硬體安全金鑰詳解:YubiKey 及其他選擇

硬體安全金鑰提供抵禦釣魚攻擊和帳戶被接管的最強保護。了解其工作原理、哪些型號適合香港用戶,以及何時值得投資。

Read the YubiKey review for Hong Kong users → Guide to Two-Factor Authentication
Hardware security keys including YubiKey shown next to a laptop for 2FA
1什麼是硬體安全金鑰

什麼是硬體安全金鑰?

硬體安全金鑰是一個小型物理設備——大小與 USB 隨身碟相近——用作您的第二認證因素。您無需從應用程式輸入驗證碼或等待短訊,只需將金鑰插入 USB 端口(或觸碰手機的 NFC 讀取器)並觸摸感應器。設備執行加密操作,向您正在登入的服務證明您的身份。整個過程不到一秒,無需任何輸入。

硬體金鑰實施 FIDO2 標準及其前身 FIDO U2F。每個金鑰內部有一個安全元件——一種防篡改微處理器晶片,設計用於安全儲存加密材料。當您向服務登記硬體金鑰時,金鑰會為該特定網站生成一對唯一的公鑰/私鑰。私鑰永遠不離開硬體,即使有人實際持有該金鑰也無法提取。公鑰與服務共享,用於在登入時驗證您的身份。

硬體金鑰相對於軟件 2FA 的關鍵安全優勢是防釣魚能力。當您嘗試登入時,金鑰以加密方式驗證請求認證的網站的確切域名。如果攻擊者誘騙您訪問釣魚網站——即使該網站在外觀上與真實登入頁面完全相同——金鑰會看到錯誤的域名並拒絕認證。這使硬體金鑰對能夠突破 TOTP 應用程式和短訊驗證碼的最複雜釣魚攻擊免疫。

  • 物理設備:通常為小型 USB 設備,部分型號支援 NFC 用於智能手機
  • 安全元件:防篡改晶片儲存私鑰——提取幾乎不可能
  • FIDO2/U2F 標準:Google、Apple、Microsoft 及數千個服務支援的開放標準
  • 用戶存在確認:您必須實際觸摸金鑰才能認證——阻止遠端攻擊
  • 域名綁定:金鑰以加密方式驗證網站域名——阻止釣魚攻擊
  • 無需輸入驗證碼:認證只需一次觸摸——無需 30 秒窗口或輸入驗證碼
硬體金鑰為何是防釣魚 MFA 的黃金標準 →
Hardware security key plugged into laptop USB port
2金鑰型號

YubiKey、Google Titan 及其他硬體金鑰比較

YubiKey 由 Yubico(一家瑞典裔美國公司)製造,是最具代表性的硬體金鑰品牌,也是安全專業人員最常推薦的品牌。YubiKey 5 系列支援 FIDO2、FIDO U2F、智能卡(PIV)、OpenPGP 和 TOTP,使其在企業和消費者使用場景中都具有多功能性。YubiKey 5 NFC 增加了近場通訊功能,可與 iPhone 和 Android 設備配合使用——您只需將金鑰觸碰手機,而無需插入。Security Key 系列是一個更實惠的支援 NFC 的選項,僅支援 FIDO2,對大多數消費者使用而言已足夠。

Google 的 Titan 安全金鑰是 Google 自家的 FIDO2 硬體金鑰,提供 USB-C 和 NFC 型號。它們按照 Google 的規格製造,是一個可靠、價格合理的選項——對深入使用 Google 生態系統並信任 Google 供應鏈安全的用戶尤其具吸引力。Google 在其所有員工帳戶上內部使用 Titan 金鑰,完全消除了其員工隊伍中與釣魚相關的帳戶入侵事件,是對該技術有效性的有力背書。

對於香港用戶,YubiKey 更易獲取——Yubico 直接向香港發貨,香港的經銷商也有銷售最受歡迎的型號。YubiKey 5C NFC(USB-C 接口帶 NFC)對現代 MacBook、USB-C Windows 筆記型電腦和 iOS 16 以上的 iPhone 最為通用。注重預算的用戶可考慮 YubiKey Security Key C NFC,它僅支援 FIDO2 但價格較低,能處理絕大多數消費者使用場景。務必購買兩把金鑰並向您的重要帳戶同時登記兩把,這樣如果一把丟失,您仍有備份。

  • YubiKey 5 NFC:全功能——FIDO2、TOTP、PIV、OpenPGP;USB-A + NFC——適合大多數用戶
  • YubiKey 5C NFC:與上述相同,配備 USB-C——推薦用於現代 MacBook 和筆記型電腦
  • YubiKey Security Key C NFC:僅 FIDO2,USB-C + NFC——價格較低,適合消費者使用
  • Google Titan USB-C:性價比高的 FIDO2 金鑰——非常適合 Google Workspace 用戶
  • 購買兩把金鑰:務必登記備份金鑰——將第二把金鑰存放在安全位置
  • 香港可購性:YubiKey 可從 Yubico.com 發貨至香港;旺角部分 IT 零售商有現貨
查看我們針對香港用戶的完整 YubiKey 評測 →
YubiKey models compared — 5 Series NFC and Security Key
3設置與相容性

設置硬體金鑰:哪些可行,哪些不可行

硬體金鑰的設置在各支援服務中遵循一致的模式。您進入帳戶的安全設置,找到添加安全金鑰的選項,點擊「添加」,當系統提示時,插入金鑰並觸摸感應器。瀏覽器通過 WebAuthn API 與金鑰通訊,所有現代作業系統上的 Chrome、Edge、Firefox 和 Safari 均支援此 API。每個服務的設置過程約需 30 秒,無需安裝任何軟件——硬體金鑰設計為即插即用。

相容性已大幅改善。Google、Microsoft、GitHub、Twitter/X、Facebook、Dropbox 以及數百個企業應用程式現在支援 FIDO2 硬體金鑰。對於 iPhone(iOS 16+),YubiKey 5 NFC 可通過 NFC 使用,在支援的應用程式或 Safari 中的網站提示時,將金鑰觸碰手機頂部即可。配備 NFC 的 Android 手機工作方式類似。USB-C 金鑰可直接與現代 iPad Pro 和 MacBook 配合使用,無需轉接器。

硬體金鑰支援的明顯缺口是大多數香港銀行應用程式。截至本文撰寫時,主要香港銀行的手機應用程式不支援 FIDO2 硬體金鑰——它們使用內建於其銀行應用程式中的自有 2FA 系統。您仍可以為 Gmail、工作帳戶和社交媒體使用硬體金鑰,並使用銀行的內建應用程式認證進行銀行操作。這不是避免使用硬體金鑰的理由——只是意味著它們保護的帳戶集與您的銀行認證不同。

  • 瀏覽器支援:Windows、macOS、iOS 和 Android 上的 Chrome、Edge、Firefox、Safari 均支援 WebAuthn
  • 無需軟件:金鑰為即插即用——現代作業系統無需驅動程式
  • iPhone NFC:通過 iOS 16+ 在 Safari 和支援應用程式中與支援 NFC 的 YubiKey 配合使用
  • 支援服務:Google、Microsoft、GitHub、Twitter、Facebook、Dropbox、Cloudflare 等
  • 香港銀行缺口:主要香港銀行尚不支援 FIDO2 金鑰——請使用其應用程式 2FA
  • 登記備份:在每個服務的設置期間添加第二把金鑰——丟失一把金鑰不應使您無法存取帳戶
逐步在 Google 上設置您的安全金鑰 →
Setting up YubiKey with Google Account in Chrome browser
4適合使用者

硬體金鑰是否值得?誰最能受益

對於任何因帳戶被入侵而面臨嚴重後果的人,硬體金鑰都是值得的。如果您經營一家儲存客戶數據的企業,如果您持有任何規模的加密貨幣,如果您是記者、社會活動人士或處理敏感資訊的專業人士,或者如果您是擁有大量追蹤者的知名社交媒體帳戶持有人——在消費者價位(一款好型號約 HK$400-600)下,硬體金鑰是可獲得的最有效保護。

對於香港普通消費者而言,他們主要想保護電子郵件、銀行和社交媒體帳戶,驗證器應用程式已是非常強大的防禦,硬體金鑰是可選的而非必需的。真正從硬體金鑰中受益的風險狀況是被攻擊者特定針對的人——而非面臨影響大多數人的大規模自動憑證填充攻擊的人。儘管如此,硬體金鑰足夠簡單,可以每天使用,因此使用它們並沒有真正的代價,只有好處。

對於香港企業,將硬體金鑰作為員工的 2FA 標準——特別是用於電子郵件、雲服務和 VPN 存取——可以消除釣魚攻擊作為企業帳戶入侵的向量。每位員工的硬體金鑰成本與一次成功的商業電子郵件入侵事件的代價相比微不足道。挑戰在於後勤:員工需要實體金鑰,需要登記備份金鑰,IT 還需要為遺失或忘記攜帶金鑰的員工制定流程。有了良好的規劃,這些挑戰是可以應對的,而安全效益是顯著的。

  • 最高優先級:加密貨幣持有者、高管、記者、社會活動人士及商業帳戶管理員
  • 企業用途:消除企業電子郵件和雲存取釣魚風險的高性價比方式
  • 香港成本:YubiKey 5C NFC 約 HK$400-600——購買兩把以確保冗餘
  • 消費者用途:驗證器應用程式對大多數個人帳戶已足夠
  • 遺失金鑰:使用備份金鑰並從所有帳戶安全設置中移除遺失的金鑰
  • 金鑰存放:將備份金鑰放在家中安全位置——切勿將兩把金鑰一起攜帶
查看香港企業完整的 MFA 實施指南 →
Business professionals and high-risk users who should use hardware keys

準備好超越驗證器應用程式了嗎?

閱讀我們針對香港用戶的專題 YubiKey 評測——設置、相容性及在港購買渠道。

閱讀針對香港用戶的 YubiKey 評測 → 雙重認證完整指南

Related VPN Articles

What Is a VPN?

The complete beginners guide to VPN technology.

How Does a VPN Work?

Encryption, IP masking and data tunnelling explained.

VPN Protocols Explained

OpenVPN, WireGuard, IKEv2 - which should you use?

Best VPNs for Hong Kong

Top-rated VPNs tested for HK users.

VPN for Streaming

Unblock Netflix, Disney+ and more from Hong Kong.

VPN on Public WiFi

Why public hotspots are dangerous and how VPN helps.

Free vs Paid VPN

What you sacrifice with a free VPN.

VPN for Gaming

Reduce lag and access geo-locked games.

VPN for Remote Work

Secure your home office connections.