V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jyjmrlk
V2EX  ›  YubiKey

开始使用 Yubikey

  •  4
     
  •   jyjmrlk · 113 天前 · 6900 次点击
    这是一个创建于 113 天前的主题,其中的信息可能已经有所发展或是发生改变。

    托 Cloudflare 的福,这周一的时候收到了 Yubico 从瑞典发来的 Yubikey ,于是这一周的大部分业余时间都放在了折腾这些 Key 上了。

    昨天写了篇博客介绍了一些我目前常用的功能,感兴趣的朋友可以查看:

    https://blog.gimo.me/posts/getting-started-with-yubikey/

    43 条回复    2022-11-20 12:07:12 +08:00
    goodniuniu
        1
    goodniuniu  
       113 天前
    谢谢分享!
    flashlight
        2
    flashlight  
       113 天前
    感谢分享!自己也在用但是现在支持的服务不多。
    Yangfan1991
        3
    Yangfan1991  
       113 天前 via iPhone
    国内羡慕你们
    Yangfan1991
        4
    Yangfan1991  
       113 天前 via iPhone
    之前 400 买了一个 5c nfc ,现在看血亏
    JohnBull
        5
    JohnBull  
       113 天前
    ooxxcc
        6
    ooxxcc  
       113 天前
    提示要保存的地方选择保存就大功告成了,有一点值得注意的是,之后本机的私钥就会没有了,需要自己注意备份。

    // tip: 提示要保存的地方不保存,本地私钥就还在
    luckycat
        7
    luckycat  
       113 天前 via iPhone
    摸一下芯片就自动输入密码这个,是指纹信息功能吗?还是说谁摸都可以?
    Had
        8
    Had  
       113 天前
    @luckycat 谁摸都可以,YUBIKEY 就是个键盘,你按一下有输入
    luckycat
        9
    luckycat  
       113 天前 via iPhone   ❤️ 1
    @Had 那这样离开电脑时候,还得先拔下来带走。感觉似乎并没有更安全。我也考虑过很多次,但一直没想通这个 key 到底解决了什么问题,似乎并没有比记一个 passcode 更安全。
    TOTP 用带相关功能的密码管理器更方便,SSH 用加密的私钥也会比较安全。可能就是这个一键输入长密码会更方便了,但也明显更不安全了。
    sky96111
        10
    sky96111  
       113 天前 via Android
    @luckycat 那可以选择 Yubikey bio ,这款有指纹识别,但没有 NFC 和 OpenPGP
    longxk
        11
    longxk  
       113 天前
    那个优惠不是 4 个吗?你咋能买 10 个?
    totoro625
        12
    totoro625  
       113 天前
    @luckycat #9 触摸输出静态密码只是其中一个小功能,默认设置是让你输出 OTP 一次性密码(需要服务端支持)
    安全的范畴考虑,大概就是坏人都能碰到你的电脑了,也不存在安不安全了,不管是触摸还是指纹都是能被坏人获取的
    我主用静态密码输出密码管理器的主密码,平常甚至都不记得主密码是什么
    静态密码功能相对是个鸡肋但是很多人都在用的小功能

    SSH\Git commit\bitlocker 等等都可以用 yubikey 内部不可导出的 key ,而不需要在电脑上保存 key

    TOTP 是保存在 yubikey 内部的
    caomingjun
        13
    caomingjun  
       113 天前 via Android
    @longxk 最开始是可以买十个,我的码就是,后来才改的。不过我只买了两个
    Veneris
        14
    Veneris  
       113 天前 via iPhone
    拿到了码,不知道国内转运怎么办😂
    slarker
        15
    slarker  
       113 天前 via Android
    @Veneris 我可以帮你转回来
    ZE3kr
        16
    ZE3kr  
       113 天前 via iPhone
    120 买了 10 个 C ,但感觉没啥用,我觉得这个就跟 U 盾一样。但现在设备都有指纹器和面部识别了,感觉用那种技术更安全( webauth ),而且 iOS16 开始还可以同步这个东西了
    SingeeKing
        17
    SingeeKing  
       113 天前
    @slarker #15 要怎么操作,求帮忙
    Tink
        18
    Tink  
       113 天前 via Android
    我看了一下我的还是一代
    mschultz
        19
    mschultz  
       113 天前
    @luckycat #9 长按输出静态密码在我看来只是 YubiKey 的一个「边缘」的小功能,我也是用来输出密码管理器的主密码(但我的主密码不 [只] 是 YubiKey 那一串输出)

    至于 TOTP ,虽然有一个 Yubico Authenticator 的确可以用 YubiKey 存储 secret key 然后展示 6 位数字那种验证码,但这也是「边缘」的应用;真正使用 YubiKey 进行两步验证的网站,大多是使用 WebAuthn ( https://webauthn.io/ ) 摸一下 YubiKey 完成 2FA ,而不是输入 6 位数字。

    YubiKey 的硬件设计(若不考虑硬件 /固件漏洞)是只能写入密钥 (write only) 而无法读取。基本上如果需要进行什么敏感的操作(例如调用私钥进行签名认证等),大致是电脑把需要签名的消息发送给 YubiKey ,YubiKey 的芯片完成最重要的密码学操作然后把结果(如 Signed response )发回电脑。整个过程,电脑是接触不到私钥的。

    所以理论上即使你电脑中了木马,也不会导致私钥泄露,比带 Passphrase 的 SSH 私钥文件还安全一些的样子。
    slarker
        20
    slarker  
       113 天前
    @SingeeKing aXNsYXJrZXI=
    luckycat
        21
    luckycat  
       113 天前 via iPhone
    @mschultz Yubikey 的私钥不暴露的做法理论上来讲肯定是更安全的,不过那种场景很极端,大多数时候我们并不需要在不信任的设备上做敏感操作。也就是不需要那么强力的保护。所以我认为对大多数人来说,Yubikey 并不适合日常使用。Yubikey 适合的场景是那种当成钥匙一样,插进去摸一下就马上拔下来收起来的场合。如果日常总是插在电脑上,那真的有点不安全了。
    simon633
        22
    simon633  
       113 天前
    坐标一致,但是我选的平邮。。还没发货。。
    mooyo
        23
    mooyo  
       113 天前
    @slarker #15 @SingeeKing #17 老哥有多余的车位么 我想要两个 5c
    yvkino
        24
    yvkino  
       113 天前
    无密码登录很好用,但是现在貌似只有微软支持
    billzhuang
        25
    billzhuang  
       113 天前 via iPhone
    我买了两个 5C 寄到大阪,还没到。
    xuecan
        26
    xuecan  
       113 天前
    活动还有吗
    joynvda
        27
    joynvda  
       113 天前
    还在犹豫买还是不买。
    mschultz
        28
    mschultz  
       113 天前
    @luckycat #21

    我觉得 (1)密码管理器是辅助解决来自互联网另一端的威胁( e.g., 黑客猜出你的简单密码),但有时候不能防范本机硬盘 /内存被 Malware 攻击后的风险 (2) YubiKey 等智能卡一定程度上可以防范来自电脑内部 Malware 的攻击,可以作为密码管理器之外的一个辅助。

    但两者都没有特别针对**物理安全(即不怀好意的人可以接触到你的个人设备)**设计,实际上 YubiKey 很多操作要求你摸一下,重点就是通过硬件设计避免**电脑内部的恶意软件**擅自触发操作,而不是为了「分辨摸它的人的身份」。所以在这里讨论物理安全其实有点儿 out of scope 了。

    但也不是完全没有物理安全,YubiKey 作为 SSH/GPG 智能卡大多数操作都是有 PIN 保护的;作为 U2F 设备虽然有时候不需要 PIN ,但用于 2FA 啊,2FA 的前提是已经正确输入用户名密码了啊。所以别人即使接触到你的 YubiKey 也做不了多大的坏事(设备防盗是另一个话题)。

    https://www.reddit.com/r/yubikey/comments/i29k46/is_there_any_risk_in_leaving_yubikey_5c_nano/

    ====
    我同意你说的一个观点就是大多数人不需要(或不认为)自己需要那么强的保护。但是我个人不认为 YubiKey 不适合日常使用或者用了更不方便 /不安全之类的。有 Key 不会比没 Key 更坏,hhh
    shiny
        29
    shiny  
       113 天前
    我也有 10 个的优惠码,但是运不回来
    pocarisweat
        30
    pocarisweat  
       113 天前
    @mschultz
    YubiKey 其实也有带指纹识别的版本。基本上指纹识别可以解决这个⌈证明你是你⌋的问题,基本上这就是 Windows Hello 或者苹果的 Secure Enclave 想达到的目的吧
    fuxkcsdn
        31
    fuxkcsdn  
       113 天前   ❤️ 1
    @shiny 可以用中环转运试试,有个电子产品专线,不过我的还在等中邮海外购退货,具体能不能转运回来还未知
    SuperXX
        32
    SuperXX  
       113 天前 via iPhone
    FB, google, twitter 都可以设置硬件 key 作为 2FA ,然后登陆输入密码后,还要手按一下 yubikey 才能登录,觉得根 U 盾很像
    chuhemiao
        33
    chuhemiao  
       113 天前
    国内买的小伙伴记得去清关税
    q9OxQgg
        34
    q9OxQgg  
       113 天前 via Android
    怎么托这个福?
    MX123
        35
    MX123  
       112 天前
    还是不太懂,拿来干什么?
    Greenm
        36
    Greenm  
       112 天前
    你买的是不是很早,我的现在还在准备订单,也是从瑞典发出的,到现在还没发货,你都已经拿到手了。。
    Greenm
        37
    Greenm  
       112 天前
    啊,原来你用的是 30$的快递,果然加钱万物可及。
    Qtalks
        38
    Qtalks  
       112 天前 via iPhone
    @shiny 要搭车吗,我没码,但是可以转运过来,如果有意可以联系我 [email protected]
    Assession
        39
    Assession  
       112 天前 via Android
    @Qtalks 大佬还有多余的 5c ,上个车。
    H0u5er
        40
    H0u5er  
       109 天前
    想入手兩個 5C 或 FIPS ,肉身在澳門可代收,長期在小飛機

    隔壁 hostloc 有人收優惠券的
    hoky
        41
    hoky  
       84 天前
    @shiny 这个码怎么弄的?之前没关注 Yubikey ,最近有家人回国,可带回。
    shiny
        42
    shiny  
       84 天前
    @hoky cloudflare 里的,我已经找其他人帮忙带进来了
    Xheart
        43
    Xheart  
       78 天前
    还有出的吗,想入手 1 个 5C 和 1 个 5
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   实用小工具   ·   4419 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 43ms · UTC 01:26 · PVG 09:26 · LAX 17:26 · JFK 20:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.