懶人包：
太閒再來玩實體金鑰。
平常手機開鎖驗證，再開使用中的網路服務的 2FA 就差不多。

# 有關密碼和安全，我的概念：

安全性是相對的。
就像買門鎖防小偷有 5 秒開門或 5 分鐘開門的差別，門鎖只是其中一道保險，平日還要配合其他習慣。

被盜分好幾種，個人被盜、被偷聽（監看、中間人）、整家服務被盜。
怕被盜就思考如何盡量防範，無法免除被盜就思考如何收拾被盜的損害
（可以砍帳的服務是德政，但我還會再改一次密碼）

重覆密碼的風險：
xkcd 中文翻譯：重複使用密碼xkcd 中文翻譯：駭客在做的事情

密碼安全性規則的理論與現實衝突： xkcd 中文翻譯：密碼安全性 有興趣可以看看解釋這篇的討論 。

設計密碼，長度才是王道，可以不用太複雜但一定要長。
有 2FA 加一道鎖很值得開，沒這功能的網路服務至少密碼不共用避免牽連。

# 買鑰匙的動機：

1. 疫情讓遠端和網路服務需求大增 > 可盜用管道大增 > 資安需求一起大增
2. 朋友被盜帳，還刷了他的卡，所有他使用過的服務都有被盜用的風險

# 實體金鑰心得：

一把 5 代 - type A - NFC 的 yubikey 就 45 鎂。
會怕掉鑰匙所以買備用鑰（x2），再加運費 75 鎂！
但還是比台灣轉售便宜一點點，安全性和品質也比較安心。（出廠後鑰匙無法再更新韌體等考量）

Google Titan 好像會便宜一點（他們最近看似在推直接裝手機裡）

鑰匙硬體怕掉怕壞（所以才弄備用鑰）。安全性再高些的服務可能無法還原，只能重建。

要先知道如何還原/備援，多數服務在你開啟 2FA 等進階身份驗證後，會提醒你下載備援數字碼。
有些服務在教學介面上甚至會提醒你哪些資料適合或不適合存在哪。

有支援 FIDO 驗證的服務可以多一種驗證管道，如果再把手機號碼和 Email 驗證全取消，遠端駭入大概只剩直接駭服務商。（大概…

還沒用過直接拿鑰匙即可登入的服務，近年雖然有無密碼服務的呼聲，但離大量實作還有些日子。

是不是該糾團買1Password會員qq

現在 yubikey 拿來登入幾個關鍵服務的 2FA 驗證，包括
1. 手機上的驗證器（yubico Authenticator，其他比如 Authy，Google 等大廠都有做自己的 Authenticator）。
2. 實體安全金鑰驗證（ Google 就有支援）

驗證器 / Authenticator：
yubico 的驗證器差別是，驗證碼是記在鑰匙內而非手機。換手機會比較方便，平日就不便。
反過來說，有使用驗證器 / 安裝金鑰的手機也是一把鑰匙，請保護好你的手機。

幾年前驗證器還是 HOTP，現在已經是 TOTP （會看到數字碼隔半分鐘、一分鐘一直變換）。

壞處：網路回應時差很嚴重時，利用這方式登入會一直失敗。

# 接下來是我自己多想的：

瀏覽器的密碼管理器不夠嗎？
按一下！挖出藏在瀏覽器中的全部帳號、密碼（WebBrowserPassView v1.94）怕電腦被盜的話，不夠

微軟文件加密不夠嗎？ 怕文件被帶走就不夠。

如果現實環境安全的話，筆記本仍是不錯的選擇。

開始用密碼管理器 ( password manager ) 而且覺得不差，但重要的服務比如網銀或 Google ，我還是用老方法管理。其他網站就交給工具代我設計密碼和記住密碼（總比自己傷腦筋或大量重覆密碼好）
不過多數管理器的中文資源還是不足。原本想找介紹文，發現繁中多數是跳坑文沒多少評論文。

限制自己使用的服務。雖然無法全記住，長期不使用的服務會去做廢棄，包括密碼改到完全陌生。不然就得註記自己仍在使用。

限制自己使用的管道，無聊會去翻服務裡的授權和登入，把他們踢光重連。

公眾 WIFI 很可怕。雖然這幾年不大談了，被偷聽的機率也低，但天知道店家有沒有觀念，還是覺得很可怕。

釣魚表單和釣魚網站、詐騙最麻煩，人很容易被騙。你會自願給出你的帳密和驗證碼。最好腦袋清醒時才看螢幕。

# 其他：

yubico 有 window 登入軟體 ，但以我的使用習慣寧可保持單純。

鑰匙可以設定 值為固定 的 靜態密碼，但這樣鑰匙的 one touch 就會固定是那組密碼。還沒完全搞清楚機制和影響暫不做。

=== 先以上 ===

> 是不是該糾團買1Password會員qq
我選 bitwarden了（艸
不過之前研究覺得除了單機限定的 KeePass ，剩下的只差信仰值 Kappa

passphrase概念真的很突破，不過有時候一些舊網站限制密碼字元長度上限的時候就會卡關

建議使用密碼管理器的一些理由

> passphrase 概念 VS 密碼限制
所以才仍需要筆記本或工具輔助