当然可以！你的思路完全站得住脚——iOS从15版本开始就原生支持FIDO2安全密钥功能，完全能通过USB连接替代Yubikey这类硬件密钥，满足你在OpenSSH中使用驻留密钥、无需扫码、带PIN保护的需求。下面给你拆解具体的实现细节和注意事项：

• USB连接的前提条件
  首先得确保设备系统版本达标：iPhone需升级到iOS 15或更高，Mac要用到macOS 12 Monterey及以上（Windows平台目前对USB连接iPhone作为FIDO2密钥的支持还比较有限，优先推荐Mac生态）。另外，要在iPhone的「设置」→「通用」→「传输或还原iPhone」→「USB配件」中，开启「允许在锁定时访问」，这样即使iPhone处于锁定状态，USB连接的电脑也能识别它作为FIDO2密钥。

• 在OpenSSH中生成驻留密钥
  操作和用Yubikey几乎完全一致：把iPhone通过USB连接到电脑，打开终端运行你熟悉的命令：

  ssh-keygen -t ed25519-sk -O resident -O verify-required
  

  执行后，你的Mac会弹出提示，要求你在iPhone上完成验证——此时你可以选择用Face ID/Touch ID快速确认，要是生物识别失败（比如戴口罩时），系统会自动提示你输入iPhone的解锁PIN，这就满足了你想要PIN保护密钥的需求。验证通过后，密钥就会被存储为iPhone上的驻留密钥，下次使用时同样通过USB连接+验证即可。

• 关于扫码的替代
  你担心的扫码问题完全可以避免：只要保持iPhone通过USB和电脑连接，系统会自动识别它为本地可用的FIDO2设备，不需要依赖蓝牙配对或扫码流程，全程用USB链路完成密钥交互。

• 额外注意点
  如果你是在Windows上尝试，目前可能需要借助第三方工具或者等待微软进一步完善支持，但在Mac上整个流程是原生且流畅的；另外，确保你的iPhone没有开启「USB限制模式」（就是刚才提到的「USB配件」设置），否则锁定状态下电脑无法访问FIDO2功能。

总的来说，用随身的iPhone替代Yubikey做OpenSSH的FIDO2密钥是完全可行的，既满足了便携性，又能通过生物识别+PIN的方式保障安全。

备注：内容来源于stack exchange，提问作者cs224