网站使用同一设备—因此它可以作为用户的物理网络钥匙串，通过一个物理设备为不同网站提供多个（虚拟）密钥。使用开放的 U2F 标准，任何来源都可以使用任何支持 U2F 的浏览器（或操作系统）与用户出示的任何符合 U2F 标准的设备进行对话，以实现强身份验证。

---

历史

通用第二因素（U2F）是一项开放标准，它使用专用的通用串行总线（USB）或近场通信（NFC）设备来加强和简化双因素身份验证（2FA）。它由FIDO2 项目继承，该项目包括 W3C Web Authentication（WebAuthn）标准和 FIDO Alliance 的 Client to Authenticator Protocol 2（CTAP2）。

该标准最初由谷歌和 Yubico 开发，恩智浦半导体公司（NXP Semiconductors）也为其做出了贡献，但现在仅由 FIDO 联盟主持。

您可以在这里找到支持 U2F 安全密钥的所有服务的列表。

目标:网络的强身份验证和隐私保护

U2F 生态系统旨在为网络用户提供强大的双因素身份验证（2FA），同时保护用户隐私。

用户随身携带的 “U2F 设备 “是登录其在线账户的第二个因素。这样就能确保这些账户的安全，尤其是免受网络钓鱼攻击。

U2F 硬件安全密钥是一项伟大的成就，因为它确保了人们及其在线账户在网络上的安全。

---

双因素身份验证（2FA）不同选项的比较

安全设备:U2F 安全密钥

• 最安全的选择
• 私钥本地存储在 U2F 设备上
• 确保防止中间人攻击 (MITM) 和网络钓鱼
• 需要硬件设备
• 无需手动输入

验证器应用程序:TOTP

• 应用程序生成的代码仅在短时间内有效（Google Authenticator、Authy 等）
• 每次登录都需要手动输入
• 无需硬件设备
• 无法保护移动设备登录，因为移动设备上的应用程序会生成第二个因素

验证器应用程序:HOTP

• 应用程序生成的代码在使用前一直有效
• 现在使用较少，大多数身份验证程序（Google Authenticatorm Authy 等）默认使用 TOTP
• 代码需要安全存储
• 每次登录都需要手动输入
• 无需硬件设备
• 不能保护移动设备登录，因为移动设备上的应用程序会生成第二个因素

短信代码

• 通过短信发送代码
• 每次登录都需要手动输入
• 最不安全的选择，因为短信很容易被拦截
• 无需硬件设备
• 不能保护移动设备登录，因为移动设备上的短信包含第二要素