@luodan #6 从应用方面讲，可以提示一下有什么具体的「大幅降低安全性」的例子吗？

我感觉个人常用的几个功能（ FIDO2 2FA, Passkey ，GPG 签名）好像都需要输入 PIN 或者触摸确认，个人直观感觉好像一直插着并没有明显降低安全性（我能想到的降低安全性的可能，就是有什么木马程序在用户不知情的情况下操作了 一直插在电脑上的 YubiKey ；但是好像 YubiKey 的设计并不容易在用户不知情的情况下被操作）

注：我的情况是笔记本电脑，不是办公室台式机；平时基本上在家，不考虑其他人物理接触的风险。

Quantumult X 默认应该是 Tunnel Mode ，你可以把 .gitconfig 中的代理设置删掉

@imnpc #2 昨天想了想，现在很多网站支持 Passkey 了（不支持 Passkey 的那些网站“大概率”也不支持用 YubiKey 硬件密钥做 2FA ），YubiKey 用得越来越少了，我也决定平时不长期插着了🤣

@alex66 #4 YubiKey 里大部分资料是被设计为可写不可读的，（不考虑严重漏洞的情况下）理论上无法把 YubiKey 里保存的密钥复制出来。
一般来说，如果要“备份” YubiKey ，一般是把这个两个 YubiKey 用同样的方法设置一遍。比如说作为 2FA ，就在网站上把两个 YubiKey 都设置为 2FA 设备。

@imnpc #2 感觉非常注重安全的时候确实可以考虑这么做。

但是我感觉太麻烦了，平时登录网站 2FA 或者 git 签名之类的频繁插拔不方便。
另外，大部分操作都需要触摸确认或输入 PIN ，这应该避免了绝大多数「电脑中有恶意程序偷偷利用一直插着的 Key 做坏事」的风险。

好像…… 有点儿破案了，大概是我没理解 YubiKey PIV 机制的锅

众所周知，macOS 第一次开机 Login 的时候是必须输入密码的，后续的锁屏就可以使用 Touch ID 解锁。所以这次输入密码可以认为起到了两个效果：

1. 登录用户，解锁屏幕，进入桌面
2. 激活后续的 Touch ID 功能

而如果设置了 YubiKey 的 PIV 功能（设置方法在 https://support.yubico.com/hc/en-us/articles/360016649059-Using-Your-YubiKey-as-a-Smart-Card-in-macOS 供参考），在插着 YubiKey 的情况下就可以用 YubiKey 的 PIN 代替输入 macOS 密码，用于 Login 或者 unlock screen 。但是这里使用 YubiKey PIV login 时，仅仅是登入或解锁，却无法起到上述的第 2. 条效果 -- 激活 Touch ID 。

我由于平时几乎一直插着 YubiKey ，所以好久没有输入过完整的 macOS 密码了，每次都用 PIV PIN 解锁，所以始终都没能激活 Touch ID 。解决方法是，拔掉 YubiKey ，完整输入一次 macOS 的本地密码，下次就可以用 Touch ID 了。

@mschultz #3

但根据你的描述，你回家后用 Google Authenticator 和 Microsoft Authenticator 都扫描了新的 QR Code ，也就是说此时（如果点了确认的话）两个 App 中保存的都是密钥 B ，也就是最新生效的密钥，所以不应该有问题。所以你无法登入的情况就很奇怪了。

话说你回家后在 GitHub 设置中第二次扫码之后输入 6 位数字点确认了么？

那个二维码（ TOTP secret ）只会显示一次。所以如果你想在多个 Authenticators 里保存这个密钥，那么就必须用多个 Authenticators （你的情况是 Microsoft Authenticator 和 Google Authenticator ）扫描 **同一个** QR Code 。你也可以截图这个 QR Code 之后扫描（当然，需自行保证截图的安全）。

如果你在公司先设置好了 Microsoft Authenticator 之后点了确认（此时 Microsoft Authenticator 中保存了密钥，我们记为 A ）；
之后回家又在 GitHub 的设置页面 **再次** 试图设置 2FA ，GitHub 又显示了一个 QR Code ，这次你用 Google Authenticator 扫描了（记为 B ），如果你此时点了确认，那么密钥 A 即失效。

参考文档：

https://docs.github.com/en/authentication/securing-your-account-with-two-factor-authentication-2fa/configuring-two-factor-authentication

> To configure authentication via TOTP on multiple devices, during setup, scan the QR code using each device at the same time or save the "setup key", which is the TOTP secret. If 2FA is already enabled and you want to add another device, you must re-configure your TOTP app from your security settings.

@mschultz #5 如果你是嫌美卡在国内漫游太贵，想找个在国内漫游相对便宜又支持 eSIM 的平替（不要求 +86 ），这个话题站内应该有不少讨论了，可以搜一下。#4 楼说的 3HK DIY 也是一个选项。

不知道你要找的是啥的平替，手机卡，还是手机？

手机卡的话，如果你要的是同时满足「 1.不换手机 2.要用+86 卡」，我能想到的就是移动无忧行之类的，可以用 App 接打电话。https://www.jegotrip.cn

@kiwi95 #25 你可能使用环境/负载/运气比较好。我之前一台 Mac 用了 6 年电池鼓包（当然这也算耐用了），换了下一台 Mac 1 年电池鼓包（这就很离谱了）。

「 iCloud 高级数据保护」和「使用物理密钥（ Physical security keys ）」二者没有必然的相互依赖关系，所以 OP 的第 2 条担忧不存在。如其它人所说，恢复密钥就是一串字符。

Wikipedia:

时区通常都用字母缩写形式来表示，例如“EST 、WST 、CST”等。但是它们并不是 ISO 8601 标准的一部分，不应单独用它们作为时区的标识。一些缩写可能意义模糊，例如“BST”应当是英国夏令时，但在 1968 年到 1971 年间被重命名为“英国标准时”，这只是因为立法者不愿称其为中欧时间。在该法案中还确认英国的标准时间仍然为格林威治标准时。

Ref: https://zh.wikipedia.org/wiki/时区

这不就是复制 SIM 卡么，正规厂商肯定是不会开放这种功能的。

其次，就算假设设备侧复制卡的技术问题都解决了，即真的有邪恶厂商搞出了两个一模一样的 eSIM ，它俩也没办法同时在线。可以 Google 「复制 SIM 卡」

@Ga2en #8 原来这个还跟 Apple ID 注册时间有关吗？我确实不知道这个。
一直以为是银行方面的限制。

@Ga2en #3 目前还不是这样；我至少前一两个月内还仅凭 Apple Wallet App + 短信验证码成功绑定过招行的卡。

但不排除未来各大银行都加强安保，强制要求在银行 App 中激活 Apple Pay 卡，不能仅凭短信验证码。现在香港的银行很多都是这样了。

@Keyblade #48 看原帖，楼主已经向人工客服申请过了。不是申请价保的方式问题，是因为这个商品现在贴上了「百亿补贴」的标签，「补贴」在京东角度来说不算降价，产生的价差会被拒绝价保（这个在价保的条款里也写了）。下新订单、找人工客服都是一样拒的。

所以只能看看 12315 怎么说了。

@s642153378 #34 (大件 && 百亿补贴 && 自营) 不少啊，一些大家电都是。

@skvi #30

1. 我一般是 Ctrl/Command + Shift + L 快捷键填充。大部分网站的用户名密码输入框是可以正确识别的。如果同一个网站存了多个项目，可能就要填写一下了。

3. 很多人自己部署的是开源 API 实现 https://github.com/dani-garcia/vaultwarden ，不是官方服务端。这个 Vaultwarden 实现了很多 Premium 的 API 。

@PrinceofInj #6 这种下比价订单申请保价的方式我以前也用过多次。但是最近，尤其是所谓「双十一」这类购物节的时候，还是想感慨一句各大电商的套路实在太厉害了。

====

坑不在于买百亿补贴的东西，而在于先买了非百亿补贴的东西，然后过两天它挂了个百亿补贴的标签再降价😂

（我们从消费者视角，并不关心你「百亿补贴」和平时商家降价的机制是不是一样，我只看到我的商品买了不久，到手价降了，而我的价保权利形同虚设，被绕过了）

====
没发货或者退货方便的话，退货重买当然是可以的。

但是今年京东所谓的「双十一」第一波预售活动其实是 10 月 23 日就开始了，那一波买的几个家电大件，当时个个写着「 30 天价保」。到今天再看，基本都被背刺了，降价一两百到四五百不等。
**其中有的**降价名头就是「百亿补贴」，申请价保都不好使。退货也很麻烦，物流成本很高。