入手一個YubiKey,包裝很簡約,使用硬體做驗證,要切記,這個不要當作唯一的驗證方式,萬一掉了就再也無法通過驗證,所以一般是購買2個,其中一個當作備用的,當然在設定驗證的時候也要把備用的YubiKey加進去,相當於2把都可以使用,2個YubiKey中的內容是不同的,所以不是複製的方式,而是2個各自獨立有效的。關於備用的說明可以參考https://www.yubico.com/spare/
官方有提供三個常用工具
1.YubiKey Manager
這個工具就是用來設定FIDO2 和PIV的PIN碼,PIN碼之後可以修改,只要輸入舊的PIN碼,如果真的忘記,雖然可以重置,但原本存在YubiKey裡面的FIDO2 金鑰和PIV證書會全部被刪除掉,另外這個程式也可以開啟或者關閉裡面的一些功能,在程式安裝的目錄中也有一個命令行的工具ykman.exe,可以有一些額外的執行和查詢的指令,需要在管理員身份的CMD中執行。
例如查詢當前裝置里的Fido的清單
ykman fido credentials list
如果其中有不使用的需要刪除則可以使用
ykman fido credentials delete name
name就是結尾的字段
ykman的使用手冊可以參考https://docs.yubico.com/software/yubikey/tools/ykman/Using_the_ykman_CLI.html
2.YubiKey Personalization Tool
這個程式可以對YubiKey進行批量燒錄,檢查固件,配置槽位配置,快速觸發等高級設置,這個目前還沒有使用,可以設定的東西很多。
參考文件:https://support.yubico.com/hc/en-us/articles/360013790359-YubiKey-Personalization-Tool-User-Guide
3.Yubico Authenticator
和谷歌及微軟的MFA驗證器類似,這個設定可以通過PC或者手機等APP設定,添加的資料會寫到YubiKey中,YubiKey 5最多可以添加32個,APP或者電腦中的程式一段時間後就不會自動更新驗證碼,要查詢必須將YubiKey插到電腦上或者通過手機感應,也可以設定驗證碼必須經過按壓才會顯示(PC)。
4.YubiKey PIV
使用說明:https://developers.yubico.com/PIV/Guides/SSH_with_PIV_and_PKCS11.html
默認的密碼
PIN: 123456
PUK: 12345678
Management Key: 010203040506070801020304050607080102030405060708
不少內容不是無限制數量的。
OTP – 此應用程序可以持有兩個憑據。然而,Yubico OTP 是放置在這個應用程序中最流行的憑證類型之一,可以註冊無限數量的服務。
FIDO U2F – 類似於 Yubico OTP,U2F 應用程序可以註冊無限數量的服務。
FIDO2 – YubiKey 5 可以在其 FIDO2 應用程序中保存多達 25 個可發現的憑證。
OATH (Yubico Authenticator) – YubiKey 5 的 OATH 應用程序最多可以保存 32 個 OATH-TOTP 憑證(也稱為身份驗證器應用程序代碼)。
*PIV – YubiKey 5 的 PIV(智能卡)應用程序有 24 個插槽,每個插槽可以容納一個證書及其對應的私鑰(單擊此處了解更多信息)。
*†OpenPGP – YubiKey 5 的 OpenPGP 應用程序最多可容納三個 OpenPGP 私鑰,一個用於加密,一個用於簽名,一個用於身份驗證。
*OpenPGP 和 PIV 的使用不如 OTP、U2F、FIDO2 和 OATH
†來自 5 個 FIPS 系列的 YubiKeys 不包括 OpenPGP 功能
對於其他 YubiKeys/安全密鑰,請在我們的 KB 的設備部分中查看特定密鑰型號的設備頁面。
相關的限制可以參考:
本款的詳細規格說明:https://support.yubico.com/hc/en-us/articles/360013656980-YubiKey-5-NFC
https://support.yubico.com/hc/en-us/articles/360013790319-How-many-accounts-can-I-register-my-YubiKey-with-