为什么我不推荐用 Yubikey 作通行密钥

最多用作输入用户名后需要一步即可登录的通行密钥（ passkey ）
个人建议仅用于二步验证，长期插在电脑上比手机验证器 APP 方便，还可以用作数据盘的 bitlocker ，比静态加密密码要安全。
微软则可以考虑用作 github 的二步验证，再绑定微软账号，而不是直接用作通行密钥。

这玩意本质上就相当于是加了一个 pin 的门钥匙，所以我绝不会把它用作通行密钥，而只会把它用作二次验证。别人捡到了的门钥匙，还要知道我的家庭住址才可以，而这玩意甚至相当于直接把用户名和网站网址放进去了。

银行卡需要在银行里面输入，因此 pin 被偷窥的概率小一点。我的意思是说我的手机用了 32 位密码，3 天才用输入一次，平时使用指纹或者人脸验证。安全性和便利性不可兼顾，因此这玩意如果每次都要输 32 位是很麻烦的，就必须弄短一点就会降低安全性。

还是那句话，我相对而言不是那么怕网上的黑客，我怕的是现实中对我有意见，但是又不敢对我动手转而来到我网络账号的人。我比较在乎线下的安全性。如果是苹果手机，那么每次验证指纹或者超级长的密码还是要比这玩意安全一些的。至于电脑的密码非常长，我电脑都是采用一个 bitlocker start up pin （实现真正意义上的加密，而不是 Windows 锁屏的权限控制）然后再用指纹登录。

这样的好处是顶尖高手或者我电脑遗失后，对方大概率是不知道我的 pin 的，这样第一步就被挡住了，如果强行重置掉这个就会导致强行需要非常长的恢复密钥，这也是当前算力下不可破解的。

如果是身边能够偷窥到我 pin 的同学，由于一个人既要满足是身边的同学，又要满足是电脑高手的概率是比较小的，因此我可以假设他们大概率破解不了 Windows 的锁屏，因此就可以用开机锁屏界面指纹验证来拦截掉它们。