<?xml version="1.0" encoding="UTF-8"?><rss version="2.0" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Блог FIDO2 Ukraine</title><description>Статті про FIDO2, passkeys, апаратні ключі безпеки та захист акаунтів - практичні пояснення українською.</description><link>https://fido2.com.ua/</link><language>uk-UA</language><item><title>YubiKey Edge 4.1.8 - кому підійде і де не спрацює</title><link>https://fido2.com.ua/blog/security-key-yubikey-firmware-4-1-8/</link><guid isPermaLink="true">https://fido2.com.ua/blog/security-key-yubikey-firmware-4-1-8/</guid><description>YubiKey Edge - попередник серії 5 з OTP і FIDO U2F. Не підтримує FIDO2, WebAuthn і passkeys - але для базового U2F-захисту Google і GitHub досі працює.</description><pubDate>Thu, 25 Jun 2026 00:00:00 GMT</pubDate><content:encoded>&lt;BlogAside&gt;
  **Коротко:**
  - **Протоколи:** Yubico OTP, OATH TOTP/HOTP, FIDO U2F, CCID (Smart Card) - **без FIDO2, без WebAuthn, без passkeys**
  - **Роз&apos;єм:** тільки USB-A - **NFC відсутній**
  - **Для захисту Google, GitHub, GitLab через U2F** - працює після увімкнення FIDO в YubiKey Manager
  - **Не спрацює де:** сервіси що вимагають тільки FIDO2/passkeys, вхід через NFC на смартфоні
  - **Вразливості:** EUCLEAK і ROCA цю модель &lt;u class=&quot;text-warning&quot;&gt;не зачіпають&lt;/u&gt;(згідно з офіційними advisory Yubico)
  - **Брати чи ні:** якщо потрібен лише FIDO2 і passkeys - ні, обирайте [Security Key NFC](/security-key-nfc-usb-a/) або [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/). Якщо влаштовує U2F-захист і потрібна Yubico-якість за нижчою ціною - Edge справляється
  - **Питання?** Напишіть у [WhatsApp](https://wa.me/380737572827) - підберемо
&lt;/BlogAside&gt;

## Що таке YubiKey Edge і звідки він узявся

YubiKey Edge - апаратний ключ безпеки Yubico, який вийшов у 2015 році як проміжна модель між FIDO U2F Security Key і YubiKey Neo. Його позиціонування: більше функцій ніж у чистого FIDO-ключа, менше ніж у Neo з NFC і смарт-картою.

Модель знята з виробництва і більше не продається на yubico.com. Але ключі з прошивкою 4.1.8 ще з&apos;являються на ринку - як залишки складських запасів. Звідси і питання: чи варто брати, і де він спрацює в 2026 році.

Firmware 4.1.8, яку показує YubiKey Manager на скріншоті - це остання підтримувана версія для цієї моделі. Оновлення не передбачене: як і на всіх YubiKey, прошивка фіксується виробником на заводі.

## Що підтримує YubiKey Edge 4.1.8

Три незалежних застосунки, які живуть на одному ключі:

**Yubico OTP** - генерує одноразовий пароль при короткому дотику. Використовується з Yubico Cloud або приватним YubiCloud. Два слоти: Slot 1 (короткий дотик) і Slot 2 (довгий дотик). Обидва доступні для налаштування через YubiKey Manager або Yubico Personalization Tool.

**OATH (TOTP і HOTP)** - зберігання TOTP/HOTP-кредентіалів у слотах. Це не Yubico Authenticator із великим сховищем, а два конфігуровані слоти. Виводиться як одноразовий пароль при дотику через USB.

**FIDO U2F** - другий фактор автентифікації для сервісів, які підтримують U2F. Кількість U2F-кредентіалів практично необмежена. **Важливо:** за замовчуванням FIDO може бути вимкнений - це видно на скріншоті з YubiKey Manager, де навпроти FIDO стоїть порожня галочка, а FIDO U2F у PowerShell-виводі показаний як `Disabled`. Вмикається через YubiKey Manager → Interfaces.

**CCID (Smart Card)** - ключ розпізнається як смарт-карта через USB. На цій моделі доступна функція Static Password (статичний пароль), яка вводиться при дотику.

## Що НЕ підтримує YubiKey Edge

Перелік важливий, бо саме тут виникає найбільше питань:

- **FIDO2 / WebAuthn** - не підтримується. Вхід без пароля через passkeys неможливий
- **NFC** - відсутній. Смартфон через NFC не підключити
- **PIV (Personal Identity Verification)** - повноцінна смарт-картка з сертифікатами і ключами PIV недоступна
- **OpenPGP** - немає
- **OATH через Yubico Authenticator** - додаток не підтримує Edge для зберігання TOTP; для великого сховища TOTP потрібна серія [YubiKey 5](/yubikey-5-nfc-usb-a/)
- **YubiHSM Auth** - не підтримується

## Де реально спрацює FIDO U2F у 2026 році

FIDO U2F - стандарт 2014 року, попередник FIDO2. Більшість великих сервісів підтримують його досі, хоча деякі поступово переходять на FIDO2-only.

Перевірено підтримку U2F на цих сервісах:

- **Google Account / Gmail / Google Workspace** - підтримує U2F і FIDO2 паралельно. YubiKey Edge реєструється і працює як другий фактор
- **GitHub** - підтримує U2F. Реєстрація стандартна
- **GitLab** - підтримує U2F
- **Dropbox** - підтримує U2F
- **Bitwarden, LastPass** - підтримують U2F
- **Fastmail** - підтримує U2F
- **Nextcloud** - підтримує U2F через плагін

Де може не спрацювати: сервіси, що повністю перейшли на FIDO2-only і видалили U2F з інтерфейсу, або потребують passkeys як єдиний варіант апаратного ключа. Перед реєстрацією ключа варто перевірити, що конкретний сервіс підтримує саме U2F.

## Відомі вразливості - що стосується, а що ні

Два advisory які часто згадують поруч із YubiKey 4.x - EUCLEAK і ROCA.

**EUCLEAK (CVE-2024-45678)** - side-channel атака на криптобібліотеку Infineon, яка дозволяє клонувати ключ при фізичному доступі. Офіційний advisory Yubico YSA-2024-03 стосується YubiKey 5 Series та Security Key Series з firmware до 5.7.0. YubiKey Edge у переліку affected products не фігурує. Це окремий продукт на іншому чіпі - Edge використовує архітектуру firmware 4.x, а не ту, що описана в advisory.

**ROCA (CVE-2017-15361)** - вразливість у генерації RSA-ключів у криптобібліотеці Infineon. Згідно з Yubico YSA-2017-01, вразливість стосується YubiKey 4 з firmware версій 4.2.6 до 4.3.4 при генерації RSA-ключів на чіпі для PIV і OpenPGP. Версія 4.1.8 нижча за цей діапазон і під дію ROCA не потрапляє. До того ж, FIDO U2F та Yubico OTP функції взагалі не зачіпаються ROCA - навіть для ключів із вразливих версій.

Підсумок по безпеці: для сценарію FIDO U2F і Yubico OTP на версії 4.1.8 відомих актуальних advisory від Yubico немає. Це не означає, що ключ «ідеальний» - просто конкретні описані вразливості цієї моделі в цьому сценарії не стосуються.

## Порівняння: Edge, Security Key NFC і YubiKey 5 NFC

| Характеристика | YubiKey Edge 4.1.8 | Security Key NFC | YubiKey 5 NFC |
|---|---|---|---|
| Протоколи | Yubico OTP, OATH, FIDO U2F, CCID | FIDO2, WebAuthn, U2F | FIDO2, WebAuthn, U2F, OTP, PIV, OpenPGP |
| NFC | ❌ | ✅ | ✅ |
| USB | USB-A | USB-A | USB-A |
| FIDO2 / passkeys | ❌ | ✅ | ✅ |
| Yubico OTP | ✅ | ❌ | ✅ |
| OATH TOTP/HOTP (слоти) | ✅ (2 слоти) | ❌ | ✅ (через Yubico Authenticator, 32+ кредентіали) |
| PIV (Smart Card) | ❌ | ❌ | ✅ |
| OpenPGP | ❌ | ❌ | ✅ |
| Статус виробництва | Знятий з виробництва | Активний | Активний |
| Прошивка | 4.1.8 | 5.4.3 / 5.7+ | 5.4.3 / 5.7+ |

## Для кого підійде YubiKey Edge

**Підходить, якщо:**

- Потрібен Yubico OTP або OATH HOTP/TOTP у двох слотах поруч із U2F
- Сервіси, які захищаєте, підтримують FIDO U2F (Google, GitHub, GitLab, Dropbox)
- Пристрої - Windows або Linux ноутбуки і ПК з USB-A
- Не потрібний вхід через NFC на смартфоні
- Важлива нижча ціна за Yubico-якість і FIDO-сертифікацію

**Не підходить, якщо:**

- Потрібні passkeys або вхід без пароля через FIDO2 / WebAuthn
- Потрібне NFC для iPhone або Android
- Потрібний Yubico Authenticator із великим TOTP-сховищем (32+ записи)
- Потрібна PIV смарт-карта або OpenPGP

Для сучасного захисту акаунтів, де важливий FIDO2 і passkeys - обирайте [Security Key NFC](/security-key-nfc-usb-a/). Якщо потрібен повний протокольний стек із PIV і Yubico Authenticator - [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/).

## Технічні характеристики

| Параметр | Значення |
|---|---|
| Виробник | Yubico |
| Модель | YubiKey Edge |
| Роз&apos;єм | USB-A |
| NFC | Відсутній |
| Прошивка | 4.1.8 |
| Підтримувані протоколи | Yubico OTP, OATH TOTP/HOTP, FIDO U2F, CCID |
| НЕ підтримує | FIDO2, WebAuthn, passkeys, NFC, PIV, OpenPGP, YubiHSM Auth |
| USB-інтерфейси | OTP, FIDO (вимкнений за замовчуванням), CCID |
| OTP-слоти | 2 (Slot 1 і Slot 2) |
| U2F-кредентіали | Практично без обмежень |
| Сумісні ОС | Windows, macOS, Linux |
| Захист корпусу | Водо- та ударостійкий корпус |
| Габарити | 18 × 45 × 3 мм |
| Вага | 3 г |
| FIDO-сертифікація | FIDO U2F Certified |
| Статус виробництва | Знятий з виробництва |

## Увімкнення FIDO U2F - важливо перед першим використанням

На деяких YubiKey Edge інтерфейс FIDO вимкнений за замовчуванням - активні тільки OTP і CCID. Це видно у YubiKey Manager у вкладці Interfaces: навпроти FIDO - порожня галочка. У виводі `ykman info` FIDO U2F показаний як `Disabled`.

Щоб увімкнути:

1. Відкрийте YubiKey Manager
2. Перейдіть у Interfaces
3. Поставте галочку навпроти FIDO
4. Натисніть Save Interfaces

Після цього ключ розпізнається браузерами як U2F-пристрій і готовий до реєстрації на сервісах.

## Документація та ресурси

- Yubico Security Advisory YSA-2024-03 (EUCLEAK): https://www.yubico.com/support/security-advisories/ysa-2024-03/
- Yubico Security Advisory YSA-2017-01 (ROCA): https://www.yubico.com/support/security-advisories/ysa-2017-01/
- YubiKey Edge Product Sheet (2016, PDF): https://www.yubico.com/wp-content/uploads/2016/02/Yubico_YubiKeyEdgeEdgen_ProductSheet_Feb2016.pdf
- YubiKey Manager (завантажити): https://www.yubico.com/support/download/yubikey-manager/

## Схожі моделі

- [**Security Key NFC**](/security-key-nfc-usb-a/) - сучасний FIDO2/U2F ключ з USB-A і NFC, підтримує passkeys. Підходить тим, кому не потрібен OTP
- [**YubiKey 5 NFC**](/yubikey-5-nfc-usb-a/) - USB-A + NFC з повним протокольним стеком: FIDO2, OTP, PIV, OpenPGP, Yubico Authenticator
- [**Security Key C NFC**](/security-key-c-nfc-usb-c/) - FIDO2/U2F з USB-C і NFC, для MacBook і сучасних ноутбуків

Не впевнені що обрати - напишіть у [WhatsApp](https://wa.me/380737572827), підберемо ключ під ваш сценарій.</content:encoded></item><item><title>uTrust FIDO2 NFC Security Key - що це за ключ і чи варто брати замість Yubico</title><link>https://fido2.com.ua/blog/security-key-utrust-review/</link><guid isPermaLink="true">https://fido2.com.ua/blog/security-key-utrust-review/</guid><description>uTrust FIDO2 NFC Security Key - апаратний ключ з мультипротокольною підтримкою і нижчою ціною, ніж Yubico. Що він вміє, чого не вміє і коли варто обирати саме його.</description><pubDate>Wed, 24 Jun 2026 00:00:00 GMT</pubDate><content:encoded>&lt;BlogAside&gt;
  - **Протоколи:** FIDO2, WebAuthn, U2F, HOTP, TOTP - без PIV у базовій NFC версії
  - **Роз&apos;єми:** USB-A + NFC
  - **Підходить для:** захист Google, Microsoft, GitHub, Delta, крипто - стандартний FIDO2 сценарій
  - **НЕ підходить для:** PIV смарт-карта, Windows 10 Standalone без домену, корпоративний PKI
  - **Відносно Yubico:** мультипротокольний (HOTP/TOTP), але PIV - тільки на NFC+ версії; кнопка фізично менш зручна
&lt;/BlogAside&gt;

## Що таке uTrust FIDO2 NFC і хто його робить

**uTrust FIDO2 NFC Security Key** - апаратний ключ безпеки від американської компанії Identiv (тепер під брендом Hirsch Secure після продажу підрозділу у вересні 2024 року). Ключ підтримує FIDO2, WebAuthn і U2F для входу без пароля або як другий фактор.

На відміну від Yubico, яку знає майже кожен хто цікавився апаратними ключами, Identiv/Hirsch - менш відоме ім&apos;я. Але продукт реальний: сертифікований FIDO Alliance, використовує чіп Infineon SLE 78 (той самий клас, що і в корпоративних смарт-картах), збирається в США і має TAA відповідність для держсектору.

Ключ продається у двох варіантах: **USB-A** (Part 905601) і **USB-C** (Part 905602). Обидва з NFC.

Важливо розрізняти три версії в лінійці:

- [**uTrust NFC USB-A**](/utrust-nfc-usb-a/) - базова, FIDO2 + U2F + HOTP/TOTP, без PIV
- [**uTrust NFC USB-C**](/utrust-nfc-usb-c/) - базова, FIDO2 + U2F + HOTP/TOTP, без PIV
- **uTrust FIDO2 NFC+** - розширена, додає PIV і роботу з Windows 10 Standalone через uTrust Key Manager
- **uTrust FIDO2 GOV** - версія з FIPS 140-3 для держсектору

Якщо ви бачите ключ без позначення «+» або «GOV» - це базова NFC версія без PIV.

## Протоколи: що підтримує, а чого немає

uTrust FIDO2 NFC підтримує:

- **FIDO2 / WebAuthn** (CTAP1 і CTAP2) - passkeys, вхід без пароля
- **FIDO U2F** - другий фактор для старіших сервісів
- **OATH-HOTP** - одноразові паролі за лічильником (вимагає uTrust Key Manager для завантаження seed)
- **OATH-TOTP** - одноразові паролі за часом (аналогічно, потрібен Key Manager)

**Не підтримує** базова NFC версія:

- **PIV (Smart Card)** - підтримується тільки в NFC+ і GOV версіях
- **OpenPGP** - відсутній у всій лінійці uTrust
- **Challenge-Response** у форматі Yubico OTP

Саме тут - ключова різниця з [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/), де PIV і OpenPGP є з коробки без додаткового програмного забезпечення.

## Порівняння з Yubico Security Key NFC

| Параметр | uTrust FIDO2 NFC | Yubico Security Key NFC |
|----------|------------------|-------------------------|
| FIDO2 / WebAuthn | ✓ | ✓ |
| FIDO U2F | ✓ | ✓ |
| OATH-HOTP / TOTP | ✓ (через Key Manager) | ✗ |
| PIV (Smart Card) | ✗ (тільки NFC+) | ✗ |
| OpenPGP | ✗ | ✗ |
| Роз&apos;єми | USB-A + NFC | USB-A + NFC |
| Сертифікація | FIDO2 Level 1 | FIDO2 Level 1 |
| Виробництво | США (TAA) | Швеція |
| Чіп | Infineon SLE 78 | Infineon SLE 97 |
| Зручність кнопки | ⚠ глибока, менш зручна | ✓ стандартна |

Висновок з таблиці: uTrust NFC виграє якщо потрібен HOTP/TOTP на тому ж ключі. Yubico Security Key NFC - простіший у щоденному використанні, кнопка фізично зручніша.

## Для кого підійде

- **Захист Google, Microsoft, GitHub, Delta, Binance, Coinbase** - FIDO2 і U2F достатньо для всіх цих сервісів
- **Тих, кому потрібен HOTP/TOTP на апаратному ключі** - якщо сервіс вимагає OATH-код, uTrust NFC це вміє (Yubico Security Key - ні)
- **IT-команди і DevOps** які хочуть альтернативу Yubico без переплати і з мультипротокольністю
- **Держзакупівлі і TAA-вимоги** - збирається в США, відповідає Trade Agreements Act

Не підходить якщо:

- Потрібен PIV для корпоративного VPN або смарт-карти → [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/)
- Важлива зручність кнопки при щоденному використанні → кнопка у uTrust розташована глибше в корпусі, ніж у Yubico

## Практичні особливості

**uTrust Key Manager.** Для налаштування HOTP/TOTP потрібне окреме ПЗ - uTrust Key Manager (Windows). Для базового FIDO2 і U2F програмне забезпечення не потрібне: ключ працює нативно в браузері.

**FIDO2 PIN.** Блокується після 8 невірних спроб підряд. Розблокувати можна тільки через скидання FIDO2 застосунку - всі зареєстровані credentials при цьому видаляються.

**Зміна бренду.** У вересні 2024 Identiv продала підрозділ компанії Hirsch Secure. Ключі продаються і підтримуються далі, але офіційний сайт тепер hirschsecure.com, а не identiv.com. Прошивка оновлюється.

**Фізична міцність.** Корпус пластиковий, без металевої вставки як у деяких Yubico моделей. За незалежними тестами - менш міцний ніж YubiKey у довгостроковому використанні.

## Безпека і вразливості

Публічних CVE для uTrust FIDO2 NFC Security Key не зафіксовано станом на момент публікації.

Для порівняння: Yubico у 2024 році розкрила EUCLEAK (CVE-2024-45678) - теоретичну атаку на відновлення приватного ключа через side-channel аналіз на чіпах Infineon. Вона стосувалася YubiKey 5 з прошивкою до 5.7 і вимагала фізичного доступу до ключа та спеціального обладнання. Для FIDO2 сценарію захисту акаунтів ця атака практично не релевантна.

uTrust FIDO2 NFC Security Key також використовує Infineon SLE 78. Аналогічних оголошень від Identiv/Hirsch щодо цього чіпу в контексті EUCLEAK не було. Якщо це критично для вашого сценарію - перевіряйте актуальні бюлетені на hirschsecure.com.

## Технічні характеристики

| Параметр | Значення |
|----------|----------|
| Виробник | Identiv / Hirsch Secure |
| Модель | uTrust FIDO2 NFC Security Key |
| Part Number | 905601 (USB-A), 905602 (USB-C) |
| Роз&apos;єми | USB-A + NFC (або USB-C + NFC) |
| Протоколи | FIDO2 (CTAP1, CTAP2), FIDO U2F, OATH-HOTP, OATH-TOTP |
| НЕ підтримує | PIV, OpenPGP, Yubico OTP |
| Чіп | Infineon SLE 78 |
| Прошивка | 3.30 |
| Сумісні ОС | Windows 10+, macOS, Linux, ChromeOS, Android |
| iOS | через NFC (iPhone 7+, iOS 16.3+) |
| Розміри (USB-A) | 48 × 18 × 4 мм |
| Вага | 3 г |
| Індикатор | Amber LED |
| Сертифікати | FIDO2 Level 1, CE, FCC |
| Виробництво | США (TAA compliant) |
| Температура роботи | 0°C до 40°C |

## Документація та ресурси

- Офіційна сторінка продукту (Hirsch): [hirschsecure.com](https://www.hirschsecure.com/products/identity-smart-card-readers/utrust-fido2-security-keys/nfc)
- Онлайн магазин (Hirsch): [shop.hirschsecure.com](https://shop.hirschsecure.com/collections/fido2-security-keys)
- uTrust Key Manager: [Завантажити з Hirsch](https://www.hirschsecure.com/products/identity-smart-card-readers/utrust-fido2-security-keys/utrust-key-manager-software)
- Технічний мануал: [PDF](https://go.hirschsecure.com/hubfs/44142801/LACS/manual/uTrust_FIDO2_Technical_Manual.pdf)
- Сертифікація FIDO Alliance: [fidoalliance.org](https://fidoalliance.org/showcase/identiv/)

## Схожі моделі в каталозі

- [**uTrust NFC USB-A**](/utrust-nfc-usb-a/) - саме ця модель, USB-A варіант
- [**uTrust NFC USB-C**](/utrust-nfc-usb-c/) - та сама модель з USB-C, для MacBook і сучасних ноутбуків
- [**Security Key NFC**](/security-key-nfc-usb-a/) - Yubico аналог без HOTP/TOTP, але з зручнішою кнопкою і більш відомим брендом
- [**YubiKey 5 NFC**](/yubikey-5-nfc-usb-a/) - якщо потрібен PIV, OpenPGP або Yubico Authenticator

---

Якщо не впевнені який ключ підійде під ваш сценарій - напишіть у [WhatsApp](https://wa.me/380737572827?text=). Підберемо конкретно під сервіси які ви використовуєте.</content:encoded></item><item><title>Security Key з прошивкою 5.4.3 - чи варто купувати?</title><link>https://fido2.com.ua/blog/security-key-yubico-firmware-5-4-3/</link><guid isPermaLink="true">https://fido2.com.ua/blog/security-key-yubico-firmware-5-4-3/</guid><description>Прошивка 5.4.3 на Security Key - розбираємо що працює, де реальні обмеження якщо порівнювати з прошивкою 5.7.</description><pubDate>Thu, 18 Jun 2026 00:00:00 GMT</pubDate><content:encoded>&lt;BlogAside&gt;
  **Коротко:**
  - **Прошивка 5.4.3** - стабільна, офіційно підтримується Yubico, повністю працює для FIDO2/U2F
  - **Для захисту Google, Microsoft, GitHub, Delta** - версії 5.4.3 достатньо
  - **Реальне обмеження:** до 25 passkeys на ключі замість 100 у свіжій прошивці 5.7
  - **Відома вразливість EUCLEAK:** потребує фізичного доступу до ключа + спеціалізоване обладнання - практично нерелевантна для більшості користувачів
  - **Якщо потрібна свіжа прошивка** - є [Security Key NFC v2](/security-key-nfc-usb-a-v2/)
  - **Якщо достатньо 5.4.3** - [Security Key NFC](/security-key-nfc-usb-a/) більш бюджетна версія
  - **Не впевнені?** Напишіть у [WhatsApp](https://wa.me/380737572827) - підберемо
&lt;/BlogAside&gt;

## Чому виникає питання про прошивку

Ви обираєте Security Key від Yubico, бачите в характеристиках «Firmware 5.4.3» і починаєте гуглити. Актуальна прошивка - 5.7. На сайті Yubico є security advisory. Форуми пишуть про вразливість, яку не можна пропатчити. 

&lt;b class=&quot;text-warning&quot;&gt;Логічне запитання:&lt;/b&gt; чи не купуєте ви застарілий пристрій з відомими дірками?

&lt;b class=&quot;text-warning&quot;&gt;Коротка відповідь:&lt;/b&gt; для базового захисту акаунтів через FIDO2/U2F - прошивка 5.4.3 працює і захищає. Але є нюанси, про які варто знати до покупки.

## Що таке прошивка на YubiKey і чому вона не оновлюється

Прошивка на Security Key і YubiKey не оновлюється. Це не баг і не економія - це архітектурне рішення Yubico для безпеки.

Логіка така: якщо прошивку можна змінити після виробництва, то зловмисник з фізичним доступом теоретично може записати модифіковану версію. Заборона запису виключає цей вектор атаки повністю. Версія прошивки фіксується на заводі і залишається незмінною протягом усього терміну служби ключа.

Це означає дві речі одночасно: ваш ключ ніхто не зможе перепрошити шкідливим кодом, але й виправити виявлені проблеми теж не вдасться. Yubico виправляє знайдені вразливості в нових партіях ключів з оновленою прошивкою.

## Що працює на прошивці 5.4.3

Security Key NFC з прошивкою 5.4.3 підтримує FIDO2, WebAuthn і FIDO U2F. Це означає:

- Двофакторна автентифікація в Google, Microsoft, GitHub, GitLab, Dropbox, Facebook, X і сотнях інших сервісів
- Вхід без пароля (passkeys) на сервісах, що підтримують FIDO2
- Захист від фішингу - ключ перевіряє домен сервісу автоматично, підроблений сайт не пройде
- Робота через USB-A і NFC (на [Security Key NFC](/security-key-nfc-usb-a/)) або USB-C і NFC (на [Security Key C NFC](/security-key-c-nfc-usb-c/))
- Сумісність з Windows, macOS, Linux, Android та iOS (iPhone 7+ через NFC)
- Захист акаунтів у Delta, Binance, Coinbase, Kraken, Microsoft Entra ID, Okta

Для сценарію «захистити акаунти апаратним ключем замість SMS-кодів» - прошивка 5.4.3 повністю функціональна.

## Що додали у прошивці 5.7

Прошивка 5.7 вийшла у травні 2024 року. Ключові зміни для Security Key серії:

| Характеристика | Прошивка 5.4.3 | Прошивка 5.7+ |
|---|---|---|
| FIDO2 / WebAuthn / U2F | ✅ | ✅ |
| Discoverable credentials (passkeys) | До 25 | До 100 |
| Криптографічна бібліотека | Infineon | Власна Yubico |
| CTAP версія | 2.0 | 2.1 |
| Алгоритми | ECC P-256, P-384, RSA 2048/4096 | + Ed25519, X25519 |
| Enterprise Attestation | ❌ | ✅ |
| Force PIN Change | ❌ | ✅ |
| Restricted NFC (захист при транспортуванні) | ❌ | ✅ |
| Вразливість EUCLEAK | Присутня | Виправлена |

Для Security Key серії (яка підтримує тільки FIDO2/U2F) більшість нових функцій - це збільшення сховища passkeys, перехід на власну криптобібліотеку Yubico та підтримка CTAP 2.1.

Функції на кшталт OTP, PIV, OpenPGP, OATH не стосуються Security Key серії ні в 5.4.3, ні в 5.7 - вони доступні тільки в серії [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/).

## Вразливість EUCLEAK - що це і чи варто хвилюватись

У вересні 2024 року дослідники NinjaLab опублікували інформацію про вразливість EUCLEAK (CVE-2024-45678) у криптографічній бібліотеці Infineon, яку використовують ключі з прошивкою до 5.7.

Що конкретно відбувається: через side-channel атаку (аналіз електромагнітного випромінювання під час криптографічних операцій) теоретично можна відтворити приватний ECDSA-ключ і створити клон пристрою для конкретного акаунту.

Що потрібно для експлуатації:

- Фізичний доступ до вашого ключа на кілька хвилин
- Спеціалізоване обладнання для електромагнітного аналізу
- Знання облікових даних цільового акаунту (логін, пароль)
- Технічна кваліфікація для проведення атаки

Сам дослідник Тома Роше з NinjaLab зазначив, що ця атака є «state-agency grade» - рівня спецслужб. Вона спрямована на конкретних людей і потребує значних зусиль для кожної окремої цілі. Yubico оцінив серйозність як помірну (CVSS 4.9).

Практична оцінка для більшості користувачів: якщо ви захищаєте особистий Google-акаунт, GitHub або крипто-біржу - вірогідність атаки EUCLEAK проти вас близька до нуля. Вас значно більше захищає сам факт використання апаратного ключа замість SMS-кодів, ніж загрожує ця теоретична вразливість.

Коли це може бути релевантним: якщо ви працюєте з державними системами високого рівня секретності, обробляєте критичну інфраструктуру або є потенційною ціллю спецслужб - тоді варто обрати ключ з прошивкою 5.7+ і дотримуватись суворого контролю фізичного доступу до ключа.

## Інші відомі advisory для прошивки 5.4.3

Окрім EUCLEAK, Yubico публікував ще два advisory, які стосуються прошивки 5.4.3:

**YSA-2024-02** (низький рівень, CVSS 3.3) - при фізичному доступі або локальному доступі до системи зловмисник може побачити список сервісів, для яких зареєстровані discoverable credentials на ключі. Самі облікові дані не розкриваються - тільки перелік сервісів. Виправлено в 5.7.0.

**YSA-2025-02** (низький рівень) - технічна помилка в реалізації CTAP PIN/UV Auth Protocol Two, де використовується довжина підпису з Protocol One. Стосується версій 5.4.1–5.7.3, виправлено в 5.7.4. Складна для експлуатації через додаткові захисти в протоколі.

Жодна з цих вразливостей не дозволяє віддалену атаку. Усі потребують або фізичного доступу до ключа, або локального доступу до комп&apos;ютера, до якого підключений ключ.

## Коли прошивки 5.4.3 достатньо

Версія 5.4.3 підходить, якщо:

- Ви використовуєте ключ як другий фактор для Google, Microsoft, GitHub, Delta, крипто-бірж
- Вам потрібно до 25 passkeys (discoverable credentials) - цього вистачає для 3–10 основних сервісів
- Ви не є потенційною ціллю для атак рівня спецслужб
- Ви хочете отримати апаратний захист за меншу ціну

## Коли варто обрати свіжу прошивку

Доплатити за прошивку 5.7+ має сенс, якщо:

- Ви плануєте реєструвати більше 25 passkeys на одному ключі
- Вам потрібна підтримка CTAP 2.1 (Force PIN Change, Minimum PIN Length) - актуально для корпоративних розгортань
- Ви працюєте в середовищі з підвищеними вимогами до безпеки і хочете виключити навіть теоретичні ризики EUCLEAK
- Вам потрібна Enterprise Attestation для корпоративного обліку ключів

## Документація та ресурси

- Yubico Security Advisory YSA-2024-03 (EUCLEAK): https://www.yubico.com/support/security-advisories/ysa-2024-03/
- Yubico Security Advisory YSA-2024-02: https://www.yubico.com/support/security-advisories/ysa-2024-02/
- Yubico Security Advisory YSA-2025-02: https://www.yubico.com/support/security-advisories/ysa-2025-02/
- NinjaLab EUCLEAK дослідження: https://ninjalab.io/eucleak/
- Yubico firmware 5.7 release notes: https://www.yubico.com/blog/now-available-for-purchase-yubikey-5-series-and-security-key-series-with-new-5-7-firmware/

## Що обрати

Якщо прошивка 5.4.3 вас влаштовує - [Security Key NFC (USB-A)](/security-key-nfc-usb-a/) або [Security Key C NFC (USB-C)](/security-key-c-nfc-usb-c/) доступні за більш доступною ціною. Це повноцінні ключі Yubico з FIDO2/U2F, які захистять акаунти від фішингу і перехоплення SMS.

Якщо хочете свіжу прошивку - [Security Key NFC v2](/security-key-nfc-usb-a-v2/) вже в каталозі з прошивкою 5.7+, збільшеним сховищем passkeys і власною криптографічною бібліотекою Yubico.

Якщо потрібен повний протокольний стек (OTP, PIV, OpenPGP, Yubico Authenticator) - жодна Security Key серія це не підтримує, незалежно від прошивки. 

Обирайте [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/).

Не впевнені що обрати - напишіть у [WhatsApp](https://wa.me/380737572827), підберемо ключ під ваш сценарій.</content:encoded></item><item><title>Як обрати апаратний ключ безпеки: USB-A, USB-C, NFC чи Lightning</title><link>https://fido2.com.ua/blog/how-to-choose-security-key/</link><guid isPermaLink="true">https://fido2.com.ua/blog/how-to-choose-security-key/</guid><description>Пояснюємо різницю між USB-A, USB-C, NFC і Lightning та підбираємо конкретну модель ключа безпеки під ваші пристрої.</description><pubDate>Fri, 29 May 2026 00:00:00 GMT</pubDate><content:encoded>&lt;BlogAside&gt;
- **Windows ноутбук або стаціонарний ПК** → USB-A, наприклад 
  [Security Key NFC (USB-A)](/security-key-nfc-usb-a/)
- **MacBook або сучасний ноутбук** → USB-C + NFC, наприклад 
  [YubiKey 5C NFC](/yubikey-5c-nfc/)
- **iPhone (до 15 серії)** → Lightning + USB-C, наприклад 
  [YubiKey 5Ci](/yubikey-5ci-usb-c-lightning-openbox/)
- **iPhone 15+ або Android** → NFC або USB-C
- **Кілька різних пристроїв** → гібрид USB-A + USB-C + NFC, наприклад 
  [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/)
- **Немає часу розбиратись** → напишіть у 
  [WhatsApp](https://wa.me/380737572827), підберемо за 5 хвилин
&lt;/BlogAside&gt;

Універсального ключа для всіх не існує. Правильний вибір залежить від 
того, з яких пристроїв ви входите в акаунти.

---

## USB-A: надійна класика для комп&apos;ютерів

USB-A - традиційний прямокутний роз&apos;єм, який досі є на більшості 
ноутбуків і всіх стаціонарних ПК.

**Кому підійде:**
- Користувачам Windows і Linux
- Офісним комп&apos;ютерам і корпоративним середовищам
- Тим, хто входить в акаунти переважно з ПК, не зі смартфона

**Плюси:** широка сумісність, не потребує адаптерів, стабільна робота

**Мінуси:** не підходить для смартфонів, немає на нових MacBook

**Моделі з каталогу:**
- [Security Key NFC (USB-A)](/security-key-nfc-usb-a/)
- [YubiKey 5 NFC (USB-A)](/yubikey-5-nfc-usb-a/)
- [uTrust NFC (USB-A)](/utrust-nfc-usb-a/)
- [Thales SafeNet eToken (USB-A)](/thales-safenet-etoken-usb-a/)
- [TrustKey T110 (USB-A)](/trustkey-t110-usb-a/)

---

## USB-C: сучасний стандарт

USB-C став стандартом для MacBook, сучасних ноутбуків на Windows і 
Android-смартфонів.

**Кому підійде:**
- Користувачам MacBook Air/Pro (2017 і новіші)
- Android-смартфонам з USB-C
- Тим, хто хоче один ключ для ноутбука і телефона

**Плюси:** універсальність, компактність, підтримка нових пристроїв

**Мінуси:** на старих ПК може не бути USB-C роз&apos;єму

**Моделі з каталогу:**
- [YubiKey 5C NFC](/yubikey-5c-nfc/) - найпопулярніша модель для MacBook
- [Security Key C NFC](/security-key-c-nfc/)
- [YubiKey 5C Nano (USB-C)](/yubikey-5c-nano-usb-c/)
- [Thales SafeNet eToken Fusion NFC (USB-C)](/thales-safenet-etoken-fusion-nfc-usb-c/)


---

## NFC: автентифікація без проводів

NFC дозволяє використовувати ключ без фізичного підключення - просто 
прикладіть до смартфона.

**Кому підійде:**
- Тим, хто часто входить в акаунти з телефона
- Для швидкої автентифікації «на ходу»
- Android і iPhone 7+

**Плюси:** не зношується роз&apos;єм, швидко, зручно на мобільному

**Мінуси:** десктопи без NFC-зчитувача потребують окремого адаптера

&gt; **Важливо для iPhone:** NFC на iOS працює починаючи з iPhone 7 і 
&gt; iOS 16.3. Прикладайте ключ до верхньої частини телефона.

Більшість сучасних ключів поєднують NFC з USB-A або USB-C одночасно - 
тобто окремо «тільки NFC» ключів майже немає.

---

## Lightning: для старих iPhone та iPad

Lightning використовується в iPhone до 14 серії і деяких iPad.

**Кому підійде:**
- Користувачам iPhone 14 і старіших
- Тим, хто працює виключно в екосистемі Apple без USB-C пристроїв

**Плюси:** пряме підключення до iOS, не потребує адаптерів

**Мінуси:** Apple поступово переходить на USB-C починаючи з iPhone 15 
і нових iPad. Lightning стає застарілим стандартом.

**Модель з каталогу:**
[YubiKey 5Ci](/yubikey-5ci-usb-c-lightning-openbox/) - Lightning + USB-C одночасно, 
єдина актуальна модель для iPhone

---

## Гібридні ключі: один пристрій для всіх сценаріїв

Якщо ви використовуєте кілька пристроїв з різними роз&apos;ємами - 
гібридний ключ вирішує проблему без адаптерів.

| Комбінація | Для кого |
|------------|----------|
| USB-A + NFC | ПК + Android/iPhone |
| USB-C + NFC | MacBook + Android/iPhone |
| Lightning + USB-C | iPhone (до 15) + MacBook |
| USB-A + USB-C + NFC | Наприклад: [Thetis PRO Security Key (USB-A, USB-C &amp; NFC)](/thetis-pro-usb-a-usb-c-nfc/) |

**Популярні гібриди з каталогу:**

[YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) - USB-A + NFC, найпопулярніша 
модель для змішаного використання

[YubiKey 5C NFC](/yubikey-5c-nfc/) - USB-C + NFC, ідеально для MacBook 
і Android

[YubiKey 5Ci](/yubikey-5ci-usb-c-lightning-openbox/) - Lightning + USB-C, єдиний варіант для 
старих iPhone без адаптерів

---

## Один ключ чи два?

Для будь-яких важливих акаунтів - **реєструйте два ключі**.

Якщо основний ключ загубиться або зламається і він єдиний - ви 
ризикуєте втратити доступ до всіх акаунтів де він зареєстрований. 
Резервний ключ зберігають окремо: вдома в сейфі або в IT-відділі для 
корпоративного використання.

---

## Швидкий вибір за пристроєм

**У вас Windows ноутбук або ПК →**
[Security Key NFC (USB-A)](/security-key-nfc-usb-a/) - старт,
[YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) - повний функціонал

**У вас MacBook →**
[YubiKey 5C NFC](/yubikey-5c-nfc/) - оптимальний вибір

**У вас iPhone 14 або старіший →**
[YubiKey 5Ci](/yubikey-5ci-usb-c-lightning-openbox/) - Lightning + USB-C

**У вас iPhone 15+ →**
NFC ключ або USB-C, наприклад [YubiKey 5C NFC](/yubikey-5c-nfc/)

**Декілька різних пристроїв →**
[YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) або 
[YubiKey 5C NFC](/yubikey-5c-nfc/) залежно від роз&apos;ємів

**Корпоративне впровадження або FIPS →**
Напишіть нам - підберемо під вашу інфраструктуру

---

## Часті питання

### Який ключ підійде для Google акаунту?
Будь-яка модель з підтримкою FIDO2 або U2F. Google підтримує всі 
типи підключення. Обирайте за пристроєм: USB-A для ПК, USB-C для 
MacBook, NFC для смартфона.

### Чи можна використовувати один ключ для кількох акаунтів?
Так. Один фізичний ключ реєструється в необмеженій кількості сервісів - 
Google, Microsoft, GitHub, Binance та інших.

### Чи потрібен адаптер для NFC на iPhone?
Ні. iPhone 7 і новіші підтримують NFC нативно. Прикладайте ключ до 
верхньої частини телефона при вході.

### Що краще - NFC чи USB?
Для комп&apos;ютера - USB зручніше. Для смартфона - NFC. Тому більшість 
обирає гібридну модель з обома варіантами.

---

Не визначились? Напишіть у [WhatsApp](https://wa.me/380737572827) або 
[Telegram](https://t.me/Fido2Ukraine) - підберемо модель під ваші 
конкретні пристрої та сервіси.

Переглянути всі доступні моделі → [Каталог ключів безпеки](/)</content:encoded></item><item><title>Ключі безпеки FIDO2: практичний гайд</title><link>https://fido2.com.ua/blog/fido2-security-keys/</link><guid isPermaLink="true">https://fido2.com.ua/blog/fido2-security-keys/</guid><description>FIDO2 і passkeys без пароля, без SMS-коду і без ризику фішингу. Пояснюємо типи ключів, кращі практики та допомагаємо обрати модель у каталозі.</description><pubDate>Mon, 25 May 2026 00:00:00 GMT</pubDate><content:encoded>&lt;BlogAside&gt;
- **FIDO2** - відкритий стандарт автентифікації без пароля
- **WebAuthn** - протокол у браузері (частина FIDO2)
- **Passkey** - цифровий ключ у телефоні або ноутбуці
- **Апаратний ключ** - фізичний USB/NFC пристрій, найнадійніший варіант
- **Головна перевага** - приватний ключ не покидає пристрій, фішинг практично неможливий
&lt;/BlogAside&gt;

Паролі легко вкрасти через фішинг і витоки баз даних. **FIDO2-ключ** прив’язаний до конкретного сайту й пристрою: навіть на підробленій сторінці він не спрацює для чужого домену.

---

## Що таке ключ безпеки FIDO2

**Ключ безпеки FIDO2** - це фізичний пристрій для входу без пароля. Замість введення пароля ви підтверджуєте особу дотиком ключа (або PIN/біометрією на самому пристрої).

Приватний ключ зберігається всередині ключа і **ніколи не передається** на сервер у відкритому вигляді. Сервіс отримує лише публічний ключ і перевіряє криптографічний підпис під час входу.

Ключ підключається через USB, NFC або Bluetooth і працює як «роумінговий автентифікатор» - не прив’язаний до одного комп’ютера.

За даними FIDO Alliance, у 2025 році вже **74%** споживачів знайомі з passkeys, а понад **35%** людей за попередній рік зіткнулися зі зламом акаунту через вразливість пароля. Це пояснює зростаючий попит на апаратну автентифікацію.

---

## Як працює FIDO2

FIDO2 працює через **реєстрацію унікальної пари ключів** і **перевірку входу** підписаним викликом від сервера.

В основі - два протоколи:

- **WebAuthn** - браузерний API, через який сайти запитують і перевіряють автентифікацію
- **CTAP2** - протокол зв’язку між зовнішнім ключем і пристроєм користувача

### Процес реєстрації

1. Ви заходите на FIDO2-сумісний сайт і обираєте вхід через ключ
2. Пристрій генерує пару: **приватний ключ** залишається в ключі, **публічний** передається сервісу
3. Сервіс зберігає публічний ключ у своїй базі

### Процес входу

1. Сервіс надсилає криптографічний виклик
2. Ви підтверджуєте особу на ключі (дотик, PIN або біометрія)
3. Ключ підписує виклик приватним ключем
4. Сервіс перевіряє підпис публічним ключем - доступ відкрито

Оскільки приватний ключ не покидає пристрій, а кожна пара унікальна для конкретного сервісу, фішинг і атаки «посередника» не працюють для цієї пари.

---

## Переваги ключів безпеки FIDO2

| Перевага | Що це означає на практиці |
|----------|--------------------------|
| Захист від фішингу | Ключ прив’язаний до домену - підроблений сайт не зможе його використати |
| Стійкість до витоків | Навіть при компрометації сервісу публічні ключі без фізичного пристрою марні |
| Без паролів | Не треба вигадувати, зберігати й оновлювати паролі на десятках сайтів |
| Швидкий вхід | Одне підтвердження замість пароля + SMS/OTP |
| Кросплатформеність | Chrome, Firefox, Safari, Edge - Windows, macOS, Linux, Android, iOS |

---

## Типи ключів безпеки FIDO2

Ключі відрізняються за способом підключення та додатковими функціями.

### USB-ключі

Підключення через USB-A або USB-C. Найпоширеніший варіант для ноутбуків і ПК. Приклади: [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/), [uTrust NFC Security Key (USB-A)](/utrust-nfc-usb-a/).

### NFC-ключі

Підтвердження дотиком до смартфона - зручно для входу з телефону. Більшість сучасних моделей поєднують USB і NFC. Приклади: [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/), [Security Key NFC](/security-key-nfc-usb-a/).

### Біометричні ключі

Вбудований сканер відбитка - вхід без PIN на самому ключі. Приклади: [YubiKey Bio](/yubikey-bio-usb-a/).

### Мультипротокольні ключі

FIDO2 разом із OTP, OpenPGP, Smart Card та іншими протоколами - для змішаних корпоративних середовищ. Приклади: [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/), [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/).

---

## Для кого підходять ключі FIDO2

- **Особисті акаунти** - Google, Microsoft, GitHub, Binance, Apple (де підтримується FIDO2/WebAuthn)
- **Корпоративний доступ** - VPN, Entra ID, Okta, Duo: менше залежності від SMS/OTP
- **Фінанси та крипто** - біржі з підтримкою hardware keys
- **Розробка та DevOps** - GitHub, GitLab, AWS, Cloudflare

---

## Кращі практики використання

### Реєструйте два ключі

Не покладайтесь на один пристрій. Якщо він загубиться - ризик втратити доступ до всіх акаунтів.

- **Основний** - щодня
- **Резервний** - вдома в надійному місці або в IT-відділі на роботі

### PIN або біометрія на ключі

Ключ без PIN все одно захищений від віддалених атак. PIN додає захист, якщо пристрій фізично втрачено: перевірка локально, без передачі PIN на сервер.

### Резервний ключ і відклик

Якщо ключ загублено - **негайно відкличте** його в налаштуваннях усіх сервісів, де він був зареєстрований.

---

## FIDO2, WebAuthn, CTAP2, passkeys - в чому різниця

| Термін | Що це |
|--------|-------|
| **FIDO2** | Загальна назва стандарту (WebAuthn + CTAP2) |
| **WebAuthn** | API в браузері для запиту автентифікації |
| **CTAP2** | Протокол «браузер ↔ зовнішній ключ» |
| **Passkey** | Цифровий FIDO2-обліковий запис (телефон/ноутбук, інколи з синхронізацією) |
| **Апаратний ключ** | Окремий USB/NFC пристрій - найвищий рівень ізоляції секрету |

**Passkey** зручніший у повсякденні сценаріях, **апаратний ключ** надійніший для критичних акаунтів: секрет не синхронізується в хмару як файл.

---

## Які ключі підходять саме вам

| Задача | Модель з каталогу |
|------|------------------|
| Базовий FIDO2 для особистих акаунтів | [Security Key NFC](/security-key-nfc-usb-a/) |
| Повний функціонал (OTP, Smart Card) | [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) |
| MacBook / USB-C + NFC | [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/) |
| Вхід лише відбитком | [YubiKey Bio](/yubikey-bio-usb-a/) |
| Бюджетна альтернатива | [uTrust NFC Security Key (USB-A)](/utrust-nfc-usb-a/) |

Не впевнені в моделі? Напишіть у [WhatsApp](https://wa.me/380737572827) - підберемо під ваші пристрої та сервіси.

---

## Де придбати ключ безпеки FIDO2 в Україні

Усі моделі зі статті є в [каталозі](/#catalog). Допомагаємо з підбором, сумісністю та доставкою Новою Поштою по Україні. Працюємо виключно онлайн - фізичного магазину та самовивозу немає.

Питання - [WhatsApp](https://wa.me/380737572827), [Telegram](https://t.me/Fido2Ukraine) або [Viber](https://connect.viber.com/uk/business/c3cbc5ce-4d28-11f1-aa5c-86e1373b1287).</content:encoded></item><item><title>Як обрати правильний ключ безпеки: Security Key чи YubiKey?</title><link>https://fido2.com.ua/blog/yubico-yubikey-5-series-vs-security-key-series/</link><guid isPermaLink="true">https://fido2.com.ua/blog/yubico-yubikey-5-series-vs-security-key-series/</guid><description>Порівняння Security Key та YubiKey: функції, сумісність, NFC, FIPS та практичні сценарії - щоб швидко обрати модель.</description><pubDate>Mon, 25 May 2026 00:00:00 GMT</pubDate><content:encoded>&lt;BlogAside&gt;
  **Коротко - за 30 секунд:**
  - Для більшості користувачів достатньо [Security Key NFC](/security-key-nfc-usb-a/) з підтримкою FIDO2 та passkeys.
  - Перед покупкою перевірте тип роз&apos;єму: USB-A, USB-C або Lightning.
  - Якщо потрібні OpenPGP, OTP, PIV або Yubico Authenticator - обирайте [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) або [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/).
  - Для мобільного використання найзручніші моделі з NFC.
  - Рекомендуємо одразу зареєструвати резервний ключ безпеки.
  - FIPS-моделі потрібні лише організаціям зі спеціальними вимогами.
  - Не впевнені що обрати? Напишіть у [WhatsApp](https://wa.me/380737572827)
&lt;/BlogAside&gt;

---

## Що таке ключ безпеки

**Ключ безпеки - це фізичний пристрій для підтвердження особи під час входу в обліковий запис.**

На відміну від SMS-кодів або мобільних застосунків двофакторної автентифікації, FIDO2-ключ неможливо перехопити віддалено. Навіть якщо пароль потрапить до зловмисника, він не зможе увійти без самого пристрою.

Сучасні ключі безпеки використовують стандарти FIDO2 та WebAuthn, які підтримуються Google, Microsoft, GitHub, Dropbox, Facebook, X (Twitter) та багатьма іншими сервісами.

Саме тому все більше компаній переходять від одноразових кодів до апаратної автентифікації та passkeys.

## Який роз&apos;єм потрібен: USB-A, USB-C чи Lightning

Перший критерій вибору - сумісність із вашими пристроями.

### USB-A

Класичний роз&apos;єм, який досі використовується на багатьох настільних ПК та старших ноутбуках.

Підійдуть:

- [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/)
- [YubiKey 5 Nano](https://www.yubico.com/ua/product/yubikey-5-nano/)
- [Security Key NFC](/security-key-nfc-usb-a/)
- [YubiKey Bio (USB-A)](/yubikey-bio-usb-a/)

### USB-C

Сучасний стандарт для ноутбуків, планшетів та смартфонів.

Підійдуть:

- [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/)
- YubiKey 5C
- [YubiKey 5C Nano](/yubikey-5c-nano-usb-c/)
- [Security Key C NFC](/security-key-c-nfc-usb-c/)
- [YubiKey Bio (USB-A)](/yubikey-bio-usb-a/)

### Lightning

Для старших моделей iPhone із роз&apos;ємом Lightning доступний:

- [YubiKey 5Ci](/yubikey-5ci-usb-c-lightning-openbox/) (також [FIPS-версія](/yubikey-5ci-usb-c-lightning-fips/))

Для сучасних iPhone з USB-C доцільніше використовувати [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/) або [Security Key C NFC](/security-key-c-nfc-usb-c/).

&lt;BlogAside&gt;

Якщо ви регулярно працюєте як з ноутбуком, так і зі смартфоном, варто розглядати моделі з NFC. Це дозволяє використовувати ключ без кабелів та перехідників.

&lt;/BlogAside&gt;

## Який форм-фактор обрати

Однакові функції можуть бути доступні в різних корпусах.

Вибір залежить від того, як саме ви плануєте використовувати ключ.

### Для постійного підключення

Компактні моделі Nano майже не виступають із корпусу ноутбука.

Підійдуть:

- [YubiKey 5 Nano](https://www.yubico.com/ua/product/yubikey-5-nano/)
- [YubiKey 5C Nano](/yubikey-5c-nano-usb-c/)

Такі ключі часто використовують адміністратори або співробітники компаній, які постійно працюють за одним пристроєм.

### Для носіння на зв&apos;язці ключів

Стандартний форм-фактор універсальніший.

Підійдуть:

- [Security Key NFC](/security-key-nfc-usb-a/)
- [Security Key C NFC](/security-key-c-nfc-usb-c/)
- [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/)
- [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/)
- [YubiKey 5Ci](/yubikey-5ci-usb-c-lightning-openbox/)

Такі моделі легше переносити між різними пристроями.

## Security Key чи YubiKey 5 Series

Це питання виникає найчастіше.

Обидві серії підтримують FIDO2, WebAuthn та passkeys. Для звичайної автентифікації рівень захисту буде однаково високим.

Основна різниця полягає в додаткових можливостях.

| Можливість | Security Key | YubiKey 5 Series |
|------------|-------------|------------------|
| FIDO2 | ✅ | ✅ |
| Passkeys | ✅ | ✅ |
| WebAuthn | ✅ | ✅ |
| FIDO U2F | ✅ | ✅ |
| OTP | ❌ | ✅ |
| Smart Card (PIV) | ❌ | ✅ |
| OpenPGP | ❌ | ✅ |
| OATH TOTP | ❌ | ✅ |
| Yubico Authenticator | ❌ | ✅ |
| Challenge-Response | ❌ | ✅ |

### Кому підійде Security Key

**[Security Key NFC](/security-key-nfc-usb-a/) та [Security Key C NFC](/security-key-c-nfc-usb-c/)** створені для користувачів, яким потрібен лише сучасний захист акаунтів через FIDO2.

Типові сценарії:

- Delta (Дельта)
- Google Account
- Microsoft Account
- GitHub
- Facebook
- Dropbox
- Amazon
- особисті акаунти співробітників компаній

Для більшості користувачів цього достатньо.

### Кому потрібен YubiKey 5

**[YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) та [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/)** орієнтовані на професійне та корпоративне використання.

Варто розглядати цю серію, якщо потрібні:

- цифрові сертифікати;
- смарт-карти PIV;
- OpenPGP;
- Yubico Authenticator;
- корпоративні системи доступу;
- інтеграція з інфраструктурою підприємства.

## Коли варто обрати YubiKey Bio

Серія [YubiKey Bio](/yubikey-bio-usb-a/) доповнює FIDO2-автентифікацію біометричною перевіркою через відбиток пальця.

Такі пристрої орієнтовані переважно на використання з комп&apos;ютерами та ноутбуками.

Особливості серії:

- підтримка FIDO2 та WebAuthn;
- біометрична автентифікація;
- відсутність NFC;
- орієнтація на настільні операційні системи.

Для користувачів, які регулярно входять у корпоративні системи з робочого ПК, біометрична модель може бути зручним рішенням.

Якщо ж потрібна максимальна універсальність між ПК та смартфонами, практичніше обирати [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) або [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/).

## Навіщо потрібен резервний ключ

Одна з найчастіших помилок - використання лише одного ключа безпеки.

У разі втрати пристрою відновлення доступу може вимагати додаткових процедур перевірки особи.

Саме тому рекомендується одразу реєструвати мінімум два ключі:

- основний для щоденного використання;
- резервний для зберігання вдома або в сейфі.

Для резерву бажано використовувати модель із тієї самої серії.

Наприклад:

| Основний ключ | Резервний ключ |
|--------------|---------------|
| [Security Key NFC](/security-key-nfc-usb-a/) | [Security Key C NFC](/security-key-c-nfc-usb-c/) |
| [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) | [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/) |
| [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/) | [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) |

## Чи потрібен FIPS

FIPS (Federal Information Processing Standards) - це набір вимог безпеки, який використовується державними установами США та деякими регульованими організаціями.

Більшість компаній та приватних користувачів не мають потреби у FIPS-сертифікованих моделях.

Такі ключі зазвичай використовуються:

- державними органами;
- оборонними підрядниками;
- фінансовими установами;
- організаціями з обов&apos;язковими вимогами відповідності.

Якщо у вашій організації немає прямої вимоги щодо FIPS, стандартні моделі [Security Key NFC](/security-key-nfc-usb-a/) або [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) будуть правильним вибором.

## Рекомендації для різних сценаріїв

| Сценарій | Рекомендований тип |
|-----------|-------------------|
| Google, Microsoft, GitHub | [Security Key NFC](/security-key-nfc-usb-a/) |
| Робота зі смартфоном | [Security Key NFC](/security-key-nfc-usb-a/) або [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) |
| USB-C ноутбук | [Security Key C NFC](/security-key-c-nfc-usb-c/) або [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/) |
| OpenPGP та сертифікати | [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) / [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/) |
| Yubico Authenticator | [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) / [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/) |
| Біометричний вхід | [YubiKey Bio](/yubikey-bio-usb-a/) |
| Корпоративна інфраструктура | [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) / [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/) |
| Державні вимоги FIPS | [YubiKey 5Ci FIPS](/yubikey-5ci-usb-c-lightning-fips/) |

## Підсумок

Вибір правильного ключа безпеки зазвичай простіший, ніж здається.

Якщо вашою метою є захист особистих акаунтів за допомогою FIDO2 та passkeys, [Security Key NFC](/security-key-nfc-usb-a/) або [Security Key C NFC](/security-key-c-nfc-usb-c/) стануть оптимальним вибором за співвідношенням ціни та можливостей.

Якщо ж потрібні додаткові корпоративні функції, підтримка сертифікатів, OpenPGP або інтеграція з професійними системами безпеки, варто звернути увагу на [YubiKey 5 NFC](/yubikey-5-nfc-usb-a/) або [YubiKey 5C NFC](/yubikey-5c-nfc-usb-c/).

Незалежно від моделі, найкраща практика залишається незмінною - використовувати щонайменше два ключі та завжди мати резервний пристрій для відновлення доступу. 

Не визначились? Напишіть у [WhatsApp](https://wa.me/380737572827) або
[Telegram](https://t.me/Fido2Ukraine).

Переглянути всі моделі → [Каталог ключів безпеки](/#catalog)</content:encoded></item></channel></rss>