开始使用 Yubikey

谢谢分享！

感谢分享！自己也在用但是现在支持的服务不多。

国内羡慕你们

之前 400 买了一个 5c nfc ，现在看血亏

@Yangfan1991 怎么这么贵？我淘宝上买的 225 https://tradearchive.taobao.com/trade/detail/trade_snap.htm?spm=0.0.0.0.KTBcc2&trade_id=1662979573232659954

我难道被套路了？

提示要保存的地方选择保存就大功告成了，有一点值得注意的是，之后本机的私钥就会没有了，需要自己注意备份。

// tip: 提示要保存的地方不保存，本地私钥就还在

摸一下芯片就自动输入密码这个，是指纹信息功能吗？还是说谁摸都可以？

@luckycat 谁摸都可以，YUBIKEY 就是个键盘，你按一下有输入

@Had 那这样离开电脑时候，还得先拔下来带走。感觉似乎并没有更安全。我也考虑过很多次，但一直没想通这个 key 到底解决了什么问题，似乎并没有比记一个 passcode 更安全。
TOTP 用带相关功能的密码管理器更方便，SSH 用加密的私钥也会比较安全。可能就是这个一键输入长密码会更方便了，但也明显更不安全了。

@luckycat 那可以选择 Yubikey bio ，这款有指纹识别，但没有 NFC 和 OpenPGP

那个优惠不是 4 个吗？你咋能买 10 个？

@luckycat #9 触摸输出静态密码只是其中一个小功能，默认设置是让你输出 OTP 一次性密码（需要服务端支持）
安全的范畴考虑，大概就是坏人都能碰到你的电脑了，也不存在安不安全了，不管是触摸还是指纹都是能被坏人获取的
我主用静态密码输出密码管理器的主密码，平常甚至都不记得主密码是什么
静态密码功能相对是个鸡肋但是很多人都在用的小功能

SSH\Git commit\bitlocker 等等都可以用 yubikey 内部不可导出的 key ，而不需要在电脑上保存 key

TOTP 是保存在 yubikey 内部的

@longxk 最开始是可以买十个，我的码就是，后来才改的。不过我只买了两个

拿到了码，不知道国内转运怎么办😂

@Veneris 我可以帮你转回来

120 买了 10 个 C ，但感觉没啥用，我觉得这个就跟 U 盾一样。但现在设备都有指纹器和面部识别了，感觉用那种技术更安全（ webauth ），而且 iOS16 开始还可以同步这个东西了

@slarker #15 要怎么操作，求帮忙

我看了一下我的还是一代

@luckycat #9 长按输出静态密码在我看来只是 YubiKey 的一个「边缘」的小功能，我也是用来输出密码管理器的主密码（但我的主密码不 [只] 是 YubiKey 那一串输出）

至于 TOTP ，虽然有一个 Yubico Authenticator 的确可以用 YubiKey 存储 secret key 然后展示 6 位数字那种验证码，但这也是「边缘」的应用；真正使用 YubiKey 进行两步验证的网站，大多是使用 WebAuthn ( https://webauthn.io/ ) 摸一下 YubiKey 完成 2FA ，而不是输入 6 位数字。

YubiKey 的硬件设计（若不考虑硬件 /固件漏洞）是只能写入密钥 (write only) 而无法读取。基本上如果需要进行什么敏感的操作（例如调用私钥进行签名认证等），大致是电脑把需要签名的消息发送给 YubiKey ，YubiKey 的芯片完成最重要的密码学操作然后把结果（如 Signed response ）发回电脑。整个过程，电脑是接触不到私钥的。

所以理论上即使你电脑中了木马，也不会导致私钥泄露，比带 Passphrase 的 SSH 私钥文件还安全一些的样子。

@SingeeKing aXNsYXJrZXI=