如何使用您的硬件钱包作为安全密钥（FIDO U2F）？

了解 FIDO U2F 兼容性

1. 许多现代硬件钱包（包括 Ledger Nano S+、Ledger Nano X、Trezor Model T 和 Coldcard Mk4）原生支持 FIDO U2F 协议，无需修改固件。

2. FIDO U2F 标准利用设备的安全元件对网站发送的质询进行签名，从而实现 Web 服务的加密身份验证。

3. 与传统的基于密码的登录不同，U2F 依赖于公钥加密技术，其中私钥永远不会离开硬件钱包。

4. 浏览器支持包括 Chrome、Edge、Brave 和 Firefox（带扩展），但 Safari 对某些硬件型号的本机 U2F 处理仍然有限。

5. U2F操作过程中不会暴露助记词或加密货币余额；钱包仅使用专用的 U2F 密钥对签署身份验证断言。

在账本设备上启用 U2F

1. 连接您的 Ledger 设备并打开 Ledger Live 应用程序。

2. 导航至设置 > 安全 > 启用 FIDO U2F，然后使用侧面按钮在设备屏幕上进行确认。

3. 确保 Nano S+ 固件更新至 2.0 或更高版本，Nano X 固件更新至 1.10 或更高版本，以保证完整的 U2F 功能。

4. 某些服务需要在开始注册之前在设备设置中启用“浏览器支持”模式。

5. 在 GitHub 或 Google 等网站注册时，浏览器将提示设备确认 - 同时按下两个按钮即可批准。

使用 Trezor 进行 Web 身份验证

1.安装官方Trezor Bridge软件，建立浏览器和设备之间的通信。

2. 访问 U2F 兼容服务并在双因素设置期间选择“添加安全密钥”。

3. 当提示为每个依赖方生成并存储唯一的密钥句柄时，按 Trezor 上的物理按钮。

4. Trezor Model T 在注册过程中会在屏幕上显示域名，防止通过域名欺骗进行网络钓鱼。

5. 每次登录尝试都会触发新的签名请求 - 不涉及缓存的凭据或会话令牌。

两用硬件钱包的安全影响

1. 现在，单个设备既可以用作加密货币签名工具，也可以用作身份验证器，如果物理上受到损害，就会增加其价值和风险。

2. U2F 密钥与安全芯片内的 Bitcoin 或以太坊应用程序密钥隔离，确保跨应用程序划分。

3. 设备丢失意味着无法访问所有受 U2F 保护的帐户，除非预先配置了备份密钥或恢复选项。

4. 拦截 USB HID 流量的恶意软件无法提取私钥，但如果设备未锁定，则可能会尝试劫持活动身份验证会话。

5.硬件钱包不存储用户名或密码——仅通过挑战-响应签名以加密方式证明拥有权。

常见问题解答

问：我可以在同一个浏览器选项卡上使用同一个硬件钱包进行加密交易和 U2F 吗？答：是的。设备通过将并发请求路由到单独的安全小程序来处理并发请求 - Bitcoin 应用程序不会干扰 U2F 小程序的执行。

问：启用 U2F 是否会影响我使用助记词追回资金的能力？ A：不会。U2F密钥材料是独立生成的，并在设备重置时擦除；它与 BIP-39 助记词派生路径无关。

问：如果我在冒充 GitHub 的钓鱼网站上注册我的硬件钱包，会发生什么情况？答：设备会在屏幕上显示确切的源 URL。如果域名不匹配，您只需保留确认即可，不会发出签名。

问：U2F 证明可以在不同网站上追踪吗？答：不会。每个依赖方都会收到一个唯一的密钥对。没有链接跨域注册的全局标识符。