20220802

昨天似乎七点左右就睡着了，十点多醒。没起来就躺床上摸鱼，接近转钟了炸点薯条吃，然后进书房。一开始看了会儿passkey之类的，感觉就目前而言，似乎也算个不错的方案了。我之前脑洞登陆的方案，想的是类似于手机验证码登陆，服务方给我host的认证服务发条信息，用我的公钥加密，然后我的认证服务用私钥解密发回去。其实跟passkey的流程一样，但是服务方为什么要接受我的公钥和host的认证服务呢？苹果其实也扮演了类似于第三方担保的角色。而且我脑洞的认证方式还有个大问题，就目前来说，要让服务方给我发消息肯定是给我的域名发，这样域名就可以用来当成我的身份标识了，即使我的认证服务能够管理同一服务的多个账户。好像现在用邮件注册也有类似的问题，识别某个邮箱是属于个人域名的应该不是很难吧？这样就可以把一个域名上的所有邮箱都当成一个人了。好像也不对，公司邮箱也是这么用的，可能还是不好识别。看了眼hacker news上的评论，也提到不少问题，比如这样私钥是跟某台iOS设备绑定的，丢掉了很麻烦，虽然可以找回来……据说可以用解锁的passcode。另一个问题是私钥是加密存储在keychains里面的，说是有端对端加密，但这种东西肯定不能完全信任苹果啊。最好还是能取消同步，并且有其它的导出备份方式。有人提到了FIDO协议，似乎可以用iOS设备去给非苹果机器上提供密码，这个倒是挺有意思的。YubiKey我很早就知道了，在我的淘宝收藏夹里躺了好久，似乎没什么必要去买。目前用VaultWarden感觉还行，不依赖任何第三方，密码的安全性方面肯定比公钥私钥体系要弱就是。看完了还有的是时间，刷一刷leetcode，四点了懒得动了就躺回去吹空调。五点钟爬起来跑跑步，听听播客，打打mhr。过完早躺回床上听听lecture，很快就睡着了。九点换个地方继续睡，又睡过了一点。起来调个油醋汁，浇在买菜时买的现成沙拉上，它送的酱汁就不用了。午饭后继续打打mh，搞一套龙属性贯穿弓，之后试试打冥渊龙看看。下午摸鱼半天，练了下口语，一会儿就三点多了，看会书算了。五点钟记下流水账，等下弹弹琴吃晚饭睡觉了。

发自我的iPhone