@huijiewei #47 感谢，学到了。
我的理解：
1. AlDente 目前是通过一个后台常驻进程，不断循环检测当前电量，如果电量高于用户设定值，则向 SMC 中 CH0B 这个 key 里写入 `01` 以停止充电，反之则写入 `00` 使电池开始充电。
2. 而 bclm 是往 SMC 里 CHWA 这个 key 里写入数值（ 80 or 100 ），直接设定充电上限，而至于固件具体如何遵守这个上限进行充放电，则是 Apple 官方固件做的实现。因此 bclm 不需要常驻后台不断检测电量，它就是一个简单的一次性命令。

所以你说 bclm 更先进一些。不知道这样理解对不对。

另外，这些方法重启后均会失效，因为 Apple Silicon 重启就相当于必然重置 SMC 设置。sudo bclm persist 相当于是创建一个启动项，每次电脑开机自动执行一次 bclm write 80.

账号 B 先改成一个不常用邮箱；等待一段时间后（大约 30 天？）将账号 A 的 Apple ID 邮箱改成原来 B 释放出来的邮箱。如果你没遇到特别奇怪的风控的话，这个流程应该是可行的，我最近刚操作过。

接下来，账号 B 注销与否就看个人了。B 注销时刻使用的那个「不常用邮箱」在 B 注销后一段时间后会不会释放出来，还是说永远不能用于注册新 ID 了这我就不知道了。

点进来之前猜到了

我直接把忘切英文输入法最常出现的那个中文词 alias 到 “cd” 了（纯属娱乐 没什么实用价值 类似于 alias please=“sudo”）

@MrGba2z #3

1. 是全功能，但漫游时电话短信贼贵： https://www.three.com.hk/prepaid/DIY/tc/faq/pp02/

但我有个猜测，不保证准确：之前我余额 20 的时候经常接到香港的骚扰电话（几乎每天。但看到陌生号码我一般不接起来），后来因为打电话被扣了 2 次 8HKD ，余额只有 4 块钱了，在内地期间连续几个月再也没接到过香港电话。会不会是这卡在余额不足 1min 漫游通话价格（即 8 元）的情况下，就直接不能接电话、不响铃？

3HK DIY 应该是不能 Wi-Fi Call （我指的是 iOS 原生支持的那种 Wi-Fi Call ，#4 说的借助 VoIP App 的我不了解），3HK 的储值卡基本都没给这功能，这张卡即使在香港应该也不能用 Wi-Fi Call

@snw #22 因为防疫期间出入境证件管理大收紧，「全国通办」政策直接没了。别说「全国通办」，那段时间旅游签什么的不都直接停办了嘛。

@snw #20 OP 没说具体什么时间去，但是看了下近期上海直飞香港挺便宜啊，还不用在深圳折腾。

尤其春秋航空那个上海到香港含税价才 380 - 500 左右。（之前坐过这班，空中绿皮，舒适度当然是很一般，但是便宜准点，“从一地移动到另一地”的基本目的达到了我很满意）

刚才携程简单搜了下到深圳的机票，时间点稍微好点儿的，含税价都超过直飞香港了😄

@luodan #8 另外我觉得虽然“可以说” YubiKey 插入电脑时，由于物理隔离程度下降，*物理空间* 安全性有所下降，但直接说为 0 是不是有点儿夸张了。

由于物理密钥的硬件设计和固件设计，它至少密钥还在 Key 里，和密码管理器那种数据都在 *电脑内存* 里的情况还是有所不同的吧。而且我觉得这种不同，多少还是可以视作物理空间上的不同。

@luodan #8 这样说的话，使用密码管理器（密码库一直在电脑里）也是把所有安全措施限死在软件空间了，所以使用密码管理器比把所有密码刷在墙上的安全性都还低。

说实话我没太 get 到这个比喻要表达的逻辑：
- 是想表达只依赖软件空间安全措施的安全性太低（甚至低于把密码刷墙上这种看上去荒谬的做法，所以结论是仅依赖软件空间的安全措施很不靠谱）；
- 还是想说其实在保证现实中房子无外人物理侵入的情况下，把密码刷墙上的安全性已经很高，甚至高过所有安装在电脑里的密码管理器？所以结论是证明把密码刷墙上其实也靠谱？

但不管怎么说，从实用角度，很多人还是选择密码管理器这种方案的。

----
虽然我现在已经不长期插着 YubiKey 了（#5 ），但还是比较好奇有没有比较 solid 的证据证明一直插着的不安全性。

我个人理解：使用 YubiKey 即使不长期插着，至少用的时候还是要插的，无法避免与电脑之间的信息交换，有一部分安全性还是依赖 YubiKey 本身的固件设计的（比如 key 内的密钥不可 copy 出来之类的），长时间插着无非就是增加了与电脑接触的时长，属于量变不是质变；
其安全性仍然不如密码刷墙上这种，仅靠光学信息 -> 人脑处理 -> 控制肌肉打字 这种数据传输方式。

试试 Google 图片搜索？你举例的这两个卡应该都能搜到比较高清的，
比如： https://www.yxss.com/news/7478.html
https://img.yxss.com/m00/ac/ed/4515f1db0c56f0d2906d9f5eb19c30fd.png

但忍不住歪个楼：
- 如果你很喜欢自己那张实体卡，或者说作物品归档信息登记之用，那建议实拍；
- 如果你不在乎是否实体卡，只是想经常把高清卡面拿出来欣赏一番，那手机 Apple Pay 就可以。

我也有一个管理自己贵重物品的电子表格，但是里面纯文字无图片。基本就是物品名称，分类，存放地点，购入日期/价格，备注等等。银行卡就是「招商银行尾号 xxxx 信用卡 - 银联 - YOUNG 」, ... 这样。仅供参考

我个人这样已经够了，因为大部分银行卡实体卡是收藏起来吃灰八百年不拿出来的，记住自己放哪了就行了哈哈🤣。

@luodan #6 从应用方面讲，可以提示一下有什么具体的「大幅降低安全性」的例子吗？

我感觉个人常用的几个功能（ FIDO2 2FA, Passkey ，GPG 签名）好像都需要输入 PIN 或者触摸确认，个人直观感觉好像一直插着并没有明显降低安全性（我能想到的降低安全性的可能，就是有什么木马程序在用户不知情的情况下操作了 一直插在电脑上的 YubiKey ；但是好像 YubiKey 的设计并不容易在用户不知情的情况下被操作）

注：我的情况是笔记本电脑，不是办公室台式机；平时基本上在家，不考虑其他人物理接触的风险。

Quantumult X 默认应该是 Tunnel Mode ，你可以把 .gitconfig 中的代理设置删掉

@imnpc #2 昨天想了想，现在很多网站支持 Passkey 了（不支持 Passkey 的那些网站“大概率”也不支持用 YubiKey 硬件密钥做 2FA ），YubiKey 用得越来越少了，我也决定平时不长期插着了🤣

@alex66 #4 YubiKey 里大部分资料是被设计为可写不可读的，（不考虑严重漏洞的情况下）理论上无法把 YubiKey 里保存的密钥复制出来。
一般来说，如果要“备份” YubiKey ，一般是把这个两个 YubiKey 用同样的方法设置一遍。比如说作为 2FA ，就在网站上把两个 YubiKey 都设置为 2FA 设备。

@imnpc #2 感觉非常注重安全的时候确实可以考虑这么做。

但是我感觉太麻烦了，平时登录网站 2FA 或者 git 签名之类的频繁插拔不方便。
另外，大部分操作都需要触摸确认或输入 PIN ，这应该避免了绝大多数「电脑中有恶意程序偷偷利用一直插着的 Key 做坏事」的风险。

好像…… 有点儿破案了，大概是我没理解 YubiKey PIV 机制的锅

众所周知，macOS 第一次开机 Login 的时候是必须输入密码的，后续的锁屏就可以使用 Touch ID 解锁。所以这次输入密码可以认为起到了两个效果：

1. 登录用户，解锁屏幕，进入桌面
2. 激活后续的 Touch ID 功能

而如果设置了 YubiKey 的 PIV 功能（设置方法在 https://support.yubico.com/hc/en-us/articles/360016649059-Using-Your-YubiKey-as-a-Smart-Card-in-macOS 供参考），在插着 YubiKey 的情况下就可以用 YubiKey 的 PIN 代替输入 macOS 密码，用于 Login 或者 unlock screen 。但是这里使用 YubiKey PIV login 时，仅仅是登入或解锁，却无法起到上述的第 2. 条效果 -- 激活 Touch ID 。

我由于平时几乎一直插着 YubiKey ，所以好久没有输入过完整的 macOS 密码了，每次都用 PIV PIN 解锁，所以始终都没能激活 Touch ID 。解决方法是，拔掉 YubiKey ，完整输入一次 macOS 的本地密码，下次就可以用 Touch ID 了。

@mschultz #3

但根据你的描述，你回家后用 Google Authenticator 和 Microsoft Authenticator 都扫描了新的 QR Code ，也就是说此时（如果点了确认的话）两个 App 中保存的都是密钥 B ，也就是最新生效的密钥，所以不应该有问题。所以你无法登入的情况就很奇怪了。

话说你回家后在 GitHub 设置中第二次扫码之后输入 6 位数字点确认了么？

那个二维码（ TOTP secret ）只会显示一次。所以如果你想在多个 Authenticators 里保存这个密钥，那么就必须用多个 Authenticators （你的情况是 Microsoft Authenticator 和 Google Authenticator ）扫描 **同一个** QR Code 。你也可以截图这个 QR Code 之后扫描（当然，需自行保证截图的安全）。

如果你在公司先设置好了 Microsoft Authenticator 之后点了确认（此时 Microsoft Authenticator 中保存了密钥，我们记为 A ）；
之后回家又在 GitHub 的设置页面 **再次** 试图设置 2FA ，GitHub 又显示了一个 QR Code ，这次你用 Google Authenticator 扫描了（记为 B ），如果你此时点了确认，那么密钥 A 即失效。

参考文档：

https://docs.github.com/en/authentication/securing-your-account-with-two-factor-authentication-2fa/configuring-two-factor-authentication

> To configure authentication via TOTP on multiple devices, during setup, scan the QR code using each device at the same time or save the "setup key", which is the TOTP secret. If 2FA is already enabled and you want to add another device, you must re-configure your TOTP app from your security settings.

@mschultz #5 如果你是嫌美卡在国内漫游太贵，想找个在国内漫游相对便宜又支持 eSIM 的平替（不要求 +86 ），这个话题站内应该有不少讨论了，可以搜一下。#4 楼说的 3HK DIY 也是一个选项。

不知道你要找的是啥的平替，手机卡，还是手机？

手机卡的话，如果你要的是同时满足「 1.不换手机 2.要用+86 卡」，我能想到的就是移动无忧行之类的，可以用 App 接打电话。https://www.jegotrip.cn

@kiwi95 #25 你可能使用环境/负载/运气比较好。我之前一台 Mac 用了 6 年电池鼓包（当然这也算耐用了），换了下一台 Mac 1 年电池鼓包（这就很离谱了）。