Yubikey 安全密钥折腾记

使用的是 YubiKey 5 NFC

软件安装

YubiKey Manager

YubiKey Manager 是带GUI的Yubikey 管理器，可以管理 OTP、FIDO2和PIV。
还可以看到你的Yubikey 的详细信息，比如 固件版本和id，这里比较注意的是固件版本，某些版本的固件可能会有bug。

Yubico Authenticator 是用来生成和管理二次验证的密码，有安卓和苹果的App，支持通过NFC与Yubikey交互。

平时使用(TOTP)

是的，有没有看错，最平时使用的居然是TOTP。
通过下载 Yubico Authenticator，然后将平时使用的网站的TOTP密钥存储到Yubikey里，这样就不用担心密钥丢失然后无法登录了。
ps: Yubikey 也不能丢，最好买两个备用。

平时使用(SSH via FIDO)

通过 Yubikey 来管理SSH 密钥，在登录到服务器时需要插入并输入key的PID并触摸才能成功登录。否则就算天王老子来了也登录不了（dog）
ps: 需要在服务器上开启仅限密钥登录，否则就是白搭。
ps: 不止支持Linux服务器，任何支持使用SSH 密钥登录的都支持，比如Github

SSH via FIDO教程
以下操作必须插入 Yubikey 到你的电脑上
1.生成密钥

ssh-keygen -t ed25519-sk -O resident -O verify-required -C "your_email@example.com"

在这里会让你输入Yubikey的FIDO2 PID 并触摸

2.将公钥复制到服务器上并设置仅限通过密钥登录

略

3.之后使用ssh客户端登录即可，在登录时同样要输入Yubikey的FIDO2 PID 并触摸，之后就能登录到服务器了。

YubiKey的用途和功能实在太多了，比如PIV OTP 等等，功能也非常多样。
这里只列举一点点。

参考

Yubikey 安全密钥折腾记（2）：使用入门
Securing SSH Authentication with FIDO2 Security Keys
Securing SSH with the YubiKey
Set up your YubiKey