分享一下USB security key e.g. yubico/onlykey



Hi.

最近研究完yubico key 之類, 想分享下.

        1. 大致2類.
        A. 二百蚊以下一般只有 FIDO2 o個類 2FA 功能.
        e.g. yubico security key, google titan, solo, 某d nitrokey, 反正二百以下係咁.
        呢類主要可取代SMS 2FA, 因為 SMS 2FA完全由電信公司話事.
        B. 三百蚊以上, 有(A)的功能+其他, 主要得番 yubico series 5 同 onlykey
        Yubico close source, onlykey firmware opensource, 但hardware 比人話無schematic, 所以不如信yubico仲好.
        呢類有4 大功能.
        B1. FIDO2 如上
        B2. win10 login
        B3. store PGP private key, 用PGP 更方便但我估無香港人用
        B4. one time password OTP/challenge-response CR呢個特別野.
        呢個似FIDO/2FA local 版. e.g. keepass(XC) 比你可以用多 factor: password, keyfile and/or security key 的 OTP/challenge-response
        B5. 無乜用的static password 功能. (onlykey 會有用d)
       
        買1條先都得. 因為FIDO 2FA你一般仲有 push notify 同 authn app+recovery code 做後備, 無左條key 都ok.
        Win10 login, OTP/CR 都分別有 recovery code 同 "secret" 比你keep 起.
        PGP private key 本身預你另外generate 左, 先copy 入去用, 你自己己有backup.
       
        不過如果玩耐左, 我都會買多條.
        同埋打算 2條key, 唔埋air gap 定唔air gap, 照share 黎用.
        因為4條太貴.
       
        Ps: onlykey 話唔會出nfc, 暫時無usb-c. yubico 乜都有.