V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
HertzHz
V2EX  ›  YubiKey

并非人人都需要一个 Yubikey

  •  1
     
  •   HertzHz · 2022-01-25 06:49:03 +08:00 · 7158 次点击
    这是一个创建于 1036 天前的主题,其中的信息可能已经有所发展或是发生改变。

    唱反调大师,我来了。

    原文地址

    投了个程序员节点,实在不知道我这种文章投在哪,买 Yubikey 这类设备的应该都和技术沾点关系吧,就先放这里了。管理看到若不合适就移动吧。

    14 条回复    2022-10-16 19:23:07 +08:00
    jackmod
        1
    jackmod  
       2022-01-25 07:24:31 +08:00
    与内容无关:
    换行是 <br> 或 <br/>,或许写生成器时笔误了?
    另外 lang 标签还是需要的。在英文 windows 里浏览器会默认使用日文字体。
    HertzHz
        2
    HertzHz  
    OP
       2022-01-25 07:27:24 +08:00
    @jackmod 哈哈,我的前端水平就这样了,随便写写,br h2 之类的标签都是我写文章的时候自己一个个手动加的,我对前端没什么概念。
    感谢指正,等下修一下。
    dingwen07
        3
    dingwen07  
       2022-01-25 07:31:37 +08:00
    电脑被入侵导致密码管理器泄漏的话,2FA 有什么用啊,直接悄咪咪把你浏览器的 cookies 拿走好了。

    其它的,我现在有多个 YubiKey ,GPG 密钥等用 EFS 加密(密钥存放在某台电脑上,恢复密钥设置为 YubiKey PIV )放在一个 U 盘里,也会用 GPG 加密放在各种地方。随身携带的 YubiKey 有 AirTag 。

    全部丢失的概率感觉不大。其实个人认为大多数人用 2 个 YubiKey 分开保存已经能确保绝大多数情况下不丢了,这个时候就可以用 YubiKey 里的 GPG 或 PIV 密钥来加密 GPG 密钥的备份了。

    借楼问一下,CanoKey 国外有什么购买渠道吗?
    admin601
        4
    admin601  
       2022-01-25 08:23:12 +08:00 via Android
    @dingwen07 canokey 好像是三月份会有一批货,群里有不少海外的,可以问问他们走的什么转运。
    https://t.me/canokeys
    kenvix
        5
    kenvix  
       2022-01-25 08:53:18 +08:00
    说到底是太贵啊(
    nyaruko
        6
    nyaruko  
       2022-01-25 09:43:52 +08:00
    持有 3 枚 Yubikey 并且几乎天天在用的路过

    两枚是公司配发的,放着 Service Account 的 key ;另一枚存放着个人账号的 key

    感觉就像楼主说的,没有绝对的安全,万一电脑被黑了呢,密码管理器出问题了呢,或者 Yubikey 本身就有硬件漏洞什么的

    而且 YubiKey 确实存在很多平台的限制,公司的内部系统做了大量的工作,Yubikey 的使用非常方便,但个人的 key ,受制于网络上的各种平台,用起来相当麻烦

    还有一个不爽的是,3 个 Yubikey 里两个外形一样,用的时候我还得先翻过来看看序列号确认下自己手上的 key 是哪个
    lakehylia
        7
    lakehylia  
       2022-01-25 09:52:02 +08:00
    Yubikey 。。。这名字,乍一看还以为是育碧公司的产品,我在想什么时候育碧的游戏需要 key 才能玩了。。。
    powerman
        8
    powerman  
       2022-01-25 09:53:20 +08:00
    所有的安全问题始终都是人,而不是技术
    kxuanobj
        9
    kxuanobj  
       2022-01-25 16:38:46 +08:00
    "都需要用到 2FA 了,说明你的账号密码已经泄漏了" 非常不同意。

    在公司电脑登录我的 gmail 帐号,HTTPS 是被深信服 MITM 攻击过的。不开启 2FA ,我的 github 帐号登录信息深信服都能拿到,而且长久使用。

    我本人是不信任深信服,但又无法不在公司使用 Google 的服务,所以 2FA 变成了仅有的解决方案。
    HertzHz
        10
    HertzHz  
    OP
       2022-01-25 19:54:04 +08:00
    @kxuanobj 在这种极端的场景,密码管理器的 2FA 确实顶用,所以我说要基于具体场景具体分析,不要被网站虚假的提升安全性提示给骗了
    wizardyhnr
        11
    wizardyhnr  
       2022-01-26 23:26:59 +08:00
    确实大部分人都不需要,OTP 的功能手机上装个 authenticator 就完事了,玩 gpg 证书如果不是折腾云端备份的话也有点高射炮打蚊子的感觉。学习成本又高,一旦开始折腾就有点像套娃,用一个加密保护另一个加密的备份。用是很有用,就是研究多了容易有被害妄想症。有了 yubikey 是不是要看看 gpg ,看了 gpg 是不是要研究研究怎么备份密钥才讲究,既然说到备份是不是还得钻研钻研 bit rot.

    备份都在 local 的话也不需要加密,最后自己忘了密码就搞笑了。
    HertzHz
        12
    HertzHz  
    OP
       2022-01-27 00:35:09 +08:00
    @wizardyhnr https://imgur.com/2wpJ0mF
    对,这就是我的意思,这种东西研究多了真的会有被害妄想症,经常能看各种群里整天弄的安全措施离谱过头,还经常能看到各种把自己锁外面的用户,一个 gpg key 丢了换了还要满世界公布通知。我在文章里的表述比较委婉,“考虑自己自己的价值”,低情商版本就自行脑补吧。
    HertzHz
        13
    HertzHz  
    OP
       2022-01-27 00:35:45 +08:00

    图片没插入成功,再来一次(
    Livid
        14
    Livid  
    MOD
       2022-10-16 19:23:07 +08:00
    这个主题现在已经被移动到 /go/yubikey
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5637 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 03:28 · PVG 11:28 · LAX 19:28 · JFK 22:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.