YubiKey 里的设备绑定凭证、OATH、PIV 和 OTP,到底分别是什么
YubiKey 容易让人困惑,是因为它不是一种功能,而是一把小硬件里塞了好几套身份认证能力。
你看到的“设备绑定凭证”“OATH 种子”“PIV 证书”“OTP 种子”,不是四种叫法,而是四个不同层级的东西。
理解 YubiKey,先别问“它能不能登录”,要问“这个网站或系统要求哪一种认证方式”。
设备绑定凭证:FIDO/WebAuthn 通行密钥
这是现在最值得普通人优先理解的一类。
基于 FIDO2/WebAuthn 的登录方式,会为每个网站或应用生成独立的公私钥对。公钥放在网站服务器上,私钥留在 YubiKey 或设备里,不导出。
登录时,网站发起挑战,YubiKey 用私钥签名,服务器用公钥验证。服务器不需要知道你的私钥,也没有传统密码那种可被撞库的共享秘密。
这类凭证适合 Google、Microsoft、GitHub 等支持安全密钥或通行密钥的网站。
OATH:硬件版动态验证码
OATH 是另一套东西。
Yubico 文档里说,YubiKey 支持 OATH 标准,可以生成一次性密码。TOTP 是基于时间的动态码,常见 30 秒刷新一次;HOTP 是基于计数的动态码,每次使用后计数变化。
它更像把 Google Authenticator 里的种子放进硬件钥匙里。优点是种子存在 YubiKey 里,可以随钥匙在设备之间移动。
OATH 动态码通常只是第二因素,不应该单独承担账号全部安全。
PIV:企业智能卡证书
PIV 更偏企业和专业场景。
它可以把 YubiKey 当作智能卡设备,存储 X.509 证书,用于 Windows、macOS 或企业内部系统登录、签名和身份验证。
普通个人用户大多不会天天用 PIV;公司 IT、开发者、证书登录场景会更常见。
Yubico OTP:老但仍可能见到
Yubico OTP 是 YubiKey 早期很有代表性的方式。按一下钥匙,输出一串很长的一次性字符,由 Yubico 或企业自己的验证服务校验。
它和 OATH-TOTP 的 6 位动态码不是同一种东西,也和 WebAuthn 通行密钥不是同一种东西。
怎么选
- 网站支持通行密钥或安全密钥:优先用 FIDO/WebAuthn。
- 网站只支持 6 位动态验证码:用 OATH-TOTP。
- 公司要求智能卡或证书登录:用 PIV。
- 老系统指定 Yubico OTP:再用 OTP 槽位。
YubiKey 的价值不是“多一个验证码”,而是把账号登录从可复制的秘密,尽量转向不可导出的硬件凭证。
参考 Yubico 的 Passkeys 与 OATH overview 文档校正术语边界。本文只做数字安全科普。