99% 的人不知道的硬件钱包用途:FIDO 保护 Web2 账户

NiqNiq
/2025年7月18日
99% 的人不知道的硬件钱包用途:FIDO 保护 Web2 账户

要点总结

• FIDO 利用公钥私钥 + 生物识别,将 Web3 式的高安全性带到 Web2 登录中。

• 没有密码泄露风险,FIDO 从根源上杜绝钓鱼和重放攻击,是高净值用户必备的保护层。

• OneKey 硬件钱包原生支持 FIDO,无需额外购买 YubiKey,也能直接作为身份认证器使用。

• Web2 安全不容忽视,尤其是你绑定了资产、身份、社交网络的账户,建议尽快启用 FIDO 提升防护等级。

你知道吗?现在你可以用硬件钱包,去守护你的 Web2 账户了,获取和 Web3 一样的安全等级。

毕竟,你的 Web2 账户安全(比如 Google、Telegram),一样非常重要。尤其是对于 A8+ 高净值用户,很可能上面储存了不少敏感信息。  

本文将带你了解目前各大公司都在使用的商业级密码技术——FIDO。并教你如何使用 OneKey 的 FIDO,相当于节省了购买 YubiKey 的钱。  

FIDO 的简单理解

如果你是一个多年的互联网冲浪选手,或许你已深有体会:不知道从什么时候开始,一个简单的密码已经不够了。各种验证码用个不停。  

这很好理解,大部分普通人设置的密码根本不够安全!(很多密码库已经被各大海内外网站泄露无数次了)所以需要层层保护,也就是 MFA(多因素验证):  

第一层,只有你知道的信息:如密码、安全问题;

第二层,只有你在持有的物品:如 SIM卡、手机、谷歌验证动态密码等;

第三层,只有你本人有的特征:如指纹、虹膜、人脸、声音等。  

而 FIDO 这个身份验证标准,你就可以理解为第二第三层的保护技术的集大成——它具有二三层的安全特性。

黑客可以通过木马病毒植入和社会工程攻击(窃取你的信息或者套你的话),突破你的第一层保护。这些内容都可以在联网设备中获取。

而拥有了支持 FIDO 的设备,就可以在第二第三层抵御住钓鱼。在突破第一层的前提下,黑客还需要线下抢到你的设备并且逼着你进行生物识别(也就是打劫),才能夺走你的账号使用权。  

Vitalik 的第二第三层就曾经被突破过。他推特账号在去年被盗了。他没有使用 FIDO 技术,而是使用了 SIM 卡作为推特的 2FA。结果就遭遇了 SIM Swap 攻击。(链接1链接2)。

这种攻击都不需要抢走设备或者打劫威逼, SIM 并不如 FIDO 保险。  

FIDO 的工作原理

公钥私钥的概念并不只属于 Web3。  

FIDO 也是利用非对称加密来确保安全,实际上它从 2013 年就已经诞生了。是全球多个科技巨头和机构组成的 FIDO 联盟(FIDO Alliance),制定的统一的身份验证标准。  

FIDO 的工作原理启示很简单——用户的设备会生成一对密钥:公钥 和 私钥。

公钥会存储在网站的服务器上,而私钥则保存在用户的设备中,永远不会离开设备。

每当用户登录时,网站会发起一个独一无二的[挑战请求],并使用用户之前提供的公钥进行加密。用户通过设备上的私钥解密这个挑战并进行响应,这样就完成了身份验证的过程。  

也就是说——每一次验证都是独特的,而且验证的过程可以是离线的。正是这个过程,挡住了钓鱼,比一般的邮箱验证码、SIM验证码更安全。  

如果你在对安全要求高的互联网大厂里,几乎所有与公司有关的账户都会被要求使用这个类似的技术。

FIDO 如何抵挡 Web2 钓鱼

(1)部分离线的重要性

由于 FIDO 使用的是公钥和私钥配对的方式,因此即便攻击者获取了公钥,也无法破解私钥。  

这个密钥存储在用户设备中,永远不会离开设备,也不会与任何人分享。它是高度机密的,并且被多因素认证(如指纹、面部识别等)保护。这极大减少了传统密码系统中的漏洞。  

这就和 Web3 防止木马钓鱼的原理很像——私钥最好是离线存放!  

如果你不用硬件钱包,直接用私钥接触过联网的热钱包。那么,热钱包的风险在于,你的私钥从产生、储存加密文件和签名,都是放在这台联网的设备上的。万一被恶意程序攻击并拿到【私钥文件】或者被黑客操控,所有资产都会被一锅端。  

(2)防钓鱼和重放攻击

很多网络攻击,如钓鱼攻击,都是通过诱骗用户输入密码、个人信息来窃取账号验证信息。  

而 FIDO 系统中没有单一密码这一环节,攻击者无法通过伪装网站和社交工程来获取用户的密码,从根源上杜绝了这类攻击。还帮你规避了人性的弱点。

并且对于重放攻击,黑客无法简单地截取用户的登录信息并重复发送,因为每次登录请求都是独特的挑战,需要在离线设备用私钥解密并发送,不能重复使用!

总结

正是以上的创新设计,让 FIDO 成为目前最安全的身份验证方案之一。  

FIDO 已经被多个行业巨头采用,包括 IBM、Google、 Apple 和 Telegram 等——甚至还包括币安。这必然成为未来登录和身份验证的主流安全方式。不过,目前都是海外巨头在用,大陆的互联网巨头采用率并不高。  

我们强烈建议对信息安全要求高的用户和高净值用户使用 FIDO,增加重要 Web2 账户的安全性。

使用 OneKey 保护您的加密之旅

View details for OneKey ProOneKey Pro

OneKey Pro

真正的无线。完全离线。最先进的隔离冷钱包。

View details for OneKey Classic 1SOneKey Classic 1S

OneKey Classic 1S

超薄。口袋大小。银行级安全。

View details for OneKey SifuOneKey Sifu

OneKey Sifu

与 OneKey 专家进行一对一钱包设置。

继续阅读