Як обрати правильний ключ безпеки: Security Key чи YubiKey?
Порівняння Security Key та YubiKey: функції, сумісність, NFC, FIPS та практичні сценарії - щоб швидко обрати модель.
Що таке ключ безпеки
Ключ безпеки - це фізичний пристрій для підтвердження особи під час входу в обліковий запис.
На відміну від SMS-кодів або мобільних застосунків двофакторної автентифікації, FIDO2-ключ неможливо перехопити віддалено. Навіть якщо пароль потрапить до зловмисника, він не зможе увійти без самого пристрою.
Сучасні ключі безпеки використовують стандарти FIDO2 та WebAuthn, які підтримуються Google, Microsoft, GitHub, Dropbox, Facebook, X (Twitter) та багатьма іншими сервісами.
Саме тому все більше компаній переходять від одноразових кодів до апаратної автентифікації та passkeys.
Який роз’єм потрібен: USB-A, USB-C чи Lightning
Перший критерій вибору - сумісність із вашими пристроями.
USB-A
Класичний роз’єм, який досі використовується на багатьох настільних ПК та старших ноутбуках.
Підійдуть:
USB-C
Сучасний стандарт для ноутбуків, планшетів та смартфонів.
Підійдуть:
Lightning
Для старших моделей iPhone із роз’ємом Lightning доступний:
- YubiKey 5Ci (також FIPS-версія)
Для сучасних iPhone з USB-C доцільніше використовувати YubiKey 5C NFC або Security Key C NFC.
Який форм-фактор обрати
Однакові функції можуть бути доступні в різних корпусах.
Вибір залежить від того, як саме ви плануєте використовувати ключ.
Для постійного підключення
Компактні моделі Nano майже не виступають із корпусу ноутбука.
Підійдуть:
Такі ключі часто використовують адміністратори або співробітники компаній, які постійно працюють за одним пристроєм.
Для носіння на зв’язці ключів
Стандартний форм-фактор універсальніший.
Підійдуть:
Такі моделі легше переносити між різними пристроями.
Security Key чи YubiKey 5 Series
Це питання виникає найчастіше.
Обидві серії підтримують FIDO2, WebAuthn та passkeys. Для звичайної автентифікації рівень захисту буде однаково високим.
Основна різниця полягає в додаткових можливостях.
| Можливість | Security Key | YubiKey 5 Series |
|---|---|---|
| FIDO2 | ✅ | ✅ |
| Passkeys | ✅ | ✅ |
| WebAuthn | ✅ | ✅ |
| FIDO U2F | ✅ | ✅ |
| OTP | ❌ | ✅ |
| Smart Card (PIV) | ❌ | ✅ |
| OpenPGP | ❌ | ✅ |
| OATH TOTP | ❌ | ✅ |
| Yubico Authenticator | ❌ | ✅ |
| Challenge-Response | ❌ | ✅ |
Кому підійде Security Key
Security Key NFC та Security Key C NFC створені для користувачів, яким потрібен лише сучасний захист акаунтів через FIDO2.
Типові сценарії:
- Delta (Дельта)
- Google Account
- Microsoft Account
- GitHub
- Dropbox
- Amazon
- особисті акаунти співробітників компаній
Для більшості користувачів цього достатньо.
Кому потрібен YubiKey 5
YubiKey 5 NFC та YubiKey 5C NFC орієнтовані на професійне та корпоративне використання.
Варто розглядати цю серію, якщо потрібні:
- цифрові сертифікати;
- смарт-карти PIV;
- OpenPGP;
- Yubico Authenticator;
- корпоративні системи доступу;
- інтеграція з інфраструктурою підприємства.
Коли варто обрати YubiKey Bio
Серія YubiKey Bio доповнює FIDO2-автентифікацію біометричною перевіркою через відбиток пальця.
Такі пристрої орієнтовані переважно на використання з комп’ютерами та ноутбуками.
Особливості серії:
- підтримка FIDO2 та WebAuthn;
- біометрична автентифікація;
- відсутність NFC;
- орієнтація на настільні операційні системи.
Для користувачів, які регулярно входять у корпоративні системи з робочого ПК, біометрична модель може бути зручним рішенням.
Якщо ж потрібна максимальна універсальність між ПК та смартфонами, практичніше обирати YubiKey 5 NFC або YubiKey 5C NFC.
Навіщо потрібен резервний ключ
Одна з найчастіших помилок - використання лише одного ключа безпеки.
У разі втрати пристрою відновлення доступу може вимагати додаткових процедур перевірки особи.
Саме тому рекомендується одразу реєструвати мінімум два ключі:
- основний для щоденного використання;
- резервний для зберігання вдома або в сейфі.
Для резерву бажано використовувати модель із тієї самої серії.
Наприклад:
| Основний ключ | Резервний ключ |
|---|---|
| Security Key NFC | Security Key C NFC |
| YubiKey 5 NFC | YubiKey 5C NFC |
| YubiKey 5C NFC | YubiKey 5 NFC |
Чи потрібен FIPS
FIPS (Federal Information Processing Standards) - це набір вимог безпеки, який використовується державними установами США та деякими регульованими організаціями.
Більшість компаній та приватних користувачів не мають потреби у FIPS-сертифікованих моделях.
Такі ключі зазвичай використовуються:
- державними органами;
- оборонними підрядниками;
- фінансовими установами;
- організаціями з обов’язковими вимогами відповідності.
Якщо у вашій організації немає прямої вимоги щодо FIPS, стандартні моделі Security Key NFC або YubiKey 5 NFC будуть правильним вибором.
Рекомендації для різних сценаріїв
| Сценарій | Рекомендований тип |
|---|---|
| Google, Microsoft, GitHub | Security Key NFC |
| Робота зі смартфоном | Security Key NFC або YubiKey 5 NFC |
| USB-C ноутбук | Security Key C NFC або YubiKey 5C NFC |
| OpenPGP та сертифікати | YubiKey 5 NFC / YubiKey 5C NFC |
| Yubico Authenticator | YubiKey 5 NFC / YubiKey 5C NFC |
| Біометричний вхід | YubiKey Bio |
| Корпоративна інфраструктура | YubiKey 5 NFC / YubiKey 5C NFC |
| Державні вимоги FIPS | YubiKey 5Ci FIPS |
Підсумок
Вибір правильного ключа безпеки зазвичай простіший, ніж здається.
Якщо вашою метою є захист особистих акаунтів за допомогою FIDO2 та passkeys, Security Key NFC або Security Key C NFC стануть оптимальним вибором за співвідношенням ціни та можливостей.
Якщо ж потрібні додаткові корпоративні функції, підтримка сертифікатів, OpenPGP або інтеграція з професійними системами безпеки, варто звернути увагу на YubiKey 5 NFC або YubiKey 5C NFC.
Незалежно від моделі, найкраща практика залишається незмінною - використовувати щонайменше два ключі та завжди мати резервний пристрій для відновлення доступу.
Не визначились? Напишіть у Telegram або WhatsApp.
Переглянути всі моделі → Каталог ключів безпеки
