之前,我将密码和二步验证信息分开保存,以防止密码管理器泄露后能够直接登录到重要平台。然而像 GitHub 这样的平台在设置了 passkey 后,可以在新设备上通过 passkey 一键登录而无需二次验证。
如果将 passkey 保存在密码管理器中,一旦密码管理器泄露,便可能导致直接访问这些平台,所以大佬们都是怎么保存 passkey 的
密码管理器:vaultwarden 二次验证:2fas
1
cr3bit 163 天前 via Android 1
基于巨硬开了 passkey 可以直接绕过密码登录,所以担心这个不如直接把 vw 锁内网访问之类
|
2
forvvvv123 163 天前 1
应该,密码管理器算是比较好的方式了,设个专用复杂口令;
除此之外就是写纸上找个安全的地方保管,比如家里保险柜; |
3
zx900930 163 天前
密码管理器也可以 2fa 的啊
|
4
ysc3839 163 天前 via Android
GitHub/Microsoft 的 passkey 不是要 Yubikey 等实体密钥的吗?
|
5
xiaobai332 OP |
6
ysc3839 163 天前 via Android 1
@xiaobai332 我觉得不应该存密码管理器里,我自己是用 Yubikey
|
7
xiaobai332 OP @ysc3839 主要是现在价格太贵了,也找不到什么平替
|
8
chinni 163 天前 via Android
@xiaobai332 我记得 B 站有个平替大概 80 块左右
|
11
yujiang 163 天前
|
12
chinni 163 天前
@yujiang 这个应该可以用 gpg 的 ed25519 的 key 的吧? 然后 还能同时 fido2 么? 请问 如果可以我也买一个备用 已经有一个 yubi key nfc 了
|
13
xiaobai332 OP @yujiang 某宝没有搜到这个
|
14
baobao1270 163 天前 via Android 1
不应该
两个个人观点: 1. 2FA 应该和密码分开保存 2. Passkey 应该基于硬件安全( TPM/FIDO2) |
15
yujiang 162 天前
@xiaobai332
在 b 站工坊卖的,现在好像没货了。具体你可以到 b 站去问问 @chinni 这个我不确定,理论上 canokey 固件能做到的他也可以,可以选择刷 canokey 的固件,但我图省事用的 opensk |
16
xiaobai332 OP @yujiang 是的,我也找到了,目前没货,后续不知道还出不出
|
17
fydss 162 天前
直接用 canokey 也行,100 多一个好像,目前就是用这个做 google 的 passkey
|
18
yujiang 162 天前 via Android
@xiaobai332 帮你问了,作者说以后不做这个了。买别的吧。
|
19
jocover 136 天前 1
|
21
xiaobai332 OP @jocover 哈哈哈,很感谢大佬,前一段时间就是买了 s3mini 然后用这个库,使用起来非常完美(小小疑问:默认是不需要按物理按钮,就可以实现触摸 key 的功能吗)
|
22
xiaobai332 OP 以及手机上需要什么特殊操作才能用吗?(使用 c2c 的线连上没反应)
|
23
jocover 135 天前
@xiaobai332 默认不需要按钮,配置里有个 BUTTON_ENABLE ,开启后需要按钮确认。
具体文件在 main/Kconfig.projbuild 可以查看 |
24
Lxmzfb43AC35PAkL 8 天前
等一下.
passkey 本身是 public key, private key pair. 他是把 private key 放到你机子中, 再用 biometrics e.g. fingerprint, face recog 保護. 我自己是用 bitwarden. login 是 username + master password + 2FA (totp OR yubikey OR recovery code) 我有把 passkey 存到 bitwarden. 因為如果有人要得到我的 bitwarden 再得到我的 passkey, tmd 他要有我的 UN + PWD + 2FA (totp OR yubikey OR recovery code). 2FA (totp OR yubikey OR recovery code). 這個 跟 finger print, face recog 算是同級吧. 所以我不太担心. |
25
Lxmzfb43AC35PAkL 8 天前
但我是從一開始就知道 UN, PWD 和 totp 要分開.
所以 UN, PWD 我是用 bitwarden. totp 我用 aegis. 好處是兩都都支持 安卓上的 finger print unlock, 以及 encrypted export. |