V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
goyhlol
V2EX  ›  YubiKey

有用 yubikey 的小伙伴来分享下体验吗?

  •  
  •   goyhlol · 2020-12-19 13:51:15 +08:00 · 6423 次点击
    这是一个创建于 1434 天前的主题,其中的信息可能已经有所发展或是发生改变。
    26 条回复    2021-03-25 09:38:48 +08:00
    tsui
        1
    tsui  
       2020-12-19 13:57:52 +08:00   ❤️ 1
    这玩意有啥体验,公司强制的啊
    yyfearth
        2
    yyfearth  
       2020-12-19 14:04:02 +08:00
    就是 无非就是一个只有一个键的 USB 或者蓝牙键盘
    而且误触的时候来给别人发 6 位数字

    290348
    ??
    yyfearth
        3
    yyfearth  
       2020-12-19 14:04:33 +08:00
    如果不是 HOTP 那就是一大串 hex
    Biggoldfish
        4
    Biggoldfish  
       2020-12-19 14:07:51 +08:00   ❤️ 3
    如果见到有人在 slack 里发了一串 44 位莫名其妙的英文字母,大概率就是他误触了 YubiKey
    mschultz
        5
    mschultz  
       2020-12-19 14:14:35 +08:00   ❤️ 3
    我用的 YubiKey 5 NFC,除了没有 USB-C 和 Lightning 口,应该是目前最全功能的版本。

    主要用的功能有:
    - 主流网站的 2 步验证,其中只有微软账号支持 FIDO2 passwordless 登录
    - 存了 GPG 的三个 subkeys
    - 一个很长的复杂静态密码
    - macOS 下使用 PIV

    上面这些具体功能的体验其实没什么可说的。
    还有一个最大的体验就是,生活中常常绞尽脑汁想「我这个 YubiKey 怎么才算被好好利用了😂」
    因为大部分场景真的就只是一种个人精神的快感,实际上就算没有 YubiKey 我也不见得面临什么实质性的安全威胁啊,而且身边圈子里真的基本用不到 GPG
    会给自己加戏,幻想警察叔叔上门了我会怎么保护销毁自己密钥
    z0wjqnxi
        6
    z0wjqnxi  
       2020-12-19 14:58:44 +08:00 via iPhone
    借楼请教下,nfc 版的 yubikey 可以用来刷地铁,刷门禁,或者 nfc 贴纸吗
    goyhlol
        7
    goyhlol  
    OP
       2020-12-19 15:10:50 +08:00
    @tsui ....大公司
    goyhlol
        8
    goyhlol  
    OP
       2020-12-19 15:13:51 +08:00
    @mschultz 我是计划拿来配合 keepassxc,主流网站例如币安之类的感觉 google authenticator 已经够用了~
    alphatoad
        9
    alphatoad  
       2020-12-19 15:17:18 +08:00
    出一把 Yubikey4,买了发现没啥用……
    totoro625
        10
    totoro625  
       2020-12-19 15:37:10 +08:00
    个人购买,手持三个
    环境:Win10/iPhone ;不用 Linux server/Windows server ;无 mac ;服务器运行 Win10

    主要用于输入一个很长的复杂静态密码解锁 1password/enpass
    次要用途是存储 Windows 的文件加密证书( EFS )用于解锁 BitLocker
    偶尔充当 Twitter/1password 的两步验证密钥
    难的情况下用一下 GPG 加密,因为大文件加密的性能太差,基本不用
    偏向于 BitLocker/encfs/等
    sampeng
        11
    sampeng  
       2020-12-19 16:10:59 +08:00 via iPhone
    对我最大的好处就是不会每个环境弄个 sshkey 了。反正是物理的。在我手上的安全程度足够高。
    mschultz
        12
    mschultz  
       2020-12-19 16:47:27 +08:00
    @z0wjqnxi 如果是中国,地铁显然不可能; NFC 版的目前我确定可以刷 iPhone (例如在 iPhone 上登录 Google 账号,二步验证的时候,把 Yubikey 在 iPhone 背部上方碰一下就行~)
    miyuki
        13
    miyuki  
       2020-12-19 17:25:39 +08:00 via iPhone
    把自己的 windows 账户加入了自己的 azure active directory,开机登录需要插入 yubikey fido2 认证
    z0wjqnxi
        14
    z0wjqnxi  
       2020-12-19 18:38:53 +08:00 via iPhone
    @mschultz 通过 proxmark 我记得可以复制地铁卡的,当然不能改余额,只是换了载体,b 站有人做过视频。 nfc 向下兼容 ic 卡的协议,所以我想也许可以实现一个 yubikey 当地铁卡门禁卡电子钥匙啥的
    czk1997
        15
    czk1997  
       2020-12-19 20:04:48 +08:00
    这个……我们公司登录要二次验证,要么时手机,要么 YubiKey,我图省事弄得……
    其实自己写程序的话可以支持 FIDO2,也能省去输入密码的步骤……
    msg7086
        16
    msg7086  
       2020-12-19 21:16:12 +08:00
    @Biggoldfish 非常真实。所以我在犹豫要不要搞一个 yubi 滑盖。
    ysc3839
        17
    ysc3839  
       2020-12-19 21:33:26 +08:00 via Android
    @Biggoldfish @msg7086 不用的功能可以关掉,我是关闭了。
    msg7086
        18
    msg7086  
       2020-12-19 21:55:19 +08:00   ❤️ 1
    @ysc3839 要用啊,登录核心服务的时候。就是平时握着笔记本的时候容易碰到金属触点,然后就……
    zjb861107
        19
    zjb861107  
       2020-12-19 22:01:10 +08:00 via iPhone
    现在已经习惯 git commit 都经过 gpg 签名,然后 yubikey 上按一下了
    momocraft
        20
    momocraft  
       2020-12-20 00:11:03 +08:00
    只用到了 pgp 的功能, 避免在公司电脑放自己设备的 ssh key
    Sasasu
        21
    Sasasu  
       2020-12-20 13:12:35 +08:00
    vvbrfufehdibgiludllbnhhjhevgbjluetfvivjltiic
    dingwen07
        22
    dingwen07  
       2020-12-21 00:48:03 +08:00 via iPhone
    通过 GPG 实现 git 提交签名、邮件签名、SSH 登录
    通过 PIV 实现 BitLocker 解锁、EFS 文件加密

    @msg7086 用 manager 把 otp 插槽交换一下,变成 slot2,就要长按才能触发了

    @Sasasu {
    "otp": "vvbrfufehdibgiludllbnhhjhevgbjluetfvivjltiic",
    "nonce": "x0Pbnvrva0gUbHk7asQu1VRww",
    "sl": "100",
    "status": "OK",
    "t": "2020-12-20T16:42:26Z0931"
    }
    agagega
        23
    agagega  
       2020-12-21 01:42:31 +08:00 via iPhone
    以前从淘宝上买了一个白色的 Yubikey,应该是四代吧。几乎惟一的用处就是两步验证,GPG 搞了半天加上自己用得不多意义不大,SSH 也没配置好。还有个用途是插在 Mac 上输 PIN 登录,但这在 Touch ID 面前也挺鸡肋的。

    结果前两天公司内网升级,尝试添加我这个 key 的时候浏览器提示我这个太旧了,网站需要更新的版本。晕。而且 iPad Pro 好像还不支持这玩意。
    MxxIsBest
        24
    MxxIsBest  
       2021-01-14 20:46:41 +08:00
    有两个,5nfc 和 5cnfc 。
    没啥用,登录 ssh 不比私钥文件方便
    其他二步验证都有替代方案
    gpg 的话,有它没它没啥区别。

    像 5 楼说的,就是输入长静态密码和个人精神快感了。。。
    mschultz
        25
    mschultz  
       2021-01-30 01:48:13 +08:00
    @MxxIsBest #24 我想到的有一个比较实际的用处就是,如果你常常需要在工作的电脑( i.e., 公司的电脑,没有那么私密)上进行私人的 SSH 认证之类的操作,用 agent + YubiKey 可以做到不必把私钥放置在公家电脑上。

    当然,如果没有 YubiKey,workaround 是在公家电脑上单独创建一个私钥,然后谨慎限制这个私钥能访问的东西的范围……
    lygsbdx
        26
    lygsbdx  
       2021-03-25 09:38:48 +08:00
    @mschultz 你好,我想请教下怎么在 windows 中使用 yubikey 来实现 SSH 验证,已经写入 GPG 密钥了,但是 xshell 里看不到私钥
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2937 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 11:09 · PVG 19:09 · LAX 03:09 · JFK 06:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.