KakuremiYubiKey NFC 保护
除主密码外,Kakuremi 还可要求轻触 YubiKey,将一个 HMAC-SHA1 挑战-响应密钥直接绑定到数据库。本指南介绍所需条件、如何通过 NFC 编程并注册密钥,以及为什么备用密钥不可或缺。
确认所需条件
Kakuremi 支持将 YubiKey HMAC-SHA1 挑战-响应作为数据库的第二重验证因素。你需要一把支持 NFC 的 YubiKey 5 系列密钥,以及一部支持 NFC 的 iPhone。通信仅通过 NFC 进行:不支持 Lightning 或 5Ci 接口,也不接受仅支持 FIDO 的密钥。
为 YubiKey 编程
使用 Yubico Authenticator App,为 YubiKey 的某个插槽编程 HMAC-SHA1 挑战-响应。你可以使用插槽 1 或插槽 2;Kakuremi 默认使用插槽 2。请记下你所选的插槽和所用的密钥,因为配置备用密钥时还需要用到这两项。
在 Kakuremi 中注册密钥
打开保管库,然后进入数据库设置 > YubiKey 保护。选择插槽 1或插槽 2,使其与编程密钥时所用的插槽一致,然后轻触添加 YubiKey。出现提示时,将密钥贴近 iPhone 顶部。Kakuremi 会自行将密钥绑定到此数据库——你无需在桌面 App 中进行配置。
通过 NFC 轻触解锁
从此以后,解锁此保管库时,除主密码外还会提示进行 NFC 轻触。轻触提示为 iOS 标准系统面板;出现时将 YubiKey 贴近 iPhone 顶部即可完成解锁。
保留备用密钥
如果你丢失了已注册的 YubiKey,将无法恢复——没有它就无法打开数据库。请用相同的 HMAC-SHA1 密钥为第二把 YubiKey 编程,并将其妥善保管作为备用。
故障排查
如果注册或解锁失败,错误代码会指明原因。未编程的插槽会以 KR-5007 失败,仅支持 FIDO 的密钥会以 KR-5006 被拒绝——请重新为正确的插槽编程,或改用受支持的密钥。如果 NFC 不稳定(KR-5003 或 KR-5005),重启 iPhone 往往会有帮助。