最近遇到一个问题(可能是 bug ,也可能是我某个设置或者第三方软件造成的),想问问 V 友有没有类似情况或者排查思路。
系统环境:电脑是 MacBook Air M2, macOS Sonoma 14.1.2. 系统设置 - Touch ID & Password 中,"Use Touch ID to unlock your Mac" 等所有 Touch ID 相关功能均已打开。
问题:我每次锁屏(左上角苹果菜单 - Lock Screen, 快捷键 ctrl + command + Q )之后,都不能用 Touch ID 解锁,只能输入密码,密码框下方提示 Your password/PIN is required to enable Touch ID. 注:之前用了 YubiKey PIV ,所以插着 YubiKey 的时候这里需要输入 PIN ,没插的时候是要 password 。
这里最让我迷惑的是,如果我此时在系统设置 - Touch ID & Password 中,将 "Use Touch ID to unlock your Mac" 这个选项 关闭再打开,问题就消失了,锁屏就又可以用 Touch ID 了。这应该首先说明我的 Touch ID 硬件没问题,也大概没有什么软件或者系统设置硬性地 block 掉了 Touch ID 这个功能。 https://s2.loli.net/2023/12/09/bOneSuN3k1YFZmz.png
但是 3. 中的解决办法,电脑重启一次后就失效了。电脑重启后,又回到 2 的现象。注意不是仅仅开机第一次登入的时候需要密码,是 每次 锁屏后都要求输入密码。
1
mschultz OP 好像…… 有点儿破案了,大概是我没理解 YubiKey PIV 机制的锅
众所周知,macOS 第一次开机 Login 的时候是必须输入密码的,后续的锁屏就可以使用 Touch ID 解锁。所以这次输入密码可以认为起到了两个效果: 1. 登录用户,解锁屏幕,进入桌面 2. 激活后续的 Touch ID 功能 而如果设置了 YubiKey 的 PIV 功能(设置方法在 https://support.yubico.com/hc/en-us/articles/360016649059-Using-Your-YubiKey-as-a-Smart-Card-in-macOS 供参考),在插着 YubiKey 的情况下就可以用 YubiKey 的 PIN 代替输入 macOS 密码,用于 Login 或者 unlock screen 。但是这里使用 YubiKey PIV login 时,仅仅是登入或解锁,却无法起到上述的第 2. 条效果 -- 激活 Touch ID 。 我由于平时几乎一直插着 YubiKey ,所以好久没有输入过完整的 macOS 密码了,每次都用 PIV PIN 解锁,所以始终都没能激活 Touch ID 。解决方法是,拔掉 YubiKey ,完整输入一次 macOS 的本地密码,下次就可以用 Touch ID 了。 |
2
imnpc 2023-12-09 17:31:06 +08:00
YubiKey 使用建议我记得是有需要的时候才建议插上吧
|
3
mschultz OP @imnpc #2 感觉非常注重安全的时候确实可以考虑这么做。
但是我感觉太麻烦了,平时登录网站 2FA 或者 git 签名之类的频繁插拔不方便。 另外,大部分操作都需要触摸确认或输入 PIN ,这应该避免了绝大多数「电脑中有恶意程序偷偷利用一直插着的 Key 做坏事」的风险。 |
4
alex66 2023-12-10 07:31:54 +08:00
我的 yubikey 也是用的时候才插上去的?
另外问问旧的 youbikey 的资料可以复制到新的 yubikey 上吗? |
5
mschultz OP |
6
luodan 2023-12-10 10:52:45 +08:00
感觉一直插着 yubikey 是大幅降低安全性。
|
7
mschultz OP @luodan #6 从应用方面讲,可以提示一下有什么具体的「大幅降低安全性」的例子吗?
我感觉个人常用的几个功能( FIDO2 2FA, Passkey ,GPG 签名)好像都需要输入 PIN 或者触摸确认,个人直观感觉好像一直插着并没有明显降低安全性(我能想到的降低安全性的可能,就是有什么木马程序在用户不知情的情况下操作了 一直插在电脑上的 YubiKey ;但是好像 YubiKey 的设计并不容易在用户不知情的情况下被操作) 注:我的情况是笔记本电脑,不是办公室台式机;平时基本上在家,不考虑其他人物理接触的风险。 |
8
luodan 2023-12-10 12:33:44 +08:00
@mschultz 因为一直插着就等于你的所有安全措施都限死在软件空间了,物理空间的安全性是 0 。这比你把所有密码都刷在你家墙上的安全性都还低。你要说从应用方面来讲,确实没有降低安全性。
|
9
mschultz OP @luodan #8 这样说的话,使用密码管理器(密码库一直在电脑里)也是把所有安全措施限死在软件空间了,所以使用密码管理器比把所有密码刷在墙上的安全性都还低。
说实话我没太 get 到这个比喻要表达的逻辑: - 是想表达只依赖软件空间安全措施的安全性太低(甚至低于把密码刷墙上这种看上去荒谬的做法,所以结论是仅依赖软件空间的安全措施很不靠谱); - 还是想说其实在保证现实中房子无外人物理侵入的情况下,把密码刷墙上的安全性已经很高,甚至高过所有安装在电脑里的密码管理器?所以结论是证明把密码刷墙上其实也靠谱? 但不管怎么说,从实用角度,很多人还是选择密码管理器这种方案的。 ---- 虽然我现在已经不长期插着 YubiKey 了(#5 ),但还是比较好奇有没有比较 solid 的证据证明一直插着的不安全性。 我个人理解:使用 YubiKey 即使不长期插着,至少用的时候还是要插的,无法避免与电脑之间的信息交换,有一部分安全性还是依赖 YubiKey 本身的固件设计的(比如 key 内的密钥不可 copy 出来之类的),长时间插着无非就是增加了与电脑接触的时长,属于量变不是质变; 其安全性仍然不如密码刷墙上这种,仅靠光学信息 -> 人脑处理 -> 控制肌肉打字 这种数据传输方式。 |