Thetis物理密钥，为什么我们应该使用物理密钥

此处隐去敏感信息😎

Thetis物理密钥介绍

我选用的是 Thetis Pro FIDO2 安全密钥，这是一款支持多功能安全密钥。

外观看起来还不错：

为什么使用物理密钥？举个栗子

面对这么多验证码，传统的两因素认证方式使用起来并不太方便。Authenticator应用往往都在手机上，每次进行登录或执行敏感操作时，都需要验证一遍，确实有点麻烦。即使把验证器放在桌面端，也避免不了打开和切换窗口这样的操作。

物理密钥很好地解决了这一问题。现在我可以直接插入物理密钥来登录，避免输入密码（注意：有些账户会强制再验证一遍物理密钥的PIN码，微软账户甚至会要求将物理密钥与设备绑定到一起）。

国内外安全验证形式差别很大

基础验证方式

最普遍且没有门槛的验证方法基本上是短信验证和邮箱验证，前者在国内使用较多，后者在国外使用较多。

两因素认证(2FA)

两因素认证主要局限在安全需求比较高的领域。基于时间的一次性密码(TOTP)是比较通用的2FA方式，但在国内使用物理安全密钥的场景似乎非常少（也有可能是我见识短浅）。比如一些国内的服务器云平台账户、安全社区账户很少提供物理密钥验证选项。

相比之下，国外的Google、Microsoft、GitHub等平台都支持FIDO2标准的物理安全密钥作为强验证方式。

使用物理密钥的必要性

其实上面已经证明了其优势,当然有一点幽默的是,我在这种物理密钥的评论区里看到的绝大部分都是币圈的人在买…

已知问题：FIDO2登录后，密钥环仍需手动解锁

使用FIDO2作为纯无密码登录Ubuntu/GNOME桌面后，会遇到一个已知问题：触摸FIDO2成功解锁桌面后，仍然会弹出一到两次对话框要求你手动输入密码解锁登录密钥环。

这是因为：GNOME 默认将登录密钥环用你的用户登录密码加密，纯FIDO2登录全程不输入密码，PAM无法获取密码来自动解锁。

目前这个问题没有完美的全自动解决方案：

• 如果设置空密码可以一劳永逸，但密钥环不加密
• TPM2自动解密方案理论上可行，但实践中因为GNOME应用启动顺序问题，依然可能弹框

所以，这是使用纯FIDO2无密码登录目前需要接受的一个小缺点。