这是一个创建于 748 天前的主题,其中的信息可能已经有所发展或是发生改变。
托 Cloudflare 的福,这周一的时候收到了 Yubico 从瑞典发来的 Yubikey ,于是这一周的大部分业余时间都放在了折腾这些 Key 上了。
昨天写了篇博客介绍了一些我目前常用的功能,感兴趣的朋友可以查看:
43 条回复 • 2022-11-20 12:07:12 +08:00
 |
1
goodniuniu 2022-10-16 10:17:44 +08:00
谢谢分享!
|
 |
2
flashlight 2022-10-16 10:19:41 +08:00
感谢分享!自己也在用但是现在支持的服务不多。
|
 |
3
Yangfan1991 2022-10-16 10:19:49 +08:00 via iPhone
国内羡慕你们
|
|
4
Yangfan1991 2022-10-16 10:20:31 +08:00 via iPhone
之前 400 买了一个 5c nfc ,现在看血亏
|
 |
5
JohnBull 2022-10-16 10:29:24 +08:00
|
 |
6
ooxxcc 2022-10-16 10:46:34 +08:00
提示要保存的地方选择保存就大功告成了,有一点值得注意的是,之后本机的私钥就会没有了,需要自己注意备份。
// tip: 提示要保存的地方不保存,本地私钥就还在 |
 |
7
luckycat 2022-10-16 11:15:33 +08:00 via iPhone
摸一下芯片就自动输入密码这个,是指纹信息功能吗?还是说谁摸都可以?
|
|
9
luckycat 2022-10-16 11:32:56 +08:00 via iPhone  1
@Had 那这样离开电脑时候,还得先拔下来带走。感觉似乎并没有更安全。我也考虑过很多次,但一直没想通这个 key 到底解决了什么问题,似乎并没有比记一个 passcode 更安全。
TOTP 用带相关功能的密码管理器更方便,SSH 用加密的私钥也会比较安全。可能就是这个一键输入长密码会更方便了,但也明显更不安全了。 |
 |
10
sky96111 2022-10-16 11:35:58 +08:00 via Android
@luckycat 那可以选择 Yubikey bio ,这款有指纹识别,但没有 NFC 和 OpenPGP
|
 |
11
longxk 2022-10-16 11:47:25 +08:00
那个优惠不是 4 个吗?你咋能买 10 个?
|
 |
12
totoro625 2022-10-16 11:55:25 +08:00
@luckycat #9 触摸输出静态密码只是其中一个小功能,默认设置是让你输出 OTP 一次性密码(需要服务端支持)
安全的范畴考虑,大概就是坏人都能碰到你的电脑了,也不存在安不安全了,不管是触摸还是指纹都是能被坏人获取的 我主用静态密码输出密码管理器的主密码,平常甚至都不记得主密码是什么 静态密码功能相对是个鸡肋但是很多人都在用的小功能 SSH\Git commit\bitlocker 等等都可以用 yubikey 内部不可导出的 key ,而不需要在电脑上保存 key TOTP 是保存在 yubikey 内部的 |
 |
13
caomingjun 2022-10-16 11:55:30 +08:00 via Android
@longxk 最开始是可以买十个,我的码就是,后来才改的。不过我只买了两个
|
 |
14
Veneris 2022-10-16 12:06:13 +08:00 via iPhone
拿到了码,不知道国内转运怎么办😂
|
 |
16
ZE3kr 2022-10-16 12:19:07 +08:00 via iPhone
120 买了 10 个 C ,但感觉没啥用,我觉得这个就跟 U 盾一样。但现在设备都有指纹器和面部识别了,感觉用那种技术更安全( webauth ),而且 iOS16 开始还可以同步这个东西了
|
 |
17
SingeeKing 2022-10-16 12:23:00 +08:00
@slarker #15 要怎么操作,求帮忙
|
 |
18
Tink 2022-10-16 12:30:33 +08:00 via Android
我看了一下我的还是一代
|
 |
19
mschultz 2022-10-16 12:48:22 +08:00
@luckycat #9 长按输出静态密码在我看来只是 YubiKey 的一个「边缘」的小功能,我也是用来输出密码管理器的主密码(但我的主密码不 [只] 是 YubiKey 那一串输出)
至于 TOTP ,虽然有一个 Yubico Authenticator 的确可以用 YubiKey 存储 secret key 然后展示 6 位数字那种验证码,但这也是「边缘」的应用;真正使用 YubiKey 进行两步验证的网站,大多是使用 WebAuthn ( https://webauthn.io/ ) 摸一下 YubiKey 完成 2FA ,而不是输入 6 位数字。 YubiKey 的硬件设计(若不考虑硬件 /固件漏洞)是只能写入密钥 (write only) 而无法读取。基本上如果需要进行什么敏感的操作(例如调用私钥进行签名认证等),大致是电脑把需要签名的消息发送给 YubiKey ,YubiKey 的芯片完成最重要的密码学操作然后把结果(如 Signed response )发回电脑。整个过程,电脑是接触不到私钥的。 所以理论上即使你电脑中了木马,也不会导致私钥泄露,比带 Passphrase 的 SSH 私钥文件还安全一些的样子。 |
 |
20
slarker 2022-10-16 13:11:22 +08:00
@SingeeKing aXNsYXJrZXI=
|
|
21
luckycat 2022-10-16 13:52:37 +08:00 via iPhone
@mschultz Yubikey 的私钥不暴露的做法理论上来讲肯定是更安全的,不过那种场景很极端,大多数时候我们并不需要在不信任的设备上做敏感操作。也就是不需要那么强力的保护。所以我认为对大多数人来说,Yubikey 并不适合日常使用。Yubikey 适合的场景是那种当成钥匙一样,插进去摸一下就马上拔下来收起来的场合。如果日常总是插在电脑上,那真的有点不安全了。
|
 |
22
simon633 2022-10-16 13:53:34 +08:00
坐标一致,但是我选的平邮。。还没发货。。
|
 |
23
mooyo 2022-10-16 14:32:32 +08:00
@slarker #15 @SingeeKing #17 老哥有多余的车位么 我想要两个 5c
|
 |
24
yvkino 2022-10-16 14:38:06 +08:00
无密码登录很好用,但是现在貌似只有微软支持
|
 |
25
billzhuang 2022-10-16 15:08:38 +08:00 via iPhone
我买了两个 5C 寄到大阪,还没到。
|
 |
26
xuecan 2022-10-16 15:43:40 +08:00
活动还有吗
|
 |
27
joynvda 2022-10-16 16:06:42 +08:00
还在犹豫买还是不买。
|
|
28
mschultz 2022-10-16 16:23:53 +08:00
@luckycat #21
我觉得 (1)密码管理器是辅助解决来自互联网另一端的威胁( e.g., 黑客猜出你的简单密码),但有时候不能防范本机硬盘 /内存被 Malware 攻击后的风险 (2) YubiKey 等智能卡一定程度上可以防范来自电脑内部 Malware 的攻击,可以作为密码管理器之外的一个辅助。 但两者都没有特别针对**物理安全(即不怀好意的人可以接触到你的个人设备)**设计,实际上 YubiKey 很多操作要求你摸一下,重点就是通过硬件设计避免**电脑内部的恶意软件**擅自触发操作,而不是为了「分辨摸它的人的身份」。所以在这里讨论物理安全其实有点儿 out of scope 了。 但也不是完全没有物理安全,YubiKey 作为 SSH/GPG 智能卡大多数操作都是有 PIN 保护的;作为 U2F 设备虽然有时候不需要 PIN ,但用于 2FA 啊,2FA 的前提是已经正确输入用户名密码了啊。所以别人即使接触到你的 YubiKey 也做不了多大的坏事(设备防盗是另一个话题)。 https://www.reddit.com/r/yubikey/comments/i29k46/is_there_any_risk_in_leaving_yubikey_5c_nano/ ==== 我同意你说的一个观点就是大多数人不需要(或不认为)自己需要那么强的保护。但是我个人不认为 YubiKey 不适合日常使用或者用了更不方便 /不安全之类的。有 Key 不会比没 Key 更坏,hhh |
 |
29
shiny 2022-10-16 17:08:06 +08:00
我也有 10 个的优惠码,但是运不回来
|
 |
30
pocarisweat 2022-10-16 17:42:46 +08:00
@mschultz
YubiKey 其实也有带指纹识别的版本。基本上指纹识别可以解决这个⌈证明你是你⌋的问题,基本上这就是 Windows Hello 或者苹果的 Secure Enclave 想达到的目的吧 |
 |
32
SuperXX 2022-10-16 20:56:30 +08:00 via iPhone
FB, google, twitter 都可以设置硬件 key 作为 2FA ,然后登陆输入密码后,还要手按一下 yubikey 才能登录,觉得根 U 盾很像
|
 |
33
chuhemiao 2022-10-16 20:59:14 +08:00
国内买的小伙伴记得去清关税
|
 |
34
q9OxQgg 2022-10-17 07:41:44 +08:00 via Android
怎么托这个福?
|
 |
35
MX123 2022-10-17 10:25:57 +08:00
还是不太懂,拿来干什么?
|
 |
36
Greenm 2022-10-17 10:40:28 +08:00
你买的是不是很早,我的现在还在准备订单,也是从瑞典发出的,到现在还没发货,你都已经拿到手了。。
|
|
37
Greenm 2022-10-17 10:41:28 +08:00
啊,原来你用的是 30$的快递,果然加钱万物可及。
|
 |
38
Qtalks 2022-10-17 23:21:59 +08:00 via iPhone
@shiny 要搭车吗,我没码,但是可以转运过来,如果有意可以联系我 [email protected]
|
 |
40
H0u5er 2022-10-20 14:06:21 +08:00
想入手兩個 5C 或 FIPS ,肉身在澳門可代收,長期在小飛機
隔壁 hostloc 有人收優惠券的 |
 |
43
Xheart 2022-11-20 12:07:12 +08:00
还有出的吗,想入手 1 个 5C 和 1 个 5
|
Select Language