定义
YubiKey 是 Yubico 公司(瑞典 / 美国)生产的硬件密钥产品系列。形态上是一根 USB / NFC 接口的物理小棒。它支持 FIDO2 / WebAuthn / U2F / TOTP / Smart Card / OpenPGP 等多种协议 —— 同一根棒子可以同时给 Google 账户、Binance、GitHub、邮箱用,互不打架。
核心特点:私钥在硬件芯片里生成、由芯片保管、永远不会以明文出芯片。物理上偷不到、远程上读不到 —— 这是它和软件 2FA 最根本的差别。
抗钓鱼原理
跟 Passkey 同协议同原理:FIDO2 签名里带 origin 域名字段。在 binnance.com(钓鱼站)触发 YubiKey 签出来的内容跟 binance.com 的公钥对不上,真站拒绝登录。
跟 TOTP 的本质区别:你不需要"输入"任何数字。"按一下"这个动作是用来证明"我人在场",不是用来传递数据。没有数据可以传递,钓鱼站中继自然失败。
跟 SIM Swap 的关系:完全免疫。YubiKey 的钥匙就在你手上那根金属棒里,运营商客服跟它没有任何关系。
主要型号(2026 年)
YubiKey 5C NFC:USB-C + NFC,最适合 Mac + 安卓 / iPhone 组合。50 美元一支。中文圈优先推这款。
YubiKey 5Ci:USB-C + Lightning,专门为旧 iPhone 用户准备。iPhone 15 之后全 USB-C 这款意义下降。
YubiKey 5C Nano:常驻 USB-C 口的迷你款。适合台式机长期插着不拔。
Security Key C NFC(蓝色款):只支持 FIDO2 / U2F 一种协议,便宜一半(约 25 美元),适合预算紧的人。
实战要点
一定买两支。主用 + 备用。备用放抽屉,绑同样的服务,丢主的时候有备的可以救命。
确认渠道。淘宝拼多多有大量假货,假密钥实际上是软件模拟,安全等级直接退回 TOTP。Yubico 官网或亚马逊海外仓是正规渠道。
更多推演:2FA 的真相、MetaMask 安全使用。