passkey 是否该存到密码管理器中？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 175 天前的主题，其中的信息可能已经有所发展或是发生改变。

之前，我将密码和二步验证信息分开保存，以防止密码管理器泄露后能够直接登录到重要平台。然而像 GitHub 这样的平台在设置了 passkey 后，可以在新设备上通过 passkey 一键登录而无需二次验证。

如果将 passkey 保存在密码管理器中，一旦密码管理器泄露，便可能导致直接访问这些平台，所以大佬们都是怎么保存 passkey 的

密码管理器：vaultwarden 二次验证：2fas

25 条回复 • 2024-11-01 13:06:58 +08:00

cr3bit

175 天前 via Android

基于巨硬开了 passkey 可以直接绕过密码登录，所以担心这个不如直接把 vw 锁内网访问之类

forvvvv123

175 天前

应该，密码管理器算是比较好的方式了，设个专用复杂口令；

除此之外就是写纸上找个安全的地方保管，比如家里保险柜；

zx900930

175 天前

密码管理器也可以 2fa 的啊

ysc3839

175 天前 via Android

GitHub/Microsoft 的 passkey 不是要 Yubikey 等实体密钥的吗？

xiaobai332

175 天前 via Android

@zx900930 对于一些比较重要的网站来说，不想把所有鸡蛋放一个篮子里
@ysc3839 不是，可以用第三方的密码管理器，像 1password/bitwarden

ysc3839

175 天前 via Android

@xiaobai332 我觉得不应该存密码管理器里，我自己是用 Yubikey

xiaobai332

175 天前 via Android

@ysc3839 主要是现在价格太贵了，也找不到什么平替

chinni

175 天前 via Android

@xiaobai332 我记得 B 站有个平替大概 80 块左右

YsHaNg

175 天前 via iPhone

@ysc3839 不用手机就行

mangoDB

175 天前

@chinni 是 CanoKey 吗？

yujiang

174 天前

@chinni
@mangoDB
我买了，叫 mexdiy 。
可以刷 open sk 固件也可以刷 canokey ，我用的是 open sk 的固件。
主要看上他 c 公口+母口的设计还有便宜到离谱的价格（实付 58 ）
passkey 功能完美兼容，fido2 （ cf ，x ，Google ）在电脑上设置成功后在手机上可用，不知道是手机的原因（澎湃系统，我没设置锁屏密码）还是什么别的原因，没有办法在手机上设置，但是用手机访问弹 2fa 后是可以点击认证的。
硬件设计上存在一定的安全性问题，存在被侧信道攻击的可能，但是一般人其实无所谓，真出事了马桶冲走销毁就好，没有被这样搞的价值。

chinni

174 天前

@yujiang 这个应该可以用 gpg 的 ed25519 的 key 的吧? 然后还能同时 fido2 么? 请问如果可以我也买一个备用已经有一个 yubi key nfc 了

xiaobai332

174 天前 via Android

@yujiang 某宝没有搜到这个

baobao1270

174 天前 via Android

不应该
两个个人观点：
1. 2FA 应该和密码分开保存
2. Passkey 应该基于硬件安全（ TPM/FIDO2)

yujiang

174 天前

@xiaobai332
在 b 站工坊卖的，现在好像没货了。具体你可以到 b 站去问问
@chinni
这个我不确定，理论上 canokey 固件能做到的他也可以，可以选择刷 canokey 的固件，但我图省事用的 opensk

xiaobai332

174 天前 via Android

@yujiang 是的，我也找到了，目前没货，后续不知道还出不出

fydss

174 天前

直接用 canokey 也行，100 多一个好像，目前就是用这个做 google 的 passkey

yujiang

173 天前 via Android

@xiaobai332 帮你问了，作者说以后不做这个了。买别的吧。

jocover

148 天前

https://github.com/jocover/esp32_u2f

jocover

148 天前

@jocover 我的开源项目，淘宝花 10 元买个 esp32 s2 mini 就能当 passkey 用了，买 yubikey 实在太贵了

xiaobai332

148 天前 via Android

@jocover 哈哈哈，很感谢大佬，前一段时间就是买了 s3mini 然后用这个库，使用起来非常完美（小小疑问：默认是不需要按物理按钮，就可以实现触摸 key 的功能吗）

xiaobai332

147 天前 via Android

以及手机上需要什么特殊操作才能用吗？（使用 c2c 的线连上没反应）

jocover

147 天前

@xiaobai332 默认不需要按钮，配置里有个 BUTTON_ENABLE ，开启后需要按钮确认。
具体文件在 main/Kconfig.projbuild 可以查看

Lxmzfb43AC35PAkL

20 天前

等一下.

passkey 本身是 public key, private key pair. 他是把 private key 放到你机子中, 再用 biometrics e.g. fingerprint, face recog 保護.

我自己是用 bitwarden.
login 是
username + master password + 2FA (totp OR yubikey OR recovery code)

我有把 passkey 存到 bitwarden.

因為如果有人要得到我的 bitwarden 再得到我的 passkey,
tmd 他要有我的 UN + PWD + 2FA (totp OR yubikey OR recovery code).

2FA (totp OR yubikey OR recovery code). 這個跟 finger print, face recog 算是同級吧.

所以我不太担心.

Lxmzfb43AC35PAkL

20 天前

但我是從一開始就知道 UN, PWD 和 totp 要分開.
所以 UN, PWD 我是用 bitwarden.

totp 我用 aegis.

好處是兩都都支持安卓上的 finger print unlock, 以及 encrypted export.