并非人人都需要一个 Yubikey

2022-01-25 06:49:03 +08:00
 HertzHz

唱反调大师,我来了。

原文地址

投了个程序员节点,实在不知道我这种文章投在哪,买 Yubikey 这类设备的应该都和技术沾点关系吧,就先放这里了。管理看到若不合适就移动吧。

7210 次点击
所在节点    YubiKey
14 条回复
jackmod
2022-01-25 07:24:31 +08:00
与内容无关:
换行是 <br> 或 <br/>,或许写生成器时笔误了?
另外 lang 标签还是需要的。在英文 windows 里浏览器会默认使用日文字体。
HertzHz
2022-01-25 07:27:24 +08:00
@jackmod 哈哈,我的前端水平就这样了,随便写写,br h2 之类的标签都是我写文章的时候自己一个个手动加的,我对前端没什么概念。
感谢指正,等下修一下。
dingwen07
2022-01-25 07:31:37 +08:00
电脑被入侵导致密码管理器泄漏的话,2FA 有什么用啊,直接悄咪咪把你浏览器的 cookies 拿走好了。

其它的,我现在有多个 YubiKey ,GPG 密钥等用 EFS 加密(密钥存放在某台电脑上,恢复密钥设置为 YubiKey PIV )放在一个 U 盘里,也会用 GPG 加密放在各种地方。随身携带的 YubiKey 有 AirTag 。

全部丢失的概率感觉不大。其实个人认为大多数人用 2 个 YubiKey 分开保存已经能确保绝大多数情况下不丢了,这个时候就可以用 YubiKey 里的 GPG 或 PIV 密钥来加密 GPG 密钥的备份了。

借楼问一下,CanoKey 国外有什么购买渠道吗?
admin601
2022-01-25 08:23:12 +08:00
@dingwen07 canokey 好像是三月份会有一批货,群里有不少海外的,可以问问他们走的什么转运。
https://t.me/canokeys
kenvix
2022-01-25 08:53:18 +08:00
说到底是太贵啊(
nyaruko
2022-01-25 09:43:52 +08:00
持有 3 枚 Yubikey 并且几乎天天在用的路过

两枚是公司配发的,放着 Service Account 的 key ;另一枚存放着个人账号的 key

感觉就像楼主说的,没有绝对的安全,万一电脑被黑了呢,密码管理器出问题了呢,或者 Yubikey 本身就有硬件漏洞什么的

而且 YubiKey 确实存在很多平台的限制,公司的内部系统做了大量的工作,Yubikey 的使用非常方便,但个人的 key ,受制于网络上的各种平台,用起来相当麻烦

还有一个不爽的是,3 个 Yubikey 里两个外形一样,用的时候我还得先翻过来看看序列号确认下自己手上的 key 是哪个
lakehylia
2022-01-25 09:52:02 +08:00
Yubikey 。。。这名字,乍一看还以为是育碧公司的产品,我在想什么时候育碧的游戏需要 key 才能玩了。。。
powerman
2022-01-25 09:53:20 +08:00
所有的安全问题始终都是人,而不是技术
kxuanobj
2022-01-25 16:38:46 +08:00
"都需要用到 2FA 了,说明你的账号密码已经泄漏了" 非常不同意。

在公司电脑登录我的 gmail 帐号,HTTPS 是被深信服 MITM 攻击过的。不开启 2FA ,我的 github 帐号登录信息深信服都能拿到,而且长久使用。

我本人是不信任深信服,但又无法不在公司使用 Google 的服务,所以 2FA 变成了仅有的解决方案。
HertzHz
2022-01-25 19:54:04 +08:00
@kxuanobj 在这种极端的场景,密码管理器的 2FA 确实顶用,所以我说要基于具体场景具体分析,不要被网站虚假的提升安全性提示给骗了
wizardyhnr
2022-01-26 23:26:59 +08:00
确实大部分人都不需要,OTP 的功能手机上装个 authenticator 就完事了,玩 gpg 证书如果不是折腾云端备份的话也有点高射炮打蚊子的感觉。学习成本又高,一旦开始折腾就有点像套娃,用一个加密保护另一个加密的备份。用是很有用,就是研究多了容易有被害妄想症。有了 yubikey 是不是要看看 gpg ,看了 gpg 是不是要研究研究怎么备份密钥才讲究,既然说到备份是不是还得钻研钻研 bit rot.

备份都在 local 的话也不需要加密,最后自己忘了密码就搞笑了。
HertzHz
2022-01-27 00:35:09 +08:00
@wizardyhnr https://imgur.com/2wpJ0mF
对,这就是我的意思,这种东西研究多了真的会有被害妄想症,经常能看各种群里整天弄的安全措施离谱过头,还经常能看到各种把自己锁外面的用户,一个 gpg key 丢了换了还要满世界公布通知。我在文章里的表述比较委婉,“考虑自己自己的价值”,低情商版本就自行脑补吧。
HertzHz
2022-01-27 00:35:45 +08:00

图片没插入成功,再来一次(
Livid
2022-10-16 19:23:07 +08:00
这个主题现在已经被移动到 /go/yubikey

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/830384

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX