2025 年最佳 FIDO2 硬件安全密钥

随着网络钓鱼、数据泄露和身份盗用等网络威胁日益增多，仅依靠密码已不再足够。多因素身份验证 (MFA) 已成为保护敏感信息的必要手段，而硬件安全密钥是目前最安全的 MFA 方法之一。

硬件安全密钥通过一个安全的加密过程验证您的身份，从而提供额外的保护层。与短信验证码等传统的双因素验证方法不同，硬件安全密钥能够抵御网络钓鱼攻击，在各种设备和平台上提供更可靠、更无缝的身份验证体验。

在本博客中，我们将回答您在 2025 年选择合适硬件安全密钥时可能遇到的关键问题：

1. 对于寻求价格实惠且易于使用的初学者来说，哪款安全密钥是最佳选择？

2. 对于需要高级功能和多功能性的高级用户来说，哪款安全密钥是最佳选择？

3. 对于希望保护多名员工账户的企业来说，哪款安全密钥是最佳选择？

4. 带生物识别和不带生物识别的安全密钥之间有何关键区别？

5. 我应该在安全密钥上花多少钱？哪些功能值得这个价格？

6. 我真的需要一个备用安全密钥来确保我的账户安全吗？

这些问题将帮助您找到最适合的安全密钥，以保护您的在线账户安全。

硬件安全密钥是一种小型的物理设备，它通过在登录时要求您验证身份，为您的在线账户增加了一层额外的保护。这些密钥通常只有 U 盘大小，可以通过 USB、USB-C 插入您的设备，或通过 NFC 无线使用。它们通过生成一个加密密钥对——公钥和私钥——来工作，其中私钥安全地存储在设备上，用于证明您的身份。

硬件安全密钥常被比作传统钥匙，但它们解锁的不是门，而是您的在线账户。您可以将它们视为物理钥匙的数字等价物，确保只有您才能访问您的信息，即使别人知道了您的密码。

虽然硬件安全密钥是保护您在线数据的最安全方法之一，但也存在风险，例如丢失或被盗。如果发生盗窃，请务必记住，仅凭密钥本身不足以访问您的账户——许多密钥需要 PIN 码或生物识别验证来增加保护。但是，如果您的密钥丢失或被盗，迅速采取行动至关重要。

为了降低这些风险，强烈建议使用备用密钥。注册第二个密钥可确保在主密钥丢失或损坏时，您永远不会被锁定在账户之外。此外，一些服务允许您注册其他形式的 MFA，例如验证器应用或备用代码，作为次要身份验证方法。

选择硬件安全密钥时，请确保选择一款能抵抗物理篡改的密钥。寻找那些耐用、防水防尘且设计能承受磨损的密钥。这种额外的耐用性可确保您的密钥即使在恶劣环境下也能保持功能和安全。

硬件安全密钥主要用作双因素身份验证 (2FA) 中的第二个因素，这意味着它们在输入密码后用于验证您的身份。这提供了一个额外的安全层。

然而，硬件安全密钥也可以用作身份验证的唯一因素。其中一些本身就是一种双因素验证。它们要求拥有硬件密钥本身（您所拥有的东西），并要求输入 PIN 码（您所知道的东西）或使用生物识别扫描（您自身的特征）。通过这种方式，它们提供了无密码身份验证和对网络钓鱼的防护。

总的来说，本文旨在帮助注重安全的个人和企业决定硬件安全密钥是否是正确的选择。无论您是想保护个人账户，还是为公司员工实施解决方案，了解硬件安全密钥背后的技术是做出明智决策的关键。

在本节中，我们将探讨硬件安全密钥背后的一些关键技术，特别是为现代身份验证系统提供支持的 WebAuthn 和 FIDO2。理解这些概念将帮助您掌握硬件安全密钥如何增强安全性，并提供更无缝的无密码登录体验。让我们仔细看看 WebAuthn，它是安全密钥功能的核心。

WebAuthn（Web Authentication，网页身份验证）是由 FIDO 联盟和万维网联盟 (W3C) 开发的一个现代开放标准。它允许用户使用公钥加密技术在网站和应用程序上安全地进行身份验证，用更强的身份验证方法取代传统密码。

安全密钥在 WebAuthn 中扮演着重要角色，作为证明您身份的物理设备。当您在兼容 WebAuthn 的网站上注册安全密钥时，它会在服务器上存储一个公钥，同时将私钥安全地保存在硬件安全密钥上。登录时，服务器向安全密钥发送一个挑战，密钥使用私钥对其进行签名并将其发回以供验证。如果挑战被正确签名，服务器就会授予访问权限，而无需密码。

这个过程显著降低了网络钓鱼攻击的风险，因为身份验证需要一个物理设备（安全密钥），并且与特定的网站或应用程序绑定。与传统的基于密码的身份验证不同（被盗凭证可用于多个平台），WebAuthn 确保您的凭证只能用于其注册的特定网站。

WebAuthn 标准在 Chrome、Safari、Firefox 和 Edge 等主流浏览器中得到广泛支持，使其成为无密码身份验证的理想解决方案。通过利用安全密钥，用户可以从增强的安全性、更好的用户体验和减少对密码的依赖中受益。

在了解 FIDO2 之前，了解 CTAP 很重要。那么，CTAP 到底是什么？CTAP，即客户端到验证器协议（Client To Authenticator Protocol），是一种促进安全密钥与客户端设备（如智能手机或计算机）之间通信的协议。通过利用 CTAP，安全密钥可以与客户端设备交互以执行安全身份验证操作。

CTAP 是一种定义安全密钥与请求身份验证的设备之间交互的协议。它的工作原理是将身份验证挑战从客户端设备发送到安全密钥。然后，密钥用其私钥对挑战进行签名并返回签名后的响应，从而实现无需密码的安全身份验证。

CTAP 通过促进兼容 WebAuthn 的客户端与硬件安全密钥之间的交互来实现无密码身份验证。该协议确保登录时无需密码，因为身份验证基于硬件安全密钥的唯一私钥，使其能够抵抗网络钓鱼和中间人攻击。

CTAP 是 FIDO2 生态系统的一个关键组成部分，因为它允许硬件安全密钥与客户端设备通信，支持跨平台的无密码登录。该协议确保了像 USB 或支持 NFC 的安全密钥等设备可以与应用程序安全交互，使身份验证过程无缝且安全。

虽然 WebAuthn 为无密码身份验证提供了核心功能，但 FIDO2 通过将 WebAuthn 与 CTAP 相结合，使其更进一步。它们共同构成了一个完全无密码且安全的身份验证系统的基础。FIDO2 允许用户利用安全密钥进行更强大、更灵活的身份验证过程，确保只有合法用户才能访问其账户，同时保护隐私和安全。

随着网络安全的不断发展，对更强大、更可靠的身份验证方法的需求导致了硬件安全密钥的兴起。这些物理设备是比短信或应用程序生成的验证码等传统方法更安全的选择。硬件密钥提供一种多因素身份验证 (MFA)，使用加密协议来证明您的身份并保护您的在线账户。

使用硬件安全密钥的整个过程涉及几个基本步骤，通常从注册开始，然后是身份验证和验证。以下是其工作原理的简单分解：

1. 注册： 在设置硬件安全密钥时，您首先需要将其注册到一个支持硬件身份验证的在线服务（例如，网站或应用程序）。此过程涉及将密钥插入您的设备（或使用 NFC 功能进行无线身份验证），并在该服务的服务器上存储一个公钥。作为身份验证关键的私钥则安全地存储在硬件密钥本身。

2. 身份验证： 要登录该服务，您首先输入用户名和密码。然后，该服务会向您的硬件密钥发送一个加密挑战。密钥使用其私钥对该挑战进行签名，这证明了密钥的物理存在以及请求来自授权用户。

3. 验证： 签名后的挑战被发送回服务器。服务器使用在注册期间存储的公钥对其进行验证。如果签名匹配，您将被授予访问权限，登录过程完成。

通过依赖加密密钥，硬件安全密钥消除了每次登录时输入密码的需要，提供了更流畅、更安全的体验。密钥的物理拥有性是这种方法能够抵抗网络钓鱼、中间人攻击和凭证填充攻击的关键。

要理解硬件安全密钥的稳健性，深入了解使其安全的内部加密过程非常重要。硬件密钥基于公钥加密技术，该技术涉及两个关键组件：一个公钥和一个私钥。

• 公钥： 此密钥在注册过程中存储在服务器上。它对所有人可见，并由服务器用于验证安全密钥发送的身份验证挑战。

• 私钥： 私钥安全地存储在硬件密钥内部。此密钥永远不会暴露给外部设备或系统，但根据密钥类型（可发现或非驻留），私钥的管理方式可能有所不同。当用户尝试登录时，硬件密钥会用其私钥对挑战进行签名。

这种非对称加密确保即使公钥被截获，攻击者也无法使用它，因为他们无法访问私钥。

为了更好地理解通行密钥和硬件安全密钥之间的关系，掌握可发现凭证（驻留密钥）和不可发现凭证（非驻留密钥）的概念非常重要。这两种类型的密钥决定了通行密钥的存储和访问方式。

• 可发现凭证（驻留密钥）： 可发现凭证直接存储在验证器内部。这使得验证器能够独立识别和访问与特定服务关联的私钥，而无需外部标识符，例如凭证 ID。然而，可发现凭证会占用验证器本身的空间，这可能会限制可以存储的凭证数量。请注意，根据定义，通行密钥始终作为可发现凭证实现，使其成为遵循此存储模型的驻留密钥的特定子集。

• 不可发现凭证（非驻留密钥）： 不可发现凭证不直接存储在验证器上。相反，验证器使用其内部主密钥和一个种子（包含在凭证 ID 中）在每次身份验证期间临时派生私钥。这些派生的密钥仅在内存中短暂存在，并在使用后被丢弃。这种方法允许无限数量的凭证，而不会消耗验证器上的永久存储空间，因为只需要存储主密钥。

硬件安全密钥是一种物理设备，旨在为您的在线账户提供额外的安全层。它通过生成一个独特的加密密钥对——一个公钥和一个私钥——来工作。公钥存储在您想要保护的服务的服务器上，而私钥则安全地存储在硬件密钥本身。在登录过程中，服务器向安全密钥发送一个挑战，密钥使用其私钥对其进行签名并将其发回以供验证。这个过程确保只有物理上拥有该密钥的人才能访问该账户。

与基于短信的双因素身份验证 (2FA) 或验证器应用等传统身份验证方法相比，硬件安全密钥具有几个优势：

1. 防网络钓鱼：与可能受到网络钓鱼和中间人攻击的基于短信的 2FA 或验证器应用不同，硬件安全密钥提供了一层额外的保护，能够抵御这些威胁。由于身份验证过程与特定网站或服务绑定，攻击者无法诱骗您在虚假网站上使用密钥。

2. 无需密码：硬件安全密钥支持无密码登录，这意味着您无需输入密码即可进行身份验证。这不仅简化了登录过程，还消除了基于密码的攻击（如暴力破解或凭证填充攻击）的风险。

3. 易于使用：一旦设置好，硬件安全密钥的使用就非常简单。您只需将密钥插入设备或在支持 NFC 的手机上轻触一下，即可完成身份验证。这比手动输入验证器应用中的代码或等待短信到达要快得多、方便得多。

4. 耐用性：硬件安全密钥设计坚固，能防水、防尘和防物理篡改。这使它们比可能被恶意软件或 SIM 卡交换攻击攻破的智能手机应用或短信更可靠。

随着网络安全威胁的演变，组织越来越多地采用硬件安全密钥来加强其对网络钓鱼和其他恶意攻击的防御。这些物理设备提供强大的多因素身份验证 (MFA)，与基于短信的验证或 TOTP 等传统方法相比，提供了更高水平的安全性。

几家大公司已在内部推广安全密钥，以提高员工账户的安全性。例如，在 2023 年，Discord 为所有员工实施了 YubiKey，消除了先前身份验证方法中的漏洞。通过采用硬件密钥，Discord 确保每位员工都使用一种安全、防网络钓鱼的身份验证形式。

同样，在 2021 年，Twitter 从各种易受网络钓鱼攻击的 2FA 方法迁移到强制使用安全密钥。此举有助于防止类似过去安全漏洞的事件发生，成功集成了 FIDO2/WebAuthn 协议，以实现更安全的内部系统。

Cloudflare 也在 2022 年向所有员工发放了安全密钥，作为其向 FIDO2 和零信任架构迁移的一部分。这一举措确保了 Cloudflare 的系统保持安全，提供了防网络钓鱼的身份验证，并降低了凭证被盗的风险。

此外，在 2025 年初，T-Mobile 部署了 200,000 个 YubiKey，以增强其员工队伍的安全性。这次部署是 T-Mobile 提高其内部系统对网络钓鱼和未经授权访问的防护策略的关键部分，进一步巩固了安全密钥作为注重强大网络安全的企业行业标准的地位。

这些例子凸显了公司采用安全密钥作为保护其系统标准的日益增长的趋势，表明对这些设备在保护数字身份和敏感数据方面的依赖性越来越大。

虽然基于 USB 或 NFC 的硬件安全密钥是最常用的形式，但一些组织，特别是大型企业或政府机构，会选择一种替代方案：FIDO2 智能卡。

FIDO2 智能卡提供与传统安全密钥相同的防网络钓鱼身份验证标准，但其形式是信用卡大小的徽章。这种形式对于那些已经发放员工身份证并希望将物理建筑门禁、身份验证和数字登录整合到单个设备中的组织特别有用。

根据型号的不同，智能卡可以包括：

• 指纹传感器（生物识别身份验证）
• 蓝牙/BLE 连接（用于无需读卡器的无线登录）
• 与卡片打印机集成，用于大规模发行和个性化

例子包括来自 HID、Thales、Feitian、TrustSec、ZWIPE 和 SmartDisplayer 的卡片。特别是在智能卡已经是物理安全基础设施一部分的环境中，它们代表了传统安全密钥的一种强大且可扩展的替代方案。

在选择硬件安全密钥时，您通常会遇到两大类：

类别一：简单令牌（仅支持 FIDO）

• 支持基本协议：FIDO2/WebAuthn（硬件绑定的通行密钥）和 FIDO U2F。
• 适用于大多数消费者和典型用例，如保护 Windows 应用程序。

类别二：扩展令牌（多协议）

• 支持除基本 FIDO2 之外的多种协议，包括 OATH-TOTP、OATH-HOTP、智能卡 (PIV)、OpenPGP 和 Yubico OTP。
• 适用于需要额外功能和多功能性的高级用户、开发人员和企业。

在这种情况下，考虑几个关键因素以确保设备满足您的安全和便利需求非常重要。以下是选择安全密钥时应注意的更详细的分解。

首先要检查的是与您设备的兼容性。确保密钥支持 USB-A 或 USB-C，具体取决于您设备的端口。许多现代密钥还提供 NFC 支持，可与智能手机和平板电脑等移动设备轻松进行无线身份验证。与多种操作系统（包括 Windows、macOS、Android 和 iOS）的兼容性是确保在您的设备之间顺利集成的关键。

一些硬件密钥集成了生物识别身份验证，例如指纹扫描，以增强安全性。

• 指纹扫描：这个额外的安全层确保只有授权用户才能激活密钥，这在仅凭物理拥有可能不足够的高安全环境中特别有用。

• 增强安全性：虽然生物识别身份验证增加了安全性，但它也增加了密钥的复杂性和成本。考虑一下额外的安全性是否对您的用例是必要的，特别是如果您正在寻找一个简单直接的解决方案。

• 成本考虑：支持生物识别的密钥通常比基本密钥更昂贵，因此请根据您的预算权衡对额外安全性的需求。

由于硬件安全密钥是一种物理设备，其耐用性至关重要，特别是对于日常使用。寻找一款设计能够承受常见环境挑战并能长期保持功能性的密钥。

• 防水防尘：确保密钥防水，以保护其免受湿气影响，特别是如果您将其放在可能遇到雨水或溢出物的包或口袋中。防尘型号也适合那些经常在户外活动的人，因为它们可以防止沙子或污垢等颗粒物干扰密钥的性能。

• 防震防篡改：考虑一款防震并能承受意外跌落或撞击的密钥。此外，带有加固外壳的防篡改设计可确保密钥的安全性保持完整，即使有人试图物理更改或损坏它。

• 为日常使用而设计：密钥应足够坚固，以适应频繁的操作，从挂在钥匙链上到承受各种环境。这保证了长期的可靠性，而不会影响其性能。

• 制造质量：选择提供强大保修和客户支持的信誉良好的制造商，以确保密钥的耐用性得到保障，并且任何问题都能得到及时解决。

总之，一个耐用可靠的安全密钥应该能够承受湿气、灰尘、跌落和篡改，确保其长期功能正常且安全。

无缝的设置过程至关重要，特别是对于初次使用的用户。

• 用户友好的设置：选择具有直观和自动化上手过程的密钥。密钥应附有清晰的说明，无需技术专业知识即可遵循。

• 即插即用功能：理想情况下，密钥应该开箱即用，在设备上提供即插即用功能，只需最少的努力。

• 与服务的兼容性：确保密钥可以轻松与 Google、Microsoft 或社交媒体网站等流行服务和平台集成，而无需复杂的设置步骤。

硬件安全密钥的价格因其提供的功能而异，但评估价值与成本同样重要。

• 基本型号：基本密钥通常价格在 $20–$30 之间，非常适合需要基本安全功能（如双因素身份验证和 NFC 支持）的用户。

• 中档型号：像 YubiKey 5C NFC 这样的型号价格约为 $55，提供多协议支持和更好的移动兼容性等附加功能。这些非常适合需要更多灵活性的用户。

• 高级型号：具有高级功能（如生物识别身份验证或 OpenPGP 支持）的密钥通常价格在 $50–$100 之间。这些是需要高级别安全性或高级加密的用户的理想选择。考虑您的安全需求和预算来选择正确的选项。

在探索 2025 年可用的最佳硬件安全密钥时，考虑您的具体需求非常重要——无论您是初次用户、高级技术用户还是寻求可靠安全解决方案的企业。在本节中，我们编制了一份涵盖各种用例的首选清单，从通用密钥到具有生物识别功能的高级解决方案。这些密钥提供多种功能，如跨平台兼容性、耐用性和高级安全标准，所有这些都有助于确保您的在线账户保持受保护。

优点：

• 经济实惠：价格约为 30 美元，为基本的双因素身份验证提供了极高的价值。

• NFC 支持：与支持 NFC 的移动设备无缝协作，使其成为移动身份验证的便捷选择。

• 易于使用：无需复杂设置，只需插入或在兼容设备上轻触即可进行身份验证。

• 广泛兼容性：跨多个平台工作，包括 Windows、macOS、Android 和 iOS，并支持 Chrome 和 Firefox 等主流浏览器。

缺点：

• 无生物识别功能：缺少指纹或面部扫描的额外安全层，纯粹依赖物理拥有。

• 高级功能较少：不支持 OpenPGP 密钥存储、智能卡功能或 OTP 生成等高级功能。

• 基本身份验证：适合需要简单双因素身份验证的用户，但不适合需要额外安全协议的用户。

适用人群：

• 个人用户：非常适合那些需要一个简单、实惠且可靠的硬件安全密钥进行日常使用的用户。

• 小型企业：非常适合希望实施基本安全措施而无需更高级型号的复杂性或成本的小型企业或团队。

• 普通用户：那些不需要生物识别功能或高级加密功能，但仍希望获得强大保护以抵御网络钓鱼和凭证盗窃的用户。

优点：

• 功能多样：支持多种安全协议，如 FIDO2、智能卡 (PIV)、OpenPGP 和 OTP 生成。

• 耐用：防水防震，专为承受恶劣条件和日常使用而设计。

• 易于使用：通过 USB-C 和 NFC 实现即插即用功能，在各种设备上提供无缝身份验证。

缺点：

• 无生物识别功能：缺少指纹或面部识别，仅依赖物理拥有进行身份验证。

• 价格较高：价格约为 55 美元，高于基本型号，但其高级功能使其物有所值。

• 对某些用户来说可能过于复杂：对于只需要基本双因素身份验证且不需要高级功能的用户来说，可能功能过剩。

适用人群：

• 技术爱好者：非常适合需要多种安全协议并熟悉 OpenPGP 和智能卡 (PIV) 等高级功能的用户。

• 企业和大型组织：非常适合需要在多个平台和服务上提供灵活且安全的身份验证解决方案的企业。

• 高安全需求用户：适合那些除了基本双因素身份验证外，还希望实现无密码登录、加密和数字签名的用户。

优点：

• 针对 Google 优化：非常适合深度融入 Google 生态系统的用户，包括 Gmail、Google Drive 和其他 Google 服务。

• 经济实惠：价格约为 30 美元，为安全身份验证提供了极高的价值，而无需高级功能。

• NFC 支持：使用 NFC 在移动设备上轻松进行身份验证，方便移动使用。

缺点：

• 无生物识别功能：缺少指纹或面部识别；仅依赖物理拥有。

• 高级功能有限：不支持 OpenPGP 密钥存储或智能卡功能等功能。

• 不够坚固：虽然耐用，但不如一些更坚固的替代品防震或防水。

适用人群：

• Google 生态系统用户：非常适合经常使用 Google 账户并希望为这些服务提供安全身份验证的用户。

• 预算有限的用户：对于需要可靠、简单的双因素身份验证的用户来说，这是一个价格约为 30 美元的经济高效选择。

• 普通用户：非常适合不需要生物识别功能或高级加密，但希望为他们的 Google 账户和其他 FIDO 支持的服务提供强大保护的用户。

优点：

• 注重隐私：支持 OpenPGP 密钥存储、密码管理和加密存储，提供强大的隐私保护。

• 经济实惠：价格约为 50 美元，为高级密码管理和安全功能提供了极高的价值。

• 耐用：防水防篡改，专为承受日常使用和物理磨损而设计。

缺点：

• 无生物识别功能：缺少指纹或面部识别，仅依赖物理拥有。

• 价格较高：价格高于基本型号，约为 50 美元，但其高级功能使其物有所值。

• 对初学者不够友好：对于只需要简单双因素身份验证的用户来说，更高级的功能可能很复杂。

适用人群：

• 注重隐私的用户：非常适合重视数据安全、密码管理和加密存储的用户。

• 高级用户：非常适合需要 OpenPGP 密钥存储、OTP 生成和密码管理的用户。

• 企业和个人：适用于希望将多因素身份验证和密码管理相结合的综合安全解决方案的企业和个人。

优点：

• 生物识别身份验证：指纹扫描增加了额外的安全层，提供快速可靠的登录。

• 经济实惠的生物识别选项：价格为 60 美元，以合理的价格提供高级生物识别身份验证。

• 耐用：防水防震，专为承受日常磨损而设计，同时提供可靠的保护。

缺点：

• 无高级功能：不支持 OpenPGP 密钥存储或智能卡功能等功能。

• 价格较高：价格为 60 美元，比基本型号贵，但其生物识别安全性提供了价值。

• 仅限于指纹身份验证：缺少面部识别或其他形式的生物识别验证。

适用人群：

• 生物识别安全爱好者：非常适合优先考虑基于指纹的身份验证以增强安全性的用户。

• 专业人士和高级用户：非常适合需要强大身份验证并偏爱生物识别便利性的个人。

• 普通用户：适合寻求经济实惠、用户友好的生物识别安全性而无需更高级功能的用户。

优点：

• 军用级坚固性 (MIL-STD-810H)，防水防震

• 支持所有基本协议：FIDO2、U2F、OTP、HOTP、OpenPGP

• 认证的安全硬件：BSI CC6+ 安全元件

缺点：

• 无生物识别身份验证

• 与更简约的密钥相比，设计稍显笨重

• 目前没有 USB-C 版本

适用人群：

• 注重安全的企业：非常适合寻求强大认证和耐用性以适应企业环境的公司。

• 户外或恶劣环境：需要在恶劣条件下可靠工作的用户（例如，现场工作人员、技术人员）。

• 注重隐私的用户：非常适合优先考虑欧洲生产和安全标准的用户。

优点：

• 双 PIN 支持增加了灵活性和额外的安全性

• 适合高级用户的高级加密功能

• 对于多协议 FIDO2 密钥来说非常实惠

缺点：

• 缺少指纹扫描等生物识别身份验证

• 仅限于 USB-A，不支持 USB-C 或 NFC

• 不适用于重型或恶劣环境

适用人群：

• 希望获得强大 FIDO2 支持并拥有多个驻留密钥的技术爱好者。

• 寻求强大安全性而无需高成本的预算有限的专业人士。

• 偏爱基于 PIN 而非生物识别安全性的普通用户。

如果您不确定哪款硬件安全密钥适合您，这里有一个快速指南，可以根据您的需求、用例和技术舒适度帮助您做出决定：

Yubico Security Key C NFC

• 简单且价格实惠（约 30 美元）

• 非常适合想要基本双因素身份验证的初次使用者

• NFC 支持使其非常适合桌面和移动设备使用

Authenton#1

• 坚固、经过军事认证的设计，支持多协议（FIDO2、U2F、OTP、HOTP、OpenPGP）

• 支持多达 300 个可发现凭证——非常适合管理许多服务

• 德国制造和认证（BSI CC6+、ISO 9001 和 27001）

Yubico YubiKey C Bio

• 增加指纹身份验证以提供额外保护（约 60 美元）

• 非常适合偏爱生物识别登录而又不影响便携性的用户

• 非常适合处理敏感数据的专业人士

随着网络安全的不断发展，对无密码身份验证的推动导致了通行密钥的兴起。通行密钥利用与硬件安全密钥相同的公钥/私钥加密技术，提供了额外的安全层和易用性。然而，它们也带来了一些特定的挑战，特别是在可发现密钥的存储方面。在本章中，我们将仔细研究通行密钥如何与硬件安全密钥协同工作，以及它们如何影响凭证的存储。

通行密钥是一种旨在消除传统密码需求的创新解决方案。通行密钥不依赖于共享密钥，而是使用公钥/私钥加密技术，其中私钥安全地存储在设备上（例如，智能手机、笔记本电脑），而公钥则存储在服务器上。这种方法极大地增强了安全性，并使登录更加无缝和用户友好。

• 设备上的通行密钥： 使用通行密钥，用户通过在其设备上使用生物识别（指纹或面部扫描）或 PIN 码进行身份验证。这种身份验证方法比密码安全得多，并降低了网络钓鱼攻击的风险。

• 硬件安全密钥的角色： 在高风险情况下或为了增加保护，硬件安全密钥可以与通行密钥结合使用。硬件安全密钥提供第二因素身份验证，确保密钥本身必须物理存在才能进行身份验证。这对于高安全环境或处理敏感数据时尤其重要。

硬件安全密钥对通行密钥（可发现密钥）的存储容量可能因设备型号而异。虽然许多较旧或不太先进的型号可能只支持有限数量的驻留密钥，但较新的型号设计有更大的存储容量。

• Yubikey： 最近的 Yubikey 型号可以存储多达 100 个通行密钥（可发现密钥）。这种增加的存储容量允许用户注册和存储更多的通行密钥，使 Yubikey 成为拥有多个服务或管理大量账户的企业的理想选择。

• 存储限制： 然而，驻留密钥的存储空间仍然是有限的，用户在注册通行密钥时应注意这一点。例如，Yubikey 通常支持 20 到 32 个驻留密钥，而 Nitrokey 可能只支持 8 个。这意味着拥有许多服务的用户可能会发现空间很快用完，这可能需要多个硬件安全密钥或影响他们存储新通行密钥的能力。

随着通行密钥的采用日益增多，对硬件安全密钥更大存储容量的需求变得更加突出。存储更多通行密钥的能力对于需要在多个平台和服务上进行无密码身份验证的用户至关重要。

• 对存储需求的增加： 随着更多服务采用通行密钥，硬件安全密钥将需要发展以容纳更多的可发现密钥。这种转变将确保用户可以存储通行密钥而不会遇到存储限制。

• 硬件密钥的未来保障： 随着通行密钥成为常态，硬件安全密钥将在保护在线账户方面发挥更加重要的作用。制造商将继续创新，增加其设备的存储容量，并使其在日常使用中更加通用，从个人用户到企业。

总之，通行密钥和硬件安全密钥的结合提供了一种强大、面向未来的身份验证方法，它在增强安全性的同时提供了更流畅、无密码的体验。通过了解驻留密钥和非驻留密钥的细微差别以及存储限制，用户可以就哪种硬件安全密钥最适合自己的需求做出明智的决定。

在本博客中，我们回答了一些关键问题，以帮助您找到适合您需求的硬件安全密钥：

1. 对于寻求价格实惠且易于使用的初学者来说，哪款安全密钥是最佳选择？ 如果您刚开始使用或需要一个经济实惠的解决方案，Yubico Security Key C NFC 是一个不错的选择。它提供基本的双因素身份验证，易于使用，并支持 NFC 以实现移动兼容性，所有这些都以合理的价格提供。

2. 对于需要高级功能和多功能性的高级用户来说，哪款安全密钥是最佳选择？ 对于需要多协议支持、生物识别身份验证或加密存储等高级功能的高级用户，像 Yubico YubiKey 5C NFC 或 Yubico YubiKey C Bio 这样功能更全面的安全密钥是理想的选择。这些密钥提供智能卡支持、OpenPGP 密钥存储和指纹扫描等多种选项，非常适合有高安全需求的用户。

3. 对于希望保护多名员工账户的企业来说，哪款安全密钥是最佳选择？ 对于企业而言，选择一款能够为众多用户提供可靠、可扩展保护的安全密钥非常重要。Yubico YubiKey 5C NFC 或 OnlyKey Duo 将是合适的选择，它们提供强大的安全标准、易用性以及与各种平台的兼容性。这些密钥允许集中管理，非常适合需要增强安全功能同时保持团队部署简便性的企业。

4. 带生物识别和不带生物识别的安全密钥之间有何关键区别？ 带有生物识别身份验证的安全密钥，例如 Yubico YubiKey C Bio，通过要求在授予访问权限前进行指纹扫描来提供额外的安全层。此功能非常适合那些优先考虑易用性和增强保护的用户。不带生物识别功能的密钥，如 Yubico Security Key C NFC，仅依赖于拥有密钥本身来保证安全，这仍然非常安全但更简单。

5. 我应该在安全密钥上花多少钱？哪些功能值得这个价格？ 如果您正在寻找一款基本、预算友好的密钥，预计花费约 30 美元，例如 Yubico Security Key C NFC 或 Google Titan Security Key。对于那些需要多协议支持或生物识别身份验证等更高级功能的用户，价格将接近 50-100 美元。其价值在于附加功能，例如加密存储或指纹扫描，为有更高需求的用户提供更强的安全性。请记住，建议拥有一个备用密钥，因此应考虑两个密钥的价格。

6. 我真的需要一个备用安全密钥来确保我的账户安全吗？ 虽然备用密钥并非绝对必要，但强烈建议拥有一个，以确保您不会被锁定在账户之外。如果您丢失或损坏了主密钥，拥有第二个密钥可确保继续访问。许多用户发现，拥有一个备用密钥可以带来安心感，尤其是在使用密钥执行重要的安全功能时。

最终，您选择的密钥取决于您的安全要求、您使用的设备和您的预算。无论您是优先考虑简单性、高级安全功能还是经济性，总有一款硬件安全密钥能满足您的需求。