На Ягодном маркетплейсе wildberries.ru появились ключи YubiKey 5C Nano и YubiKey 5C NFC
По очень вкусным ценам на 02.08.2025 в 3487 руб и 2476 руб ,
2 недели ранее эти ключи 15.07.2025 продавались по ценам 2972 руб и 5301 руб
На оффициальном сайте Yubico они продаются на 02.08.2025 по ценам
За Nano это чуть больше 7153 руб по курсу евро 91 руб
Из интересного мы видим, что 5C Nano дороже, чем 5C NFC. Что в России совсем наоборот, хотя девайсы в плане функционала и возможностей, за исключением NFC, полностью идентичные, кроме форм фактора.
Казалось бы — так повезло! Можно купить за «копейки» эти ключи! Тем более от склада Wildberries в качестве продавца! Ведь рекомендуют брать минимум 2 ключа, чтобы не профилонить доступ полностью в случае утраты или повреждения носителя.
Как вы поняли — тут зарыта собака:
1. Ключ Yubikey 5C NFC явно бу, но это ладно, самое «кайфовое» что эти вандалы прилепили его на суперклей к бумаге
Охуенная покупка! Сервис на высшем уровне! Держите мои 5к рублей — дайте 2!
Извиняюсь за мат, но он по делу и без него тут никак.
2. Версия прошивки 5.4.3 , а современная 5.7.x
Обновить прошивку нельзя! Обменять бесплатно тоже нельзя, но попробовать написать производителю можно и по причине быть посланным юридическим языком без мата тоже можно.
Что это значит?
сам я не знаю, но мой LLM друг KIMI убежден, что:
Если вы всё-таки купите YubiKey 5C Nano с прошивкой 5.4.3, вместо версии 5.7.0, вас ждут следующие ограничения и потенциальные проблемы:
Политика корпоративных учётных записей
• Azure AD, Google Workspace Enterprise, Okta, Duo, Intune и другие корпоративные IdP не смогут использовать Enterprise Attestation (EA). Это значит, что администратор не сможет «жёстко» привязать конкретный ключ к учётке, узнать его серийный номер или автоматически восстановить доступ при потере мобильного или пароля
Ограниченная безопасность FIDO2
• Отсутствуют Force PIN Change и Minimum PIN Length: вы не сможете заставить пользователя сменить временный PIN при первом входе или задать минимальную длину PIN-а; это особенно критично, если ключ выдаётся ИТ-службой
.
• Нет AlwaysUV — нельзя принудительно требовать PIN/биометрию при каждом использовании passkey.
Скромное хранилище
• Максимум 25 passkey (FIDO2 resident keys) против 100 в 5.7.0 .
• Только 32 OATH-аккаунта (TOTP/HOTP) против 64 в новой прошивке
. Если у вас много сервисов, место быстро закончится.
Криптография
• Только RSA-2048 для PIV/Smart-card; нет RSA-3072/4096, Ed25519 и X25519, которые доступны в 5.7.0
Это может быть важно для SSH, VPN-шлюзов или PKI-карт, где требуются современные алгоритмы.
Управление ключами
• Нет Credential Management API — нельзя удалять или редактировать resident-keys по одному; придётся сбрасывать всё хранилище FIDO2 целиком.
Физическая безопасность
• В 5.4.3 NFC всегда активен; в 5.7.0 он блокируется до первого USB-подключения (Restricted NFC), что снижает риск «подслушивания» NFC во время транспортировки
Сертификации
• 5.4.3 имеет FIPS 140-2; 5.7.0 пока проходит FIPS 140-3 и может быть недопустим в организациях, где требуется именно FIPS-сертифицированный ключ
Итог: если вы используете ключ лично для GitHub, Google, Facebook, Dropbox и т.д., большинство ограничений почти не почувствуете. Но в корпоративной среде (Azure AD, Google Workspace, Okta, Duo, Intune) и при работе с SSH/VPN, где нужны современные алгоритмы и централизованное управление, старая прошивка 5.4.3 создаст проблемы.
Если почитать форум Reddit, то можно обнаружить, что KIMI прав — основные проблемы:
1. для сисадминов узнать серийник и заставить проставлять пигкод
2. для разрабов залететь в жесткий enterprice , особенно бобо в SSH и VPN-шлюзы (OpenSSH, Cisco AnyConnect, Palo Alto)
3. для пользаков залететь на разные локальные гос сайты с поддержкой только CTAP 2.1 , так как 5.4.3 это CTAP 2.0 (KIMI: CTAP 2.0-устройство (например, YubiKey 5C Nano 5.4.3) не сможет предоставлять Enterprise Attestation, управлять resident-keys поштучно или принудительно менять PIN-политику — всё это требует прошивки с CTAP 2.1.)
Мой вердикт:
В целом за относительно маленькую цену эти технологии приемлимы. И я рекомендую к покупке.
Особенно если у вас есть маленькая вероятность чебурнета и ваш 2FA (двухфакторка) не прилетит вам смс на телефон
Обратите внимание, что у яблочных товарищей могут быть казусы, если они не купят именно яблочные версии Ci , так как какие-то яблочные приложения не до конца что-то там поддерживают
Русскоязычный гайд
Вот так в живую выглядит новая YubiKey 5C NFC
Работа в KeepassXC
Вот вам плейлист видеогайдов от производителя
А вот так белые люди получают свои ключи — минутка эстетики, зависти, гнева, принятия
Почему 3 ключа минимум
