V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaobai332
V2EX  ›  软件

passkey 是否该存到密码管理器中?

  •  
  •   xiaobai332 · 207 天前 · 1862 次点击
    这是一个创建于 207 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前,我将密码和二步验证信息分开保存,以防止密码管理器泄露后能够直接登录到重要平台。然而像 GitHub 这样的平台在设置了 passkey 后,可以在新设备上通过 passkey 一键登录而无需二次验证。

    如果将 passkey 保存在密码管理器中,一旦密码管理器泄露,便可能导致直接访问这些平台,所以大佬们都是怎么保存 passkey 的


    密码管理器:vaultwarden 二次验证:2fas

    26 条回复    2024-11-25 02:00:04 +08:00
    cr3bit
        1
    cr3bit  
       207 天前 via Android   ❤️ 1
    基于巨硬开了 passkey 可以直接绕过密码登录,所以担心这个不如直接把 vw 锁内网访问之类
    forvvvv123
        2
    forvvvv123  
       207 天前   ❤️ 1
    应该,密码管理器算是比较好的方式了,设个专用复杂口令;

    除此之外就是写纸上找个安全的地方保管,比如家里保险柜;
    zx900930
        3
    zx900930  
       207 天前
    密码管理器也可以 2fa 的啊
    ysc3839
        4
    ysc3839  
       207 天前 via Android
    GitHub/Microsoft 的 passkey 不是要 Yubikey 等实体密钥的吗?
    xiaobai332
        5
    xiaobai332  
    OP
       207 天前 via Android
    @zx900930 对于一些比较重要的网站来说,不想把所有鸡蛋放一个篮子里
    @ysc3839 不是,可以用第三方的密码管理器,像 1password/bitwarden
    ysc3839
        6
    ysc3839  
       207 天前 via Android   ❤️ 1
    @xiaobai332 我觉得不应该存密码管理器里,我自己是用 Yubikey
    xiaobai332
        7
    xiaobai332  
    OP
       207 天前 via Android
    @ysc3839 主要是现在价格太贵了,也找不到什么平替
    chinni
        8
    chinni  
       207 天前 via Android
    @xiaobai332 我记得 B 站有个平替大概 80 块左右
    YsHaNg
        9
    YsHaNg  
       207 天前 via iPhone
    @ysc3839 不用 手机就行
    mangoDB
        10
    mangoDB  
       207 天前
    @chinni 是 CanoKey 吗?
    yujiang
        11
    yujiang  
       207 天前
    @chinni
    @mangoDB
    我买了,叫 mexdiy 。
    可以刷 open sk 固件也可以刷 canokey ,我用的是 open sk 的固件。
    主要看上他 c 公口+母口的设计还有便宜到离谱的价格(实付 58 )
    passkey 功能完美兼容,fido2 ( cf ,x ,Google )在电脑上设置成功后在手机上可用,不知道是手机的原因(澎湃系统,我没设置锁屏密码)还是什么别的原因,没有办法在手机上设置,但是用手机访问弹 2fa 后是可以点击认证的。
    硬件设计上存在一定的安全性问题,存在被侧信道攻击的可能,但是一般人其实无所谓,真出事了马桶冲走销毁就好,没有被这样搞的价值。
    chinni
        12
    chinni  
       207 天前
    @yujiang 这个应该可以用 gpg 的 ed25519 的 key 的吧? 然后 还能同时 fido2 么? 请问 如果可以我也买一个备用 已经有一个 yubi key nfc 了
    xiaobai332
        13
    xiaobai332  
    OP
       207 天前 via Android
    @yujiang 某宝没有搜到这个
    baobao1270
        14
    baobao1270  
       207 天前 via Android   ❤️ 1
    不应该
    两个个人观点:
    1. 2FA 应该和密码分开保存
    2. Passkey 应该基于硬件安全( TPM/FIDO2)
    yujiang
        15
    yujiang  
       206 天前
    @xiaobai332
    在 b 站工坊卖的,现在好像没货了。具体你可以到 b 站去问问
    @chinni
    这个我不确定,理论上 canokey 固件能做到的他也可以,可以选择刷 canokey 的固件,但我图省事用的 opensk
    xiaobai332
        16
    xiaobai332  
    OP
       206 天前 via Android
    @yujiang 是的,我也找到了,目前没货,后续不知道还出不出
    fydss
        17
    fydss  
       206 天前
    直接用 canokey 也行,100 多一个好像,目前就是用这个做 google 的 passkey
    yujiang
        18
    yujiang  
       206 天前 via Android
    @xiaobai332 帮你问了,作者说以后不做这个了。买别的吧。
    jocover
        19
    jocover  
       180 天前   ❤️ 1
    jocover
        20
    jocover  
       180 天前
    @jocover 我的开源项目,淘宝花 10 元买个 esp32 s2 mini 就能当 passkey 用了,买 yubikey 实在太贵了
    xiaobai332
        21
    xiaobai332  
    OP
       180 天前 via Android
    @jocover 哈哈哈,很感谢大佬,前一段时间就是买了 s3mini 然后用这个库,使用起来非常完美(小小疑问:默认是不需要按物理按钮,就可以实现触摸 key 的功能吗)
    xiaobai332
        22
    xiaobai332  
    OP
       180 天前 via Android
    以及手机上需要什么特殊操作才能用吗?(使用 c2c 的线连上没反应)
    jocover
        23
    jocover  
       179 天前
    @xiaobai332 默认不需要按钮,配置里有个 BUTTON_ENABLE ,开启后需要按钮确认。
    具体文件在 main/Kconfig.projbuild 可以查看
    Lxmzfb43AC35PAkL
        24
    Lxmzfb43AC35PAkL  
       52 天前
    等一下.

    passkey 本身是 public key, private key pair. 他是把 private key 放到你机子中, 再用 biometrics e.g. fingerprint, face recog 保護.

    我自己是用 bitwarden.
    login 是
    username + master password + 2FA (totp OR yubikey OR recovery code)

    我有把 passkey 存到 bitwarden.

    因為如果有人要得到我的 bitwarden 再得到我的 passkey,
    tmd 他要有我的 UN + PWD + 2FA (totp OR yubikey OR recovery code).

    2FA (totp OR yubikey OR recovery code). 這個 跟 finger print, face recog 算是同級吧.

    所以我不太担心.
    Lxmzfb43AC35PAkL
        25
    Lxmzfb43AC35PAkL  
       52 天前
    但我是從一開始就知道 UN, PWD 和 totp 要分開.
    所以 UN, PWD 我是用 bitwarden.

    totp 我用 aegis.

    好處是兩都都支持 安卓上的 finger print unlock, 以及 encrypted export.
    xiaobai332
        26
    xiaobai332  
    OP
       28 天前 via Android
    后面还是购入了两枚 yubikey ,将 passkey 和 TOTP 存在 yubikey 里,密码还是放在 bitwarden 中
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2395 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 16:01 · PVG 00:01 · LAX 08:01 · JFK 11:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.