V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jyjmrlk
V2EX  ›  YubiKey

开始使用 Yubikey

  •  4
     
  •   jyjmrlk · 2022-10-16 10:07:31 +08:00 · 9462 次点击
    这是一个创建于 794 天前的主题,其中的信息可能已经有所发展或是发生改变。

    托 Cloudflare 的福,这周一的时候收到了 Yubico 从瑞典发来的 Yubikey ,于是这一周的大部分业余时间都放在了折腾这些 Key 上了。

    昨天写了篇博客介绍了一些我目前常用的功能,感兴趣的朋友可以查看:

    https://blog.gimo.me/posts/getting-started-with-yubikey/

    43 条回复    2022-11-20 12:07:12 +08:00
    goodniuniu
        1
    goodniuniu  
       2022-10-16 10:17:44 +08:00
    谢谢分享!
    flashlight
        2
    flashlight  
       2022-10-16 10:19:41 +08:00
    感谢分享!自己也在用但是现在支持的服务不多。
    Yangfan1991
        3
    Yangfan1991  
       2022-10-16 10:19:49 +08:00 via iPhone
    国内羡慕你们
    Yangfan1991
        4
    Yangfan1991  
       2022-10-16 10:20:31 +08:00 via iPhone
    之前 400 买了一个 5c nfc ,现在看血亏
    JohnBull
        5
    JohnBull  
       2022-10-16 10:29:24 +08:00
    ooxxcc
        6
    ooxxcc  
       2022-10-16 10:46:34 +08:00
    提示要保存的地方选择保存就大功告成了,有一点值得注意的是,之后本机的私钥就会没有了,需要自己注意备份。

    // tip: 提示要保存的地方不保存,本地私钥就还在
    luckycat
        7
    luckycat  
       2022-10-16 11:15:33 +08:00 via iPhone
    摸一下芯片就自动输入密码这个,是指纹信息功能吗?还是说谁摸都可以?
    Had
        8
    Had  
       2022-10-16 11:19:02 +08:00
    @luckycat 谁摸都可以,YUBIKEY 就是个键盘,你按一下有输入
    luckycat
        9
    luckycat  
       2022-10-16 11:32:56 +08:00 via iPhone   ❤️ 1
    @Had 那这样离开电脑时候,还得先拔下来带走。感觉似乎并没有更安全。我也考虑过很多次,但一直没想通这个 key 到底解决了什么问题,似乎并没有比记一个 passcode 更安全。
    TOTP 用带相关功能的密码管理器更方便,SSH 用加密的私钥也会比较安全。可能就是这个一键输入长密码会更方便了,但也明显更不安全了。
    sky96111
        10
    sky96111  
       2022-10-16 11:35:58 +08:00 via Android
    @luckycat 那可以选择 Yubikey bio ,这款有指纹识别,但没有 NFC 和 OpenPGP
    longxk
        11
    longxk  
       2022-10-16 11:47:25 +08:00
    那个优惠不是 4 个吗?你咋能买 10 个?
    totoro625
        12
    totoro625  
       2022-10-16 11:55:25 +08:00
    @luckycat #9 触摸输出静态密码只是其中一个小功能,默认设置是让你输出 OTP 一次性密码(需要服务端支持)
    安全的范畴考虑,大概就是坏人都能碰到你的电脑了,也不存在安不安全了,不管是触摸还是指纹都是能被坏人获取的
    我主用静态密码输出密码管理器的主密码,平常甚至都不记得主密码是什么
    静态密码功能相对是个鸡肋但是很多人都在用的小功能

    SSH\Git commit\bitlocker 等等都可以用 yubikey 内部不可导出的 key ,而不需要在电脑上保存 key

    TOTP 是保存在 yubikey 内部的
    caomingjun
        13
    caomingjun  
       2022-10-16 11:55:30 +08:00 via Android
    @longxk 最开始是可以买十个,我的码就是,后来才改的。不过我只买了两个
    Veneris
        14
    Veneris  
       2022-10-16 12:06:13 +08:00 via iPhone
    拿到了码,不知道国内转运怎么办😂
    slarker
        15
    slarker  
       2022-10-16 12:15:26 +08:00 via Android
    @Veneris 我可以帮你转回来
    ZE3kr
        16
    ZE3kr  
       2022-10-16 12:19:07 +08:00 via iPhone
    120 买了 10 个 C ,但感觉没啥用,我觉得这个就跟 U 盾一样。但现在设备都有指纹器和面部识别了,感觉用那种技术更安全( webauth ),而且 iOS16 开始还可以同步这个东西了
    SingeeKing
        17
    SingeeKing  
       2022-10-16 12:23:00 +08:00
    @slarker #15 要怎么操作,求帮忙
    Tink
        18
    Tink  
       2022-10-16 12:30:33 +08:00 via Android
    我看了一下我的还是一代
    mschultz
        19
    mschultz  
       2022-10-16 12:48:22 +08:00
    @luckycat #9 长按输出静态密码在我看来只是 YubiKey 的一个「边缘」的小功能,我也是用来输出密码管理器的主密码(但我的主密码不 [只] 是 YubiKey 那一串输出)

    至于 TOTP ,虽然有一个 Yubico Authenticator 的确可以用 YubiKey 存储 secret key 然后展示 6 位数字那种验证码,但这也是「边缘」的应用;真正使用 YubiKey 进行两步验证的网站,大多是使用 WebAuthn ( https://webauthn.io/ ) 摸一下 YubiKey 完成 2FA ,而不是输入 6 位数字。

    YubiKey 的硬件设计(若不考虑硬件 /固件漏洞)是只能写入密钥 (write only) 而无法读取。基本上如果需要进行什么敏感的操作(例如调用私钥进行签名认证等),大致是电脑把需要签名的消息发送给 YubiKey ,YubiKey 的芯片完成最重要的密码学操作然后把结果(如 Signed response )发回电脑。整个过程,电脑是接触不到私钥的。

    所以理论上即使你电脑中了木马,也不会导致私钥泄露,比带 Passphrase 的 SSH 私钥文件还安全一些的样子。
    slarker
        20
    slarker  
       2022-10-16 13:11:22 +08:00
    @SingeeKing aXNsYXJrZXI=
    luckycat
        21
    luckycat  
       2022-10-16 13:52:37 +08:00 via iPhone
    @mschultz Yubikey 的私钥不暴露的做法理论上来讲肯定是更安全的,不过那种场景很极端,大多数时候我们并不需要在不信任的设备上做敏感操作。也就是不需要那么强力的保护。所以我认为对大多数人来说,Yubikey 并不适合日常使用。Yubikey 适合的场景是那种当成钥匙一样,插进去摸一下就马上拔下来收起来的场合。如果日常总是插在电脑上,那真的有点不安全了。
    simon633
        22
    simon633  
       2022-10-16 13:53:34 +08:00
    坐标一致,但是我选的平邮。。还没发货。。
    mooyo
        23
    mooyo  
       2022-10-16 14:32:32 +08:00
    @slarker #15 @SingeeKing #17 老哥有多余的车位么 我想要两个 5c
    yvkino
        24
    yvkino  
       2022-10-16 14:38:06 +08:00
    无密码登录很好用,但是现在貌似只有微软支持
    billzhuang
        25
    billzhuang  
       2022-10-16 15:08:38 +08:00 via iPhone
    我买了两个 5C 寄到大阪,还没到。
    xuecan
        26
    xuecan  
       2022-10-16 15:43:40 +08:00
    活动还有吗
    joynvda
        27
    joynvda  
       2022-10-16 16:06:42 +08:00
    还在犹豫买还是不买。
    mschultz
        28
    mschultz  
       2022-10-16 16:23:53 +08:00
    @luckycat #21

    我觉得 (1)密码管理器是辅助解决来自互联网另一端的威胁( e.g., 黑客猜出你的简单密码),但有时候不能防范本机硬盘 /内存被 Malware 攻击后的风险 (2) YubiKey 等智能卡一定程度上可以防范来自电脑内部 Malware 的攻击,可以作为密码管理器之外的一个辅助。

    但两者都没有特别针对**物理安全(即不怀好意的人可以接触到你的个人设备)**设计,实际上 YubiKey 很多操作要求你摸一下,重点就是通过硬件设计避免**电脑内部的恶意软件**擅自触发操作,而不是为了「分辨摸它的人的身份」。所以在这里讨论物理安全其实有点儿 out of scope 了。

    但也不是完全没有物理安全,YubiKey 作为 SSH/GPG 智能卡大多数操作都是有 PIN 保护的;作为 U2F 设备虽然有时候不需要 PIN ,但用于 2FA 啊,2FA 的前提是已经正确输入用户名密码了啊。所以别人即使接触到你的 YubiKey 也做不了多大的坏事(设备防盗是另一个话题)。

    https://www.reddit.com/r/yubikey/comments/i29k46/is_there_any_risk_in_leaving_yubikey_5c_nano/

    ====
    我同意你说的一个观点就是大多数人不需要(或不认为)自己需要那么强的保护。但是我个人不认为 YubiKey 不适合日常使用或者用了更不方便 /不安全之类的。有 Key 不会比没 Key 更坏,hhh
    shiny
        29
    shiny  
       2022-10-16 17:08:06 +08:00
    我也有 10 个的优惠码,但是运不回来
    pocarisweat
        30
    pocarisweat  
       2022-10-16 17:42:46 +08:00
    @mschultz
    YubiKey 其实也有带指纹识别的版本。基本上指纹识别可以解决这个⌈证明你是你⌋的问题,基本上这就是 Windows Hello 或者苹果的 Secure Enclave 想达到的目的吧
    fuxkcsdn
        31
    fuxkcsdn  
       2022-10-16 20:56:08 +08:00   ❤️ 1
    @shiny 可以用中环转运试试,有个电子产品专线,不过我的还在等中邮海外购退货,具体能不能转运回来还未知
    SuperXX
        32
    SuperXX  
       2022-10-16 20:56:30 +08:00 via iPhone
    FB, google, twitter 都可以设置硬件 key 作为 2FA ,然后登陆输入密码后,还要手按一下 yubikey 才能登录,觉得根 U 盾很像
    chuhemiao
        33
    chuhemiao  
       2022-10-16 20:59:14 +08:00
    国内买的小伙伴记得去清关税
    q9OxQgg
        34
    q9OxQgg  
       2022-10-17 07:41:44 +08:00 via Android
    怎么托这个福?
    MX123
        35
    MX123  
       2022-10-17 10:25:57 +08:00
    还是不太懂,拿来干什么?
    Greenm
        36
    Greenm  
       2022-10-17 10:40:28 +08:00
    你买的是不是很早,我的现在还在准备订单,也是从瑞典发出的,到现在还没发货,你都已经拿到手了。。
    Greenm
        37
    Greenm  
       2022-10-17 10:41:28 +08:00
    啊,原来你用的是 30$的快递,果然加钱万物可及。
    Qtalks
        38
    Qtalks  
       2022-10-17 23:21:59 +08:00 via iPhone
    @shiny 要搭车吗,我没码,但是可以转运过来,如果有意可以联系我 [email protected]
    Assession
        39
    Assession  
       2022-10-18 01:53:47 +08:00 via Android
    @Qtalks 大佬还有多余的 5c ,上个车。
    H0u5er
        40
    H0u5er  
       2022-10-20 14:06:21 +08:00
    想入手兩個 5C 或 FIPS ,肉身在澳門可代收,長期在小飛機

    隔壁 hostloc 有人收優惠券的
    hoky
        41
    hoky  
       2022-11-14 16:17:22 +08:00
    @shiny 这个码怎么弄的?之前没关注 Yubikey ,最近有家人回国,可带回。
    shiny
        42
    shiny  
       2022-11-14 16:26:44 +08:00
    @hoky cloudflare 里的,我已经找其他人帮忙带进来了
    Xheart
        43
    Xheart  
       2022-11-20 12:07:12 +08:00
    还有出的吗,想入手 1 个 5C 和 1 个 5
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1112 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 18:40 · PVG 02:40 · LAX 10:40 · JFK 13:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.