这是一个创建于 705 天前的主题,其中的信息可能已经有所发展或是发生改变。
买这个主要就是用来免密码登录网站,gmail ,outlook ,应该是用的 fido2 协议吧。
( gpg 这些高级功能目前用不到,PIV 啥的也不懂)
比较疑惑的是 fido2 设置只有一个设置 pin 的选项。
第一次不是应该设置一个私钥之类的东西吗
只能用他出厂内置的私钥登录?
 |
1
FanError 2022-12-08 17:06:40 +08:00
关注,买了 4 个,卖了 2 个,留 2 个自用,还没拆封。
|
 |
2
me221 2022-12-08 17:13:21 +08:00
` ssh-keygen -t ed25519-sk -O resident -C "your remark" `
|
 |
3
Zikinn 2022-12-08 17:13:25 +08:00
@FanError 如果你是 Windows 的话,在 Accounts → Sign-in Opinions → Security Key 里面,点一下图标然后按 Manage 设置密码就行了
 ) |
 |
4
sobigfish 2022-12-08 17:50:19 +08:00
请问用的什么转运?貌似券码还没过期😂
|
 |
5
leoleoasd 2022-12-08 17:55:16 +08:00
用卡上的随机数生成器生成的新秘钥才是安全的(毕竟从电脑写到卡上的过程可能被监听),用 yubikey 的管理软件应该能 reset ?大概是这个时候会在卡上生成一个秘钥?
|
|
6
leoleoasd 2022-12-08 17:55:30 +08:00
里面本身就有一个秘钥的话,应该是出场就自带了一个?
|
 |
7
liuidetmks OP @sobigfish 转运中国,这单用了 59 ,不知道什么水平。
|
 |
8
billgong 2022-12-08 18:00:28 +08:00
FIDO2 模式密钥你看不到的,只有 pin 可以设置(必须设置一个 pin )抹掉 pin 的话私钥应该也就重置了吧
YubiOTP 的话出厂默认带一个 key 在 slot1 ,默认是锁定的状态,千万不要删掉(自己再生成的 cc key 有 trust 的问题) 大部分功能可以用 yubikey manager 管理,但更高阶的功能需要用 personalization tool ,只是那个工具现在已经 EOL 了 |
|
9
billgong 2022-12-08 18:14:58 +08:00  1
U2F 模式仅支持 MFA ,不需要用户端校验,所以每个 app 都生成新的密钥对
https://developers.yubico.com/U2F/Protocol_details/Key_generation.html 然后 yubikey 里再用设备自己的主密钥处理生成的密钥私钥,整个过程 yubikey 不存储任何新创建的信息 新的 FIDO2 支持 resident key 模式,这样就能允许设备存储某一 app 的私钥,实现(更高一级的) passwordless 。 不支持 FIDO2 的 Yubikey (四代及以前)主密钥永远不变。支持 FIDO2 的 Yubikey (五代及以后)重置 pin 会重设主密钥。 |
|
10
billgong 2022-12-08 18:17:56 +08:00
@billgong 更正:YubiOTP 原厂 key 是 cc 开头;
自己生成的 key ,需要公开注册的 key 是 vv 开头,其他前缀只能作为私有用途。 |
 |
12
Projection 2022-12-09 13:52:10 +08:00
使用官方 YubiKey Manager 图形化界面,或者命令行:
```bash ykman fido reset ykman fido access change-pin ``` |
|
13
billgong 2022-12-09 22:39:13 +08:00 via iPhone 1
@julyclyde YubiOTP 不像 U2F ,是需要目录服务器支持的。如果 app 选择使用 YubiOTP ,他们就可以配置服务为仅信任 cc 开头的密钥,即便 Yubico 的服务器上 cc 和 vv 开头的密钥都有提供。
YubiOTP 生成的时候需要在服务端保存一个不公开的密钥。cc 密钥在设备生产的时候就已经生成了,可以理解为密钥没有在公网公开过,信任度更高。vv 密钥生成后需要通过网络传到 Yubico 的服务器,这个过程有可能被破解窃听,所以信任度不如 cc 密钥。 这些对 U2F 和 FIDO2 没有影响,两者是完全不同的技术 |
Select Language