开始使用 Yubikey
source link: https://www.v2ex.com/t/887251
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
托 Cloudflare 的福,这周一的时候收到了 Yubico 从瑞典发来的 Yubikey ,于是这一周的大部分业余时间都放在了折腾这些 Key 上了。
昨天写了篇博客介绍了一些我目前常用的功能,感兴趣的朋友可以查看:
 |
goodniuniu 14 小时 52 分钟前 谢谢分享!
|
 |
flashlight 14 小时 50 分钟前 感谢分享!自己也在用但是现在支持的服务不多。
|
 |
Yangfan1991 14 小时 50 分钟前 via iPhone 国内羡慕你们
|
|
Yangfan1991 14 小时 49 分钟前 via iPhone 之前 400 买了一个 5c nfc ,现在看血亏
|
 |
ooxxcc 14 小时 23 分钟前 提示要保存的地方选择保存就大功告成了,有一点值得注意的是,之后本机的私钥就会没有了,需要自己注意备份。
// tip: 提示要保存的地方不保存,本地私钥就还在 |
 |
luckycat 13 小时 54 分钟前 via iPhone 摸一下芯片就自动输入密码这个,是指纹信息功能吗?还是说谁摸都可以?
|
|
luckycat 13 小时 37 分钟前 via iPhone @Had 那这样离开电脑时候,还得先拔下来带走。感觉似乎并没有更安全。我也考虑过很多次,但一直没想通这个 key 到底解决了什么问题,似乎并没有比记一个 passcode 更安全。
TOTP 用带相关功能的密码管理器更方便,SSH 用加密的私钥也会比较安全。可能就是这个一键输入长密码会更方便了,但也明显更不安全了。 |
1
 |
longxk 13 小时 22 分钟前 那个优惠不是 4 个吗?你咋能买 10 个?
|
 |
totoro625 13 小时 14 分钟前 @luckycat #9 触摸输出静态密码只是其中一个小功能,默认设置是让你输出 OTP 一次性密码(需要服务端支持)
安全的范畴考虑,大概就是坏人都能碰到你的电脑了,也不存在安不安全了,不管是触摸还是指纹都是能被坏人获取的 我主用静态密码输出密码管理器的主密码,平常甚至都不记得主密码是什么 静态密码功能相对是个鸡肋但是很多人都在用的小功能 SSH\Git commit\bitlocker 等等都可以用 yubikey 内部不可导出的 key ,而不需要在电脑上保存 key TOTP 是保存在 yubikey 内部的 |
 |
caomingjun 13 小时 14 分钟前 via Android @longxk 最开始是可以买十个,我的码就是,后来才改的。不过我只买了两个
|
 |
Veneris 13 小时 3 分钟前 via iPhone 拿到了码,不知道国内转运怎么办😂
|
 |
ZE3kr 12 小时 50 分钟前 via iPhone 120 买了 10 个 C ,但感觉没啥用,我觉得这个就跟 U 盾一样。但现在设备都有指纹器和面部识别了,感觉用那种技术更安全( webauth ),而且 iOS16 开始还可以同步这个东西了
|
 |
SingeeKing 12 小时 46 分钟前 @slarker #15 要怎么操作,求帮忙
|
 |
Tink 12 小时 39 分钟前 via Android 我看了一下我的还是一代
|
 |
mschultz 12 小时 21 分钟前 @luckycat #9 长按输出静态密码在我看来只是 YubiKey 的一个「边缘」的小功能,我也是用来输出密码管理器的主密码(但我的主密码不 [只] 是 YubiKey 那一串输出)
至于 TOTP ,虽然有一个 Yubico Authenticator 的确可以用 YubiKey 存储 secret key 然后展示 6 位数字那种验证码,但这也是「边缘」的应用;真正使用 YubiKey 进行两步验证的网站,大多是使用 WebAuthn ( https://webauthn.io/ ) 摸一下 YubiKey 完成 2FA ,而不是输入 6 位数字。 YubiKey 的硬件设计(若不考虑硬件 /固件漏洞)是只能写入密钥 (write only) 而无法读取。基本上如果需要进行什么敏感的操作(例如调用私钥进行签名认证等),大致是电脑把需要签名的消息发送给 YubiKey ,YubiKey 的芯片完成最重要的密码学操作然后把结果(如 Signed response )发回电脑。整个过程,电脑是接触不到私钥的。 所以理论上即使你电脑中了木马,也不会导致私钥泄露,比带 Passphrase 的 SSH 私钥文件还安全一些的样子。 |
 |
slarker 11 小时 58 分钟前 @SingeeKing aXNsYXJrZXI=
|
|
luckycat 11 小时 17 分钟前 via iPhone @mschultz Yubikey 的私钥不暴露的做法理论上来讲肯定是更安全的,不过那种场景很极端,大多数时候我们并不需要在不信任的设备上做敏感操作。也就是不需要那么强力的保护。所以我认为对大多数人来说,Yubikey 并不适合日常使用。Yubikey 适合的场景是那种当成钥匙一样,插进去摸一下就马上拔下来收起来的场合。如果日常总是插在电脑上,那真的有点不安全了。
|
 |
simon633 11 小时 16 分钟前 坐标一致,但是我选的平邮。。还没发货。。
|
 |
mooyo 10 小时 37 分钟前 @slarker #15 @SingeeKing #17 老哥有多余的车位么 我想要两个 5c
|
 |
yvkino 10 小时 31 分钟前 无密码登录很好用,但是现在貌似只有微软支持
|
 |
billzhuang 10 小时 1 分钟前 via iPhone 我买了两个 5C 寄到大阪,还没到。
|
 |
xuecan 9 小时 26 分钟前 活动还有吗
|
 |
joynvda 9 小时 3 分钟前 还在犹豫买还是不买。
|
|
mschultz 8 小时 46 分钟前 @luckycat #21
我觉得 (1)密码管理器是辅助解决来自互联网另一端的威胁( e.g., 黑客猜出你的简单密码),但有时候不能防范本机硬盘 /内存被 Malware 攻击后的风险 (2) YubiKey 等智能卡一定程度上可以防范来自电脑内部 Malware 的攻击,可以作为密码管理器之外的一个辅助。 但两者都没有特别针对**物理安全(即不怀好意的人可以接触到你的个人设备)**设计,实际上 YubiKey 很多操作要求你摸一下,重点就是通过硬件设计避免**电脑内部的恶意软件**擅自触发操作,而不是为了「分辨摸它的人的身份」。所以在这里讨论物理安全其实有点儿 out of scope 了。 但也不是完全没有物理安全,YubiKey 作为 SSH/GPG 智能卡大多数操作都是有 PIN 保护的;作为 U2F 设备虽然有时候不需要 PIN ,但用于 2FA 啊,2FA 的前提是已经正确输入用户名密码了啊。所以别人即使接触到你的 YubiKey 也做不了多大的坏事(设备防盗是另一个话题)。 https://www.reddit.com/r/yubikey/comments/i29k46/is_there_any_risk_in_leaving_yubikey_5c_nano/ ==== 我同意你说的一个观点就是大多数人不需要(或不认为)自己需要那么强的保护。但是我个人不认为 YubiKey 不适合日常使用或者用了更不方便 /不安全之类的。有 Key 不会比没 Key 更坏,hhh |
 |
shiny 8 小时 1 分钟前 我也有 10 个的优惠码,但是运不回来
|
 |
pocarisweat 7 小时 27 分钟前 @mschultz
YubiKey 其实也有带指纹识别的版本。基本上指纹识别可以解决这个⌈证明你是你⌋的问题,基本上这就是 Windows Hello 或者苹果的 Secure Enclave 想达到的目的吧 |
 |
SuperXX 4 小时 13 分钟前 via iPhone FB, google, twitter 都可以设置硬件 key 作为 2FA ,然后登陆输入密码后,还要手按一下 yubikey 才能登录,觉得根 U 盾很像
|
 |
chuhemiao 4 小时 10 分钟前 国内买的小伙伴记得去清关税
|
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK