OpenSK项目中如何安全删除不再使用的Passkey账户凭证

2025-06-26 21:56:37作者：殷蕙予

在OpenSK安全密钥使用过程中，用户可能会创建多个测试账户。本文将详细介绍如何安全地删除这些不再使用的Passkey凭证，同时保持密钥设备的正常功能。

背景介绍

OpenSK是一个开源的FIDO2安全密钥实现，支持Passkey等现代认证方式。当用户在网站上注册多个测试账户后，这些凭证会被存储在安全密钥中。如果不及时清理，可能会导致凭证列表混乱或占用存储空间。

浏览器内置管理方法

对于Chrome浏览器用户，可以通过以下路径管理Passkey：

访问chrome://settings/securityKeys
在安全密钥管理界面中查看已存储的凭证
选择需要删除的凭证进行操作

需要注意的是，这种方法仅适用于可发现凭证(discoverable credentials)，即存储在OpenSK设备本身的凭证。

使用Python脚本进行高级管理

对于需要更精细控制的用户，可以使用Python脚本与OpenSK设备直接交互。以下是一个功能完整的示例脚本：

from fido2.hid import CtapHidDevice
from fido2.ctap2 import CredentialManagement, Ctap2, ClientPin

class Ctap2Node:
    def __init__(self, connection):
        self.ctap = Ctap2(connection)
        self._info = self.ctap.info
        self.client_pin = ClientPin(self.ctap)
        self._token = None

    def unlock(self, pin):
        permissions = ClientPin.PERMISSION(0)
        permissions |= ClientPin.PERMISSION.CREDENTIAL_MGMT
        self._token = self.client_pin.get_pin_token(pin, permissions)

    def cm(self):
        return CredentialManagement(
            self.ctap,
            pin_uv_protocol=self.client_pin.protocol,
            pin_uv_token=self._token,
        )

def main(pin):
    devices = list(CtapHidDevice.list_devices())
    device = Ctap2Node(devices[0])
    device.unlock(pin)
    cm = device.cm()

    # 列出所有RP(依赖方)
    enumerate_rps = cm.enumerate_rps()
    for index, rp in enumerate(enumerate_rps):
        print(f'{index}:{rp["id"]}')
    
    # 选择要操作的RP
    selected_rp = enumerate_rps[int(input('选择RP:'))]
    
    # 列出该RP下的所有凭证
    enumerate_creds = cm.enumerate_creds(rp_id_hash=selected_rp["rpIdHash"])
    for index, cred in enumerate(enumerate_creds):
        print(f'{index}:{cred["user"]["name"]}')
    
    # 删除选定的凭证
    selected_cred = enumerate_creds[int(input('选择凭证:'))]
    cm.delete_cred(selected_cred["credentialId"])

if __name__ == '__main__':
    main('您的PIN码')