返回归档 阅读进度

YubiKey 里的设备绑定凭证、OATH、PIV 和 OTP,到底分别是什么

YubiKey 容易让人困惑,是因为它不是一种功能,而是一把小硬件里塞了好几套身份认证能力。

你看到的“设备绑定凭证”“OATH 种子”“PIV 证书”“OTP 种子”,不是四种叫法,而是四个不同层级的东西。

理解 YubiKey,先别问“它能不能登录”,要问“这个网站或系统要求哪一种认证方式”。

设备绑定凭证:FIDO/WebAuthn 通行密钥

这是现在最值得普通人优先理解的一类。

基于 FIDO2/WebAuthn 的登录方式,会为每个网站或应用生成独立的公私钥对。公钥放在网站服务器上,私钥留在 YubiKey 或设备里,不导出。

登录时,网站发起挑战,YubiKey 用私钥签名,服务器用公钥验证。服务器不需要知道你的私钥,也没有传统密码那种可被撞库的共享秘密。

这类凭证适合 Google、Microsoft、GitHub 等支持安全密钥或通行密钥的网站。

OATH:硬件版动态验证码

OATH 是另一套东西。

Yubico 文档里说,YubiKey 支持 OATH 标准,可以生成一次性密码。TOTP 是基于时间的动态码,常见 30 秒刷新一次;HOTP 是基于计数的动态码,每次使用后计数变化。

它更像把 Google Authenticator 里的种子放进硬件钥匙里。优点是种子存在 YubiKey 里,可以随钥匙在设备之间移动。

OATH 动态码通常只是第二因素,不应该单独承担账号全部安全。

PIV:企业智能卡证书

PIV 更偏企业和专业场景。

它可以把 YubiKey 当作智能卡设备,存储 X.509 证书,用于 Windows、macOS 或企业内部系统登录、签名和身份验证。

普通个人用户大多不会天天用 PIV;公司 IT、开发者、证书登录场景会更常见。

Yubico OTP:老但仍可能见到

Yubico OTP 是 YubiKey 早期很有代表性的方式。按一下钥匙,输出一串很长的一次性字符,由 Yubico 或企业自己的验证服务校验。

它和 OATH-TOTP 的 6 位动态码不是同一种东西,也和 WebAuthn 通行密钥不是同一种东西。

怎么选

  1. 网站支持通行密钥或安全密钥:优先用 FIDO/WebAuthn。
  2. 网站只支持 6 位动态验证码:用 OATH-TOTP。
  3. 公司要求智能卡或证书登录:用 PIV。
  4. 老系统指定 Yubico OTP:再用 OTP 槽位。

YubiKey 的价值不是“多一个验证码”,而是把账号登录从可复制的秘密,尽量转向不可导出的硬件凭证。

参考 Yubico 的 PasskeysOATH overview 文档校正术语边界。本文只做数字安全科普。

目录