出售二手YubiKey /工厂重置YubiKey的安全风险

Question

我是一个自豪的拥有一个YubiKey 5 NFC，并已经使用了很长一段时间。我想用另一个运行稍新固件的YubiKey 5 NFC替换它。我几乎使用了YubiKey提供的所有功能，包括Yubico、PIV (X.509证书)、OpenPGP、FIDO2、U2F，并为“长触摸槽”配置了静态密码。

假设我想把我的YubiKey卖给一个陌生人。他们的官方文档中的Yubico描述的工厂重置程序是否足够安全和可靠，以至于无法

• 登录到我的任何帐户(FIDO2、U2F和Yubico )，其中我忘记禁用已使用的YubiKey，
• 使用或恢复存储在设备上的任何RSA私钥，
• 使用或恢复我在YubiKey上配置的静态密码。

我还使用NFC功能来验证RFID保护门锁的工作。我说的对吗?没有办法永久地更改YubiKey的UID吗？

Answer 1

不幸的是，我们无法确定。尽管文档被期望是准确的，但是将来可能会发现一些硬件或软件缺陷(与任何产品一起)。

因此，您应该估计数据的价值和所涉及的风险。

经验法则是:不要出售Yubikey，如果潜在的损失/危害会高于你从出售它得到的钱的数额。