Що воно таке - це комбінований пристрій для автентифікації. Працює як PassKey (новомодне слово від ябла, що означає ключ протоколу FIDO2), а також підтримує PIV (тобто, можна завантажити туди сертифікати з ключем та PGP ключі), та OTP кількох видів. Тут цікаво - туди можна завантажувати seed'и, але для генерації звісно потрібен зовнішній додаток від Yubico.
В аспекті входу PassKey/FIDO виступає першим і єдиним способом авторизації, тобто якщо використовується Passkey, то вводити чи виконувати інші додаткові дії непотрібно.
До телефону під'єднується або через роз'єм або по NFC. І той і інший способи працюють та є помірно зручними (звісно, NFC зручніший, бо основа пристрою розміром з двоєврову монету, його просто прикладаєш до телефону і все). Підозрюю, що по NFC працюватиме лише FIDO, а не PIV/OTP, але потрібно перевірити.
В десктоп він втикається по USB-C. В принципі, теж зручно і у фізичній системі працює, але у віртуальній машині VMWare мені не вдалося його використати для авторизації в Google - не працювало як слід.
Щоб підтвердити авторизацію, слід натиснути сенсорну кнопку на пристрої. Є ще модель з біометрією, але там немає NFC. Враховуючи, що в мене для біометрії є читач в комп'ютері та в телефоні, вигоди від біометрії в ключі жодної, а коштує вона вдвічі дорожче.
Вигоди та невигоди такі самі як в будь-яких апаратних ключів - його можна загубити, його можуть вкрасти, його можна забути на столі в офісі тощо. Вигоди в тому, що він носиться, що його можна комусь передати за потреби, і що не потрібно вводити пароль.
Водночас, зараз смартфони підтримують Passkey, тому головна перевага саме Yubikey залишається в тому, що його можна прямо або непрямо передати іншому для використання без ризику його копіювання.
Щоб з такого ключа була користь, потрібно ширше поширення підтримки такого способу авторизації. Але тут теж-таки виникає така колізія - більшість сайтів підтримують вхід через обліковий запис google / microsoft / facebook, а ті всі підтримують ключі а також підтвердження через мобільний пристрій. Тому за великим рахунком вхід через мобільний телефон, здається, має ширші перспективи.
Але, як не дивно, підтримка ключів саме в десктопних додатках (я знаю, що вони відмирають) може мати сенс. Там, де паролі використовуються для входу в додаток та захисту якихось даних, можна генерувати сесійний пароль, яким і шифрувати дані. А далі вже шифрувати сесійний пароль або ключем, виведеним з пароля користувача, або за допомогою ключа на такому пристрої. Мав би бути цікавий механізм, який можна переносити між пристроями (що важливо, оскільки в DPAPI ключ лежить в системі і перенесенню не підлягає).
