FIDO2硬件上架，但它带来的限制是什么？

Question

我阅读了每一本Yubico出版物，并查看了这些网络研讨会，但由于某种原因，它们保留了一些未透露的信息。

当使用Yubikey 5进行单强因子时，它们要求验证器(我猜它们是指物理密钥的CPU)为您注册的每个站点生成一个密钥对，并使用“驻留密钥”方法。他们承认注册人数是有限度的，因为他们每个人都在密钥上占据了一个位置，所以并不像U2F那样是无限的。因此，我想知道：

1. 新5系列插槽的上限是多少？(我目前还不知道其他供应商提供FIDO2 )
2. 一个人能手动重置旧的插槽来腾出房间吗？
3. 远程恶意网站是否可能创建多个密钥注册事件，导致密钥填满所有空闲插槽？
4. 当我到达一个服务的登录页面，其中我有多个帐户注册，链的哪一部分要求我选择我想要登录的凭证？本地客户端(通常是网络浏览器)还是远程服务器？
5. 远程服务器能否检测到两个帐户已使用相同的密钥注册？这难道不是用户应该意识到的隐私问题吗？

感谢您所知道的任何信息，无论是FIDO2还是Yubico硬件。

(试图标记这个FIDO2，但我无法创建一个新标记)

Answer 1

我可以试着回答你的一些担忧：

1. 硬件令牌基本上有两个选项:为每个注册生成和存储新的密钥对(称为驻留密钥)，或者在依赖方的服务器上使用密钥包装和“存储”密钥作为credentialId (https://www.w3.org/TR/webauthn/#sctn-credential-storage-modality)。YubiKey 5支持两个选项:当依赖方要求使用您的密钥作为MFA/passwordess ("requireResidentKey": false)时，则生成新的密钥对并将其存储在设备上；当依赖方要求只使用您的密钥作为第二个因素时，则使用密钥包装，而不使用内部内存。YubiKey 5只能存储25密钥对 (https://support.yubico.com/support/solutions/articles/15000014219-yubikey-5-series-technical-manual#FIDO2r09kph)。
2. 您只能对令牌进行工厂重置(全部没有)。这是由CTAP2 (https://fidoalliance.org/specs/fido-v2.0-rd-20170927/fido-client-to-authenticator-protocol-v2.0-rd-20170927.html#authenticatorReset)定义的。理论上，Yubico可以提供一个一个地管理凭据的自定义工具，但我不知道这样的工具。
3. 除非你每次触摸你的钥匙(出现检测)。
4. 这取决于依赖方。WebAuthn (FIDO2)允许这两种情况，而Yubikey 5支持这两种情况。如果网站只使用令牌作为第二个因素(如U2F)，那么它需要特定的证书。如果您的密钥被用作无密码令牌，而依赖方不要求特定的凭据，则平台(或浏览器)将收集链接到依赖方的所有凭据，并显示选择对话框。
5. 是也不是。依赖方可以向您的令牌提供已知凭据列表(excludeList in CTAP2)，如果令牌已经具有该列表中的凭据，则该令牌必须拒绝注册。但是，这只对防止将相同的密钥分配给同一个帐户是有用的。

Answer 2

关于问题2，我已经使用yubikey Manger工具"ykman.exe“从yubikey 5系列中清除了FIDO注册。

# PowerShell
Set-Location -Path "$env:ProgramFiles\Yubico\YubiKey Manager"
.\ykman.exe