Люблю идею теоретически. Купил два Yubikey серии 5, USB-C. Но инструкции по настройке на сайте не так просты для понимания, даже несмотря на то, что я работаю с компьютерами более 20 лет.
Доступна ли книга «Yubikey для новичков»?
Это то, для чего существует этот сабреддит 
Но нужно дать нам контекст. С чем именно у вас проблемы?
Настраивать устройство вообще не нужно. Забудьте об этом. Yubikey готов к использованию сразу. Просто перейдите на сайт, который хотите защитить, и зарегистрируйте ваш ключ там (если он поддерживает FIDO).
Но, u/NeuralFantasy, вот в чем дело. Он не готов к использованию сразу. С сайта yubico.com / start
Давайте начнем с вашего YubiKey
Настройка YubiKey проста, просто выберите свой YubiKey ниже и следуйте нашим руководствам, чтобы начать защищать ваши любимые сервисы.
(Я выбираю 5C NFC)
(Я смотрю видео. Немного сбит с толку, что нужно регистрировать ключ и запасной ключ для каждого сервиса, но я иду дальше)
Многие сервисы требуют или советуют использовать PIN. Рекомендуется настроить PIN перед добавлением сервисов к вашему YubiKey. Лучший способ сделать это — использовать YubiKey Manager.
(Скачиваю его)
Здесь не разрешены фотографии, поэтому могу только описывать.
Настройка OTP-слотов — без понятия
FIDO 2 — Не удалось подключиться к Yubikey, проверьте разрешения
PIV — PINы и сертификаты — не знаю, что это или нужно ли их использовать или как я могу это использовать.
Интерфейсы — включить все или отключить или?
(Я нажимаю Помощь в YubiKey Manager. Меня перекидывает на страницу, которая явно не о функциях менеджера, а в основной раздел поддержки с множеством статей, не относящихся к вышесказанному.)
Я понимаю, что FIDO 2, OTP и PIV — это протоколы аутентификации, но помимо этого не знаю, можно ли их игнорировать и просто заходить на каждый сайт и настраивать их или нет.
У меня есть два Security Key C NFC. Следовало ли мне взять YubiKey Bio FIDO edition? Они используются для разных вещей?
Не знаю. Так что, нет, он не готов к использованию сразу. А если и готов, то YubiCo очень плохо оформил его на своем сайте.
Я понимаю OP. Вся эта область стоила бы целой книги с большой главой о этом продукте.
Он готов к использованию сразу. Я вообще его ни разу не настраивал, PIN для него тоже не ставил. Я не использую OTP, TOTP или PIV. FIDO/FIDO2/U2F — это единственные релевантные протоколы, и на настройку не требуют. Просто используйте ключ.
Никогда ни один сервис не требовал PIN. Так что в большинстве случаев это неправда.
Единственное (что не обязательно) я сделал — отключил функцию OTP, чтобы Yubikey не записывал пароль в любое поле ввода при нажатии. Ничего для этого не требуется, отключение имеет смысл.
Самый простой способ использовать Yubikey — просто перейти на сайт, где хотите его использовать, и добавить его. На каждом сайте немного по-разному, но если он поддерживает использование физических ключей безопасности, опция обычно находится в настройках аккаунта под “вход” или “безопасность”. Найдите опцию регистрации ключа, затем вставьте ключ и коснитесь золотого картона. Весь процесс сделан очень просто, и ключ готов к регистрации сразу после удаления из упаковки.
Большинство Yubikey имеет дополнительные возможности сверх этого базового использования, но эти более продвинутые функции есть, если они вам нужны. Если нужен ваш ключ как PIV-устройство или для хранения GPG-ключа, то вы, скорее всего, уже знаете, что это такое. А если не слышали о PIV, вероятно, потому что его не используете.
Ой, поможешь мне?
Я только что пытался начать использовать свой новый ключ, и когда перехожу на сайт Yubikey, появляется окно Cookiebot, и оно просит принять или отклонить, но кнопки неактивны и с ними нельзя взаимодействовать. Я пробовал четыре разные браузера, два разных компьютера и включал и отключал VPN. Также пробовал с телефона. Без удачи.
Для большинства, если вы купили это устройство, потому что хотите “быть более безопасным”, но не совсем понимаете, что это подразумевает, я бы сказал:
1.) Начните использовать менеджер паролей. 1Password и Bitwarden — мои фавориты.
Оба также поддерживают использование YubiKey. Но что важнее, вам нужно пройтись по всем сайтам и убедиться, что все ваши пароли уникальны. Все.
Храните уникальные пароли в менеджере паролей.
2.) Защитите свою учетную запись электронной почты. Ваша электронная почта — отличный способ взломать все остальные аккаунты, если она скомпрометирована. Google, Microsoft и Protonmail поддерживают YubiKey. Обычно ищите “Настройки” — “Безопасность” — и ищите “passkeys” или “Security Keys”.
Только эти два элемента уже поставят вас в гораздо лучшую позицию, чем большинство людей.
Я думаю, есть широкий посрединный вариант пользователей, которые на много ушли от описанного вами состояния, но все еще не чувствуют себя комфортно с всеми возможностями современной аутентификации. Некоторые могут просто попробовать и использовать — почти методом проб и ошибок, — а другие хотят действительно понять, что происходит. И есть ситуации, которые могут выглядеть похожими для пользователя, но совершенно разные процессы происходят. Например, автоматическое заполнение пароля и имени пользователя менеджером паролей и использование его — это очень разные UX?
Я не совсем понял.
Если кто-то хочет больше технических деталей о работе FIDO, их огромное количество в интернете…
Опыт использования пасскей и автоматического заполнения логина и пароля менеджером паролей — это два очень разных UX, если я правильно понимаю?