@luodan #8 这样说的话，使用密码管理器（密码库一直在电脑里）也是把所有安全措施限死在软件空间了，所以使用密码管理器比把所有密码刷在墙上的安全性都还低。

说实话我没太 get 到这个比喻要表达的逻辑：
- 是想表达只依赖软件空间安全措施的安全性太低（甚至低于把密码刷墙上这种看上去荒谬的做法，所以结论是仅依赖软件空间的安全措施很不靠谱）；
- 还是想说其实在保证现实中房子无外人物理侵入的情况下，把密码刷墙上的安全性已经很高，甚至高过所有安装在电脑里的密码管理器？所以结论是证明把密码刷墙上其实也靠谱？

但不管怎么说，从实用角度，很多人还是选择密码管理器这种方案的。

----
虽然我现在已经不长期插着 YubiKey 了（#5 ），但还是比较好奇有没有比较 solid 的证据证明一直插着的不安全性。

我个人理解：使用 YubiKey 即使不长期插着，至少用的时候还是要插的，无法避免与电脑之间的信息交换，有一部分安全性还是依赖 YubiKey 本身的固件设计的（比如 key 内的密钥不可 copy 出来之类的），长时间插着无非就是增加了与电脑接触的时长，属于量变不是质变；
其安全性仍然不如密码刷墙上这种，仅靠光学信息 -> 人脑处理 -> 控制肌肉打字 这种数据传输方式。

试试 Google 图片搜索？你举例的这两个卡应该都能搜到比较高清的，
比如： https://www.yxss.com/news/7478.html
https://img.yxss.com/m00/ac/ed/4515f1db0c56f0d2906d9f5eb19c30fd.png

但忍不住歪个楼：
- 如果你很喜欢自己那张实体卡，或者说作物品归档信息登记之用，那建议实拍；
- 如果你不在乎是否实体卡，只是想经常把高清卡面拿出来欣赏一番，那手机 Apple Pay 就可以。

我也有一个管理自己贵重物品的电子表格，但是里面纯文字无图片。基本就是物品名称，分类，存放地点，购入日期/价格，备注等等。银行卡就是「招商银行尾号 xxxx 信用卡 - 银联 - YOUNG 」, ... 这样。仅供参考

我个人这样已经够了，因为大部分银行卡实体卡是收藏起来吃灰八百年不拿出来的，记住自己放哪了就行了哈哈🤣。

@luodan #6 从应用方面讲，可以提示一下有什么具体的「大幅降低安全性」的例子吗？

我感觉个人常用的几个功能（ FIDO2 2FA, Passkey ，GPG 签名）好像都需要输入 PIN 或者触摸确认，个人直观感觉好像一直插着并没有明显降低安全性（我能想到的降低安全性的可能，就是有什么木马程序在用户不知情的情况下操作了 一直插在电脑上的 YubiKey ；但是好像 YubiKey 的设计并不容易在用户不知情的情况下被操作）

注：我的情况是笔记本电脑，不是办公室台式机；平时基本上在家，不考虑其他人物理接触的风险。

Quantumult X 默认应该是 Tunnel Mode ，你可以把 .gitconfig 中的代理设置删掉

@imnpc #2 昨天想了想，现在很多网站支持 Passkey 了（不支持 Passkey 的那些网站“大概率”也不支持用 YubiKey 硬件密钥做 2FA ），YubiKey 用得越来越少了，我也决定平时不长期插着了🤣

@alex66 #4 YubiKey 里大部分资料是被设计为可写不可读的，（不考虑严重漏洞的情况下）理论上无法把 YubiKey 里保存的密钥复制出来。
一般来说，如果要“备份” YubiKey ，一般是把这个两个 YubiKey 用同样的方法设置一遍。比如说作为 2FA ，就在网站上把两个 YubiKey 都设置为 2FA 设备。

@imnpc #2 感觉非常注重安全的时候确实可以考虑这么做。

但是我感觉太麻烦了，平时登录网站 2FA 或者 git 签名之类的频繁插拔不方便。
另外，大部分操作都需要触摸确认或输入 PIN ，这应该避免了绝大多数「电脑中有恶意程序偷偷利用一直插着的 Key 做坏事」的风险。

好像…… 有点儿破案了，大概是我没理解 YubiKey PIV 机制的锅

众所周知，macOS 第一次开机 Login 的时候是必须输入密码的，后续的锁屏就可以使用 Touch ID 解锁。所以这次输入密码可以认为起到了两个效果：

1. 登录用户，解锁屏幕，进入桌面
2. 激活后续的 Touch ID 功能

而如果设置了 YubiKey 的 PIV 功能（设置方法在 https://support.yubico.com/hc/en-us/articles/360016649059-Using-Your-YubiKey-as-a-Smart-Card-in-macOS 供参考），在插着 YubiKey 的情况下就可以用 YubiKey 的 PIN 代替输入 macOS 密码，用于 Login 或者 unlock screen 。但是这里使用 YubiKey PIV login 时，仅仅是登入或解锁，却无法起到上述的第 2. 条效果 -- 激活 Touch ID 。

我由于平时几乎一直插着 YubiKey ，所以好久没有输入过完整的 macOS 密码了，每次都用 PIV PIN 解锁，所以始终都没能激活 Touch ID 。解决方法是，拔掉 YubiKey ，完整输入一次 macOS 的本地密码，下次就可以用 Touch ID 了。

@mschultz #3

但根据你的描述，你回家后用 Google Authenticator 和 Microsoft Authenticator 都扫描了新的 QR Code ，也就是说此时（如果点了确认的话）两个 App 中保存的都是密钥 B ，也就是最新生效的密钥，所以不应该有问题。所以你无法登入的情况就很奇怪了。

话说你回家后在 GitHub 设置中第二次扫码之后输入 6 位数字点确认了么？

那个二维码（ TOTP secret ）只会显示一次。所以如果你想在多个 Authenticators 里保存这个密钥，那么就必须用多个 Authenticators （你的情况是 Microsoft Authenticator 和 Google Authenticator ）扫描 **同一个** QR Code 。你也可以截图这个 QR Code 之后扫描（当然，需自行保证截图的安全）。

如果你在公司先设置好了 Microsoft Authenticator 之后点了确认（此时 Microsoft Authenticator 中保存了密钥，我们记为 A ）；
之后回家又在 GitHub 的设置页面 **再次** 试图设置 2FA ，GitHub 又显示了一个 QR Code ，这次你用 Google Authenticator 扫描了（记为 B ），如果你此时点了确认，那么密钥 A 即失效。

参考文档：

https://docs.github.com/en/authentication/securing-your-account-with-two-factor-authentication-2fa/configuring-two-factor-authentication

> To configure authentication via TOTP on multiple devices, during setup, scan the QR code using each device at the same time or save the "setup key", which is the TOTP secret. If 2FA is already enabled and you want to add another device, you must re-configure your TOTP app from your security settings.

@mschultz #5 如果你是嫌美卡在国内漫游太贵，想找个在国内漫游相对便宜又支持 eSIM 的平替（不要求 +86 ），这个话题站内应该有不少讨论了，可以搜一下。#4 楼说的 3HK DIY 也是一个选项。

不知道你要找的是啥的平替，手机卡，还是手机？

手机卡的话，如果你要的是同时满足「 1.不换手机 2.要用+86 卡」，我能想到的就是移动无忧行之类的，可以用 App 接打电话。https://www.jegotrip.cn

@kiwi95 #25 你可能使用环境/负载/运气比较好。我之前一台 Mac 用了 6 年电池鼓包（当然这也算耐用了），换了下一台 Mac 1 年电池鼓包（这就很离谱了）。

「 iCloud 高级数据保护」和「使用物理密钥（ Physical security keys ）」二者没有必然的相互依赖关系，所以 OP 的第 2 条担忧不存在。如其它人所说，恢复密钥就是一串字符。

Wikipedia:

时区通常都用字母缩写形式来表示，例如“EST 、WST 、CST”等。但是它们并不是 ISO 8601 标准的一部分，不应单独用它们作为时区的标识。一些缩写可能意义模糊，例如“BST”应当是英国夏令时，但在 1968 年到 1971 年间被重命名为“英国标准时”，这只是因为立法者不愿称其为中欧时间。在该法案中还确认英国的标准时间仍然为格林威治标准时。

Ref: https://zh.wikipedia.org/wiki/时区

这不就是复制 SIM 卡么，正规厂商肯定是不会开放这种功能的。

其次，就算假设设备侧复制卡的技术问题都解决了，即真的有邪恶厂商搞出了两个一模一样的 eSIM ，它俩也没办法同时在线。可以 Google 「复制 SIM 卡」

@Ga2en #8 原来这个还跟 Apple ID 注册时间有关吗？我确实不知道这个。
一直以为是银行方面的限制。

@Ga2en #3 目前还不是这样；我至少前一两个月内还仅凭 Apple Wallet App + 短信验证码成功绑定过招行的卡。

但不排除未来各大银行都加强安保，强制要求在银行 App 中激活 Apple Pay 卡，不能仅凭短信验证码。现在香港的银行很多都是这样了。

@Keyblade #48 看原帖，楼主已经向人工客服申请过了。不是申请价保的方式问题，是因为这个商品现在贴上了「百亿补贴」的标签，「补贴」在京东角度来说不算降价，产生的价差会被拒绝价保（这个在价保的条款里也写了）。下新订单、找人工客服都是一样拒的。

所以只能看看 12315 怎么说了。

@s642153378 #34 (大件 && 百亿补贴 && 自营) 不少啊，一些大家电都是。