💡

この記事の要点

この記事の重要ポイント

  • 1

    从记忆 (Password) 到所持 (Key)

  • 2

    Passkey:公开键暗号方式的民主化。因为不向 Server 渡秘密情报,漏洩 Risk 变零

  • 3

    YubiKey 5C NFC:物理的“合键”。只插 PC 的 USB Port,以指触行使 sudo 权限

  • 4

    Network Isolation:以 Tailscale 不向 Internet 公开自家 Server,只经由 VPN Access

  • 5

    Analog Backup:印刷 QR Code 和 Recovery Code,入金库。这最强的 Backup

引言:The Death of Passwords

从 2024 年顷开始的“脱密码”的流,在 2026 年完了。 如果还记着像 CorrectHorseBatteryStaple 一样的密码,你迟了。

工程师的认证,从 “知的事 (Password)”向“有的事 (Device)” 完全移行了。 实现这个的是,基于 FIDO2/WebAuthn 规格的 Passkey

1. Hardware: 物理的“信赖的起点”

如果只 Software 的 Security,感染 Malware 就被破。 Hardware Security Key (YubiKey),因为不把秘密键出 Device 外,即使 PC 被如取键本身安全。

Yubico YubiKey 5C NFC

Yubico YubiKey 5C NFC

世界标准的 Hardware Key。只插 USB-C 触,能通过 Google,GitHub,AWS 等的 2 阶段认证。因为 NFC 对应,触 iPhone 的背面认证也可能。

Amazon楽天
Kensington MagPro Privacy Screen

Kensington MagPro Privacy Screen

在 Cafe 作业的工程师的必须 Manner。以 Magnet 式可着脱的窥视防止 Filter。从正面看得 Clear,但从邻的席看来漆黑 (视野角 30 度)。

Amazon楽天

2. Network: 哪里都“自家 LAN”

Cafe 的 Free Wi-Fi 危险? 被那样说是过去的话。 现在使用 Tailscale,把全部的通信通向被暗号化的 Overlay Network (WireGuard)。

Tailscale + Exit Node

如果把自家的 Raspberry Pi 和 Apple TV 设定为“Exit Node”,从外出先的 Access 也全部经由自家 IP。 由此,对挂了 IP 限制的社内 System 也能安全地 Access。

# 在自家的 Server 执行
sudo tailscale up --advertise-exit-node

NextDNS

DNS Level 的 Firewall。 不仅仅广告 Block,对已知的 Phishing Site 和 Malware 散布 Domain 的 Access,在 DNS 解决的阶段遮断。 通过与 Tailscale 连携,即使 Mobile 回线也能让经由 NextDNS。

3. Workflow: 向开发 Flow 的统合

YubiKey,不仅仅单纯的 Web Login 的道具。 通过组入开发者的每日的业务 (Git, SSH) 发挥真价。

Git Commit Signing

在 GitHub 的 Commit Log 挂“Verified”Badge 已经 Manner。 为了防他人伪装 Mail Address Commit (Spoofing),以 YubiKey 内的 OpenPGP 键署名。

# ~/.gitconfig
[user]
 signingkey = <YubiKey-GPG-Key-ID>
[commit]
 gpgsign = true

SSH with YubiKey (FIDO2)

OpenSSH 8.2 以后,变得能把 FIDO2 Key 同样作为 SSH 键扱。

# 键生成 (秘密键在 YubiKey 内被生成,不能取出)
ssh-keygen -t ecdsa-sk -O resident

由此,Server Login 时每次被求向 YubiKey 的 Touch。 也许想“麻烦”,但这才是“Malware 不能擅自 SSH”这最强的防御壁。

4. Software: Passkey Manager

Passkey 系在 Device,但每次换 PC 再登录痛苦。 那里,使用能 Cloud 同步 Passkey 的 Manager。

項目 1Password Bitwarden
Passkey 同步 完美 对应济
SSH Agent 连携 以指纹 SSH Lock 解除 有 CLI 统合
价格 $2.99/mo- 无料 / $10/yr
Code Base Proprietary Open Source

向工程师推荐 1Password。 特别“SSH Agent”功能强力,~/.ssh/id_ed25519 不需要在 Local 置,秘密键漏洩的 Risk 激减。

5. OS Hardening: 疑 Default 设定

最后,上 OS 本身的防御力。

  • FileVault / BitLocker : Disk 暗号化必须。即使纷失 PC,Data 变得同垃圾屑然。
  • Lockdown Mode (Apple) : 究极的防御 Mode。无效化 JIT Compiler,限制添付 File 的 Preview 等,最小化攻击面 (Attack Surface)。能对应“命被狙”Level 的威胁。

深度探讨:零信任架构 (Zero Trust Architecture) 的本质

“只要进入内网就是安全的”这种边界型安全模式已经崩溃。零信任的原则非常简单:

  1. Never Trust, Always Verify (从不信任,始终验证):即使是从同一个 LAN 发起的访问,每次都要验证设备的健康状况和用户身份。
  2. Least Privilege (最小特权):仅在必要的时间内授予最小限度的权限。
  3. Assume Breach (假定已遭入侵):以已经被入侵为前提,通过分段技术(Segmentation)最小化损失。 工程师们之所以青睐 Tailscale 等工具,是因为它们无需复杂的 VPN 设置,就能在个人层面构建出这种高级的零信任环境。

结论:Security 是“习惯”

Touch YubiKey 的动作,把 Tailscale 做 On 的动作。 通过把这些组入日常的 Routine,不意识也能维持最高 Level 的 Security。 攻击者狙你的 Data 时,如果让想“这家伙麻烦 (Cost 不合)”,你的胜。

相关文章

# security # yubikey # passkey # 1password # tailscale # 2026