YubiKey

YubiKey — это доминирующий бренд аппаратного ключа безопасности — маленькое USB или USB-C устройство, которое аутентифицирует вас через FIDO2 / WebAuthn протоколы. YubiKey 5 NFC (около 8 500 ₽ при доставке через посредника, $55 в официальном Yubico US магазине) — стандартная модель; 5C NFC ($55) добавляет USB-C поддержку. Коснитесь телефона или вставьте в USB-порт ноутбука, коснитесь металлического контакта, и устройство производит криптографическую подпись, которая доказывает веб-сайту, что вы — это вы. Phishing-resistant по дизайну протокола.

Почему YubiKey бьёт SMS, TOTP и пароли

Три свойства, которые складываются:

Криптографический секрет никогда не покидает устройство. Secure element YubiKey генерирует и хранит приватные ключи; хост-компьютер их никогда не видит. Даже malware, работающий с административными привилегиями на вашем ноутбуке, не может эксфильтровать YubiKey секреты.

Domain binding. Подпись YubiKey привязана к домену, который выдал credential. Фишинг-сайт на "bybit-support.com" не может попросить YubiKey аутентифицировать против "bybit.com" — браузер отказывается, потому что домены не совпадают. Это свойство, которое побеждает phishing-relay атаки против TOTP.

Требование физического владения. Чтобы использовать ключ, вам нужно коснуться его. Удалённые злоумышленники не могут запустить аутентификацию без физического присутствия на устройстве. Комбинировано с тем, что вы — единственный человек, который его держит, это поднимает стоимость атаки драматически.

Для чего российский крипто-холдер использует YubiKey

Три основных случая использования:

2FA биржевого аккаунта на Bybit, OKX, Bitget, WhiteBIT. Каждая биржа поддерживает YubiKey как второй фактор через свои настройки безопасности. Setup однократен: вставьте ключ, зарегистрируйте, биржа помнит credential. Для последующих логинов: пароль + касание YubiKey = аутентифицировано.

2FA email-аккаунта на Gmail, Outlook, Яндекс.Почта (через дополнительное расширение), ProtonMail. Email — канал восстановления для почти каждой биржи и кошелька. Компрометация email ведёт к компрометации downstream аккаунтов. YubiKey на email — одно из самых leverage-эффективных улучшений безопасности.

GitHub аутентификация, Apple ID, Microsoft Account. Для российских холдеров с development или business операциями поверх крипты эти аккаунты заслуживают YubiKey защиты по тем же причинам.

Принцип двух ключей

Всегда покупайте два YubiKey: один основной, один backup. Зарегистрируйте оба на каждом аккаунте, который поддерживает YubiKey. Храните backup в огнестойком сейфе или банковской ячейке. Общая стоимость: около 17 000 ₽ плюс несколько часов времени регистрации.

Failure mode, который "один YubiKey" создаёт: потеряйте или сломайте единственный ключ, потеряйте доступ к каждому аккаунту, который он защищает. Восстановление через альтернативный путь биржи занимает дни, иногда недели, и это именно окно социальной инженерии, которое злоумышленник эксплуатировал бы. Два ключа, зарегистрированные везде, адресуют это полностью.

YubiKey vs Passkey

Два разумных дефолта в 2026:

Passkey для повседневных аккаунтов. Банкинг (Тинькофф, Сбер), email, социальные медиа, биржевые аккаунты низких ставок. Телефон, который вы уже носите, — это storage Passkey; модель iCloud или Google синхронизации обрабатывает backup.

YubiKey для аккаунтов высокой стоимости. Биржевые аккаунты, держащие значительные балансы, email, который контролирует биржевое восстановление, GitHub, если вы поддерживаете инфраструктуру. Дискретный аппаратный ключ добавляет защиту против компрометации iCloud или Google аккаунта — класс атаки, который Passkey один не может защитить.

Для российского холдера за серединой шестизначной общей крипто-экспозиции стандартное расположение: Passkey на телефоне для повседневного использования, YubiKey 5C NFC × 2, зарегистрированные на биржевых аккаунтах и основной email, основной YubiKey на брелоке, backup YubiKey в банковской ячейке Сбера или Альфа-Банка.

Чем YubiKey не является

YubiKey — это не аппаратный кошелёк. Не хранит крипто приватные ключи и не подписывает блокчейн транзакции (ну, прошивка имеет несколько экспериментальных crypto-signing функций, но они не основное использование). YubiKey защищает ваши биржевые и email-аккаунты; аппаратный кошелёк защищает ваши крипто-ключи. Это два отдельных устройства, делающих две отдельные работы.

Дополнительное чтение: Passkey, 2FA, Правда о 2FA.