Fediver

YubiKey持ってるけど結局FIDOキーとしては使ってない

gitとsshとssh-agentとgpg-agentを設定するだけでこんなに？ という感じだし
coreutilsとまともなシェルを求めてwslに行くとyubikeyを使うのにhackが必要になる

npm run とかされてる環境で安全に鍵管理するとか無理なんですよ
だからssh鍵はyubikeyに入れるべき

なので、yubikeyにはPINを設定しておきましょうね

@kaznak yubikeyにPGP鍵を入れてgpgからsshエージェントとして使う方法、あります
https://www.s3-odara.net/article/pgpkey-yubikey.html

さっき見た個人ブログに
「Yubikeyは長いパスワードを自動で入力するデバイスです」みたいなこと書いてたんやが

ありがとうございます​​
※Yubikeyは付属しません(ギャグのつもりで書いた

sshの鍵はgpg使ってyubikeyでsshしてるな

AtoCの変換ドングル壊れちゃってしんどい
macでYubiKey使えないじゃん

devcontainer環境のgitでもYubiKey使いたい

やっぱこう主キーをYubiKeyに焼く運用よくないのかもしれない

yubikeyだと仕様が不明確でよくわからなかった気がする

耐タンパ性があることがセキュリティの強化につながらないとは書いたけど、暗号に関わる計算を分離できて、耐タンパ性を信頼すれば5ドルのレンチ攻撃を受けない限り鍵を安全に保てるメリットがあるので今はyubikeyに保管してる。
代替品買ってみようかとも思うけどnitrokeyとsolokeyとonlykeyとかいろいろあってどれがいいのかわからん

yubikeyのファームウェアの非公開化と書き換えできない仕様はセキュリティのためじゃなくてビジネスのためだろうとは思う

オープンソースだとしても結局鍵の信頼性について製造元を信頼するしかないのでyubikeyでいいのでは感もある

yubikey2本しか使ってないので壊れたときに困る
買い足しておくか、nitrokeyにでもするか

yubikeyがpasskey出なかった時代から情報がアップデートできてない

TOTPをパスワードマネージャに入れたりしてる現状では生体認証とか所有認証とかそんなにシビアになる必要ないと思うしあまりシビアでない普及帯がpasskeyだったはず。
所有認証を確実にしたいならyubikeyみたいなリモートでの侵害が難しい単一機能のハードウェアを用意しようとそんな感じ

FIDO2においてはyubikey側の設定で全てにPINを要求するようにできるのでサービス側の落ち度で知識認証がなくなることはないはず。
U2Fはそもそも２段階認証向けだからpinいらないんだっけな

指紋認証のあるyubikeyは当人認証性の向上でなくpin入力を省ける利便性に主眼を置いてる気がする。