passkey 是否该存到密码管理器中？

基于巨硬开了 passkey 可以直接绕过密码登录，所以担心这个不如直接把 vw 锁内网访问之类

应该，密码管理器算是比较好的方式了，设个专用复杂口令；

除此之外就是写纸上找个安全的地方保管，比如家里保险柜；

密码管理器也可以 2fa 的啊

GitHub/Microsoft 的 passkey 不是要 Yubikey 等实体密钥的吗？

@zx900930 对于一些比较重要的网站来说，不想把所有鸡蛋放一个篮子里
@ysc3839 不是，可以用第三方的密码管理器，像 1password/bitwarden

@xiaobai332 我觉得不应该存密码管理器里，我自己是用 Yubikey

@ysc3839 主要是现在价格太贵了，也找不到什么平替

@xiaobai332 我记得 B 站有个平替大概 80 块左右

@ysc3839 不用 手机就行

@chinni 是 CanoKey 吗？

@chinni
@mangoDB
我买了，叫 mexdiy 。
可以刷 open sk 固件也可以刷 canokey ，我用的是 open sk 的固件。
主要看上他 c 公口+母口的设计还有便宜到离谱的价格（实付 58 ）
passkey 功能完美兼容，fido2 （ cf ，x ，Google ）在电脑上设置成功后在手机上可用，不知道是手机的原因（澎湃系统，我没设置锁屏密码）还是什么别的原因，没有办法在手机上设置，但是用手机访问弹 2fa 后是可以点击认证的。
硬件设计上存在一定的安全性问题，存在被侧信道攻击的可能，但是一般人其实无所谓，真出事了马桶冲走销毁就好，没有被这样搞的价值。

@yujiang 这个应该可以用 gpg 的 ed25519 的 key 的吧? 然后 还能同时 fido2 么? 请问 如果可以我也买一个备用 已经有一个 yubi key nfc 了

@yujiang 某宝没有搜到这个

不应该
两个个人观点：
1. 2FA 应该和密码分开保存
2. Passkey 应该基于硬件安全（ TPM/FIDO2)

@xiaobai332
在 b 站工坊卖的，现在好像没货了。具体你可以到 b 站去问问
@chinni
这个我不确定，理论上 canokey 固件能做到的他也可以，可以选择刷 canokey 的固件，但我图省事用的 opensk

@yujiang 是的，我也找到了，目前没货，后续不知道还出不出

直接用 canokey 也行，100 多一个好像，目前就是用这个做 google 的 passkey

@xiaobai332 帮你问了，作者说以后不做这个了。买别的吧。

@jocover 我的开源项目，淘宝花 10 元买个 esp32 s2 mini 就能当 passkey 用了，买 yubikey 实在太贵了

@jocover 哈哈哈，很感谢大佬，前一段时间就是买了 s3mini 然后用这个库，使用起来非常完美（小小疑问：默认是不需要按物理按钮，就可以实现触摸 key 的功能吗）

以及手机上需要什么特殊操作才能用吗？（使用 c2c 的线连上没反应）

@xiaobai332 默认不需要按钮，配置里有个 BUTTON_ENABLE ，开启后需要按钮确认。
具体文件在 main/Kconfig.projbuild 可以查看

等一下.

passkey 本身是 public key, private key pair. 他是把 private key 放到你机子中, 再用 biometrics e.g. fingerprint, face recog 保.

我自己是用 bitwarden.
login 是
username + master password + 2FA (totp OR yubikey OR recovery code)

我有把 passkey 存到 bitwarden.

因如果有人要得到我的 bitwarden 再得到我的 passkey,
tmd 他要有我的 UN + PWD + 2FA (totp OR yubikey OR recovery code).

2FA (totp OR yubikey OR recovery code). 跟 finger print, face recog 算是同吧.

所以我不太担心.

但我是一始就知道 UN, PWD 和 totp 要分.
所以 UN, PWD 我是用 bitwarden.

totp 我用 aegis.

好是都都支持 安卓上的 finger print unlock, 以及 encrypted export.

后面还是购入了两枚 yubikey ，将 passkey 和 TOTP 存在 yubikey 里，密码还是放在 bitwarden 中