YubiKey 与 iCloud / Google 通行密钥 — 该选哪个?
"Passkey" 其实分两种:自动同步到手机的,以及存在 YubiKey 这类物理设备中的。两者有何区别,何时用哪一种,本文一并讲清。
最后更新:2026 年 5 月
📢 联盟营销披露。
本文包含 Amazon 联盟链接。作为 Amazon Associate,Arpass 会从合格购买中获得佣金。我们的测评与排名不受佣金影响。
Passkey 其实有两种
"Passkey" 已成为无密码登录的总称。但底层其实有两种截然不同的形式:
- 同步型 passkey — 存放在 iCloud 钥匙串或 Google 密码管理器中,在同一账号下的设备间自动同步。
- 硬件绑定型密钥 — 存放在 YubiKey 等物理设备内,必须拿着该设备才能使用。
两者都"比密码更安全",根本区别在于密钥存放在何处。
同步型 passkey(iCloud / Google)
密钥保存在你的 Apple / Google 账号中,通过云端同步到各设备。
- 毫不费力。新设备登录账号后会自动同步到 passkey。几乎无需设置。
- 有恢复路径。即使丢失所有设备,也能通过 Apple / Google 账号恢复。
- 信任根是云账号。反过来说,依赖于该账号的安全 — Apple / Google 账号被入侵则 passkey 也会受到威胁。
对大多数人而言,同步型 passkey 比"密码 + 短信"安全得多。日常使用,这就足够了。
YubiKey(硬件密钥)
密钥仅存在于物理设备内部。永不外泄,云端从不接触。
- 不依赖云。因为密钥不同步,即便云账号被入侵也无法触及。
- 抗钓鱼最强。必须物理触摸设备,能防御"伪造网站窃取凭据"这类常见攻击。
- 需要自己管理备份。没有自动同步,需要在不同安全场所保存两把或以上密钥。
- 适合最重要的事项。不想让云端碰触的内容,或需要长期保护的事物。
对比表
| 项目 | 同步型 passkey(iCloud / Google) | YubiKey(硬件密钥) |
|---|
| 密钥位置 | 云端(同步) | 仅物理设备内 |
|---|
| 更换设备 | 自动同步 | 插入 / 轻触注册 |
|---|
| 便利性 | 高 | 需要一些设置 |
|---|
| 独立于云 | 依赖账号 | 独立 |
|---|
| 抗钓鱼 | 高 | 极高 |
|---|
| 丢失对策 | 账号恢复 | 自行保管备用密钥 |
|---|
| 费用 | 免费 | 每把数十美元起 |
|---|
该选哪个?
这不是二选一。按目标来选才是务实答案。
- 大多数人,日常使用 → 同步型 passkey 即可。毫不费力,且较密码时代是巨大升级。
- 不想让云端碰触密钥,或希望以物理密钥作为信任根 → YubiKey。适合管理员凭据、重要长寿命数据,或偏好脱离云端控制的用户。
- 两全其美 → 日常使用同步型 passkey,并将 YubiKey 注册为备份。即使所有设备都丢失,抽屉里的 YubiKey 也能解锁。
如果选"两者并用",请购买两把 YubiKey。硬件密钥不会自动同步,仅有一把的话遇到丢失或损坏就有锁定风险。请在不同地点各保管一把。
YubiKey 的购买
Yubico YubiKey 5C NFC
USB-C + NFC,全能型。可在 PC 和手机上使用。对大多数人而言是合理的第一(与第二)把密钥。
在 Amazon 查看
价格波动 — 请在商品页查看当前价格。
关于型号选择详见 YubiKey 是什么,如何挑选。
总结
同步型 passkey 给的是"便利与恢复路径",YubiKey 给的是"不依赖云与最强实用安全"。日常 → passkey。重要事项 → YubiKey。或者两者并用 — 这才是务实答案。
Arpass 两者都支持。标准模式可与同步型 passkey 或 YubiKey 配合。专用的 "YubiKey 专用模式" 仅靠已注册的 YubiKey 即可打开安全驱动器。详见
帮助指南。
相关文章
ARPASS
→ 打开 Arpass