V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
edwardhodges
V2EX  ›  信息安全

v 友们有没有买 Yubikey 硬件密钥的,用起来感觉怎么样?

  •  
  •   edwardhodges · 2023-08-19 14:57:04 +08:00 · 5908 次点击
    这是一个创建于 461 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近看到网上的 Yubikey 感觉很好玩,貌似确实很安全。不过对于普通人貌似又没有必要。V 友们有没有买的,感觉怎么样?

    45 条回复    2023-10-10 20:00:29 +08:00
    zebedy
        1
    zebedy  
       2023-08-19 15:07:28 +08:00
    有需求就买,没有需求也没必要硬上
    shizukupr
        2
    shizukupr  
       2023-08-19 15:53:53 +08:00
    拿来当 Passkey 和 2FA 确实好用,使用体验非常丝滑,但是你得记得带在身上。我现在也开始用这个来做 SSH 认证了,解决了我经常性重装系统忘记备份 ssh key 的问题。
    当然如果你对国外的平台需求不大就没必要,国内我还真没见哪家提供了 FIDO 的支持
    miyunda
        3
    miyunda  
       2023-08-19 16:14:52 +08:00   ❤️ 6
    有点不说了;
    缺点:容易丢
    这个丢不是说丢失,而是明明就在家,但是找不到
    OutOfMemoryError
        4
    OutOfMemoryError  
       2023-08-19 16:22:44 +08:00   ❤️ 1
    买了,插机箱上接灰。
    imnpc
        5
    imnpc  
       2023-08-19 16:29:30 +08:00   ❤️ 1
    需要买 2 个, 一个备用 一个随身携带,两个配置保持一致
    terence4444
        6
    terence4444  
       2023-08-19 16:33:05 +08:00 via iPhone
    上次 cloudflare 临时改规则,不让我优惠买了,现在 2FA + 密码管理软件感觉也还过得去。
    anonymous64
        7
    anonymous64  
       2023-08-19 16:38:04 +08:00 via Android
    今年买的最值的东西没有之一。国外稍微大点的的网站基本都支持,社区认可程度也很高,用过的不少项目都很乐意给 yubikey 提供适配。
    totoro625
        8
    totoro625  
       2023-08-19 16:54:36 +08:00
    yubikey4 *1
    yubikey5nfc *3
    yubikey5ci *2
    主要用于密码管理器的静态主密码输入、两步验证、Bitlocker 的智能卡(证书解密)

    对于一般用户,真的用不到,不过可以买一个玩一玩
    ooxcoo
        9
    ooxcoo  
       2023-08-19 17:44:38 +08:00 via iPhone
    @miyunda 配一个平替版的 airtag
    lmmortal
        10
    lmmortal  
       2023-08-19 18:05:59 +08:00 via iPhone
    @miyunda 弄个绳子穿到手机壳上
    bobryjosin
        11
    bobryjosin  
       2023-08-19 18:25:22 +08:00
    买了俩,一个 A 一个 C 口配置一样,在共用机器上 ssh 用 yubikey 进行 2FA 。方便开 ssh tunnel 回家访问内网资源。其他的就绑了 apple id ,google ,aws ,cloudflare 之类的主流平台的 2FA ,而且能提升账号权重?,至少 facebook 和 twitter 绑过之后 IP 随便乱飘也没有莫名其妙封过了,挺好使的玩意。
    agagega
        12
    agagega  
       2023-08-19 19:26:53 +08:00 via iPhone   ❤️ 1
    这个东西理念很好,但软件生态远不及预期。理想情况下:

    1. 密码管理软件可以直接用 YubiKey 搭配 PIN 解锁。
    2. 常见网站都可以用 YubiKey 认证登录。
    3. 出现一个带 GUI 和系统集成的现代 PGP 客户端,充分利用 YubiKey 做智能卡的功能。

    缺点是不是时刻都带身上,便利性肯定不如 FaceID/TouchID
    flashlight
        13
    flashlight  
       2023-08-19 19:43:54 +08:00
    这个我也很有兴趣如果是一家用了 Passkey 的网站还需不需要呢?@shizukupr @anonymous64
    mfweb
        14
    mfweb  
       2023-08-19 20:34:30 +08:00 via iPhone
    买了两个,nfc 版本很不错
    shizukupr
        15
    shizukupr  
       2023-08-19 21:29:06 +08:00
    @flashlight 用 yubikey 当 passkey ,无密码且安全真的快乐。唯一的问题是 PC 前面板不一定有 Type-C ,macbook 没 Type-A ,双持需要准备转换器
    zhleonix
        16
    zhleonix  
       2023-08-19 21:46:19 +08:00
    没必要,用 FIDO 的话可以集成电脑自带的面部识别就行。而且这玩意国外网站订购贵的要死。
    edwardhodges
        17
    edwardhodges  
    OP
       2023-08-19 21:49:27 +08:00
    用的国外网站很多,感觉还是有必要的,你们都是从哪里买的呀?
    edwardhodges
        18
    edwardhodges  
    OP
       2023-08-19 21:57:43 +08:00
    @zhleonix 这个怎么用 FIDO ?
    weakish
        19
    weakish  
       2023-08-20 01:23:43 +08:00 via iPhone
    @edwardhodges 簡單來說是微軟、谷歌、蘋果三家實現了 FIDO 協議,三家最近的設備(電腦、手機)都支持。 和 Yubikey 的比較詳見 https://www.yubico.com/blog/a-yubico-faq-about-passkeys/

    Yubikey 我是在 V2EX 上買的(因為海淘郵費貴,有人一下子買了很多,多的出掉)。

    我能想到的 Yubikey 適用的場景都比較特殊:

    1. 電腦老舊,不支持指紋或面容識別,或者是 Linux/BSD
    2. 手機非 Android 非 iOS (或者是非常老舊的版本),或者只有一個手機,擔心丟失或損壞後難以登錄賬戶(兩枚 YubiKey 還是比另外買個手機便宜的,畢竟特別便宜的手機可能系統已經收不到安全更新了)
    3. 不信任或不喜歡微軟、谷歌、蘋果
    4. 需要在危急關頭快速永久喪失訪問一些賬戶的能力(毀棄 YubiKey 比分別登錄一堆賬戶移除 passkey 快太多,更別說危急關頭可能根本訪問不了網絡)。
    5. 與 4 類似的情形,只是不是永久喪失而是在一段時間內喪失,那麽可以毀掉手頭的 Yubikey 但是另外在別的地方藏一個 YubiKey ,然後隱瞞另外藏了一個的事實(或者藏在另一個司法轄區,即使實話實說,對方也可能因為成本問題放棄,或者委託第三方藏在自己也不知道的地方,第三方只在滿足特定條件(比如本人親自到場或者過若干年後)纔披露地點)
    6. 出行時並不需要訪問某些賬戶,那就乾脆不帶 YubiKey 。

    一般情況下 YubiKey 似乎沒有特別的優勢。
    hikigaya58
        20
    hikigaya58  
       2023-08-20 01:41:29 +08:00 via Android
    本来想买 Canokey ,但是淘宝店铺不知道为什么下架商品了。
    HeyEvan
        21
    HeyEvan  
       2023-08-20 02:14:10 +08:00
    @edwardhodges 咸鱼。我四百买了俩
    Bingchunmoli
        22
    Bingchunmoli  
       2023-08-20 02:17:47 +08:00 via Android
    @shizukupr 有个问题就是用了 keepassxc 里面的 ssh 代理 想解决 ssh 密钥问题,实际是提示代理未运行没办法用
    forever0y
        23
    forever0y  
       2023-08-20 02:54:44 +08:00
    公司配了,自己用感觉没必要
    LancerComet
        24
    LancerComet  
       2023-08-20 03:25:51 +08:00
    我用的是 Kensington 的 Verimark ,这东西既能 FIDO U2F 又能 Windows Hello ,买了两个
    SeaTac
        25
    SeaTac  
       2023-08-20 03:27:29 +08:00 via iPhone
    公司配了,非常容易误触
    lovestudykid
        26
    lovestudykid  
       2023-08-20 03:32:00 +08:00
    谁能介绍下这个怎么用?一直插电脑上吗?
    VVv0vVV
        27
    VVv0vVV  
       2023-08-20 07:36:10 +08:00 via iPhone
    想买,后来发现实在是给自己创造需求,做罢了
    yinmin
        28
    yinmin  
       2023-08-20 10:30:29 +08:00 via iPhone
    iphone 可以做 fido key ,能同时支持手机浏览器和 mac 浏览器,可惜不支持 windows 浏览器
    shizukupr
        29
    shizukupr  
       2023-08-20 11:50:09 +08:00
    @Bingchunmoli 我直接用的 openssh 自带的 fido 支持,唯一的缺点就是对 openssh 版本有点要求
    ck65
        30
    ck65  
       2023-08-20 11:54:29 +08:00
    买了 NFC 版,主要三个场景在日常用:

    - 网站无密码登入:支持用 Passkey 完全替代密码登入的网站现在还很少,离我生活比较近的只有 Google 、GitHub (目录 https://passkeys.directory ),可以做到不用输入密码,摸一下 Yubikey 或者在手机 NFC 处靠一下就能完成登入
    - 网站二步验证:虽然支持 Passkey 无密码登入的网站不多,但相当数量的网站已经支持用智能卡作为 MFA 媒介了,不用输入 6 位数字,摸一下 Yubikey 就能通过验证
    - SSH 插卡登录替代电脑上的本地密钥:摸一下 Yubikey 登上服务器
    wzw
        31
    wzw  
       2023-08-20 11:55:15 +08:00 via iPhone
    我当软件系统的 ukey 用
    424778940
        32
    424778940  
       2023-08-20 12:39:33 +08:00
    我很多网站登陆都用这个, 随身携带放钥匙扣上
    就是价格有点太贵了, 5c nfc 要四五百, 闲鱼上最近也没有太便宜的了
    zhishixiang
        33
    zhishixiang  
       2023-08-20 13:10:01 +08:00   ❤️ 1
    装 13 需求居多,买来发现完全没有用的上的场景,原来的验证器够用了
    01802
        34
    01802  
       2023-08-20 14:33:01 +08:00 via Android
    正如三楼所说,买俩,目前就找到一个,还好当年是一个账号绑了俩,最终结果是能解除就接除。除了最重要的某些账户,其他不重要的就别折腾了。
    kyuuseiryuu
        35
    kyuuseiryuu  
       2023-08-20 14:43:08 +08:00 via iPhone
    买了个 yobico bio ,这玩意儿本质上就是个存你私钥的硬件,还是需要各个服务商支持,不然没啥用。

    没上生物认证,别人知道你账号和拿到你硬件密钥你的帐号一样不安全。
    acctv2
        36
    acctv2  
       2023-08-20 14:50:17 +08:00
    追求极致安全的玩票可以买

    一般的账户安全可以用 2FA 验证器。

    以及现在这个代购价格不划算,我是之前 10 刀优惠时和别人拼车买的。
    wenhaoy
        37
    wenhaoy  
       2023-08-20 15:39:27 +08:00
    这个东西唯一膈应的是"What You Know"信息,是在一台你不信任的设备上输入的(如果信任他,没必要用 yubikey 的)。

    而 Google Advanced Protection Program 又借助这个来应对“国家级攻击”的,这岂不是很滑稽?
    GunnerX
        38
    GunnerX  
       2023-08-20 16:53:04 +08:00
    我们公司远程办公,就用的 yubikey 来做内网安全管理
    yuezk
        39
    yuezk  
       2023-08-21 09:27:50 +08:00
    如果你是用来登录,推荐使用手机(最新的 iOS 和 Android 应该都支持)或者电脑自带的 authenticator ,比 Yubikey 方便,还不容易丢。
    james122333
        40
    james122333  
       2023-08-21 09:37:34 +08:00 via Android
    不买 相信软件更多 而不是硬件
    你买了大家都知道是 yubikey
    james122333
        41
    james122333  
       2023-08-21 09:40:51 +08:00 via Android
    生物认证就很糟糕的东西 别人趁你小睡一下可以搞事
    也很多公司是指纹打卡 头像麻烦点 但不是不可以做模型
    sonnyclarity492
        42
    sonnyclarity492  
       2023-08-27 19:26:12 +08:00
    一个 YubiKey 5C 一个 5A ,只启用了后者。

    目前硬件密钥相当于是物理备份,主要还是依靠 Bitwarden 的 OTP ,简单方便,就是得开会员。:D

    等以后国内平台大范围支持硬件密钥再启用 5A 吧。
    edwardhodges
        43
    edwardhodges  
    OP
       2023-08-27 20:53:40 +08:00
    @sonnyclarity492 国内不太可能大范围支持硬件密钥,这个东西也就是国外的网站用一用。bitwarden 的付费会员我也开了,不过密码和二次验证用同一个工具,鸡蛋放在一个篮子里的感觉,如果 bitwarden 密码泄露了,基本上啥都泄露了。
    hanyuwei70
        44
    hanyuwei70  
       2023-09-03 23:38:14 +08:00
    @hikigaya58 找淘宝店客服
    spediacn
        45
    spediacn  
       2023-10-10 20:00:29 +08:00 via iPhone
    不如问问:

    大家的 2FA 都存哪儿?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1209 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 18:08 · PVG 02:08 · LAX 10:08 · JFK 13:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.