Yubikey身份验证器

灰羽利亞

开篇：
这是一个安全设备，他类似于银行的U盾，但比U盾使用简单、通用，能代替密码、手机短信验证码、邮箱验证码，让你在网络上登录账号变得更加安全，手机能刷nfc使用，电脑能插usb使用。

1、本贴可能让你产生伪需求，诱导你多花700rmb。
2、本贴不是商业推广，并且这产品卖的少、价格高。
3、在不熟的情况下依葫芦画瓢，使用这个设备可能让你丢失一堆账号。
4、本帖尽量少说专业词汇，能怎么口语就怎么口语，流程解释也不一定正确，能说明问题就行。
5、别说我一图流啊，我这确实是原创分享，并且这东西没啥好拍的，我看网上没有通俗的解释这东西，才想写一篇分享。


从实用角度出发的通俗功能解释：
功能1：电脑插上usb，手机贴一下nfc，验证。由于黑客没法盗走你的物理设备，能盗走你的物理设备的人通常不关注你的账号，所以是一种保护账号的有效方式。这也是这东西的主要用途。
功能2：类似网易将军令、谷歌Authenticator 的6位数随机验证码，假如你的手机也被木马入侵了，谷歌的那个验证码有可能被一锅端，而这个设备的验证码密钥都在这东西内部存储，每次显示验证码都需要nfc、usb刷一下才能获取。
功能3：模拟键盘自动输入一串数字，用途很少，不过可以让你在输入密码时被别人看到也不慌，举例：
你的密码是“lunzishijilao_duiduidui”
你可以在家将这个设备插入电脑，在这设备里设置自动输入字符“duiduidui”。（设置一次就行，设置好后，换其他电脑插上、摸一下，也能正常自动输入这串字符）
当你在公司、网吧、大街上输入密码时（自己的电脑、别人的电脑都行），手动在键盘输入“lunzishijilao_”，然后将这设备插上电脑摸一下这个设备，就会自动接着输入“duiduidui”，此时你的密码“lunzishijilao_duiduidui”就输入完成了，这样哪怕别人看到了你在键盘上输入的部分，也不知道你的全部密码。
功能4：虚拟智能卡，能存私钥、证书，存进去的私钥无法导出。等你需要关注这个时，也不用看这贴了，是“更高端的用法”。

他的作用：
1、一部分作用是排除密码、手机号、邮箱验证登录，密码只要被人猜到、看到、木马获取到就能登录你的账号；邮箱信息可能被拦截，导致获取不到验证码，邮箱可能被破解密码导致绑定邮箱的一堆账号丢失，手机号极少情况被拦截（比如运营商级别的灰色交易）。
2、防钓鱼，肉眼看到钓鱼网站没识别出来，输入了用户名密码，账号就没了，但这东西的“功能1”没法钓鱼。

这东西的通用性：
win、iOS、安卓、macOS、常见Linux，Chrome、EDGE、火狐、Safari这一两年的版本都已支持。


哪些迹象表明这东西开始流行了：
1、ios16.3开始支持了，详情请搜索“iCloud 安全密钥”。

2、windows11远程桌面开始支持，详情请打开windows自带的远程桌面，点击“显示选项”，再点击“本地资源”，再点击“详细信息”，能看到“WebAuthn(Windows Hello 或安全密钥)”选项。

3、各大平台在线账号这几年开始支持这东西的，微软、苹果、google、adobe、nVidia等等等。。。
google：


微软（微软在搞无密码账户，因为密码太不安全了，现在有足够多、安全的手段将密码这东西废除）：


群晖NAS：


Godaddy（国外买域名的平台）：



这东西在国内的问题：
国内平台几乎都不用，还是只能短信、邮箱验证码，很多平台还搞了刷脸，少数技术类平台可以用。短信、邮箱、刷脸都能做成用户画像、搞隐私追踪。


每个平台对这个东西的定义有区别：
一部分平台是附加验证，万一这个东西掉了，也能通过其他方式登录账号，这东西是个便捷、防止其他登录方式泄漏的手段。
一部分平台是将他视为主要且唯一验证，必须用它，万一这东西掉了就永远无法登录账号，这类平台通常要求最少用两个设备绑定，一个常用，一个备份，比如iCloud账号。


这东西的版本区别：
常见的是Yubico品牌的Yubikey，本帖展示的就是，外观、物理接口有好几种，有带nfc的、不带nfc的，有A口的、有C口的，主要是内在区别，分“ Yubikey”和“ Yubikey 5”，“ Yubikey”只有上面说的“功能1”，价格也比较便宜，30美元，200多rmb；“ Yubikey 5”有上面说的全部功能，价格较贵，50美元，400～500rmb；还有带指纹识别的更贵。
Google也出了自己品牌的安全密钥，我没买，价格一两百。
国内也有厂家出，但不确定兼容性，按道理说兼容的，因为遵循FIDO规范、WebAuthn规范就行，这是一个通用规范。



当你有什么需求时，这是你唯一、最佳的选择，无法替代：
1、iCloud账号有多个，但你的apple设备不多，账号经常要切换时，如果你不使用这个，每次切换账号都要用手机短信、邮箱验证(因为你的设备不多，无法用已登录设备做双重验证)，并且由于不能使用同一个邮箱，你将会频繁的切换手机号、切换登录的邮箱，很麻烦，如果都绑定了这东西，每次切换iCloud账号时刷一下nfc、插usb就行。
2、某些平台要求绑定物理密钥，比如各种XX币平台，这几乎是唯一且最安全有效的防盗方式。

这东西被别有用心的人偷、抢去了怎么办？
1、用另一个验证器或者其他方式登录你的账号，挂失丢掉的验证器。
2、这东西也可以设置密码，在插入USB、刷NFC时可以需要输入密码，才能做下一步验证。
3、被抢走之前将它掰断。

我把这东西插电脑上一直不动，黑客黑进了我的电脑，会远程使用这东西登录我所有的账号吗？
不会，因为用的时候要物理上摸一下这东西，第一张图设备中间的金属圆圈就是给人摸的，不物理上摸一下，这东西不会参与验证，除非你家猫、狗正好在黑客远程你的电脑登录时用爪子摸了一下金属圆圈。
NFC的话，只要你不倒霉到同时集成以下情况“你的手机正好压到验证器了，能触发NFC，并且你的手机此时还被黑了，并且黑客还知道你的触发密码”，就不会有问题。

缺点：
1、ipad没nfc，得搞个usb转换头，或者用c口ipad，
2、掉了就麻烦了，虽然各平台都想到了你会掉这东西，但要用这东西最好搞个小本子记录一下自己绑了哪些账号。
3、老设备、系统不支持，有可能出现账号绑定这东西后，多年前的设备无法登录账号的情况，比如mac mini 2014版。


这设备你还需要知道的前提：
1、所有安全设备都必须当他有漏洞、后门，不要将所有安全寄托在这一个设备上。
2、如图：

Wolverine

这个挺有意思的小玩意儿啊

NeaRoNG

脑补一下碟中谍某一桥段

李一族

对对对～

看书爱笑

感觉密码有关的大部分是网站明文存，然后被拖库，然后撞库

guotao323

这个东西很有意思~

张家村老张

感谢分享！ （万一坏了是不是就麻烦了）

FOMOO

主要还是国外的网站吧，国内基本上没啥用，就是个玩具。

FOMOO

张家村老张 发表于 2023-9-4 17:36
感谢分享！ （万一坏了是不是就麻烦了）

这玩意大部分网站都要求两个一起才给用，所以就算一个坏了，还有一个备用的

gxhunter

去年推特被盗后，趁着有优惠活动马上海淘了4个


起码安心很多了