问被盗的安全密钥允许完全访问；为什么这些密钥被认为比身份验证应用程序更安全？

EN

当然，有许多使用场景和变量。一般来说，假设其他一切都能很好地实现，它归结为您所拥有的。

无法克隆正确实现的Yubikey。它可以被偷，但理想情况下你会注意到它不见了。

身份验证器可以复制/克隆。我们可以就所涉及的困难进行辩论，但最终的结果是鉴定人可能被偷，但不会失踪。

使用Yubikey (或任何其他FIDO2 2/WebAuthN令牌)作为单一因素是一种选择，但您当然不必以这种方式使用它。实际上，您只能使用我的Yubikey登录任何内容；这是我在大量内容上使用的第二个因素(密码管理器、VPN、GitHub和Google以及其他一些网站/ SSO提供商等等)。要进入它们，您需要我的Yubikey (或恢复密钥)和我的密码。

换句话说，你真的是在做苹果和橘子的比较。没有人(我见过)使用身份验证应用程序作为一个单一因素。这是第二个因素的流行选择，但由于是第二个因素，没有第一个因素(通常是密码)，它是完全无用的。我认为，在大多数情况下，使用password+TOTP身份验证程序(在单独设备上)的2FA比使用Yubikey的1FA WebAuthN更安全。此外，如果您真的愿意，您可以需要一个密码来解锁Yubikey中的私钥；大多数软件不会这样做，我怀疑有些软件不支持它，但是令牌本身支持它。

另一方面，让我们做一个苹果对苹果的比较，并考虑一个Yubikey (或其他FIDO2令牌)与(或其他TOTP应用程序)作为第二个因素。

• 网络钓鱼保护:象征性的巨大胜利。如果您爱上了一个钓鱼页面，您将输入您的TOTP代码与合法登录页面相同，并且攻击者将有访问权限(至少只要他们能够使会话保持活着.如果他们只使用密码就可以禁用2FA或注册新设备，这可能是很大的问题。WebAuthN使用握手，其中站点(如浏览器所报告的)是输入之一；它根本不适用于钓鱼网站。
• 长期安全性/密钥暴露:为令牌获胜。你不可能(至少没有很多稀有的技能，腐蚀性物质，和电子显微镜)从尤比键中获得钥匙。它没有暴露在任何地方，甚至是短暂的。相比之下，如果您能够访问应用程序的数据，备份TOTP密钥通常很容易--有些应用程序可以为您选择，通常用于云服务器--当然，另一方必须在某个时候向您提供密钥(通常是QR代码)，并将其存储在服务器中。这是很多机会，它泄漏，比令牌的钥匙容易得多。
• 将其连接到用户的能力:为令牌获胜。一般来说，很容易辨认出被盗手机的主人。很多人都故意展示这些信息，甚至。作为一个象征，你不想把你的名字写在上面(更不用说你的电子邮件地址或类似的地址了)，就像你把小时的街道地址放在你的房子钥匙上，或者你的车牌号码放在你的车钥匙上一样。
• 对用户进行身份验证的能力:应用程序略有胜利。所有移动OSes都支持锁函数和加密，这些都需要密码才能解锁，通常还有其他几种方便的方法。应用程序可以在此基础上拥有自己的安全性。相比之下，Yubikey(和大多数硬件令牌一样)将适用于任何人，除非需要特别的努力来添加必须在密钥解锁之前输入的密码。他们确实支持这样的密码，但并不是所有使用它们的软件都支持。
• 可撤销性:象征性的小胜利。很多站点都允许您撤销单个硬件令牌而不撤销其他(例如您希望拥有的备份)，但是如果不在旧手机上撤销它，您就无法撤销单个手机的TOTP应用程序(它们通常不允许一个用户同时注册多个TOTP )。另一方面，无论如何，您必须登录到所有这些站点，因此为每个站点旋转TOTP不会花费那么多时间。

总的来说，当比较第二个因素时，我想我更喜欢令牌的安全性。

这都取决于你在防范什么样的威胁，以及哪种妥协是最有可能的。

当然，YubiKey不能用PIN/ pattern /指纹来保护(尽管有多大的保护是一个弱的滑动模式真正提供给您)。

但是它也(很可能)不会被恶意软件感染，而且对于一个机会主义的小偷来说，它也是一个不那么吸引人的目标。在地面上发现的随机YubiKey可能也更难与个人联系起来，而手机更有可能是个人识别的。

最重要的是，YubiKey不太可能包含你的用户名和密码，而在很多情况下，人们会使用手机登录到他们的帐户，这意味着这两个因素都可以通过妥协一台设备获得。