CanoKey NFC-A 开箱体验
这是 eraly bird,不是 pigeon。
说下购买的原因,我一直想买一个替代Key,无奈Yubikey售价太高,然后恰好在某群组看到Canokey发售的消息。
目前发售的CanoKey拥有Yubikey 5 NFC大部分功能,早起的鸟儿只需要79+10(运费),价格不到Yubikey的四分一。正式版据说也不会太贵。
开箱
外包装是牛皮纸,看上去很环保。本体有滴胶保护,防水且坚固。
它能做什么
支持的协议
- U2F / FIDO2
- OpenPGP
- PIV
- HOTP / TOTP
- NDEF
Yubikey能做的Canokey基本都能做。我自己平时用的功能大多都覆盖到,除了KeepassXC中的Challenge-Response。并且大部分功能使用方法跟Yubikey一致,甚至还可以使用ykman(YubiKey Manager CLI)管理PIV。所以Canokey支持的特性很多都可以参考Yubikey Guide。
个人最常用的还是U2F,OpenPGP Card。使用U2F作为MFA的一种方式,相比TOTP能更好地对抗钓鱼,社工。而OpenPGP Card可以保护私钥不被盗取。
另外支持64个FIDO2 resident keys,相比之下Yubikey 5只有25个。
不爽的地方
客户端是网页的,需要Chromium内核的浏览器。我觉得还是有个本地运行的客户端更好,不过客户端开源,可以clone项目到本地,在node环境运行。
目前TOTP只在网页使用,很不方便。
OpenSSH 8.2版本开始支持FIDO/U2F安全密钥。但Canokey只支持ecdsa-sk,不支持ed25519-sk。有点遗憾,但也还好。
NFC灵敏度要比Yubikey低很多,偶尔会出现失败的现象。
总结
目前市面上在单个硬件实现多种协议的Key并不多,而且价格对比Yubikey也没有优势。CanoKey能够支持其大部分核心功能,日常使用基本能够满足需求,后续正式版价格不高的话非常值得入手。