passkey 是否该存到密码管理器中？

This topic created in 714 days ago, the information mentioned may be changed or developed.

之前，我将密码和二步验证信息分开保存，以防止密码管理器泄露后能够直接登录到重要平台。然而像 GitHub 这样的平台在设置了 passkey 后，可以在新设备上通过 passkey 一键登录而无需二次验证。

如果将 passkey 保存在密码管理器中，一旦密码管理器泄露，便可能导致直接访问这些平台，所以大佬们都是怎么保存 passkey 的

密码管理器：vaultwarden 二次验证：2fas

Passkey

密码管理器

泄露

26 replies • 2024-11-25 02:00:04 +08:00

cr3bit

May 30, 2024 via Android

基于巨硬开了 passkey 可以直接绕过密码登录，所以担心这个不如直接把 vw 锁内网访问之类

forvvvv123

May 30, 2024

应该，密码管理器算是比较好的方式了，设个专用复杂口令；

除此之外就是写纸上找个安全的地方保管，比如家里保险柜；

zx900930

May 30, 2024

密码管理器也可以 2fa 的啊

ysc3839

May 30, 2024 via Android

GitHub/Microsoft 的 passkey 不是要 Yubikey 等实体密钥的吗？

xiaobai332

May 30, 2024 via Android

@zx900930 对于一些比较重要的网站来说，不想把所有鸡蛋放一个篮子里
@ysc3839 不是，可以用第三方的密码管理器，像 1password/bitwarden

ysc3839

May 30, 2024 via Android

@xiaobai332 我觉得不应该存密码管理器里，我自己是用 Yubikey

xiaobai332

May 30, 2024 via Android

@ysc3839 主要是现在价格太贵了，也找不到什么平替

chinni

May 30, 2024 via Android

@xiaobai332 我记得 B 站有个平替大概 80 块左右

YsHaNg

May 30, 2024 via iPhone

@ysc3839 不用手机就行

mangoDB

May 30, 2024

@chinni 是 CanoKey 吗？

yujiang

May 30, 2024

@chinni
@mangoDB
我买了，叫 mexdiy 。
可以刷 open sk 固件也可以刷 canokey ，我用的是 open sk 的固件。
主要看上他 c 公口+母口的设计还有便宜到离谱的价格（实付 58 ）
passkey 功能完美兼容，fido2 （ cf ，x ，Google ）在电脑上设置成功后在手机上可用，不知道是手机的原因（澎湃系统，我没设置锁屏密码）还是什么别的原因，没有办法在手机上设置，但是用手机访问弹 2fa 后是可以点击认证的。
硬件设计上存在一定的安全性问题，存在被侧信道攻击的可能，但是一般人其实无所谓，真出事了马桶冲走销毁就好，没有被这样搞的价值。

chinni

May 30, 2024

@yujiang 这个应该可以用 gpg 的 ed25519 的 key 的吧? 然后还能同时 fido2 么? 请问如果可以我也买一个备用已经有一个 yubi key nfc 了

xiaobai332

May 30, 2024 via Android

@yujiang 某宝没有搜到这个

baobao1270

May 30, 2024 via Android

不应该
两个个人观点：
1. 2FA 应该和密码分开保存
2. Passkey 应该基于硬件安全（ TPM/FIDO2)

yujiang

May 31, 2024

@xiaobai332
在 b 站工坊卖的，现在好像没货了。具体你可以到 b 站去问问
@chinni
这个我不确定，理论上 canokey 固件能做到的他也可以，可以选择刷 canokey 的固件，但我图省事用的 opensk

xiaobai332

May 31, 2024 via Android

@yujiang 是的，我也找到了，目前没货，后续不知道还出不出

fydss

May 31, 2024

直接用 canokey 也行，100 多一个好像，目前就是用这个做 google 的 passkey

yujiang

May 31, 2024 via Android

@xiaobai332 帮你问了，作者说以后不做这个了。买别的吧。

jocover

Jun 26, 2024

https://github.com/jocover/esp32_u2f

jocover

Jun 26, 2024

@jocover 我的开源项目，淘宝花 10 元买个 esp32 s2 mini 就能当 passkey 用了，买 yubikey 实在太贵了

xiaobai332

Jun 26, 2024 via Android

@jocover 哈哈哈，很感谢大佬，前一段时间就是买了 s3mini 然后用这个库，使用起来非常完美（小小疑问：默认是不需要按物理按钮，就可以实现触摸 key 的功能吗）

xiaobai332

Jun 26, 2024 via Android

以及手机上需要什么特殊操作才能用吗？（使用 c2c 的线连上没反应）

jocover

Jun 27, 2024

@xiaobai332 默认不需要按钮，配置里有个 BUTTON_ENABLE ，开启后需要按钮确认。
具体文件在 main/Kconfig.projbuild 可以查看

Lxmzfb43AC35PAkL

Nov 1, 2024

等一下.

passkey 本身是 public key, private key pair. 他是把 private key 放到你机子中, 再用 biometrics e.g. fingerprint, face recog 保護.

我自己是用 bitwarden.
login 是
username + master password + 2FA (totp OR yubikey OR recovery code)

我有把 passkey 存到 bitwarden.

因為如果有人要得到我的 bitwarden 再得到我的 passkey,
tmd 他要有我的 UN + PWD + 2FA (totp OR yubikey OR recovery code).

2FA (totp OR yubikey OR recovery code). 這個跟 finger print, face recog 算是同級吧.

所以我不太担心.

Lxmzfb43AC35PAkL

Nov 1, 2024

但我是從一開始就知道 UN, PWD 和 totp 要分開.
所以 UN, PWD 我是用 bitwarden.

totp 我用 aegis.

好處是兩都都支持安卓上的 finger print unlock, 以及 encrypted export.

xiaobai332

Nov 25, 2024 via Android

后面还是购入了两枚 yubikey ，将 passkey 和 TOTP 存在 yubikey 里，密码还是放在 bitwarden 中