当我买了第一个YubiKey时，我把它插到我的笔记本电脑上，试着用几个账户设置它，然后就放弃了。一年半了。不管你有多懂电脑，也不管你有多重视安全，关于尤比基的东西只是让人感到困惑。但没必要。YubiKey是一种使双因素身份验证尽可能简单的设备。你只需按一下你的YubiKey上的按钮，就可以不用发短信给你，也不用手机上的应用程序生成代码。就这样。每个设备上都有一个独特的代码，用来生成代码来帮助确认你的身份。按一下按钮，你就可以登录了。我们可以进行数学分析，分解类似设备支持的各种协议，但大多数用户不需要知道更多信息，只需"像往常一样输入用户名和密码，然后按YubiKey上的按钮登录"使用Zapier的许多内部工具需要一个YubiKey，所以我终于有时间学习如何使用它。我很高兴我这么做了这是为什么，你也可以设置一个。YubiKey并不是市场上唯一的硬件双因素认证设备，只是最受欢迎。有很多类似的设备，本文中概述的大部分信息都适用于它们。什么是双因素身份验证？我们已经写了大量关于双因素身份验证的文章，但是在解释为什么硬件双因素身份验证设备是一个好主意之前，有必要先回顾一下基本知识。密码很糟糕。大多数对黑客来说太容易猜测，其余的太长或太复杂，人类无法记住。即使是安全的密码一旦被泄露也毫无用处，泄露基本上是不可避免的。出于这些原因，以及更多原因，最好不要完全依赖密码。这就是双因素身份验证（通常简称为2FA）背后的全部思想。对于双因素身份验证，您需要两件事来登录：您的密码，是的，但还有一些其他东西可以证明您是您所说的自己。你可能熟悉两种2FA方法：短信或电子邮件代码。应用程序会向你发送一个代码，你需要输入代码才能登录。这是最容易设置的方法，因为您不需要安装任何软件或购买任何硬件。它也是最不安全的，因为电子邮件和短信都是未加密的，很容易被泄露。验证应用程序。你想登录的应用程序会要求你提供一个代码，你可以通过打开手机上的应用程序来检索，比如googleauthenticator或Authy。这比依靠短信或电子邮件要安全得多，但这并不十分方便，你需要拿起手机，打开一个应用程序，然后输入一个代码。YubiKey代表了实现双因素身份验证的第三种方法：硬件身份验证。应用程序会让你把一个类似YubiKey的工具插入你的设备，然后按一个按钮。YubiKey发送一个唯一的代码，服务可以用来确认你的身份。这样更安全，因为代码更长，也更方便，因为您不必自己键入代码。当然，还有更多的细微差别。但在大多数情况下，你只需要知道2FA更安全更容易使用。为什么尤比基比其他2FA更好？我们已经讨论了一点，但是让我们来谈谈为什么YubiKey（和类似的设备）比其他形式的2FA更好。举几个例子：方便。SMS、电子邮件和身份验证应用程序都要求您复制并粘贴或手动输入代码。使用YubiKey，只需按下连接到计算机上的设备上的按钮。更长的代码。其他2FA方法通常只向您发送一个六位数的代码来确认您的身份，基本上是因为期望人类输入的代码远不止这些是不合理的。Yubikey不会要求你手动输入代码，所以他们可以自由使用更长的代码。这样更安全。易于迁移。你有新电脑吗？只需将你的YubiKey从旧版本中拔出，插入新版本，你就可以登录到你所有的应用程序，和以前一样。您也可以使用一个密钥登录到多台计算机上的帐户。我发现这个过程比迁移其他2FA要容易得多。真的很难破解。相对而言，黑客很容易泄露你的电子邮件或短信。在当前技术下，要伪造由一个独特的硬件设备生成的代码几乎是不可能的。同样，这里有很多细微差别，但是这些都是YubiKey相对于其他2FA形式的广泛优势。如何设置你的YubiKey设置YubiKey与设置基于应用程序的双因素身份验证没有什么不同。如果您实际使用的是YubiKey（不是另一个硬件身份验证程序），您需要做的是：插上你的摩托车。前往Yubico.com/setup然后单击您的设备。浏览受支持的应用程序列表并查找您要保护的应用程序。按照说明操作。这是如何工作的将是不同的应用程序，但我将以谷歌为例。按照Google的说明操作，你会发现一个链接，上面有关于将你的YubiKey添加到你的Google帐户的说明，其中提供了一个添加密钥的链接。系统将要求您插入设备并按其上的按钮。这样做。您的浏览器可能会请求访问您的密钥的权限，但一旦您授予该权限，您应该会得到一个确认，即您的密钥已设置。你可以选择给它一个名字，如果你有多个yubikey，这很有用。就这样。你现在可以使用你的YubiKey在任何设备上登录到你的Google帐户。对你想以这种方式锁定的每个帐户重复此过程。我怎样才能不小心触发我的尤比基？Yubikey有各种形状和（小）尺寸。我拥有YubiKey 5C Nano，这是一个很小的USB-C加密狗。我把它插在我的MacBookPro上，很容易意外触发，尤其是在拿起我的笔记本电脑时。与其说它是一个按钮，不如说它是一个触动时会触发的金属条。当您触摸它时，它会认为您正在尝试登录到某个内容，这会导致在您打开的任何文本框中输入安全代码，然后"按下"enter键。Slack的结果如下：是的，这种情况经常发生，我们有一个定制的表情符号。这些代码由OTP生成，OTP是YubiKey用来连接服务器的协议之一。您可以通过关闭OTP来阻止这种情况的发生，但这可能会破坏您登录某些服务的能力。我认为，对于大多数用户来说，最好将OTP配置为不触发，除非您按住按钮三秒钟。这有点复杂，但可行。尤比基提供了解决这个问题的指导，但是他们有点难以理解，所以这里是一个总结。要开始，请在您的计算机上下载YubiKey manager。安装它，打开程序，将鼠标悬停在Applications上，然后单击OTP。您应该看到OTP的两个插槽：短触摸（Slot 1）和长触摸（Long Touch）插槽2。单击Swap按钮，使OTP显示在插槽2中。这样地：在某些情况下，它不会这么简单，但前提是您已经为其他目的配置了插槽2。如果是你的话，你可以在YubiKey网站上读到更多。在聊天室里不小心触发我的YubiKey真的很糟糕吗？如果你不小心把一个代码粘贴到Slack或文本编辑器中，那不是立即惊慌的原因——它不完全清楚它属于谁或者可以用来登录什么（而且，如果你把它发布在Slack上，希望你的同事没有试图攻击你）。话虽如此，泄露的2FA代码总有可能让一个特别有创意的黑客得逞，所以你不想养成这种习惯。如果发生这种情况，你也不会束手无策。每一个YubiKey代码都是唯一的，每次使用该设备登录时都会失效。如果担心的话，可以手动使代码失效。只要去这个网站，把泄露的代码贴在那里。在扎皮尔，人们不经意地发布尤比基密码…很多。这是一个内在的迷因。这很有趣，也许是无害的，但是我们的安全团队建立了一个自动化系统，使所有这些代码失效以防万一。你可以设置它，如果你想点击这里开始。我可以在多个设备上使用一个YubiKey吗？对！只要把你的YubiKey插入任何一台电脑，然后按照你平常的方式登录。真的，你可以登录到你的所有帐户，和以前一样。你可以使用你的YubiKey登录任意数量的设备，只要有一个插槽。如果你拥有多台设备，这很好，当你有一台新电脑时也很好。如果我丢了我的雨衣呢？不太好。如果没有你的YubiKey，你可能无法登录。但是你可以做一些事情来降低风险。大多数支持2FA（包括YubiKey）的服务都允许您创建备份代码。请确保您这样做，并将代码保存在某个安全的地方，理想情况下是离线的。如果可以的话，考虑把它们打印出来放进锁箱里。你也可以在用你的YubiKey设置的任何服务中添加一些其他类型的2FA，作为备用。这可以是基于应用程序的验证，或者你可以购买第二个YubiKey，把它作为你所有服务的一个选项，然后把它存放在一个安全的地方（也许是一个不同于你备份代码的锁箱？）。如果你没有备份代码或第二个2FA方法，并且已经丢失了你的YubiKey，你不一定是运气不好。大多数提供2FA的服务都有某种验证过程，可以在丢失凭据后登录，但请注意：这需要一段时间，而且会带来很多麻烦。做好准备要好得多，所以要确保在安全的地方有备份代码，或者设置第二个2FA方法。另外：确保在你重新访问你的帐户后，删除你丢失的YubiKey作为2FA方法。很可能是谁发现你的YubiKey将不知道它提供了访问哪些帐户，但安全总比抱歉好。澄清一下：你的Yubikey没有存储可识别的用户名和d