【功能建议】添加passkey和长时间的totp认证

[DiaMeoww]

部署上了 不过有点安全担忧，小白真心求问，这种情况自建如果主密码泄露且是不是就直接炸了
官方的好像支持passkey可以直接用通行密钥认证，通行密钥认证的情况下开着就能保证密码泄露也不会被攻击吧？
我现在开了totp认证，但是看了下好像输入一次只有效30天（不知道是不是官方的限制？）

最后求问一下如何最大程度保障安全？cloudflare需要设置什么吗？

[shuaiplus]

你一边担忧安全，一边要求加长totp的保存时间，是不是有点自相矛盾了呢🤔

昨天晚上已经添加passkey了，你试试

[xianren78]

你一边担忧安全，一边要求加长totp的保存时间，是不是有点自相矛盾了呢🤔

昨天晚上已经添加passkey了，你试试

PC上 chrome选Passkey登录无法传递给 bitwarden或者 protonpass之类的密码管理软件，只弹出这个窗口。web tg可以正常用passkey登录。安卓上，使用bitwarden或者 protonpass也是可以正常登录的。

[DiaMeoww]

你一边担忧安全，一边要求加长totp的保存时间，是不是有点自相矛盾了呢🤔

昨天晚上已经添加passkey了，你试试

totp验证开启后起码能保证不会因为密码泄露导致的被第三方登录吧，totp认证后不就说明这个设备被认可了吗，多设备的话每30天强制退出也挺麻烦的
passkey目前好像只支持网页端登录，插件用passkey直接报错

[lirko]

目前只有网页端有passkey,而且感觉有点不符合逻辑
登录页面选择passkey>弹出指纹识别>totp验证>passkey
需要两次验证指纹,还有totp就算勾选了30天下次使用passkey还是一样的提示totp..是不是多余了?

我的个人认知是选择passkey登录>指纹验证>完成
就是说passkey代替了密码+totp验证,从而一步到位,至少我使用其它的网站passkey是这样的流程

[maooyer]

我也认为 Passkey 当下最兼具便利与安全性的方式，相比之下密码+TOTP显得有些繁琐了，不然也不会有这个延长totp认证授权时间的Issue了。
不过目前Nodewarden只覆盖了Web App，暂未覆盖使用最频繁的浏览器插件；官方则是覆盖了Web APP和浏览器插件。没有覆盖桌面APP。如果能全客户端覆盖就好了

[maooyer]

最后求问一下如何最大程度保障安全？cloudflare需要设置什么吗？

可以试试配置mTLS

[lirko]

最后求问一下如何最大程度保障安全？cloudflare需要设置什么吗？

Nodewarden + Cloudflare Zero Trust 最佳实践

[shuaiplus]

PC上 chrome选Passkey登录无法传递给 bitwarden或者 protonpass之类的密码管理软件，只弹出这个窗口。web tg可以正常用passkey登录。安卓上，使用bitwarden或者 protonpass也是可以正常登录的。

bitwarden本身有硬限制，想突破只能用双域名，更麻烦。

[shuaiplus]

我也认为 Passkey 当下最兼具便利与安全性的方式，相比之下密码+TOTP显得有些繁琐了，不然也不会有这个延长totp认证授权时间的Issue了。 不过目前Nodewarden只覆盖了Web App，暂未覆盖使用最频繁的浏览器插件；官方则是覆盖了Web APP和浏览器插件。没有覆盖桌面APP。如果能全客户端覆盖就好了

你们都有硬件密码要是吗？如果我让扩展支持了passkey登录，那我怎么测试，因为我的passkey就在扩展里。。。

[DiaMeoww]

PC上 chrome选Passkey登录无法传递给 bitwarden或者 protonpass之类的密码管理软件，只弹出这个窗口。web tg可以正常用passkey登录。安卓上，使用bitwarden或者 protonpass也是可以正常登录的。

bitwarden本身有硬限制，想突破只能用双域名，更麻烦。

我也认为 Passkey 当下最兼具便利与安全性的方式，相比之下密码+TOTP显得有些繁琐了，不然也不会有这个延长totp认证授权时间的Issue了。 不过目前Nodewarden只覆盖了Web App，暂未覆盖使用最频繁的浏览器插件；官方则是覆盖了Web APP和浏览器插件。没有覆盖桌面APP。如果能全客户端覆盖就好了

你们都有硬件密码要是吗？如果我让扩展支持了passkey登录，那我怎么测试，因为我的passkey就在扩展里。。。

我是三设备 安卓 ios windows hello 添加passkey的话就可以设置一个极其复杂的密码，然后iphone登录用passkey扫脸就行，电脑扩展用windows hello，安卓设备用它自带的密码passkey，总之就是让移动端和插件端可以正常用passkey登录

[shuaiplus]

ok，这下知道需求了

[maooyer]

我也认为 Passkey 当下最兼具便利与安全性的方式，相比之下密码+TOTP显得有些繁琐了，不然也不会有这个延长totp认证授权时间的Issue了。 不过目前Nodewarden只覆盖了Web App，暂未覆盖使用最频繁的浏览器插件；官方则是覆盖了Web APP和浏览器插件。没有覆盖桌面APP。如果能全客户端覆盖就好了

你们都有硬件密码要是吗？如果我让扩展支持了passkey登录，那我怎么测试，因为我的passkey就在扩展里。。。

不需要硬件密钥也可以用，我知道的Windows Hello/Mac 钥匙串都可以存储Passkey，并且还可以支持生物验证/密钥随账号同步，比硬件还方便

[shuaiplus]

我也认为 Passkey 当下最兼具便利与安全性的方式，相比之下密码+TOTP显得有些繁琐了，不然也不会有这个延长totp认证授权时间的Issue了。 不过目前Nodewarden只覆盖了Web App，暂未覆盖使用最频繁的浏览器插件；官方则是覆盖了Web APP和浏览器插件。没有覆盖桌面APP。如果能全客户端覆盖就好了

你们都有硬件密码要是吗？如果我让扩展支持了passkey登录，那我怎么测试，因为我的passkey就在扩展里。。。

不需要硬件密钥也可以用，我知道的Windows Hello/Mac 钥匙串都可以存储Passkey，并且还可以支持生物验证/密钥随账号同步，比硬件还方便

学会了。我当时写的时候根本没考虑这些。我要重构passkey登录

[lirko]

你们都有硬件密码要是吗？如果我让扩展支持了passkey登录，那我怎么测试，因为我的passkey就在扩展里。。。

我没硬件密钥
一般网站下发的passkey
在win存Bitwarden浏览器扩展+windows hello
(谷歌CF微软等重要的双存,其它只存Bitwarden)

安卓13是无法调用Bitwarden的passkey
安卓13的passkey只能由google服务来管理
第三方无权限接管passkey,当时特意了解过

安卓16这些新系统版本好像开放了第三方管理passkey(我没14,15,16新系统所以不确定)

如果安卓16支持Bitwarden管理passkey
我想以后安卓新手机会用的很愉快

愉快就是nodewarden/Bitwarden的passkey存安卓+windows hello
其它网站passkey都用Bitwarden存(多端可用!)

[lirko]

Android 9 至 Android 13： 虽然这些版本通过 Google Play 服务也支持 Passkey，但它们通常被锁定在 Google 密码管理器 (Google Password Manager) 中。第三方应用在这些旧版本上只能以传统的“自动填充”方式处理密码，无法原生接管 Passkey 的生成和私钥存储。

从 Android 14 开始，安卓系统正式引入了对**第三方凭据提供程序（Third-party Credential Providers）**的支持，允许用户使用第三方应用（如 1Password, Bitwarden, Enpass 等）来管理和填充 Passkey。