YubiKey — це домінуючий бренд апаратного ключа безпеки — малий USB або USB-C пристрій, що автентифікує вас через FIDO2 / WebAuthn протоколи. YubiKey 5 NFC (близько 3 800 ₴ при доставці через посередника, $55 в офіційному Yubico US магазині) — стандартна модель; 5C NFC ($55) додає USB-C підтримку. Торкніться телефона або вставте в USB-порт ноутбука, торкніться металевого контакту, і пристрій виробляє криптографічний підпис, що доказує веб-сайту, що ви — це ви. Phishing-resistant за дизайном протокола.
Чому YubiKey б'є SMS, TOTP і паролі
Три властивості, що складаються:
Криптографічний секрет ніколи не покидає пристрій. Secure element YubiKey генерує і зберігає приватні ключі; хост-комп'ютер їх ніколи не бачить. Навіть malware, що працює з адміністративними привілеями на вашому ноутбуці, не може ексфільтрувати YubiKey секрети.
Domain binding. Підпис YubiKey прив'язаний до домена, що видав credential. Фішинг-сайт на "whitebit-support.com" не може попросити YubiKey автентифікувати проти "whitebit.com" — браузер відмовляється, бо домени не збігаються. Це властивість, що перемагає phishing-relay атаки проти TOTP.
Вимога фізичного володіння. Щоб використати ключ, вам потрібно торкнутися його. Віддалені зловмисники не можуть запустити автентифікацію без фізичної присутності на пристрої.
Для чого український крипто-голдер використовує YubiKey
Три основних випадки використання:
2FA біржового акаунта на WhiteBIT, Bybit, OKX, Bitget. Кожна біржа підтримує YubiKey як другий фактор через свої налаштування безпеки. Setup однократний: вставте ключ, зареєструйте, біржа пам'ятає credential. Для подальших логінів: пароль + торкання YubiKey = автентифіковано.
2FA email-акаунта на Gmail, Outlook, Ukr.net (через додаткове розширення), ProtonMail. Email — канал відновлення для майже кожної біржі і гаманця. Компрометація email веде до компрометації downstream акаунтів. YubiKey на email — одне з найбільш leverage-ефективних покращень безпеки.
GitHub автентифікація, Apple ID, Microsoft Account, Дія (підтримка планується). Для українських голдерів з development або business операціями поверх крипти ці акаунти заслуговують YubiKey захисту з тих самих причин.
Принцип двох ключів
Завжди купуйте два YubiKey: один основний, один backup. Зареєструйте обидва на кожному акаунті, що підтримує YubiKey. Зберігайте backup у вогнетривкому сейфі або банківській комірці. Загальна вартість: близько 7 600 ₴ плюс кілька годин часу реєстрації.
Failure mode, що "один YubiKey" створює: втратите або зламайте єдиний ключ, втратите доступ до кожного акаунта, який він захищає. Відновлення через альтернативний шлях біржі займає дні, іноді тижні, і це саме вікно соціальної інженерії, яке зловмисник експлуатував би.
Для українців воєнного часу: розгляньте збереження backup YubiKey за кордоном (Польща, Литва через довіреного родича) — корисна стратегія проти ризиків ескалації, що знищать інфраструктуру в Україні.
YubiKey vs Passkey
Два розумних дефолти в 2026:
Passkey для повсякденних акаунтів. Банкінг (Приват24, monobank), email, соціальні медіа, біржові акаунти низьких ставок. Телефон, який ви вже носите, — це storage Passkey; модель iCloud або Google синхронізації обробляє backup.
YubiKey для акаунтів високої вартості. Біржові акаунти, що тримають значущі баланси, email, що контролює біржове відновлення, GitHub, якщо ви підтримуєте інфраструктуру. Дискретний апаратний ключ додає захист проти компрометації iCloud або Google акаунта — клас атаки, який Passkey один не може захистити.
Для українського голдера за серединою шестизначної загальної крипто-експозиції стандартне розташування: Passkey на телефоні для повсякденного використання, YubiKey 5C NFC × 2, зареєстровані на біржових акаунтах і основний email, основний YubiKey на брелоку, backup YubiKey у банківській комірці Привата.
Чим YubiKey не є
YubiKey — це не апаратний гаманець. Не зберігає крипто приватні ключі і не підписує блокчейн транзакції. YubiKey захищає ваші біржові і email-акаунти; апаратний гаманець захищає ваші крипто-ключі. Це два окремі пристрої, що виконують дві окремі роботи.
Подальше читання: Passkey, 2FA, Правда про 2FA.