YubiKey to fizyczny klucz bezpieczeństwa wielkości pendrive, który podłączasz do USB lub przykładasz do telefonu przez NFC, żeby potwierdzić logowanie. To najsilniejsza dostępna forma uwierzytelniania dwuskładnikowego — w odróżnieniu od kodów SMS i aplikacji TOTP, YubiKey jest odporny na phishing, bo nie zadziała na fałszywej stronie.
Co to jest YubiKey i jak działa
YubiKey to seria kluczy bezpieczeństwa szwedzkiej firmy Yubico. Wygląda jak miniaturowy pendrive — wkładasz go do portu USB lub przykładasz do tylnej części telefonu (NFC). Dotykasz przycisku i jesteś zalogowany. Żadna aplikacja, żaden SMS, żaden kod do wpisania.
Mechanizm działania opiera się na kryptografii klucza publicznego. Gdy rejestrujesz YubiKey na danym serwisie, klucz generuje parę kryptograficzną: klucz prywatny zostaje w urządzeniu i nigdy go nie opuszcza, klucz publiczny trafia na serwery serwisu. Przy logowaniu serwis wysyła losowe wyzwanie, klucz podpisuje je swoim kluczem prywatnym, serwis weryfikuje podpis. Bez fizycznego klucza nie da się sfałszować odpowiedzi.
Kluczowa właściwość: YubiKey sprawdza domenę strony, na której jesteś. Jeśli jesteś na phishingowej kopii Gmail, klucz odmówi działania. Tego nie oferują kody SMS ani aplikacje TOTP — haker może Cię przekierować na fałszywą stronę i przechwycić kod w czasie rzeczywistym.
U2F, FIDO2 i TOTP — czym się różnią
U2F (Universal 2nd Factor) to najpopularniejszy tryb. Logujesz się hasłem, potem serwis prosi o klucz. Dotykasz przycisku na YubiKey — gotowe. Obsługują go prawie wszystkie serwisy z obsługą kluczy sprzętowych. Jeden YubiKey można zarejestrować na nieograniczonej liczbie kont.
FIDO2 / Passkey to nowszy standard, który pozwala logować się bez hasła — tylko kluczem (i opcjonalnym PINem). Liczba kont jest ograniczona (YubiKey 5 przechowuje do 25 passkeys). Obsługa rośnie — Google, Apple, Microsoft już to wdrożyły.
TOTP (Time-based One-Time Password) to tryb generowania kodów 6-cyfrowych, jak w Google Authenticator. Droższe modele YubiKey 5 mogą przechowywać do 32 takich kont w aplikacji Yubico Authenticator. To mniej wygodne niż U2F, ale działa wszędzie tam, gdzie serwis obsługuje TOTP.
Modele YubiKey i ceny
Security Key NFC (niebieski) — podstawowy model obsługujący U2F i FIDO2. Działa przez USB-A i NFC. W cenie ok. 150 PLN za sztukę lub 300 PLN za 2 sztuki. Wystarcza dla 99% użytkowników — obsługuje Google, Facebook, GitHub, Microsoft i inne popularne serwisy.
YubiKey 5 NFC (czarny) — rozszerzony model z obsługą TOTP (32 konta), logowania do systemu operacyjnego Windows/macOS/Linux, integracji z KeePass i kluczy SSH/GPG. Cena ok. 320–380 PLN. Dla zaawansowanych użytkowników i adminów.
YubiKey 5C NFC — jak powyżej, ale z USB-C zamiast USB-A. Lepszy do nowych laptopów i telefonów.
YubiKey Bio — z czytnikiem linii papilarnych zamiast dotykowego przycisku. Najdroższy model, 550–600 PLN.
Studenci Yubico oferuje 20% rabatu przez program Yubico for Students.
Jak skonfigurować YubiKey krok po kroku
- Kup dwa klucze — zawsze backup. Jeden jako główny, drugi jako zapasowy.
- Wejdź w ustawienia bezpieczeństwa serwisu, który chcesz zabezpieczyć (np. Google: Konto → Bezpieczeństwo → Klucz bezpieczeństwa).
- Wybierz „Dodaj klucz bezpieczeństwa” i postępuj według instrukcji na ekranie.
- Włóż YubiKey do USB (lub przyłóż przez NFC), dotknij przycisku gdy serwis o to poprosi.
- Powtórz dla drugiego klucza — zarejestruj go jako backup na tym samym koncie.
- Zapisz kody zapasowe — serwisy generują kody jednorazowe na wypadek zgubienia klucza. Wydrukuj i przechowaj bezpiecznie offline.
Jakie serwisy obsługują YubiKey
Lista rośnie z każdym miesiącem. Najpopularniejsze: Google/Gmail, Microsoft/Outlook, Facebook, Instagram, Twitter/X, GitHub, GitLab, Dropbox, Amazon, Cloudflare, Bitwarden, KeePassXC, 1Password.
Z polskich serwisów: iPKO (PKO Bank Polski) obsługuje klucze FIDO2. Większość polskich banków jednak jeszcze nie wdrożyła tej opcji.
Co zrobić jeśli zgubię YubiKey
Zgubiony klucz bez znajomości loginu i hasła jest dla znalazcy bezużyteczny — dane kryptograficzne wewnątrz są zabezpieczone i nie da się ich odczytać. Ale Ty tracisz dostęp do drugiego składnika. Dlatego:
- Drugi klucz (backup) — najprostsze rozwiązanie. Zarejestruj go na wszystkich ważnych kontach.
- Kody zapasowe — serwisy generują je przy konfiguracji 2FA. Wydrukuj i zamknij w szufladzie.
- Odzyskiwanie przez obsługę serwisu — możliwe, ale żmudne. Wymaga weryfikacji tożsamości.
Źródła
- Kacper Szurek: Co to jest YubiKey i klucz U2F/FIDO2
- x-kom: Klucze sprzętowe Yubico — co to jest i jak ich używać?
- Sekurak.pl: Poradnik o kluczach sprzętowych YubiKey 5 NFC
Najczęściej zadawane pytania o YubiKey
Czy YubiKey działa bez internetu?
Tak. YubiKey nie potrzebuje internetu ani baterii — to pasywne urządzenie kryptograficzne zasilane przez port USB. Klucz działa offline. Połączenie z internetem potrzebne jest tylko do zalogowania się na sam serwis, nie do działania klucza.
Ile kont można podpiąć do jednego YubiKey?
W trybie U2F — bez limitu. Jeden klucz możesz zarejestrować na nieograniczonej liczbie kont i serwisów. Limit pojawia się tylko przy passkeys/FIDO2 (25 kont w YubiKey 5) i TOTP (32 konta w Yubico Authenticator).
Czy YubiKey działa na telefonie?
Tak, jeśli klucz ma NFC (większość aktualnych modeli). Przykładasz YubiKey do tylnej części telefonu — bez podłączania do USB. Modele z USB-C działają też przez kabel bezpośrednio z telefonami z USB-C.
Czy YubiKey można zhakować?
Klucz prywatny nigdy nie opuszcza urządzenia i nie można go odczytać nawet fizycznie — chip jest zaprojektowany tak, żeby niszczyć klucz przy próbie włamania. Znane ataki na YubiKey wymagają fizycznego dostępu do urządzenia przez wiele godzin i specjalistycznego sprzętu, co jest nierealistyczne w praktyce.
