paypal 只支援到 2FA 而且不吃多重 auth app …
2FA 第二個選項一定走簡訊碼所以備用鑰匙塞不進去
（這可解但流程上感覺就是沒考量到 multi key）

@fresetio - 來聊聊帳號安全這檔事 Twitch遭駭客入侵，連原始碼都外洩 - iThome ... 因為這篇才想到對喔幾年前就有提過實體鑰，於是上個月興致勃勃的開始研究到現在還沒整好環境...

然後先說，實際上開始用後的心得。
我反而覺得大家保護好手機，務必開鎖（至少開 PIN 碼）然後能開 2FA 的服務都開好開滿就能滿足 60 分了。（然後盡量用驗證器會比簡訊再安全，一點點，吧）

twitch 是我第一個想大聲吐嘈的。
yubico 的支援有列到 twitch，結果我實際走一次發現他也是做 2FA auth app...（我以為列了至少來個 FIDO ) 不過我沒試能不能掃兩次塞備用鑰

記得 yubico 有文章教你先拍 QR code 再掃，可能用這招就都可以放進多把鑰匙裡

上述的比對組是 plurk，直接 QRcode 擺著愛掃幾次就掃幾次

win10 21H2 不使用 microsoft 帳號享受不到插鑰登入，不確定少了什麼，所以我只用最傳統的密碼登入。
介面上一堆東西都叫 PIN 碼也讓我很困擾

不少介紹會說密碼管理器可以用實體金鑰保護，但書是
1. 可能要收費才提供服務
2. 實作還是要有文字密碼，再配合 2FA 增加安全性

如果有人想買。雖然台灣的網拍站有人賣，但目前的匯率細算過還是貴了一點。（安全性也直接差轉手那一段）

而且實際要用，我認為還是要有足夠的英文跟計概知識，才不會拿到手不知如何發揮它的功能。

我沒查物理上它的承受能力，但應該不差不然一定有新聞 Kappa （物理破壞也是他們要處理的課題）

順帶一提 google 也有做這種實體金鑰
Google的實體安全金鑰Titan正式上市剛好我有看過 google 的金鑰會怎麼被破壞
監測電磁場反推晶片內碼 Titan硬體金鑰慘遭破解 | 網管人

現在才注意到 pixel6 的新晶片名稱，就跟金鑰一樣叫 Titan。可能 Google 也認為直接把手機當作你的實體金鑰才是現代解？

用這種高安全性的工具麻煩的是你要經的起忘記密碼 / PIN 碼的代價，因為基本上不會有救援機制，你只能把設定砍掉重建。

我現在拿這隻的用法也只在有支援的關鍵服務才會上鎖。比如 Google、密碼管理器...對，我開始用了。這東西十年前備受質疑，但近五年看資安界的風向，反而寧可你弄一個好過自己取簡單密碼或重覆使用密碼。

有趣的是 2016 年也是量子電腦誕生年，密碼安全陷入本質上的危機。（能這麼講嗎）
也許就是因為如此大家才慢慢接受管理器，一起加入運算戰爭

我印象一兩年前的台灣SHOWGIRL 資訊月 好像有看過但廠商不是 Yubi ，好像是一家大陸廠...

不是 Recovery USB ，那個 USB 接點這樣不會氧化爛掉嘛？

接下來長年實驗看看囉，還要維持的住這習慣一直用

fresetio 推薦 Type-C ，但我優先考量電腦使用所以選 Type-A，手機用 NFC。結果剛開始掃 NFC 差點搞死手機，我才知道一直以來我認知的 NFC 位置跟本不對。

有點心動

最近我已經依賴1password 了，這個我也在思考中....

kika覺得NFC手感如何(知道感應正確位置之後)

Nokia 8.1、另外 SIM 卡有 NFC 車票。掃的時候常常會出錯。得再多練去習慣。
正確用法只要鑰匙緊靠在 NFC 區 3 秒就能感應到。部份步驟可能要做指紋驗證，所以感應處會面向外再貼（忘了頂多重做）。

第一階是 NFC 硬體連接失敗。刷太快、位置在邊緣被掃一下下、貼在掃瞄區邊緣導致接觸不良等。保護殼可能也有影響，但找對位置後載著膠殼不覺得太難感應。 (官方有說因為規格因素，能掃的區域比平常刷卡還小）
第二階是驗證可能會失敗，因為我不確定會不會用到功能，早早把 short touch 的 OTP 驗證關了 = 一=

NFC 驗證一定要開著 short touch OTP，晚點我再翻出當時找到的解答
先看看關於第一階失敗官方怎麼說 然後產品支援列表沒綠的是因為那一格代表一系列產品，沒有任何一組系列全支援 NFC（滑鼠貼上去看
https://support.yubico.c...

如果你鑰匙想掛在金屬圈上固定著，NFC 就很難跟手機貼貼（不貼貼怕容易撞第一階失敗），這時不如考慮配合手機用 Type-C，直接把 auth app 的 NFC 關了。
我原本也想幫鑰匙弄個金屬圈，實際用了後發現有 NFC 大概只能綁線（丟袋子）

補充一下，大家都怕鑰匙會掉，解決方式就是多買一把備用鑰匙
備用鑰匙的用法是跟著主鑰一起做一遍所有的驗證，所以我這段時間做設定就是先插一把做完一次流程後，再插第二把鑰匙做一次。
這就是為何照片上是兩把以及我要抱怨 paypal 的理由

鑰匙本身觸感其實不錯

提供比例可以想像一下使用情形，小手拿現代手機只有傷，再加把鑰匙目前只會坐在桌前操作

也玩了一下 感想是現在入場好像還太早 知識不足以為FIDO已經有一定程度普及 但其實沒有

對 其實沒有
我記得手機驗證器 APP 的 2FA 也是這兩年才開始有感

How HOTP and TOTP workHow does the Google Authenticator Work? HOTP TOTP Di...鵝 嗯

...今天突然了解怎麼處理 paypal 那種 2FA 介面。
反正還沒 key OTP 驗證碼前他會一直等，那就全掃完最後才 key……

這種東西一定要在家裡做，在外面太危險了...

...可能因為花太久時間等待網頁回應，所以 TOTP 2FA 一直驗證失敗（或他就是失敗了

@y0v0 - 原本要分享 yubikey 使用的心得 但發現會用的服務不多且更想談帳戶安全性的 密碼與...

有點意外 amazon 和 amazon jp 的 2FA 不同 （jp 只有簡訊認證）

- 想玩鑰匙插了就能登入的服務，卻又發覺不單純。
沒養非 window OS ，不然會想玩公私鑰 ssh 。

yubico 有 window 登入軟體 ，但以我的使用習慣寧可保持單純。
另外鑰匙可以設定值為固定的靜態密碼，但這樣鑰匙的那個功能就會一直是那組密碼。還沒完全搞清楚機制和影響暫不做。

2022-08-27
發現任天堂的手機兩步驟驗證，嚴格限制 1 APP 的設計，第二把鑰匙登錄後的驗證碼不同。
所以只能登錄在一把鑰匙上，備案就用官方提供的備援碼庫。