CanoKey NFC-A 开箱体验

这是 eraly bird，不是 pigeon。

说下购买的原因，我一直想买一个替代Key，无奈Yubikey售价太高，然后恰好在某群组看到Canokey发售的消息。

目前发售的CanoKey拥有Yubikey 5 NFC大部分功能，早起的鸟儿只需要79+10（运费），价格不到Yubikey的四分一。正式版据说也不会太贵。

开箱

外包装是牛皮纸，看上去很环保。本体有滴胶保护，防水且坚固。

它能做什么

支持的协议

• U2F / FIDO2
• OpenPGP
• PIV
• HOTP / TOTP
• NDEF

Yubikey能做的Canokey基本都能做。我自己平时用的功能大多都覆盖到，除了KeepassXC中的Challenge-Response。并且大部分功能使用方法跟Yubikey一致，甚至还可以使用ykman（YubiKey Manager CLI）管理PIV。所以Canokey支持的特性很多都可以参考Yubikey Guide。

个人最常用的还是U2F，OpenPGP Card。使用U2F作为MFA的一种方式，相比TOTP能更好地对抗钓鱼，社工。而OpenPGP Card可以保护私钥不被盗取。

另外支持64个FIDO2 resident keys，相比之下Yubikey 5只有25个。

不爽的地方

客户端是网页的，需要Chromium内核的浏览器。我觉得还是有个本地运行的客户端更好，不过客户端开源，可以clone项目到本地，在node环境运行。

目前TOTP只在网页使用，很不方便。

OpenSSH 8.2版本开始支持FIDO/U2F安全密钥。但Canokey只支持ecdsa-sk，不支持ed25519-sk。有点遗憾，但也还好。

NFC灵敏度要比Yubikey低很多，偶尔会出现失败的现象。

总结

目前市面上在单个硬件实现多种协议的Key并不多，而且价格对比Yubikey也没有优势。CanoKey能够支持其大部分核心功能，日常使用基本能够满足需求，后续正式版价格不高的话非常值得入手。