@
luckycat #21
我觉得 (1)密码管理器是辅助解决来自互联网另一端的威胁( e.g., 黑客猜出你的简单密码),但有时候不能防范本机硬盘 /内存被 Malware 攻击后的风险 (2) YubiKey 等智能卡一定程度上可以防范来自电脑内部 Malware 的攻击,可以作为密码管理器之外的一个辅助。
但两者都没有特别针对**物理安全(即不怀好意的人可以接触到你的个人设备)**设计,实际上 YubiKey 很多操作要求你摸一下,重点就是通过硬件设计避免**电脑内部的恶意软件**擅自触发操作,而不是为了「分辨摸它的人的身份」。所以在这里讨论物理安全其实有点儿 out of scope 了。
但也不是完全没有物理安全,YubiKey 作为 SSH/GPG 智能卡大多数操作都是有 PIN 保护的;作为 U2F 设备虽然有时候不需要 PIN ,但用于 2FA 啊,2FA 的前提是已经正确输入用户名密码了啊。所以别人即使接触到你的 YubiKey 也做不了多大的坏事(设备防盗是另一个话题)。
https://www.reddit.com/r/yubikey/comments/i29k46/is_there_any_risk_in_leaving_yubikey_5c_nano/====
我同意你说的一个观点就是大多数人不需要(或不认为)自己需要那么强的保护。但是我个人不认为 YubiKey 不适合日常使用或者用了更不方便 /不安全之类的。有 Key 不会比没 Key 更坏,hhh