Log for Ubuntu 台灣社群

Hello大家，我最近打算進一批Yubico的新產品Security Key NFC（我簡稱 SKN）進台灣，SKN簡單說是只有2FA/Fido 雙因子認證機能的Yubikey5，也就是說——只有網站的雙因子認證以及Linux或其他系統登入桌面時的雙因子認證用，因為功能很單一，所以官方價格才25美元。

如果是想要幫自己買一隻2FA的備鑰或者要幫「長輩」買的話，可以跟我說，我第一批還在想要進幾隻進來看看

其實就是以前的藍色版 Security Key，現在變成黑色的而已 XD

Hi 請問有人嘗試過用miniforum 的mini pc 安網ubuntu 嗎？ 我把iso 寫入usb，然後boot 就出現secure boot 問題。 我進入bios 發現 secure boot 不能disable。 我是用 um790 pro

先猜要設密碼才能關

可是不對啊

Ubuntu 明明就支援 secure boot

看版本？我最近安裝22.04發現沒關也能裝（但有點不確定，那時候USB KEY 有問題，交叉測試好多組設定

22.04 可以直接開

23還沒試過

不過其實也要看你是怎麼把他寫進 usb 的吧

原來以前有藍色版的喔 :O 我都沒有注意到 （以前看到藍色就自動被眼睛過濾掉 XDXD

PIV 跟 GPG 功能
好像對於一般人沒什麼用（先不管因為 GDPR 讓 GPG 死一半的關係）

如我可以比自己買還便宜我會有興趣

（雖然已經有 Yubico 跟 solo v2 各兩把了

你以前是自己從國外（yubico或者Amazon ）單買一隻嗎？如果是的話，我是一次進複數，所以運費一攤，國內再分寄，自然是比較便宜

我是跟著 Cloudflare 優惠買的XDD

那時候買四隻跟朋友分
然後關稅收了114元這樣
詳細多少錢忘記ㄌ

原來Cloudflare曾經也賣過Yubico的東西 :O

那時候CF 推 Zero trust
給了優惠碼可以直接去下單

好像就去年的事

原來如此

我也是跟著 Cloudflare 賣的
運費不便宜，30 USD

走轉運便宜很多

+1

+1

:O 當時是一兩支的運費嗎？

從 amazon 買 運費沒那麼貴吧？

沒免運的時候，也就9塊多鎂

+1。

以前在露天拍賣買過 Yubikey 5 NFC，蠻貴的，一支快 2k，還買了4支。…Orz

當年我用cloudflare優惠買十個才3500多

好奇想問這個酷酷東西通常用在哪些事情上

登入

更安全的 登入 ，像是 網站 或 手機 程式 的 服務

大概查了一下覺得好酷
這邊組團越多會越便宜嗎

所以 Yubikey 裡面是有一組私鑰，他洩漏的話可以重設嗎 還是怎樣

最近在寫 WebAuthn 突然有這個疑問

可以重設

那這個意思是他也可以匯出，然後把私鑰匯入到另一個 YubiKey 之類的嗎

不能匯出

噢真神奇

雖然蠻有道理的

它只會生一個新的給你

然後你就沒辦法登入所有東西了

那新手沒注意到不就屎了

你的畫面是2021時候的單吧，現在不一樣了

不是從Amazon買的

之前CF的優惠碼是從Yubico的官網商店買

最早還可以適用十個 後來限四

私鑰是被封死在硬體key裡，無法複製出去，除非你的實體金鑰被他人偷走 …

我的意思是如果從amazon 買，應該運費不會很高啦..

Amazon US常常免運

Yubico直寄台灣只能送Express(UPS)

運費USD30

原來如此

Amazon 我研究過了，要買「夠」才有免運

買太多 也會被扣稅

amazon會幫你算好稅

60美很容易買到啊

反正Amazon運費稅金全包

從官網買的話走轉運便宜很多

對，一定會有稅務的喔

官網買，運費很可觀的

官網喔 省事就UPS 從歐洲出貨到收貨大概2天

寄美國不用運費，再轉運回台灣就好了

寄到美國的哪裡？在送到台灣？

找一個有免稅州轉運倉的服務

轉運的倉庫阿

那進到台灣時候的課稅問題呢？

不過除非官網價格比amazon便宜，不然直接amazon買運費不會差太多

轉運的報稅問題有興趣可以Google

轉運會處理

嗯

當時只買兩支

有實報的話就一樣

我記得那時候有人訂超多，後來就改一個人只能買4支

官網買多一點就會收稅金跟其他貨運附加費用了

而且那時候真的比 Amazon 便宜，我算過

你說的是多少數量的狀況？

對

原本10

後來變成4

只是我那時候等了兩個月 😵

如果有超過金額就有可能被扣到稅阿

那個時候等有貨要兩個月

對

有貨了就兩天內到

從歐洲來的

當時覺得30美值得了（？

海外網購的規則都差不多啊

好吧，理解你的意思，不過我要做的，不是個人團購就是了。

正常報關就照台灣海關的價格來啊

現在 YubiKey 用起來也沒啥問題，NFC 也都正常

從Amazon買就不用擔心這堆問題

付錢給Amazon處理

ezway按一按等收貨就好

我個人用了五年多吧

對

沒扣到稅的話預收的錢之後會退

沒錯，Ama真的很方便

退稅慢慢等

:O

當時我是因為cloudflare優惠才在官網買的

之前都隔了不知道多久 看到一筆奇怪的退刷金額還要想是哪來的

不然官網買麻煩死了

官網平常沒比較便宜

運費很貴 💩

台灣區尊榮不凡

只有UPS讓你選

日本都有經濟，五美

那個跟平信差不多

美國我記得免費

反正便宜 慢不慢就隨他

至少我願意等

其實yubico官方本身現在也有直接美國倉庫出貨的，但是他們的貨運/關稅處理成本比較「高」

Yubico官網買出台灣都從歐盟出

我當時買是這樣

轉運的運費我記得幾百塊

我買筆電 代購幫我報低然後寫維修套件
就沒稅金了

秤重的所以很便宜

I see.

大部分都會這樣搞 🌝

走三大貨運的大部分都模範生

報關金額跟品名都很正常

之前我買中國手機也是寫「零件」價格也被隨便填，都不知道怎麼過的

簡易報關吧

之前被玩壞

淘寶 京東 或像幾年前的iHerb

說回來，我這次打算進的是Security Key NFC，不是Yubikey 5系列喔，就是純U2F硬體雙因子驗證用。Yubikey 系列大家應該都有了吧？ XD 真的有需要的話再跟我討論 大概100支SKN裡面加一支Yubikey之類?

問一下這個是一隻只能用在一個地方嗎

如果未來網站強迫用Passkeys

那大概就一隻只能用在30個服務

Passkeys 試了一下，密碼遺失跟跨裝置登入還是有點門檻

如果要在陌生電腦上面用 Passkey 登入某個網站，

等於要先登入自己的 Google 帳號或 Chrome，然後再由他幫你帶出那個網站的 Passkey 身份

這樣對我來說好像夠用了

如果是單純U2F 那理論上是無限多

台灣一堆走私仔數量多就賭會被攔多少啊

我就盤

一隻55台幣？

沒事看錯應該不是台幣ㄅ

鎂

我還想說台幣的話這樣買十隻送人也開心

好像安裝程式2304用新的
我是滾上去的不太確定

是用新的基於 Flutter 的安裝程式沒錯

還有快3000的稅

剛剛滑訊息好像誤點到檢舉，先說聲抱歉。

支援fido這個U2F硬體key標準的都可以用，例如說Google facebook github gandi ...etc 你就用同一隻key就可以

實務上，我們會準備兩支實體U2F金鑰，以google來說，就是先後登記這兩隻在你的帳號下，其他的網站也一樣畫葫蘆

一支平常用，另一隻放在「安全」的地方，這是防止自己金鑰遺失（物理性德不見 XD）時，還有備用鑰匙可以登入網站，也包含讓你的電腦開機login

然後去刪除掉不見的那隻金鑰。

如果沒有備鑰的話，就會很「恐怖」就是了 XD

我是建議多備個幾支不同廠牌的

也是，U2F備鑰跟主鑰不一定要同一品牌，有信譽、安全性高、堅固即可

這種裝置可以跟手機的MFA app同時用嗎？可能今天想用實體key，明天想用手機的2FA這樣

可能得看网站的policy

有些给有些不给，比如Google开了PassKey也允许你密码登录后在App上点按确认

你要看個別網站的設計，它是否容許你這樣用

有些网站就必须要用PassKey登陆了

喔喔 了解

還有，你要怎麼用或者選擇哪一種，其實最重要的考量還是安全性，這並不是你用傳統+密碼手機 Authenticator app +實體金鑰可以發揮1+1+1=3的好處，並不是這樣看的

以Yubico的 SKN來說，這個 U2F是使用 ECC p256橢圓雙曲線公私鑰對，私鑰是被「困」在硬體金鑰裡面，誰也不知道是什麼（包含你自己），公鑰在gen好的時候上傳你的使用網站。你使用的時候，是按一下硬體金鑰上的閃爍圓型銅片，就會進行驗證運算。過程中私鑰不會被洩漏，就算「壞人」施展實體社交攻擊，例如說破解偷看你的電腦螢幕、監視器之類，也沒有辦法

但钓鱼引导你一步一步操作还是可以的

釣魚就另一個問題

但是釣魚掉的是要洩漏使用者密碼，但在帳號有註冊自己的實體金鑰的狀況下，就算使用者密碼被釣到了，「壞人」沒有得到實體金鑰，捱是無法登入受害者的網站

使用者本身常常是最大的弱點

更不用說攻擊上，有一步是要侵入帳號，然後註銷掉實體金鑰（要註銷，還是要用實體金鑰再驗一次喔）

釣魚就社交工程

跟加密什麼的沒什麼關係了

實體key就是大幅增加壞人做這種事情的成本了

釣魚就
用密碼管理器自動填入
網址不對就不會起作用

可能要配置情報員等級的一兩個人之類的，一個跟受害者聊天，另一個就偷偷拔他的鑰匙 XD

說回來，就是硬體金鑰的價值要看他裡面的實做技術，如果是放可以取出的對稱金鑰（傳輸過程中要防止第三人擷取），或者不是用密碼學，只是一個固定的明碼數值的遠古token....那種已經沒有用了

另外，比起TOTP Authenticator 的驗證，TOTP 一開始取得 Server 生出的 qr code ，那就是一個 secret key ，你要確保沒有第三者看到，餵入Authenticator以後， qrcode也要確實「銷毀」，然後每次使用時，要在那個幾十秒的時間把握住時間，把看到的6位數臨時密碼輸入雙因子認證。 這過程中還是有幾個環節會被洩漏，我一開始有提到的，這種東西對「長輩」之類的是有使用瓶頸，這種狀況 U2F裝置就會筆TOTP安全很多（也更方便）

啊，我誤解前面的意思了

原來不是想要疊好幾層的，而是有時用這種，有時用那種2fa ，我多嘴了一些 XD