
<div dir="ltr">It's possible to generate a key on a regular computer and transfer it to a YubiKey if you prefer. (It's not like software key generation has been flawless either; [OpenSSL/Debian fiasco]. Oh well, such is life).<div><br></div><div>Even if you're not going to put your SSH keys on a YubiKey, I _strongly_ encourage folks to get a Security Key (aka U2F device), of which YubiKeys are one brand, and use it for 2FA with Google/Github/Facebook/etc. In addition to (IMO) being more usable than Google Authenticator, Security Keys are resistant to phishing, which is a huge win.</div><div><br></div><div>Alex</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Dec 11, 2017 at 7:57 AM, Stefan Krah <span dir="ltr"><<a href="mailto:stefan@bytereef.org" target="_blank">stefan@bytereef.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, Dec 11, 2017 at 01:47:50PM +0100, Victor Stinner wrote:<br>

> 2017-12-11 13:29 GMT+01:00 Stefan Krah <<a href="mailto:stefan@bytereef.org">stefan@bytereef.org</a>>:<br>

> > Ssh isn't available everywhere, I don't want to install an app or give<br>

> > out my phone number to half of Silicon Valley [1].<br>

><br>

> SMS and FreeOTP are just a few options that you have to generate/get OTP.<br>

><br>

> I suggest to use Yubikey. It doesn't need to install an app or to give<br>

> your phone number, but it costs 50$. The advantage is that you can use<br>

> it to store your SSH and GPG keys.<br>

<br>

<br>

</span>I'm not a fan of hardware key generation. :-)<br>

<br>

<br>

<a href="https://en.wikipedia.org/wiki/YubiKey" rel="noreferrer" target="_blank">https://en.wikipedia.org/wiki/<wbr>YubiKey</a><br>

<br>

"In October 2017, security researchers found a vulnerability (known as ROCA) in the implementation of RSA keypair generation in a cryptographic library used by a large number of Infineon security chips. The vulnerability allows an attacker to reconstruct the private key by using the public key.[18][19] All YubiKey 4, YubiKey 4C, and YubiKey 4 nano within the revisions 4.2.6 to 4.3.4 are affected by this vulnerability.[20] Yubico publicized a tool to check if a Yubikey is affected and replaces affected tokens for free.[21]"<br>

<div class="HOEnZb"><div class="h5"><br>

<br>

<br>

<br>

______________________________<wbr>_________________<br>

python-committers mailing list<br>

<a href="mailto:python-committers@python.org">python-committers@python.org</a><br>

<a href="https://mail.python.org/mailman/listinfo/python-committers" rel="noreferrer" target="_blank">https://mail.python.org/<wbr>mailman/listinfo/python-<wbr>committers</a><br>

Code of Conduct: <a href="https://www.python.org/psf/codeofconduct/" rel="noreferrer" target="_blank">https://www.python.org/psf/<wbr>codeofconduct/</a><br>

</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr">"I disapprove of what you say, but I will defend to the death your right to say it." -- Evelyn Beatrice Hall (summarizing Voltaire)<br>"The people's good is the highest law." -- Cicero</div><div dir="ltr">GPG Key fingerprint: D1B3 ADC0 E023 8CA6<br><div><br></div></div></div></div></div>

</div>