开始使用 Yubikey

谢谢分享！

感谢分享！自己也在用但是现在支持的服务不多。

国内羡慕你们

之前 400 买了一个 5c nfc ，现在看血亏

@Yangfan1991 怎么这么贵？我淘宝上买的 225 https://tradearchive.taobao.com/trade/detail/trade_snap.htm?spm=0.0.0.0.KTBcc2&trade_id=1662979573232659954

我难道被套路了？

提示要保存的地方选择保存就大功告成了，有一点值得注意的是，之后本机的私钥就会没有了，需要自己注意备份。

// tip: 提示要保存的地方不保存，本地私钥就还在

摸一下芯片就自动输入密码这个，是指纹信息功能吗？还是说谁摸都可以？

@luckycat 谁摸都可以，YUBIKEY 就是个键盘，你按一下有输入

@Had 那这样离开电脑时候，还得先拔下来带走。感觉似乎并没有更安全。我也考虑过很多次，但一直没想通这个 key 到底解决了什么问题，似乎并没有比记一个 passcode 更安全。
TOTP 用带相关功能的密码管理器更方便，SSH 用加密的私钥也会比较安全。可能就是这个一键输入长密码会更方便了，但也明显更不安全了。

@luckycat 那可以选择 Yubikey bio ，这款有指纹识别，但没有 NFC 和 OpenPGP

那个优惠不是 4 个吗？你咋能买 10 个？

@luckycat #9 触摸输出静态密码只是其中一个小功能，默认设置是让你输出 OTP 一次性密码（需要服务端支持）
安全的范畴考虑，大概就是坏人都能碰到你的电脑了，也不存在安不安全了，不管是触摸还是指纹都是能被坏人获取的
我主用静态密码输出密码管理器的主密码，平常甚至都不记得主密码是什么
静态密码功能相对是个鸡肋但是很多人都在用的小功能

SSH\Git commit\bitlocker 等等都可以用 yubikey 内部不可导出的 key ，而不需要在电脑上保存 key

TOTP 是保存在 yubikey 内部的

@longxk 最开始是可以买十个，我的码就是，后来才改的。不过我只买了两个

拿到了码，不知道国内转运怎么办

@Veneris 我可以帮你转回来

120 买了 10 个 C ，但感觉没啥用，我觉得这个就跟 U 盾一样。但现在设备都有指纹器和面部识别了，感觉用那种技术更安全（ webauth ），而且 iOS16 开始还可以同步这个东西了

@slarker #15 要怎么操作，求帮忙

我看了一下我的还是一代

@luckycat #9 长按输出静态密码在我看来只是 YubiKey 的一个「边缘」的小功能，我也是用来输出密码管理器的主密码（但我的主密码不 [只] 是 YubiKey 那一串输出）

至于 TOTP ，虽然有一个 Yubico Authenticator 的确可以用 YubiKey 存储 secret key 然后展示 6 位数字那种验证码，但这也是「边缘」的应用；真正使用 YubiKey 进行两步验证的网站，大多是使用 WebAuthn ( https://webauthn.io/ ) 摸一下 YubiKey 完成 2FA ，而不是输入 6 位数字。

YubiKey 的硬件设计（若不考虑硬件 /固件漏洞）是只能写入密钥 (write only) 而无法读取。基本上如果需要进行什么敏感的操作（例如调用私钥进行签名认证等），大致是电脑把需要签名的消息发送给 YubiKey ，YubiKey 的芯片完成最重要的密码学操作然后把结果（如 Signed response ）发回电脑。整个过程，电脑是接触不到私钥的。

所以理论上即使你电脑中了木马，也不会导致私钥泄露，比带 Passphrase 的 SSH 私钥文件还安全一些的样子。

@SingeeKing aXNsYXJrZXI=

@mschultz Yubikey 的私钥不暴露的做法理论上来讲肯定是更安全的，不过那种场景很极端，大多数时候我们并不需要在不信任的设备上做敏感操作。也就是不需要那么强力的保护。所以我认为对大多数人来说，Yubikey 并不适合日常使用。Yubikey 适合的场景是那种当成钥匙一样，插进去摸一下就马上拔下来收起来的场合。如果日常总是插在电脑上，那真的有点不安全了。

坐标一致，但是我选的平邮。。还没发货。。

@slarker #15 @SingeeKing #17 老哥有多余的车位么 我想要两个 5c

无密码登录很好用，但是现在貌似只有微软支持

我买了两个 5C 寄到大阪，还没到。

活动还有吗

还在犹豫买还是不买。

@luckycat #21

我觉得 (1)密码管理器是辅助解决来自互联网另一端的威胁（ e.g., 黑客猜出你的简单密码），但有时候不能防范本机硬盘 /内存被 Malware 攻击后的风险 (2) YubiKey 等智能卡一定程度上可以防范来自电脑内部 Malware 的攻击，可以作为密码管理器之外的一个辅助。

但两者都没有特别针对**物理安全（即不怀好意的人可以接触到你的个人设备）**设计，实际上 YubiKey 很多操作要求你摸一下，重点就是通过硬件设计避免**电脑内部的恶意软件**擅自触发操作，而不是为了「分辨摸它的人的身份」。所以在这里讨论物理安全其实有点儿 out of scope 了。

但也不是完全没有物理安全，YubiKey 作为 SSH/GPG 智能卡大多数操作都是有 PIN 保护的；作为 U2F 设备虽然有时候不需要 PIN ，但用于 2FA 啊，2FA 的前提是已经正确输入用户名密码了啊。所以别人即使接触到你的 YubiKey 也做不了多大的坏事（设备防盗是另一个话题）。

https://www.reddit.com/r/yubikey/comments/i29k46/is_there_any_risk_in_leaving_yubikey_5c_nano/

====
我同意你说的一个观点就是大多数人不需要（或不认为）自己需要那么强的保护。但是我个人不认为 YubiKey 不适合日常使用或者用了更不方便 /不安全之类的。有 Key 不会比没 Key 更坏，hhh

我也有 10 个的优惠码，但是运不回来

@mschultz
YubiKey 其实也有带指纹识别的版本。基本上指纹识别可以解决这个证明你是你的问题，基本上这就是 Windows Hello 或者苹果的 Secure Enclave 想达到的目的吧

@shiny 可以用中环转运试试，有个电子产品专线，不过我的还在等中邮海外购退货，具体能不能转运回来还未知

FB, google, twitter 都可以设置硬件 key 作为 2FA ，然后登陆输入密码后，还要手按一下 yubikey 才能登录，觉得根 U 盾很像

国内买的小伙伴记得去清关税

怎么托这个福？

还是不太懂，拿来干什么？

你买的是不是很早，我的现在还在准备订单，也是从瑞典发出的，到现在还没发货，你都已经拿到手了。

啊，原来你用的是 30$的快递，果然加钱万物可及。

@shiny 要搭车吗，我没码，但是可以转运过来，如果有意可以联系我 [email protected]

@Qtalks 大佬还有多余的 5c ，上个车。

想入手 5C 或 FIPS ，肉身在澳可代收，期在小

隔壁 hostloc 有人收惠券的

@shiny 这个码怎么弄的？之前没关注 Yubikey ，最近有家人回国，可带回。

@hoky cloudflare 里的，我已经找其他人帮忙带进来了

还有出的吗，想入手 1 个 5C 和 1 个 5