--- url: 'https://www.corbado.com/zh/blog/2025-nian-zui-jia-fido2-ying-jian-an-quan-mi-yao' title: '2026 年最佳 FIDO2 硬件安全密钥' description: '探索 2026 年最佳 FIDO2 硬件安全密钥。了解 WebAuthn、FIDO2 和生物识别技术的作用,为个人或企业需求找到合适的密钥。' lang: 'zh' author: 'Vincent Delitz' date: '2025-07-01T06:52:29.616Z' lastModified: '2026-03-25T10:46:15.436Z' keywords: '安全密钥, FIDO2 密钥, 硬件安全密钥, 2026 最佳安全密钥, WebAuthn 安全密钥, 生物识别安全密钥, Yubico 安全密钥, NFC 安全密钥, Passkeys' category: 'Authentication' --- # 2026 年最佳 FIDO2 硬件安全密钥 ## 1. 简介:FIDO2 硬件安全密钥 随着网络钓鱼、数据泄露和身份盗窃等网络威胁的日益增加,仅靠密码已不足以保护安全。多因素身份验证 (MFA) 已成为保护敏感信息必不可少的手段,而硬件安全密钥是目前最安全的 MFA 方法之一。 硬件安全密钥通过安全加密过程验证你的身份,从而提供额外的保护层。与短信验证码等传统的 [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security) 方法不同,硬件安全密钥具有抗网络钓鱼攻击的能力,能在各种设备和平台上提供更可靠、更流畅的认证体验。 在这篇博客中,我们将回答你在 2026 年选择合适的硬件安全密钥时可能遇到的关键问题: 1. **对于寻找经济实惠且易于使用的初学者来说,哪种安全密钥是最佳选择?** 2. **对于需要高级功能和多功能性的资深用户(Power Users),哪种安全密钥最合适?** 3. **对于希望保护多名员工账户的企业,哪种安全密钥是最佳选择?** 4. **带有和不带生物识别验证的安全密钥有什么主要区别?** 5. **我应该在安全密钥上花多少钱?哪些功能值得这个价格?** 6. **我真的需要一个备用安全密钥来确保账户安全吗?** 这些问题将指导你找到完美的安全密钥,以保护你的在线账户安全。 ## 2. 什么是硬件安全密钥? 硬件安全密钥是一种小型的物理设备,它要求你在登录时验证身份,从而为你的在线账户增加一层额外的保护。这些密钥的大小通常与 USB 闪存盘相当,可以通过 USB、USB-C 插入设备,或通过 NFC 无线使用。它们的工作原理是生成一对加密密钥——公钥和私钥——其中私钥安全地存储在设备上,用于证明你的身份。 硬件安全密钥常被拿来与传统钥匙作比较,但它们不是用来开门的,而是用来解锁你的在线账户。可以把它们想象成物理钥匙的数字版,即使别人知道你的密码,也能确保只有你可以访问你的信息。 ### 2.1 如果我丢失了安全密钥该怎么办? 虽然硬件安全密钥提供了保护在线数据最安全的方法之一,但也存在风险,例如丢失密钥或被盗。如果发生被盗情况,请记住,仅凭密钥本身通常不足以访问你的账户——许多密钥需要 PIN 码或生物识别验证作为额外保护。但是,如果你的密钥丢失或被盗,迅速采取行动非常重要。 ### 2.2 如何使用备用密钥保护自己? 为了降低这些风险,强烈建议使用备用密钥。注册第二个密钥可以确保如果主密钥丢失或损坏,你永远不会被锁定在账户之外。此外,一些服务允许你注册其他形式的 MFA,如身份验证器应用或备用代码,作为次要的验证方法。 ### 2.3 耐用的安全密钥应该具备哪些特质? 在选择硬件安全密钥时,请务必挑选抗物理篡改的产品。寻找耐用、防水、防尘且设计能承受磨损的密钥。这种额外的耐用性确保你的密钥即使在恶劣环境中也能保持功能正常和安全。 ### 2.4 硬件安全密钥可以作为唯一的验证因素吗? 硬件安全密钥主要用作**双因素身份验证 (2FA)** 中的**第二因素**,意味着它们是在输入密码后用于验证你的身份。这提供了一层额外的安全保障。 然而,硬件安全密钥也可以作为**唯一的验证因素**。其中一些本质上就是一种 **2FA** 形式。它们既需要持有硬件密钥本身,又需要输入 PIN 码(你知道的东西)或使用生物识别扫描(原本的你)。通过这种方式,它们提供了**无密码身份验证**以及对抗网络钓鱼的保护。 ## 3. 硬件安全密钥的技术概念 总的来说,本文旨在帮助**注重安全的个人**和**企业**决定硬件安全密钥是否是正确的选择。无论你是想保护个人账户,还是为公司员工实施解决方案,了解硬件安全密钥背后的技术都是做出明智决定的关键。 在本节中,我们将探讨硬件安全密钥背后的一些关键技术,特别是为现代认证系统提供动力的 WebAuthn 和 [FIDO2](https://www.corbado.com/glossary/fido2)。了解这些概念将帮助你掌握硬件安全密钥如何增强安全性并提供更流畅的无密码登录体验。让我们仔细看看 WebAuthn,它对安全密钥的功能至关重要。 ### 3.1 WebAuthn 与安全密钥 WebAuthn(Web Authentication)是由 [FIDO](https://www.corbado.com/zh/blog/emv-3ds-acs-passkeys-fido-spc) 联盟和万维网联盟 (W3C) 开发的一种现代开放标准。它允许用户使用公钥加密技术在网站和应用程序上安全地进行身份验证,用更强的认证方法取代传统密码。 #### 3.1.1 安全密钥如何与 WebAuthn 协同工作? 安全密钥在 WebAuthn 中扮演着重要角色,充当证明你身份的物理设备。当你向兼容 WebAuthn 的网站注册安全密钥时,它会将公钥存储在服务器上,同时将私钥安全地保存在硬件安全密钥中。登录期间,服务器向安全密钥发送一个质询 (challenge),密钥使用私钥对其进行签名并发送回以供验证。如果质询被正确签名,服务器将授予访问权限,无需密码。 #### 3.1.2 为什么 WebAuthn 能降低网络钓鱼风险? 这个过程显著降低了网络钓鱼攻击的风险,因为认证需要物理设备(安全密钥),并且与特定的网站或应用程序绑定。与传统的基于密码的认证(窃取的凭据可在多个平台上使用)不同,WebAuthn 确保你的凭据只能用于它们注册的确切网站/应用程序。 #### 3.1.3 WebAuthn 如何增强用户安全和体验? WebAuthn 标准受到 Chrome、Safari、Firefox 和 Edge 等主要浏览器的广泛支持,使其成为无密码身份验证的理想解决方案。通过利用安全密钥,用户可以受益于增强的安全性、更好的用户体验以及对密码依赖的减少。 ### 3.2 CTAP 与安全密钥 在了解 [FIDO2](https://www.corbado.com/glossary/fido2) 之前,重要的是要理解 [CTAP](https://www.corbado.com/zh/glossary/ctap)。那么,[CTAP](https://www.corbado.com/zh/glossary/ctap) 到底是什么?[CTAP](https://www.corbado.com/zh/glossary/ctap),即客户端到认证器协议 (Client To [Authenticator](https://www.corbado.com/glossary/authenticator) Protocol),是一种促进安全密钥与客户端设备(如智能手机或计算机)之间通信的协议。通过利用 CTAP,安全密钥可以与客户端设备交互以执行安全的认证操作。 #### 3.2.1 什么是 CTAP?它如何与安全密钥配合使用? CTAP 是一种定义安全密钥与请求认证的设备之间交互的协议。它的工作原理是从客户端设备向安全密钥发送认证质询。然后,密钥用其私钥对质询进行签名并返回签名后的响应,从而实现无需密码的安全认证。 #### 3.2.2 CTAP 如何实现无密码身份验证? CTAP 通过促进兼容 WebAuthn 的客户端与硬件安全密钥之间的交互来实现无密码身份验证。该协议确保登录不需要密码,因为认证基于硬件安全密钥的唯一私钥,使其能够抵抗网络钓鱼和中间人攻击。 #### 3.2.3 为什么 CTAP 对 FIDO2 生态系统至关重要? CTAP 是 [FIDO2](https://www.corbado.com/glossary/fido2) 生态系统的关键组成部分,因为它允许硬件安全密钥与客户端设备通信,支持跨平台的无密码登录。该协议确保 USB 或支持 NFC 的安全密钥等设备可以安全地与应用程序交互,使认证过程既无缝又安全。 ### 3.3 FIDO2 与安全密钥 虽然 WebAuthn 提供了无密码身份验证的核心功能,但 FIDO2 通过结合 WebAuthn 和 CTAP 更进一步。它们共同构成了一个完全无密码且安全的认证系统的基础。FIDO2 允许用户利用安全密钥进行更强大、更灵活的认证过程,确保只有合法用户才能访问其账户,同时保持隐私和安全。 ## 4. 硬件安全密钥是如何工作的? 随着网络安全技术的不断进步,对更强、更可靠认证方法的需求推动了硬件安全密钥的兴起。这些物理设备是短信或应用程序生成代码等传统方法的更安全替代方案。硬件密钥提供了一种多因素身份验证 (MFA) 形式,使用加密协议来证明你的身份并保护你的在线账户。 ### 4.1 高级概述 使用硬件安全密钥的整个过程涉及几个基本步骤,通常从注册开始,一直持续到认证和验证。以下是其工作原理的简单分解: 1. **注册:** 设置硬件安全密钥时,首先要在支持硬件认证的在线服务(例如网站或应用程序)上注册它。此过程涉及将密钥插入设备(或使用 NFC 功能进行无线认证)并将公钥存储在服务的服务器上。私钥作为认证的关键,安全地存储在硬件密钥本身上。 2. **认证:** 要登录该服务,你首先输入用户名和密码。然后,服务向你的硬件密钥发送一个加密质询。密钥使用其私钥对该质询进行签名,这证明了它在物理上是存在的,并且请求来自授权用户。 3. **验证:** 签名后的质询被发送回服务器。服务器使用注册时存储的公钥对其进行验证。如果签名匹配,你将被授予访问权限,登录过程完成。 通过依靠加密密钥,硬件安全密钥消除了每次登录都输入密码的需要,提供了更流畅、更安全的体验。物理持有密钥本身使得这种方法能够抵抗网络钓鱼、中间人攻击和凭据填充。 ### 4.2 内部加密过程 要了解硬件安全密钥的稳健性,重要的是要研究使其安全的内部加密过程。硬件密钥基于**公钥加密技术**运行,该技术涉及两个关键组件:公钥和私钥。 - **公钥:** 此密钥在注册过程中存储在服务器上。它对所有人可见,服务器使用它来验证安全密钥发送的认证质询。 - **私钥:** 私钥安全地存储在硬件密钥内。此密钥永远不会暴露给外部设备或系统,但根据密钥类型(可发现或不可驻留),私钥的管理方式可能有所不同。当用户尝试登录时,硬件密钥用其私钥对质询进行签名。 这种**非对称加密**确保即使公钥被截获,攻击者也无法使用它,因为他们无法访问私钥。 ### 4.3 可发现凭证与不可发现凭证的区别是什么? 为了更好地理解 Passkeys 和硬件安全密钥之间的关系,掌握可发现凭证(驻留密钥 / Resident Keys)和不可发现凭证(非驻留密钥 / Non-Resident Keys)的概念非常重要。这两种类型的密钥决定了 Passkeys 的存储和访问方式。 - **可发现凭证(驻留密钥):** 可发现凭证直接存储在认证器内。这允许认证器独立识别和访问与特定服务关联的私钥,而无需外部标识符,如 [Credential ID](https://www.corbado.com/blog/webauthn-user-id-userhandle)。然而,可发现凭证会占用认证器本身的空间,这可能会限制可存储的凭证数量。请注意,Passkeys 根据定义总是作为可发现凭证实现的,这使它们成为遵循此存储模型的驻留密钥的一个特定子集。 - **不可发现凭证(非驻留密钥):** 不可发现凭证不直接存储在认证器上。相反,认证器使用其内部主密钥和种子(包含在Credential ID中)在每次认证期间临时派生私钥。这些派生的密钥仅瞬间存在于内存中,使用后即被丢弃。这种方法允许无限数量的凭证,而不占用认证器上的永久存储空间,因为只需要存储主密钥。 有关更多详细信息,请参阅我们就可发现和不可发现凭证发表的专题文章。 ## 5. 为什么要使用硬件安全密钥? 硬件安全密钥是一种旨在为你的在线账户提供额外安全层的物理设备。它的工作原理是生成一对唯一的加密密钥——一个公钥和一个私钥。公钥存储在你想要保护的服务的服务器上,而私钥安全地存储在硬件密钥本身上。在登录过程中,服务器向安全密钥发送一个质询,密钥使用私钥对其进行签名并发送回以供验证。此过程确保只有物理持有密钥的人才能访问该账户。 ### 5.1 硬件安全密钥的好处 与传统的认证方法(如基于短信的[双因素身份验证](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication) ([2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security)) 或身份验证器应用)相比,硬件安全密钥具有几个优势: 1. **抗网络钓鱼**:与基于短信的 [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security) 或身份验证器应用(可能容易受到网络钓鱼和中间人攻击)不同,硬件安全密钥提供了抗这些威胁的额外保护层。由于认证过程与特定网站或服务绑定,攻击者无法诱骗你在虚假网站上使用密钥。 2. **无需密码**:硬件安全密钥支持无密码登录,意味着你无需输入密码即可进行身份验证。这不仅简化了登录过程,还消除了基于密码的攻击(如暴力破解或凭据填充)的风险。 3. **易于使用**:一旦设置完成,硬件安全密钥的使用非常简单。你只需将密钥插入设备或在支持 NFC 的手机上轻触即可完成认证。这比从身份验证应用程序手动输入代码或等待短信到达要快得多,也方便得多。 4. **耐用性**:硬件安全密钥设计坚固,防水、防尘且抗物理篡改。这使得它们比智能手机应用程序或短信更可靠,后者可能会受到恶意软件或 SIM 卡交换攻击的侵害。 ### 5.2 安全密钥的日益普及 随着网络安全威胁的演变,组织正越来越多地采用硬件安全密钥来增强其防御网络钓鱼和其他恶意攻击的能力。这些物理设备提供强大的多因素身份验证 (MFA),与基于短信的验证或 TOTP 等传统方法相比,提供了更高级别的安全性。 #### 5.2.1 Discord 安全密钥 几家大公司已在内部推出安全密钥,以提高员工账户的安全性。例如,在 2023 年,[Discord](https://discord.com/blog/how-discord-rolled-out-yubikeys-for-all-employees) 为所有员工实施了 YubiKeys,消除了以前认证方法中的漏洞。通过采用硬件密钥,Discord 确保每位员工都使用一种安全的、抗网络钓鱼的认证形式。 #### 5.2.2 Twitter/X 安全密钥 同样,在 2021 年,[Twitter](https://www.corbado.com/blog/x-twitter-passkeys) 从各种容易被钓鱼的 2FA 方法迁移到强制性安全密钥。这一举措有助于防止类似于过去安全漏洞的事件,成功整合了 FIDO2/WebAuthn 协议,以建立更安全的内部系统。 #### 5.2.3 Cloudflare 安全密钥 [Cloudflare](https://www.corbado.com/blog/cloudflare-passkeys) 也在 2022 年向所有员工发放了安全密钥,作为其向 FIDO2 和零信任架构迁移的一部分。这一举措确保了 [Cloudflare](https://www.corbado.com/blog/cloudflare-passkeys) 系统的安全,提供了抗网络钓鱼的认证并降低了凭据被盗的风险。 #### 5.2.4 T-Mobile 安全密钥 此外,[T-Mobile](https://www.yubico.com/press-releases/yubico-and-t-mobile-deployment-of-200000-phishing-resistant-yubikeys-enhances-un-carriers-work-systems-security/) 在 2023 年底部署了 200,000 个 YubiKeys 以增强其员工队伍的安全性。此次部署是 T-Mobile 战略的关键部分,旨在提高其内部系统对网络钓鱼和未经授权访问的保护,进一步巩固了安全密钥作为专注于强大网络安全的企业的行业标准。 这些例子突显了公司采用安全密钥作为保护系统标准的增长趋势,表明人们越来越依赖这些设备来保护数字身份和敏感数据。 ### 5.3 智能卡作为安全密钥的替代品 虽然基于 USB 或 NFC 的硬件安全密钥是最常用的外形规格,但一些组织,特别是大型企业或[政府](https://www.corbado.com/passkeys-for-public-sector)机构,会选择另一种替代方案:**FIDO2 智能卡**。 FIDO2 智能卡提供与传统安全密钥相同的抗网络钓鱼认证标准,但采用**信用卡大小的证件形式**。这种外形规格对于已经发放员工身份证并希望将**物理门禁**、**身份验证**和**数字登录**结合到单一设备中的组织特别有用。 根据型号的不同,智能卡可以包括: - **指纹传感器(生物识别认证)** - **蓝牙/BLE 连接**(用于无需读卡器的无线登录) - **与证卡打印机集成**,用于大规模发行和个性化 例子包括来自 **HID**、**Thales**、**Feitian**、**TrustSec**、**ZWIPE** 和 **SmartDisplayer** 的卡片。特别是在智能卡已成为物理安全基础设施一部分的环境中,它们代表了传统安全密钥的一种强大且可扩展的替代方案。 **FIDO2 与 PKI 智能卡:** 在讨论用 FIDO2 技术替代 OTP/PKI 解决方案时,值得注意的是,与 PKI 相比,**FIDO2 令牌没有生命周期管理 (LCM)**。此外,具体考虑到 USB 令牌,**无法在客户端实现自动注册**——这与可以使用带有卡槽、编码器等的打印机(如 DataCard SR300)自动化的智能卡不同。这种自动化限制的唯一例外是 **NeoWave Winkeo-A ID 2.0** USB 令牌。 ## 6. 关键功能概述 在选择硬件安全密钥时,你通常会遇到两大类: **第一类:简单令牌 (Simple Tokens, 仅限 FIDO)** - 支持基本协议:FIDO2/WebAuthn(硬件绑定的 Passkeys)和 [FIDO](https://www.corbado.com/zh/blog/emv-3ds-acs-passkeys-fido-spc) [U2F](https://www.corbado.com/zh/glossary/ctap)。 - 非常适合大多数消费者和典型用例,如保护 Windows 应用程序。 **第二类:扩展令牌 (Extended Tokens, 多协议)** - 支持基本 FIDO2 之外的多种协议,包括 OATH-TOTP、OATH-HOTP、智能卡 (PIV)、OpenPGP 和 Yubico OTP。 - 适合需要额外功能和多功能性的资深用户、开发人员和企业。 在这种背景下,考虑几个关键因素以确保设备满足你的安全和便利需求非常重要。以下是关于在安全密钥中寻找什么的更详细分类。 ### 6.1 兼容性:USB-A vs. USB-C 和移动设备支持 首先要检查的是与你的设备的**兼容性**。确保密钥支持 **USB-A** 或 **USB-C**,这取决于你设备的端口。许多现代密钥还提供 **NFC 支持**,可以轻松地与智能手机和平板电脑等**移动设备**进行无线认证。与包括 **Windows**、**macOS**、**Android** 和 **iOS** 在内的多种操作系统的兼容性,是确保跨设备顺畅集成的关键。 ### 6.2 生物识别:指纹扫描增加安全性 一些硬件密钥集成了**生物识别认证**,如**指纹扫描**,以增强安全性。 - **指纹扫描**:这层额外的安全性确保只有授权用户才能激活密钥,这在仅凭物理持有本身可能不够的高安全性环境中特别有用。 - **提高安全性**:虽然生物识别认证增加了安全性,但它也增加了密钥的复杂性和成本。考虑你的用例是否需要这种额外的安全性,特别是如果你正在寻找一个简单直接的解决方案。 - **成本考虑**:启用生物识别的密钥通常比基本密钥更昂贵,因此要在额外安全性的需求与预算之间进行权衡。 ### 6.3 耐用性和长期可靠性 由于硬件安全密钥是物理设备,其耐用性至关重要,特别是对于日常使用。寻找设计用于承受常见环境挑战并能随时间保持功能的密钥。 - **防水和防尘**:确保密钥具有防水功能以防止受潮,特别是如果你把它放在可能遇到雨水或液体的包或口袋里。防尘型号也是户外活动的理想选择,因为它们可以防止沙子或灰尘等颗粒干扰密钥的性能。 - **抗震和防篡改**:考虑具有抗震功能并能在意外跌落或撞击中幸存的密钥。此外,具有加固外壳的防篡改设计确保密钥的安全性保持完整,即使有人试图对其进行物理更改或破坏。 - **专为日常使用打造**:密钥应该足够坚固,能够经受频繁的操作,从挂在钥匙扣上到承受各种环境。这保证了长期的可靠性而不影响其性能。 - **制造质量**:选择提供强有力保修和客户支持的信誉良好的制造商,以确保密钥的耐用性得到支持,并且任何问题都能得到及时解决。 总之,耐用可靠的安全密钥应能抵御潮湿、灰尘、跌落和篡改,确保其长期保持功能和安全。 ### 6.4 设置简便:简单快速的入门 无缝的**设置过程**至关重要,特别是对于首次使用的用户。 - **用户友好的设置**:选择具有直观和**自动化入门流程**的密钥。密钥应附带清晰的说明,无需技术专长即可遵循。 - **即插即用功能**:理想情况下,密钥应开箱即用,在各种设备上提供即插即用功能,只需极少的努力。 - **与服务兼容**:确保密钥可以轻松地与流行的服务和平台(如 Google、Microsoft 或社交媒体网站)集成,而无需复杂的设置步骤。 ### 6.5 价格 硬件安全密钥的**价格**因其提供的功能而异,但评估**价值**与成本同样重要。 - **基础型号**:基础密钥通常售价在 **20-30 美元**之间,非常适合需要基本安全功能(如[双因素身份验证](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication)和 NFC 支持)的用户。 - **中端型号**:像 **YubiKey 5C NFC** 这样的型号售价约为 **55 美元**,提供额外的功能,如多协议支持和更好的移动兼容性。这些对于需要更多灵活性的用户来说非常棒。虽然这个价格相对于它提供的功能来说较高,但 Yubico 作为市场领导者具有优势,包括为企业提供的备份/备用令牌折扣销售、Yubico Enrollment Suite、Yubico [FIDO](https://www.corbado.com/zh/blog/emv-3ds-acs-passkeys-fido-spc) Pre-reg 和 YubiEnroll。 - **高端型号**:具有高级功能(如**生物识别认证**或 **OpenPGP 支持**)的密钥通常售价在 **40-100 美元**之间。**Yubico YubiKey C Bio** 售价为 **90-95 美元**(美国 90-95 美元,德国 90-95 欧元),这代表了反映市场领导者定位的溢价,特别是与像 **Token2 Bio3**(约 **40 美元**)这样的替代品相比,后者支持 OpenPGP 密钥存储并为项目提供灵活的功能。这些是需要高级别安全性或高级加密的用户的理想选择。根据你的安全需求和预算选择合适的选项。 ## 7. 2026 年硬件安全密钥精选 当你探索 2026 年可用的最佳硬件安全密钥时,重要的是要考虑你的具体需求——无论你是首次使用的用户、高级技术用户还是寻找可靠安全解决方案的企业。在本节中,我们编制了一份涵盖各种用例的精选列表,从通用密钥到具有生物识别功能的高级解决方案。这些密钥提供各种功能,如跨平台兼容性、耐用性和高级安全标准,所有这些都有助于确保你的在线账户受到保护。 本文中的一些链接是联盟链接。我们可能会赚取佣金,但这不会给你带来额外费用。 | **型号** | **供应商** | **类别** | **发布年份** | **重量 (g)** | **存储容量 (可发现凭证)** | | :------------------------ | :--------------- | :---------------------------- | :----------- | :----------- | :------------------------ | | Yubico Security Key C NFC | Yubico | 简单令牌 (FIDO-only) | 2021 | 4.3 | 100 Passkeys | | Yubico YubiKey 5C NFC | Yubico | 扩展令牌 (多协议) | 2018 | 4.3 | 100 Passkeys | | Google Titan Security Key | Google / Feitian | 简单令牌 (FIDO-only) | 2018 | 77 | 250 Passkeys | | OnlyKey Duo | OnlyKey | 扩展令牌 (多协议) | 2020 | 9 | 100 Passkeys | | Yubico YubiKey C Bio | Yubico | 带生物识别的扩展令牌 (多协议) | 2020 | 5 | 100 Passkeys | | Authenton#1 | Authenton | 扩展令牌 (多协议) | 2023 | 5 | 300 Passkeys | | Token2 T2F2-Dual PIN+Octo | Token2 | 扩展令牌 (多协议) | 2024 | 10 | 300 Passkeys | | Token2 Bio3 | Token2 | 带生物识别的扩展令牌 (多协议) | 2023 | 8 | 100 Passkeys | | PONE OFFPAD | PONE Biometrics | 带生物识别的扩展令牌 (多协议) | 2023 | 17 | 100 Passkeys | ### 7.1 Yubico Security Key C NFC [![yubico security key c nfc](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/yubico_security_key_c_nfc_df934cfe23.png)](https://amzn.to/4oJnKqp) #### 7.1.1 关键功能详细概述 | **兼容性** | [Yubico Security Key C NFC](https://amzn.to/4oJnKqp) 支持 **USB-C**,确保与现代笔记本电脑、台式机和平板电脑兼容。它还具有 **NFC 支持**,允许使用 **NFC 移动设备**(如 Android 和 iOS)轻松进行认证。它与 **Windows, macOS, Linux, Android** 和 **iOS** 无缝协作,并支持 **Chrome**, **Firefox** 和 **Edge** 等流行浏览器。 | | :----------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **安全标准** | 该密钥支持 **FIDO U2F** 和 **FIDO2/WebAuthn**,实现**无密码身份验证**和**抗网络钓鱼的 2FA**。它还确保了跨多个平台和服务的安全登录。 | | **生物识别** | 此型号**不**包含**生物识别认证**,因为它依靠密钥的**物理持有**来进行安全登录。 | | **耐用性** | **Yubico Security Key C NFC** 设计**耐用**且**防水**,可承受日常使用而无明显磨损。它适合挂在钥匙扣上并应对日常环境。 | | **高级功能** | 它提供**基本双因素身份验证**和**无密码登录**,但缺乏**OpenPGP** 密钥存储或**智能卡**支持等高级功能。它简单直接,但对于一般用途非常有效。 | | **价格** | 售价约为 **30 美元**,**Yubico Security Key C NFC** 是一个**经济实惠**的选择,为可靠的基础认证提供了极高的价值,而不会让钱包大出血。 | #### 7.1.2 总结 **优点:** - 经济实惠:售价约 30 美元,为基本的[双因素身份验证](https://www.corbado.com/blog/psd2-passkeys/are-passkeys-two-factor-authentication)提供了巨大的价值。 - NFC 支持:与支持 NFC 的移动设备无缝协作,使其成为移动认证的便捷选择。 - 易于使用:无需复杂的设置,只需插入或在兼容设备上轻触即可认证。 - 广泛兼容:适用于多个平台,包括 Windows、macOS、[Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) 和 [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios),并支持 Chrome 和 Firefox 等主要浏览器。 **缺点:** - 无生物识别功能:缺乏指纹或面部扫描的额外安全层,纯粹依靠物理持有。 - 较少的高级功能:不支持 OpenPGP 密钥存储、智能卡功能或 OTP 生成等高级功能。 - 基础认证:适合需要简单双因素身份验证的用户,但不适合需要额外安全协议的用户。 **适用人群:** - 个人:非常适合需要简单、实惠且可靠的硬件安全密钥进行日常使用的用户。 - 小型企业:适合希望实施基本安全措施而无需高级型号的复杂性或成本的小型企业或团队。 - 普通用户:不需要生物识别功能或高级加密功能,但仍希望强力保护免受网络钓鱼和凭据盗窃的用户。 ### 7.2 Yubico YubiKey 5C NFC [![yubico yubikey 5c nfc](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/yubico_yubikey_5c_nfc_b3e84f3f71.png)](https://amzn.to/3Mwf7lQ) #### 7.2.1 关键功能详细概述 | **兼容性** | 凭借 **USB-C** 连接,[Yubico YubiKey 5C NFC](https://amzn.to/3Mwf7lQ) 与现代笔记本电脑、台式机和平板电脑无缝协作。**NFC 支持**进一步增强了其多功能性,实现了与 **NFC 移动设备**(如 Android 和 iOS)的快速认证。它兼容广泛的平台,包括 **Windows**, **macOS**, **Linux** 和 **iOS**,并与 **Chrome**, **Firefox** 和 **Edge** 等浏览器配合使用。 | | :----------- | :----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **安全标准** | 该密钥支持用于**无密码身份验证**的 **FIDO2/WebAuthn**,用于双因素身份验证的 **FIDO U2F**,用于 OTP 生成的 **OATH-TOTP** 和 **OATH-HOTP** 以及 **Yubico OTP**。它还支持用于加密和数字签名的 **智能卡 (PIV)** 和 **OpenPGP**。这种广泛的安全协议支持使其成为市场上功能最通用的安全密钥之一。 | | **生物识别** | **Yubico YubiKey 5C NFC 不包含生物识别认证。** | | **耐用性** | 该设备专为耐用性打造,**防水**且**抗震**,设计用于承受日常使用,包括挂在钥匙扣上携带。其坚固的设计确保它可以忍受各种环境条件而不影响功能。 | | **高级功能** | 配备 **智能卡 (PIV)** 支持、**OpenPGP 密钥存储**和 **OTP 生成**,此密钥迎合了不仅仅需要基本双因素身份验证的用户。它为**安全登录**、**加密**和**数字签名**提供了高级功能,为专业使用提供了更大的灵活性和安全性。 | | **价格** | 售价约为 **55 美元**,它是一个**中端选项**,凭借其提供的丰富功能和兼容性提供了更多价值。 | #### 7.2.2 总结 **优点:** - 多功能:支持多种安全协议,如 FIDO2、智能卡 (PIV)、OpenPGP 和 OTP 生成。 - 耐用:防水抗震,专为承受恶劣条件和日常使用而打造。 - 易于使用:具有 USB-C 和 NFC 的即插即用功能,提供跨设备的无缝认证。 **缺点:** - 无生物识别功能:缺乏指纹或面部识别,仅依靠物理持有进行认证。 - 较贵:售价约为 55 美元,高于基本型号,但其高级功能证明了价格的合理性。 - 对某些用户来说复杂:对于只需要基本双因素身份验证且不需要高级功能的用户来说,可能有些大材小用。 **适用人群:** - 技术达人:适合需要广泛的安全协议并熟悉 OpenPGP 和智能卡 (PIV) 等高级功能的用户。 - 企业和公司:非常适合需要跨多个平台和服务提供灵活且安全认证解决方案的企业。 - 高安全需求用户:适合除了基本双因素身份验证外,还想要无密码登录、加密和数字签名的用户。 ### 7.3 Google Titan Security Key [![google titan security key](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/google_titan_security_key_aa2ebc321b.png)](https://www.theverge.com/2021/8/9/22617183/google-usb-c-titan-security-lineup-nfc-password-protection) #### 7.3.1 关键功能详细概述 | **兼容性** | **Google Titan Security Key** 支持 **USB-C** 和 **USB-A**,兼容各种设备。它还提供 **NFC 支持**,方便使用 **NFC 移动设备**进行认证。专为 **Google 服务**优化,它与 **Google 账户**(如 Gmail 和 Google Drive)无缝集成,同时也支持 **Windows**, **macOS** 和 **Linux**。 | | :----------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **安全标准** | 支持 **FIDO U2F** 和 **FIDO2/WebAuthn**,实现**无密码登录**和**双因素身份验证**。Titan 密钥也是 **Google 高级保护计划**的一部分,为高风险用户提供额外保护。 | | **生物识别** | **Titan Security Key** 缺乏**生物识别认证**,依靠**物理持有**进行登录。 | | **耐用性** | Titan 密钥**防水**且**防篡改**,但不如其他一些型号坚固。它便于携带,容易挂在钥匙扣上。 | | **高级功能** | 提供**双因素身份验证**和**无密码登录**,但缺乏**智能卡支持**或**OpenPGP 密钥存储**等高级功能。 | | **价格** | **Google Titan Security Key** 售价约为 **30 美元**,对于需要为 **Google 服务**和其他 FIDO2 兼容平台提供**安全认证**的用户来说,是一个经济实惠的选择。 | #### 7.3.2 总结 **优点:** - 为 Google 优化:非常适合深度集成到 Google 生态系统(包括 Gmail、Google Drive 和其他 Google 服务)的用户。 - 经济实惠:约 30 美元,无需高级功能即可获得安全认证的巨大价值。 - NFC 支持:使用 NFC 在移动设备上轻松认证,方便移动使用。 **缺点:** - 无生物识别功能:缺乏指纹或面部识别;仅依靠物理持有。 - 有限的高级功能:不支持 OpenPGP 密钥存储或智能卡功能等特性。 - 不够坚固:虽然耐用,但不如一些更坚固的替代品那样抗震或防水。 **适用人群:** - Google 生态系统用户:适合经常使用 Google 账户并希望为这些服务提供安全认证的用户。 - 预算意识强的用户:对于需要可靠、简单双因素身份验证的用户来说,这是一个约 30 美元的划算选择。 - 普通用户:适合不需要生物识别功能或高级加密,但希望为 Google 账户和其他支持 FIDO 的服务提供强力保护的用户。 ### 7.4 OnlyKey Duo [![onlykey duo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/onlykey_duo_72a58bb9f8.jpg)](https://amzn.to/44rGG5P) #### 7.4.1 关键功能详细概述 | **兼容性** | [OnlyKey Duo](https://amzn.to/44rGG5P) 支持 **USB-C** 和 **USB-A**,兼容多种设备。它可以轻松与 **Windows**, **macOS**, **Linux** 和 **Android** 集成,并与 **Chrome**, **Firefox** 和 **Edge** 等主要浏览器配合使用。该密钥还提供与各种**密码管理器**和 **FIDO2 兼容平台**的兼容性。 | | :----------- | :----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **安全标准** | 支持用于**无密码身份验证**的 **FIDO2/WebAuthn** 和用于**双因素身份验证**的 **FIDO U2F**。它还包括 **一次性密码 (OTP)** 支持,以及用于加密数据存储和**数字签名**的 **OpenPGP 密钥存储**。 | | **生物识别** | **OnlyKey Duo** 不具备**生物识别认证**功能,仅依靠密钥的**物理持有**进行认证。 | | **耐用性** | **OnlyKey Duo** 专为承受日常磨损而打造,设计**耐用**,具有紧凑的外形,可轻松放入包中或挂在钥匙扣上。它还**防水**且**防篡改**,提供额外的物理损坏保护。 | | **高级功能** | **OnlyKey Duo** 提供 **OpenPGP 密钥存储**、**OTP 生成**和**密码管理**集成。它还支持**加密存储**,允许用户安全地存储密码和私钥。 | | **价格** | 售价约为 **50 美元**,**OnlyKey Duo** 是寻求在单一设备中获得高级安全功能和密码管理的用户的中端选择。 | #### 7.4.2 总结 **优点:** - 注重隐私:支持 OpenPGP 密钥存储、密码管理和加密存储,以提供强有力的隐私保护。 - 经济实惠:约 50 美元,为高级密码管理和安全功能提供了巨大的价值。 - 耐用:防水防篡改,专为承受日常使用和物理磨损而设计。 **缺点:** - 无生物识别功能:缺乏指纹或面部识别,仅依靠物理持有。 - 价格较高:约 50 美元,价格高于基本型号,但其高级功能证明了价格的合理性。 - 对初学者不太友好:对于只需要简单双因素身份验证的用户来说,更多的高级功能可能比较复杂。 **适用人群:** - 注重隐私的用户:适合重视数据安全、密码管理和加密存储的用户。 - 高级用户:适合需要 OpenPGP 密钥存储、OTP 生成和密码管理的用户。 - 企业和个人:适合希望结合多因素身份验证和密码管理的综合安全解决方案的企业和个人。 ### 7.5 Yubico YubiKey C Bio [![yubico-yubikey-c-bio.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/yubico_yubikey_c_bio_a0ec6b2b0a.png)](https://amzn.to/4q8BsV9) #### 7.5.1 关键功能详细概述 | **兼容性** | [Yubico YubiKey C Bio](https://amzn.to/4q8BsV9) 具有 **USB-C** 连接功能,确保与现代笔记本电脑、台式机和平板电脑兼容。兼容 **Windows**, **macOS**, **Linux** 和 **iOS**,并与 **Chrome**, **Firefox** 和 **Edge** 等主要浏览器配合使用。 | | :----------- | :-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **安全标准** | 支持用于**无密码身份验证**的 **FIDO2/WebAuthn** 和用于双因素身份验证的 **FIDO U2F**。它还集成了**生物识别指纹扫描**,增加了一层额外的安全性。该密钥强大的认证功能确保了在线账户和服务的抗网络钓鱼保护。 | | **生物识别** | **YubiKey C Bio** 以**内置指纹认证**脱颖而出,增加了**安全性**。它使用**生物识别数据**来确保只有授权用户才能访问账户。**360 度指纹扫描仪**提供了一种快速安全的登录方法。 | | **耐用性** | **YubiKey C Bio** 专为日常使用设计,**防水**且**抗震**,确保持久的耐用性。此外,其紧凑的外形使其易于挂在钥匙扣上携带。 | | **高级功能** | 除了**指纹认证**外,**YubiKey C Bio** 还支持用于**无密码登录**的 **FIDO2**,确保在线账户的强大安全性。然而,它缺乏 **OpenPGP 密钥存储**或**智能卡支持**等高级功能。 | | **价格** | **Yubico YubiKey C Bio** 售价约为 **90 美元**,这代表了反映市场领导者定位的溢价。特别是与像 **Token2 Bio3**(约 **40 美元**)这样的替代品相比,后者支持 OpenPGP 密钥存储并为项目提供灵活的功能。 | #### 7.5.2 总结 **优点:** - 生物识别认证:指纹扫描增加了一层额外的安全性,提供快速可靠的登录。 - 经济实惠的生物识别选项(相对):虽然约 90 美元,但它以合理的价格提供了来自大品牌的高级生物识别认证。 - 耐用:防水抗震,专为承受日常磨损而设计,同时提供可靠的保护。 **缺点:** - 无高级功能:不支持 OpenPGP 密钥存储或智能卡功能等特性。 - 价格较高:售价 90-95 美元,比基本型号贵,但提供了生物识别安全的价值。 - 仅限指纹认证:缺乏面部识别或其他形式的生物识别验证。 - 无 NFC 支持。 **适用人群:** - 生物识别安全爱好者:适合优先考虑指纹认证以增强安全性的用户。 - 专业人士和资深用户:适合需要强认证并喜欢生物识别便利性的个人。 - 普通用户:适合寻求用户友好的生物识别安全,而不需要更多高级功能的用户。 ### 7.6 Authenton#1 [![authenton-security-key](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/authenton_security_key_7e6e371f10.jpg)](https://amzn.to/4aecqPB) #### 7.6.1 关键功能详细概述 | **兼容性** | [Authenton#1](https://amzn.to/4aecqPB) 支持 **USB-A** 和 **NFC**,提供与 **Windows 10/11**, **macOS**, **Linux** 以及 **Chrome**, **Firefox**, **Edge** 等主要浏览器的无缝兼容性。它适用于各种符合 FIDO 标准的服务,包括 Google, Dropbox, Facebook, Salesforce, Outlook,并且还支持在线银行(例如德国 Sparkassen TAN 替代方案)。 | | :----------- | :-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **安全标准** | 完全 **FIDO CTAP2.1 认证**,支持 **FIDO2/WebAuthn** 和 **U2F**。该密钥还支持 **OTP**, **HOTP** 和 **OpenPGP**,提供强大的多协议功能。它使用 **BSI CC6+ 认证的安全元件**,并符合 **欧盟制造 IT 安全** 标准。 | | **生物识别** | **Authenton#1 不包含生物识别认证**。认证基于物理持有结合可选的 PIN 码。 | | **耐用性** | 设计符合 **MIL-STD-810H**(军用级)防水和抗震规格。它还可以在 **-25 °C 至 +85 °C** 的极端温度范围内工作,非常适合恶劣环境。根据 **ISO 9001** 和 **ISO 27001** 认证制造,德国制造。 | | **高级功能** | 提供广泛的**多协议支持**,包括 **FIDO2**, **U2F**, **OTP**, **HOTP** 和 **OpenPGP**。其强大的硬件安全和认证使其适用于消费者和企业用例。 | | **价格** | **Authenton#1** 售价约为 **45-55 欧元**,具体取决于零售商(例如 [Amazon](https://www.amazon.de/dp/B0CMHQHB63))。考虑到其军用级做工和欧洲认证,价格具有竞争力。 | | **类别** | 扩展令牌(多协议) | #### 7.6.2 总结 **优点:** - 军用级坚固性 (MIL-STD-810H),防水抗震 - 支持所有基本协议:FIDO2, [U2F](https://www.corbado.com/zh/glossary/ctap), OTP, HOTP, OpenPGP - 认证的安全硬件:BSI CC6+ 安全元件 **缺点:** - 无生物识别认证 - 与更简约的密钥相比,设计略显笨重 - 目前不提供 USB-C 版本 **适用人群:** - **注重安全的企业**:适合寻求企业环境强认证和耐用性的公司。 - **户外或恶劣环境**:需要密钥在恶劣条件下(例如现场工作人员、技术人员)可靠工作的用户。 - **注重隐私的用户**:适合优先考虑欧洲生产和安全标准的用户。 - **多用途组织**:Authenton#1 在客户请求方面非常灵活,支持多种任务,包括物理门禁控制、数字考勤、无现金支付和 MFA 登录。员工只需将令牌放在 NFC 阅读器前或插入 USB 插槽,无需查看正在使用哪个应用程序。 ### 7.7 Token2 T2F2-Dual PIN+Octo FIDO2.1 Security Key [![token2 t2f2 dual pin octo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/token2_t2f2_dual_pin_octo_10c556db76.jpg)](https://token2.com/shop/product/token2-t2f2-dual-pin-octo-fido2-1-security-key-nonbranded) #### 7.7.1 关键功能详细概述 | **兼容性** | **Token2 T2F2-Dual PIN+Octo** 支持 **USB-A** 连接,并适用于 **Windows**, **macOS** 和 **Linux**。它与 **Google**, **Microsoft Azure AD**, **GitHub** 和 **Facebook** 等主要平台和服务集成良好,使其成为个人和企业使用的多功能选择。 | | :----------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **安全标准** | 该密钥已通过 **FIDO 认证 (Level 1)**,支持 **FIDO2/WebAuthn**, **FIDO U2F** 和 **HOTP**,用于强大的多协议认证。它支持安全的基于 PIN 的登录,并遵守 FIDO2.1 规范以实现抗网络钓鱼安全。 | | **生物识别** | **T2F2-Dual PIN+Octo 不**提供生物识别认证。相反,它依靠**物理持有**和**PIN 验证**,包括支持**第二 PIN** 作为特定操作的额外安全层。 | | **耐用性** | 该设备专为长期使用而打造,支持超过 **100,000 次认证循环**,使用寿命超过 **10 年**,并在 **-10 °C 至 50 °C** 的温度范围内工作(存储范围:-20 °C 至 70 °C)。 | | **高级功能** | 功能包括**双 PIN 支持**、**HOTP HID 模拟模式**以及存储多达 **128 个驻留凭证**的能力。该密钥支持 **SHA-256**, **ECDSA**, **ECDH** 和 **AES** 等高级加密算法,提供了强大的技术基础。 | | **价格** | **Token2 T2F2-Dual PIN+Octo** 售价约为 **25 欧元**,使其成为寻求无生物识别要求的高级 FIDO2 安全性的用户的性价比之选。 | #### 7.7.2 总结 **优点:** - 双 PIN 支持增加了灵活性和额外安全性 - 适合资深用户的高级加密功能 - 非常实惠的多协议 FIDO2 密钥 **缺点:** - 缺乏指纹扫描等生物识别认证 - 仅限于 USB-A,不支持 USB-C 或 NFC - 不适合重型或恶劣环境 **适用人群:** - 想要具有多个驻留密钥的强大 FIDO2 支持的技术达人。 - 寻求无需高成本的强大安全性的预算意识强的专业人士。 - 更喜欢基于 PIN 而非生物识别安全的普通用户。 ### 7.8 Token2 PIN Bio3 [![Token2 Bio3](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Token2_Bio3_47db5052c8.jpg)](https://www.token2.com/shop/product/token2-pin-bio3-fido2-security-key-with-biometric-authentication) #### 7.8.1 关键功能详细概述 | **兼容性** | **Token2 Bio3** 支持 **USB-A** 连接,并适用于 **Windows**, **macOS** 和 **Linux**。它与 **Google**, **Microsoft Azure AD**, **GitHub** 和 **Facebook** 等主要平台和服务集成良好,使其成为个人和企业使用的多功能选择。 | | :----------- | :-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **安全标准** | 该密钥已通过 **FIDO 认证**,支持 **FIDO2/WebAuthn**, **FIDO U2F** 和 **OpenPGP**,用于强大的多协议认证。它具有**生物识别指纹扫描**功能以增强安全性,并遵守 FIDO2 规范以实现抗网络钓鱼安全。 | | **生物识别** | **Token2 Bio3** 提供**生物识别指纹认证**以增加安全性。它使用生物识别数据来确保只有授权用户才能访问账户,提供了一种快速安全的登录方法。指纹模板存储在本地设备的安全元件上。 | | **耐用性** | 该设备专为长期使用而打造,使用寿命超过 **10 年**,并在 **-10 °C 至 50 °C** 的温度范围内工作。它紧凑且适合日常使用。 | | **高级功能** | 功能包括**生物识别认证**、**OpenPGP 密钥存储**以及对 **FIDO2** 和 **U2F** 协议的支持。该密钥支持高级加密算法(例如 SHA-256, ECDSA),并可针对企业项目进行定制。 | | **价格** | **Token2 Bio3** 售价约为 **40 美元**,使其成为极具成本效益的生物识别安全密钥,为寻求指纹认证而无需支付市场领导者溢价的用户提供了极好的价值。 | #### 7.8.2 总结 **优点:** - 仅需约 40 美元的经济实惠生物识别认证 - 支持 OpenPGP 密钥存储,用于高级加密和数字签名 - FIDO2 认证,具有强大的抗网络钓鱼标准 - 灵活的供应商:可针对企业用例进行定制 **缺点:** - 仅限于 USB-A,不支持 USB-C 或 NFC - 存储限制为 100 个 Passkeys(可发现凭证) - 与 Yubico 等市场领导者相比,品牌知名度较低 **适用人群:** - 想要生物识别认证但又不想支付溢价的预算意识强的用户 - 寻求用于安全登录和加密的可定制生物识别密钥的组织 - 优先考虑 OpenPGP 支持并重视供应商灵活性的高级用户 ### 7.9 PONE Biometrics OFFPAD [![offpad pone](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/offpad_pone_73e124f39b.png)](https://offpad.ponebiometrics.com/) #### 7.9.1 关键功能详细概述 | **兼容性** | **OFFPAD** 支持 **低功耗蓝牙 (BLE)** 和 **NFC**;**OFFPAD+** 通过专用卡套增加了 **USB-C** 连接。它适用于 **Windows**, **macOS**, **Linux**,并与 **Microsoft**, **Google**, **Dropbox** 和 **GitHub** 等主要服务集成。 | | :----------- | :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **安全标准** | 完全 **FIDO2 认证 (Level 1)** 并符合 **NIS2** 和 **DORA** 等欧盟法规。加密支持包括 **AES-128, SHA-256, HMAC, ECDH, ECDSA 和 RSA**。凭证存储在 **CC EAL 6+ 安全元件**中,容量高达 **100 个可发现 Passkeys**。 | | **生物识别** | 具有 **SmartFinger® 指纹传感器** (IDX3200/3205),支持离线注册和验证。指纹模板安全地存储在设备本身;生物识别数据永远不会离开密钥。 | | **耐用性** | 专为专业用途设计,具有坚固的外形,适用于**银行、医疗保健、国防和政府**等部门。包括一个 **电子墨水显示屏**,用于显示请求的服务并指导用户完成登录流程。 | | **高级功能** | 提供**无密码登录**、无需依赖智能手机的跨平台使用、**生物识别注册**、**PIN 管理**,并支持 **Large Blob** 和 **Credential Blob** 等高级 FIDO2 功能。 | | **价格** | OFFPAD 定位在**高端范围(约 80-100 美元)**,反映了生物识别集成、高级硬件和斯堪的纳维亚生产质量。 | #### 7.9.2 总结 **优点:** - 具有安全设备端存储的生物识别指纹认证 - 无需智能手机即可工作,非常适合具有严格 MFA 政策的企业 - 电子墨水显示屏,用于透明和用户友好的认证 **缺点:** - 高端定价使其对预算意识强的用户吸引力降低 - 与 Yubico 或 Feitian 等全球参与者相比,品牌知名度较低 - 欧洲以外的可用性有限,可能会阻碍全球推广 **适用人群:** - 受监管行业的企业(金融、[医疗保健](https://www.corbado.com/passkeys-for-healthcare)、[政府](https://www.corbado.com/passkeys-for-public-sector)、国防) - 需要抗网络钓鱼 MFA 且不依赖员工智能手机的组织 - 希望结合生物识别登录与欧盟制造硬件的注重安全的专业人士 ## 8. 建议 如果你不确定哪种硬件安全密钥适合你,这里有一个快速指南,帮助你根据需求、用例和技术舒适度做出决定: ### 8.1 适合初学者或预算意识强的用户 **Yubico Security Key C NFC** - 简单且实惠(约 30 美元) - 非常适合想要基本双因素身份验证的首次用户 - NFC 支持使其成为桌面和移动使用的理想选择 ### 8.2 适合技术达人和开发人员 **Authenton#1** - 坚固的军用认证设计,支持多协议(FIDO2, [U2F](https://www.corbado.com/zh/glossary/ctap), OTP, HOTP, OpenPGP) - 支持多达 300 个可发现凭证——非常适合管理许多服务 - 德国制造和认证(BSI CC6+, ISO 9001 & 27001) ### 8.3 适合生物识别安全需求 **Yubico YubiKey C Bio** - 增加指纹认证以提供额外保护(约 90-95 美元) - 适合喜欢生物识别登录且不愿牺牲便携性的用户 - 非常适合处理敏感数据的专业人士 **Token2 Bio3**(预算替代方案) - 仅需约 40 美元即可提供生物识别认证 - 支持 OpenPGP 密钥存储以增强安全性 - 对于寻求经济高效的生物识别解决方案的组织来说,性价比极高 ## 9. Passkeys 与硬件安全密钥 随着网络安全的不断发展,对无密码身份验证的推动促使了 Passkeys (通行密钥) 的兴起。Passkeys 利用与硬件安全密钥相同的公钥/私钥加密技术,提供了一层额外的安全性和易用性。然而,它们也带来了一些特定的挑战,特别是在涉及可发现密钥的存储时。在本章中,我们将仔细研究 Passkeys 如何与硬件安全密钥协同工作,以及它们如何影响凭证的存储。 ### 9.1 Passkeys 如何与硬件安全密钥协同工作? Passkeys 是一种旨在消除对传统密码需求的创新解决方案。Passkeys 不依赖共享秘密,而是使用公钥/私钥加密技术,其中私钥安全地存储在设备(例如智能手机、笔记本电脑)上,公钥存储在服务器上。这种方法大大增强了安全性,使登录更加无缝和用户友好。 - **设备上的 Passkeys:** 使用 Passkeys,用户通过设备上的生物识别(指纹或面部扫描)或 PIN 码进行身份验证。这种认证方法比密码安全得多,并降低了网络钓鱼攻击的风险。 - **硬件安全密钥的作用:** 在高风险情况下或为了增加保护,硬件安全密钥可以与 Passkeys 结合使用。硬件安全密钥提供了第二认证因素,确保密钥本身必须在物理上存在才能进行认证。这对于高安全性环境或处理敏感数据时尤为重要。 ### 9.2 一个硬件安全密钥可以存储多少个 Passkeys? 硬件安全密钥对 Passkeys(可发现密钥)的存储容量因设备型号而异。虽然许多较旧或较不先进的型号可能仅支持有限数量的驻留密钥,但较新的型号设计有更大的存储容量。 - **YubiKeys:** 最近的 [YubiKey](https://www.corbado.com/glossary/yubikey) 型号可以存储多达 100 个 Passkeys(可发现密钥)。这种增加的存储容量允许用户注册和存储大量的 Passkeys,使 YubiKeys 成为拥有多种服务或管理大量账户的企业的理想选择。 - **存储限制:** 然而,驻留密钥的存储空间仍然是有限的,用户在注册 Passkeys 时应注意这一点。例如,现代 YubiKeys 使用当前固件 (5.7+) 支持多达 100 个可发现凭证,而较旧的固件版本支持 25 个。目前的 Nitrokey 型号也支持相当高的容量,有些型号存储超过 100 个 Passkeys(例如 Nitrokey Passkey),其他型号根据型号不同在 35 到 100 之间(例如 Nitrokey 3 NFC:多达 35 个,Nitrokey 3A Mini:多达 100 个)。这意味着拥有许多服务的用户可能会发现空间很快耗尽,这可能需要多个硬件安全密钥或影响他们存储新 Passkeys 的能力。 ### 9.3 Passkeys 对硬件安全密钥有什么影响? 随着 Passkeys 采用率的增长,硬件安全密钥对更大存储容量的需求变得更加明显。对于需要跨多个平台和服务进行无密码身份验证的用户来说,存储更多 Passkeys 的能力将至关重要。 - **对存储的需求增加:** 随着越来越多的服务采用 Passkeys,硬件安全密钥将需要进化以适应更大量的可发现密钥。这一转变将确保用户可以存储 Passkeys 而不会遇到存储限制。 - **面向未来的硬件密钥:** 随着 Passkeys 成为常态,硬件安全密钥将在保护在线账户方面发挥更加重要的作用。制造商将继续创新,增加其设备的存储容量,使其对从个人用户到企业的日常使用更加通用。 总之,Passkeys 和硬件安全密钥的结合提供了一种强大的、面向未来的认证方法,在增强安全性的同时提供了更流畅的无密码体验。通过了解驻留和非驻留密钥的细微差别以及存储限制,用户可以就哪种硬件安全密钥最适合他们的需求做出明智的决定。 ## 10. 结论 在本文中,我们回答了一些关键问题,以帮助你找到适合你需求的硬件安全密钥: **1. 对于寻找经济实惠且易于使用的初学者来说,哪种安全密钥是最佳选择?** 如果你刚开始使用或需要一个经济实惠的解决方案,[Yubico Security Key](https://www.corbado.com/blog/best-fido2-hardware-security-keys) C NFC 是一个不错的选择。它提供基本的双因素身份验证,易于使用,并支持 NFC 移动兼容性,所有这些都价格合理。 **2. 对于需要高级功能和多功能性的资深用户,哪种安全密钥最合适?** 对于需要多协议支持、生物识别认证或加密存储等高级功能的资深用户,像 Yubico [YubiKey](https://www.corbado.com/glossary/yubikey) 5C NFC 或 Yubico [YubiKey](https://www.corbado.com/glossary/yubikey) C Bio 这样更通用的安全密钥是理想之选。这些密钥提供智能卡支持、OpenPGP 密钥存储和指纹扫描等一系列选项,非常适合具有高安全需求的用户。 **3. 对于希望保护多名员工账户的企业,哪种安全密钥是最佳选择?** 对于企业来说,选择一种能为许多用户提供可靠、可扩展保护的安全密钥非常重要。Yubico YubiKey 5C NFC 或 OnlyKey Duo 将是合适的选择,它们提供强大的安全标准、易用性以及与各种平台的兼容性。这些密钥允许集中管理,非常适合在保持团队部署便利性的同时需要增强安全功能的企业。 **4. 带有和不带生物识别验证的安全密钥有什么主要区别?** 带有生物识别认证的安全密钥,如 Yubico YubiKey C Bio 或 [Token2](https://www.corbado.com/zh/blog/zui-jia-fido2-zhinengka) Bio3,通过在授予访问权限之前需要指纹扫描来提供额外的安全层。此功能非常适合那些优先考虑易用性和增强保护的用户。不带生物识别功能的密钥,如Yubico [Security Key](https://www.corbado.com/glossary/security-key) C NFC,仅依靠持有密钥来保证安全,这仍然非常安全但更简单。 **5. 我应该在安全密钥上花多少钱?哪些功能值得这个价格?** 如果你正在寻找一个基本的、预算友好的密钥,预计花费约 30 美元,如 [Yubico Security Key](https://www.corbado.com/blog/best-fido2-hardware-security-keys) C NFC 或 Google Titan [Security Key](https://www.corbado.com/glossary/security-key)。对于那些需要更多高级功能(如多协议支持)的用户,价格将接近 50-55 美元(如 YubiKey 5C NFC)。对于生物识别认证,价格从 40 美元([Token2](https://www.corbado.com/zh/blog/zui-jia-fido2-zhinengka) Bio3)到 90-95 美元(YubiKey C Bio)不等。价值在于增加的功能,如加密存储或指纹扫描,这些功能为具有更高需求的用户提供了更大的安全性。请记住,建议拥有一个备用密钥,因此应考虑购买两个密钥的价格。 **6. 我真的需要一个备用安全密钥来确保账户安全吗?** 虽然备用密钥不是严格必需的,但强烈建议拥有一个,以确保你不会被锁定在账户之外。如果你丢失或损坏了主密钥,拥有第二个密钥可确保持续的访问权限。许多用户发现,拥有备用密钥可以让他们安心,尤其是在使用密钥进行重要的安全功能时。 归根结底,你选择的密钥取决于你的安全要求、你使用的设备和你的预算。无论你是优先考虑简单性、高级安全功能还是经济实惠,总有一款硬件安全密钥能满足你的需求。