TRASPARENZA: Yubico mi ha inviato una YubiKey 5 NFC e una YubiKey 5C NFC per poterle provare. Nessuno di loro ha letto o approvato questo articolo prima della pubblicazione e, come sempre, le opinioni restano le mie.
Qualche tempo fa avevo raccontato la mia esperienza con la Nitrokey 3A Mini e in molti mi avete chiesto un confronto con la concorrenza più nota. Detto fatto: nelle ultime settimane ho usato due chiavette di Yubico, la YubiKey 5 NFC con connettore USB-A e la YubiKey 5C NFC con connettore USB-C.
Sono tra i modelli più diffusi della famiglia YubiKey 5 e, a livello pratico, fanno le stesse cose: cambia soprattutto il connettore. La 5 NFC è più comoda se usate ancora porte USB-A, desktop, dock o portatili un po’ più vecchi; la 5C NFC è quella che oggi sceglierei più facilmente, perché USB-C è ormai ovunque tra portatili recenti, smartphone Android, tablet e hub vari.
Entrambe supportano anche l’NFC, che sulla carta dovrebbe renderle comodissime con lo smartphone. Nella pratica, almeno su Android, la storia è un po’ meno entusiasmante. Ci arriviamo.
Cosa c’è nella scatola
Pochissimo, anche qui. La confezione è minimale: trovate la chiavetta e poco altro. Per la documentazione si passa dal sito di Yubico, che è effettivamente molto curato e molto più completo di quello che ci si potrebbe aspettare per un oggetto così piccolo.
Le due chiavette hanno il classico design Yubico: corpo nero, foro per il portachiavi, scritta centrale e contatto dorato che funge da pulsante capacitivo. La 5 NFC ha il connettore USB-A, la 5C NFC ha il connettore USB-C. Per il resto l’esperienza d’uso è praticamente identica.
Sono leggere, sottili e non hanno batterie o parti mobili. Non c’è nulla da ricaricare, non c’è un’app sempre connessa a internet, non c’è Bluetooth. Si inseriscono nella porta USB o si avvicinano via NFC, si tocca il sensore quando richiesto e basta.
Yubico dichiara per questi modelli una costruzione resistente, con plastica rinforzata con fibra di vetro, resistenza ad acqua e polvere IP68, resistenza allo schiacciamento, nessuna batteria e nessuna parte mobile. Insomma, sono pensate per stare davvero nel portachiavi e non solo per essere fotografate sulla scrivania.
Cos’è una chiavetta di sicurezza
Prima di tutto: cos’è una chiavetta di sicurezza?
È un piccolo dispositivo fisico, simile a una penna USB molto schiacciata, che serve a dimostrare che siete davvero voi a tentare l’accesso a un account. Funziona come secondo fattore di autenticazione: dopo aver inserito la password, il sito vi chiede di collegare la chiavetta e toccarla per confermare.
Il vantaggio rispetto ai classici codici via SMS o alle app di autenticazione è che non c’è nulla da copiare, nulla da ricevere via messaggio e nessun codice da digitare in una pagina di phishing. Con FIDO2/WebAuthn la verifica è legata al dominio del sito: se finite su una pagina finta che imita quella vera, la chiavetta non firma una richiesta valida per il sito sbagliato.
È ad oggi uno dei metodi più solidi per proteggere i propri account, soprattutto quelli importanti: email principale, password manager, account sviluppatore, cloud, social, pannelli di hosting e servizi dove perdere l’accesso sarebbe un problema serio.
Quante cose può fare una YubiKey
Le YubiKey 5 non sono semplicemente “chiavette per il 2FA”. Dentro ci sono diverse applicazioni separate, ognuna pensata per uno scenario diverso.
Supportano FIDO2/WebAuthn, cioè lo standard moderno usato per chiavi di sicurezza e passkey; FIDO U2F, la versione precedente ancora usata per compatibilità; Yubico OTP; OATH-TOTP e OATH-HOTP, cioè i classici codici a sei cifre tipo Google Authenticator; PIV/smart card per certificati; OpenPGP per GnuPG, firma e cifratura; più funzioni come password statica, challenge-response e YubiHSM Auth.
Detta così sembra una lista pensata per far felici gli amministratori di sistema, ma il senso pratico è semplice: una sola chiavetta può coprire tantissimi casi d’uso diversi. Potete usarla per accedere a un account Google, proteggere Proton Mail, entrare nel vostro password manager, generare codici TOTP, firmare commit Git, gestire certificati PIV o usarla in scenari aziendali più avanzati.
Non userete per forza tutto. Anzi, probabilmente la maggior parte delle persone userà solo FIDO2 e magari i codici TOTP. Però è bello sapere che non state comprando un oggetto limitato a una sola funzione.
La prova sul campo
La configurazione iniziale è stata piuttosto rapida. Ho registrato le chiavette come secondo fattore su vari servizi nel giro di pochi minuti. Il meccanismo è sempre quello: vai nelle impostazioni di sicurezza, scegli “chiave di sicurezza”, inserisci la YubiKey, tocchi il sensore e dai un nome riconoscibile alla chiave.
Le ho provate con account email, servizi sviluppatore, repository Git, password manager e qualche servizio secondario. In generale, dove viene supportato FIDO2/WebAuthn, l’esperienza è davvero banale. Inserisci, tocchi, fatto.
Il vero punto forte di Yubico è proprio questo: la compatibilità. Non è l’unica azienda a produrre chiavette FIDO2, ma è quella che trovate più spesso nominata nelle guide ufficiali dei servizi. Questo non significa che sia automaticamente “la migliore” in ogni senso, ma riduce molto il numero di sorprese.
Con la Nitrokey avevo apprezzato tantissimo il lato open source e il fatto che fosse prodotta in Germania. Con Yubico si percepisce invece un approccio più industriale: meno fascino da progetto aperto, ma tantissima compatibilità e documentazione.
Yubico Authenticator e l’addio alla vecchia GUI di YubiKey Manager
La vecchia interfaccia grafica di YubiKey Manager è stata dismessa. Yubico ha annunciato l’End of Life della GUI il 19 febbraio 2025 e il supporto è terminato il 19 febbraio 2026.
Attenzione però: non significa che “YubiKey Manager” sia morto in generale. La parte da riga di comando, cioè ykman, resta supportata. A sparire è la vecchia applicazione grafica. Per chi vuole gestire la chiavetta senza terminale, l’alternativa consigliata da Yubico è Yubico Authenticator.
E anche Yubico Authenticator è piuttosto intuitiva.
Graficamente è molto più carina e moderna di quanto mi aspettassi. È ordinata, riconosce subito la chiavetta collegata e separa abbastanza bene le varie funzioni: account OATH, passkey/FIDO2, certificati PIV, slot OTP e impostazioni.
È utile anche perché ti fa capire che la YubiKey non è “una cosa sola”, ma un insieme di funzioni diverse. C’è la parte FIDO2, c’è la parte PIV, c’è la parte OTP, c’è la parte OATH. Ognuna ha le sue impostazioni, i suoi PIN, i suoi eventuali reset. Questa separazione è potente, ma può confondere se ci si avvicina per la prima volta.
La cosa che ho apprezzato di più è che l’applicazione ti porta abbastanza naturalmente verso alcune configurazioni importanti, in particolare nella parte PIV: PIN, PUK e Management Key.
Cambiate PIN, PUK e Management Key
Questa parte è importante, quindi meglio dirla chiaramente.
Per l’applicazione PIV, la YubiKey parte con valori predefiniti noti: PIN 123456, PUK 12345678 e una Management Key standard documentata. È normale che un dispositivo nuovo abbia valori di fabbrica, ma non è normale lasciarli così se decidete di usare davvero quella funzione.
Yubico stessa raccomanda di cambiare PIN, PUK e Management Key prima dell’uso. Yubico Authenticator permette di farlo con pochi clic e, secondo me, è una delle prime cose da fare quando si mette mano alla parte PIV.
Qui bisogna solo fare attenzione a non confondere i PIN. Il PIN PIV non è il PIN FIDO2. Il PIN FIDO2 riguarda passkey e credenziali FIDO2 residenti; il PIN PIV riguarda certificati e smart card. Stesso oggetto fisico, funzioni diverse.
È una di quelle cose che ti ricordano che la YubiKey può essere semplicissima o molto tecnica a seconda di cosa le chiedi. Se la usi solo per fare 2FA sui siti, è quasi banale. Se inizi a usare PIV, OpenPGP, slot OTP, Management Key e passkey residenti, diventa un piccolo coltellino svizzero crittografico.
Utile, ma da maneggiare con attenzione.
Tocco breve e tocco prolungato
Una funzione molto comoda delle YubiKey è la possibilità di distinguere tra tocco breve e tocco prolungato.
Qui però va fatta una precisazione: questa cosa riguarda i due slot dell’applicazione OTP. La YubiKey ha due slot configurabili: una attivata dal tocco breve e una dal tocco lungo. Dentro queste slot si possono mettere funzioni come Yubico OTP, password statica, challenge-response o OATH-HOTP.
Di fabbrica, sulle YubiKey standard, la prima slot è preconfigurata con Yubico OTP. La seconda resta disponibile per altri usi.
Sembra una cosa minore, ma nella pratica è utile. Se lasciate la YubiKey inserita e toccate per sbaglio il contatto dorato, può capitare che vi scriva una lunga stringa OTP dove si trova il cursore. Magari in una chat. Magari in un documento. Magari in un terminale.
Non succede nulla di drammatico, ma la prima volta vi chiedete perché siano comparsi caratteri casuali in mezzo a quello che stavate scrivendo.
Spostare alcune funzioni sul tocco prolungato riduce questo rischio.
La YubiKey per i codici TOTP
Una cosa che ho testato con piacere è la gestione dei codici TOTP tramite Yubico Authenticator.
Parliamo dei classici codici a sei cifre che cambiano ogni 30 secondi, quelli che normalmente teniamo in applicazioni come Aegis, 2FAS, Google Authenticator, Ente Auth e simili. Con la YubiKey potete salvare quei segreti direttamente sulla chiavetta e usare Yubico Authenticator solo come interfaccia per leggerli.
Questo significa che il segreto TOTP non vive sul telefono o sul computer, ma sulla YubiKey. Il telefono o il PC diventano solo uno schermo per visualizzare il codice.
È più sicuro? In molti casi sì. È più comodo? Non sempre.
Per vedere un codice dovete avere la YubiKey con voi, collegarla o leggerla via NFC, aprire l’app e generare il codice. Per gli account importanti ha senso. Per qualsiasi login secondario, probabilmente no. Io lo vedo bene per email principale, password manager, account sviluppatore e servizi davvero critici. Per il resto, forse è eccessivo.
Yubico dichiara per i modelli attuali della serie 5 fino a 64 credenziali OATH e fino a 100 passkey FIDO2 sui firmware più recenti. Sono numeri più che sufficienti per un uso personale, ma non sono infiniti. Anche qui, meglio non infilare dentro qualsiasi cosa solo perché si può.
La prova su Linux: zero problemi
Su Ubuntu l’esperienza è stata sostanzialmente trasparente.
Per l’uso FIDO2/WebAuthn con browser moderni non ho dovuto fare praticamente nulla. Inserisco la chiavetta, il sito la rileva, tocco il sensore, accesso confermato. Fine.
Yubico Authenticator ha riconosciuto le chiavette senza drammi e anche la gestione dei codici TOTP è stata semplice. Per le funzioni più avanzate, come OpenPGP e smart card, serve avere il sistema configurato correttamente, ma niente di particolarmente assurdo se avete già un minimo di familiarità con Linux e GnuPG.
La cosa bella è che quando qualcosa non funziona, di solito capisci dove guardare: servizio smart card, GnuPG agent, permessi, configurazione Git. Non ho avuto la sensazione di combattere contro il sistema operativo.
Non voglio farla sembrare una magia: alcune funzioni restano tecniche. Però, rispetto a quello che mi aspettavo, su Linux è andata molto liscia.
Su Windows serve qualche pazienza in più
Su Windows 10 la situazione è stata un po’ diversa.
Per il solo utilizzo FIDO2, cioè login ai siti, passkey e secondo fattore via browser, non ho avuto grossi problemi. Inserisci la chiavetta, tocchi il sensore e funziona.
Le cose diventano più macchinose quando si entra nella parte più avanzata: PIV, smart card, certificati, OpenPGP, firma dei commit, gestione delle chiavi. In questi casi Windows tende a metterci del suo: driver, finestre, agent, strumenti diversi che devono parlarsi tra loro, documentazione da seguire con più attenzione.
Yubico mette a disposizione strumenti e driver per Windows, inclusi quelli per la parte smart card/PIV, ma l’esperienza non è lineare come su Linux. Non direi che sia colpa di Yubico: è più il solito effetto Windows quando si esce dal flusso semplice “browser + login web” e si entra in un uso più tecnico delle chiavi crittografiche.
Morale: per il 2FA quotidiano Windows va benissimo. Per PIV, certificati e OpenPGP serve più pazienza.
Firmare i commit Git con OpenPGP
La YubiKey 5 supporta l’applicazione OpenPGP Smart Card e può essere usata con GnuPG. Una volta configurata correttamente, il flusso è molto bello: faccio il commit, GnuPG chiede la firma, la chiavetta lampeggia, tocco il sensore e il commit viene firmato.
L’ho usata anche per firmare commit su Codeberg, ad esempio su Le Alternative: codeberg.org/lealternative/pag…
È una di quelle cose che, se non sviluppate o non firmate commit, probabilmente vi lascia indifferenti. Ma se usate Git tutti i giorni, è molto comoda. La chiave privata non sta semplicemente lì come file sul disco del computer, pronta a essere copiata in caso di compromissione del sistema.
Qui però va fatta una precisazione importante. Se generate le chiavi OpenPGP direttamente sulla YubiKey, la parte privata non lascia mai il dispositivo. Se invece importate sulla YubiKey una chiave già esistente, quella chiave privata è esistita fuori dal dispositivo almeno in fase di generazione o trasferimento.
Non è un dettaglio da poco. La prima soluzione è più pulita dal punto di vista della sicurezza; la seconda può essere più comoda se avete già una chiave storica che volete continuare a usare.
Nel mio caso, una volta sistemata la configurazione, l’uso quotidiano è stato semplice: git commit, tocco della chiavetta, commit firmato. Se la YubiKey non è collegata, la firma non parte.
Il problema NFC, almeno per me
Veniamo al punto dolente. La connettività NFC, sulla carta, è la grande comodità delle YubiKey 5 NFC: avvicini la chiavetta al telefono, ti autentichi e via, senza cavi e senza adattatori. Nella pratica, sul mio telefono Android, non sono proprio riuscito a farla funzionare.
Ho provato e riprovato in posizioni diverse, con app diverse, con tempi di lettura diversi. Risultato: errore. A volte la chiavetta non veniva proprio rilevata, altre volte la lettura si interrompeva a metà restituendo un errore dell’applicazione. Mai un’autenticazione andata a buon fine via NFC.
Onestamente non so dirvi a chi va imputata la colpa. Sul mio mio telefono gira GrapheneOS e non escludo che il sistema possa gestire NFC in modo più restrittivo rispetto allo Android stock, ma è un’ipotesi e non ho voglia di passare per esperto di qualcosa che non sono. Potrebbe anche essere una questione di driver, di servizi Google mancanti per certe app di autenticazione, di versione dello standard NFC supportata, oppure semplicemente di sfortuna del singolo dispositivo.
Vi dico solo che a me, con la mia configurazione, l’NFC su Android non è stato di alcuna utilità. Se invece avete un Android stock e un telefono “normale”, magari per voi l’esperienza sarà diversa: i racconti online sono molto altalenanti e ognuno riferisce qualcosa di un po’ diverso, segno che la variabilità c’è ed è reale.
Passkey e accesso senza password
Un’altra parte interessante è quella delle passkey.
Le YubiKey 5 possono salvare credenziali FIDO2 residenti, cioè credenziali che permettono, sui servizi compatibili, di usare la chiavetta in scenari passwordless o quasi passwordless. In pratica non serve più solo come secondo fattore dopo la password, ma può diventare direttamente uno dei metodi principali di accesso.
È probabilmente la direzione in cui si sta muovendo l’autenticazione nei prossimi anni: meno password da ricordare, meno codici da copiare, più chiavi crittografiche legate ai dispositivi.
Qui però bisogna essere ordinati. Se iniziate a usare passkey hardware, registrate una seconda chiave di backup. Sempre. Non è paranoia, è buon senso.
Una YubiKey sola vi protegge meglio di nulla. Due YubiKey vi proteggono anche da voi stessi quando perdete la prima.
Il firmware non si aggiorna
Un aspetto che va detto chiaramente è che il firmware delle YubiKey non è aggiornabile dall’utente.
Yubico lo presenta come una scelta di sicurezza: dopo la produzione non è possibile modificare il firmware della chiave. Questo riduce certi rischi, ma significa anche che se domani esce una nuova funzione o una nuova versione firmware, non potete semplicemente aggiornare la vostra YubiKey. Dovete comprare un modello nuovo.
È una filosofia diversa rispetto a prodotti come Nitrokey, che puntano molto di più su firmware aperto e aggiornabilità. Non è automaticamente meglio o peggio: è un compromesso.
Yubico punta su stabilità, compatibilità, produzione controllata e ampissimo supporto da parte dei servizi. Nitrokey punta di più su trasparenza, apertura e controllo da parte dell’utente. Dipende molto da cosa cercate.
Personalmente trovo Yubico più comoda e universalmente compatibile. Trovo Nitrokey più interessante dal punto di vista della filosofia open source. Sono due approcci diversi allo stesso problema.
Attenzione: compratene due
Lo avevo già scritto parlando della Nitrokey e lo ripeto qui: se decidete di usare una chiavetta di sicurezza, compratene due.
Una la usate tutti i giorni. L’altra la tenete in un posto sicuro. Poi registrate entrambe sugli account importanti: email principale, password manager, account sviluppatore, servizi cloud, pannelli di hosting, social, banca se supportata, tutto quello che non volete perdere.
Perdere una chiavetta non è una possibilità remota. Può finire in lavatrice, in un cassetto sbagliato, in una borsa dimenticata, in un trasloco, in quel buco nero domestico dove spariscono anche adattatori USB-C, penne e forbicine.
Le chiavi di sicurezza sono fantastiche, ma non devono diventare un singolo punto di fallimento. Usatele bene: chiave principale, chiave di backup, codici di recupero salvati offline.
Cosa mi è piaciuto
Mi è piaciuta la compatibilità. È probabilmente il motivo principale per scegliere Yubico: funziona quasi ovunque, è riconosciuta da tantissimi servizi e raramente bisogna inventarsi soluzioni strane.
Mi è piaciuta Yubico Authenticator. È bella graficamente, ordinata e abbastanza chiara anche per chi non vive nel terminale. La vecchia GUI di YubiKey Manager era ormai da pensionare, e questa applicazione è decisamente più adatta al presente.
Mi è piaciuta la possibilità di usare la chiavetta sia per cose semplici, come il 2FA sui siti, sia per cose più tecniche, come firma OpenPGP dei commit, PIV e slot OTP.
Mi è piaciuta molto la 5C NFC. Nel 2026, se dovessi comprarne una sola, probabilmente sceglierei quella: USB-C è semplicemente più comoda sulla maggior parte dei dispositivi recenti.
Cosa mi è piaciuto meno
L’NFC su Android come è possibile immaginare.
Mi è piaciuta meno anche la complessità nascosta. La YubiKey è banalissima se la usate solo come secondo fattore. Diventa molto più tecnica se iniziate a usare PIV, OpenPGP, passkey residenti, PIN diversi, PUK, Management Key e slot OTP. Non è un difetto, ma va saputo.
Infine, il firmware non aggiornabile è una scelta che capisco, ma che personalmente continuo a vedere come un limite rispetto ad alternative più aperte. Non mi impedirebbe di usarla, ma è un elemento da considerare.
Prezzo e verdetto
Le YubiKey 5 NFC e 5C NFC non sono economiche, soprattutto se ne comprate due come sarebbe giusto fare. Il prezzo varia in base allo store, al paese e alle promozioni, ma siamo comunque nella fascia delle chiavette di sicurezza premium.
Nel complesso, però, fanno molto bene quello che devono fare. La compatibilità è eccellente, la documentazione è ampia, Yubico Authenticator è finalmente piacevole da usare e l’esperienza su Linux è stata praticamente senza intoppi. Su Windows funziona bene per l’uso base, mentre diventa più macchinosa per PIV, OpenPGP e scenari avanzati. Su Android l’NFC resta comodo sulla carta, meno nella vita reale.
Il confronto con Nitrokey resta interessante. Se per voi firmware aperto, aggiornabilità e filosofia open source sono la priorità assoluta, Nitrokey continua ad avere argomenti molto forti. Se invece volete la chiavetta più compatibile, più documentata e più supportata dai servizi mainstream, Yubico resta un riferimento difficilissimo da ignorare.
Verdetto onesto: se non avete ancora una chiavetta di sicurezza, dovreste prenderne una. Se potete, prendetene due. E se volete qualcosa che funzioni praticamente ovunque senza farvi perdere troppo tempo, le YubiKey 5 NFC e 5C NFC sono una scelta molto solida.
SOURCE:// yubico.com
SOURCE:// yubico.com
SOURCE:// docs.yubico.com
SOURCE:// docs.yubico.com
SOURCE:// docs.yubico.com
SOURCE:// docs.yubico.com
SOURCE:// docs.yubico.com
SOURCE:// support.yubico.com
Ho provato la chiavetta di sicurezza tedesca 3A Mini di Nitrokey
Esistono tanti modi per proteggere i propri account, ma pochi sono efficaci quanto una chiavetta di sicurezza fisica. Dopo averne sentito parlare per anni, ho deciso di provarne finalmente una. La scelta non è stata casuale ma, come sempre, ponderata: Nitrokey è un’azienda europea (precisamente tedesca), le chiavette sono prodotte in Germania e i loro firmware tutti open source. Ho chiesto a Nitrokey esplicitamente di poter provare la Nitrokey 3A Mini perché ha ottenuto la certificazione FIDO2 di Livello 1, e mi è stata gentilmente inviata da loro per poterla testare. E volevo raccontarvi com’è andata.
Cosa c’è nella scatola
Pochissimo! Ed è un bene. La confezione è minimale, quasi spartana: dentro trovate la chiavetta e un rimando alla documentazione ufficiale. Niente manualoni giganti o accessori inutili, l’unico accessorio presente è il portachiavi per non perderla. La chiavetta è davvero piccola (d’altronde è la versione mini) ed è pensata per restare inserita nella porta USB-A senza dare alcun fastidio. Sul corpo c’è un micro-pulsante (invisibile) che serve a confermare fisicamente le operazioni.
Immagini della NItrokey 3A Mini
Cos’è una chiavetta di sicurezza
Prima di tutto: cos’è una chiavetta di sicurezza? È un piccolo dispositivo fisico, simile a una comune penna USB, che serve a dimostrare che siete davvero voi a tentare l’accesso a un account. Funziona come secondo fattore di autenticazione: dopo aver inserito la password, il sito vi chiede di collegare la chiavetta e toccarla per confermare. Il vantaggio rispetto ai classici codici via SMS o alle app di autenticazione è che non c’è nulla da copiare, nulla che possa essere intercettato e nessun codice che qualcuno possa estorcervi con una pagina di phishing. La verifica avviene direttamente tra il sito e la chiavetta tramite il protocollo FIDO2, ed è legata al dominio specifico: anche se finite su un sito truffaldino che imita quello vero, la chiavetta semplicemente non risponde. È ad oggi uno dei metodi più solidi per proteggere i propri account.
La prova sul campo
La configurazione iniziale è stata piuttosto rapida. Ho registrato la chiavetta come secondo fattore di autenticazione su diversi servizi nel giro di pochi minuti. Il test più significativo l’ho fatto con Proton Mail, il servizio di posta crittografata che utilizzo quotidianamente: accesso con password e poi conferma tramite la chiavetta, premendo il piccolo pulsante fisico.
Altre prove le ho fatte anche con un account Tuta che utilizzo in maniera secondaria e con altri servizi che permettono di registrare le chiavette fisiche. Tutto liscio, senza intoppi.
Il meccanismo è sempre lo stesso: inserisci la Nitrokey, il sito ti chiede la verifica, premi il bottoncino e sei a posto. Nessun codice da copiare né applicazioni da aprire sullo smartphone.
Perché proprio la 3A Mini
Come dicevo inizialmente ho scelto questo modello specifico per un motivo preciso: al momento è l’unica Nitrokey ad aver ottenuto la certificazione FIDO2 di Livello 1 dalla FIDO Alliance, come annunciato da Nitrokey stessa. Questa certificazione garantisce compatibilità verificata con tutte le piattaforme principali, da Windows a macOS, da Linux ad Android e iOS. Nitrokey mi ha confermato che tutti i modelli della serie 3 sono in fase di certificazione sia per il Livello 1 che per il Livello 2.
La Nitrokey 3A Mini non si limita all’autenticazione FIDO2 che ho provato. Sulla carta le funzionalità sono parecchie: supporto FIDO U2F, generazione di password monouso (TOTP e HOTP), smart card OpenPGP per cifrare email e file, e persino un piccolo archivio password integrato, anche se per un gestore vero e proprio conviene guardare altrove (come ad esempio Proton Pass).
Impostare un PIN: si può e si dovrebbe fare
La Nitrokey 3A Mini permette di impostare un PIN di protezione per il FIDO2. Su Linux, dove ho fatto queste prove, si può fare in almeno due modi. Tramite programmino grafico e installato tramite il comando da terminale pipx install nitrokeyapp per poi avviarlo con nitrokeyapp.
Piccola nota sull’importanza di non dimenticarsi i PIN: hai 8 tentativi totali. Ogni 3 errori devi staccare e riattaccare la chiavetta (questo serve a evitare blocchi accidentali, non ti dà tentativi infiniti). Se li esaurisci tutti e 8, la funzione FIDO2 si blocca. Per sbloccarla è necessario fare un reset della funzione FIDO2, il che significa che perdi tutte le registrazioni FIDO2 salvate sulla chiavetta. Dovresti quindi ri-registrarla su tutti i siti dove l’avevi configurata. Lo stesso vale per il cosiddetto PIN Secrets (per le password). Per il PIN OpenPGP invece la situazione sembra essere ancora più seria: 3 tentativi per il PIN utente (sbloccabile con l’Admin PIN), 3 tentativi per l’Admin PIN. Se esaurisci anche quelli, reset completo ai valori di fabbrica.
In questo modo è possibile fare tutto graficamente ed è quindi adatto a chiunque, anche senza alcuna conoscenza tecnica. Da qui si può impostare il PIN o modificarlo e si può anche creare una sorta di “mini” password manager da utilizzare anche questo con un PIN o una password (possibilmente diversa da quella scelta in precedenza).
Per visualizzare o modificare queste informazioni basterà inserire la chiavetta e avviare il programma. Come vedete dalle immagini poco sopra è tutto abbastanza intuitivo.
Anche via CLI
Tutto quello che viene spiegato in questi paragrafi è dedicato a chi utilizzerà la chiavetta via terminale. Non c’è una vera e propria guida per la versione grafica dell’applicazione perché è decisamente intuitiva e tutto quello che leggerete qui si può fare facilmente dall’applicazione eseguita.
Tuttavia per gli amanti dei comandi scritti tramite console esiste si può fare anche tutto in questo modo utilizzando Nitropy. Una volta installato sulla vostra distribuzione preferita potete impostare il PIN scrivendo
nitropy fido2 set-pin
vi verrà chiesto di scegliere un PIN e di confermarlo. Da quel momento, in teoria, ogni volta che un sito richiede la verifica, oltre al tocco fisico vi verrà chiesto anche il codice.In teoria, appunto. Perché nella pratica la richiesta del PIN dipende dal sito, non dalla chiavetta. Servizi come Proton e Tuta usano la Nitrokey come secondo fattore di autenticazione (dopo la password), e in quel contesto il PIN viene considerato superfluo: avete già dimostrato la vostra identità con la password, la chiavetta serve solo a confermare che siete fisicamente presenti. Il risultato è che il PIN non viene mai richiesto, basta toccare la chiavetta per confermare l’accesso.
Ho fatto una prova con Google, che invece gestisce la cosa diversamente, e lì il PIN mi è stato chiesto regolarmente. Lo stesso dovrebbe succedere con i servizi Microsoft aziendali e in generale con tutti quelli che usano la chiavetta come metodo di accesso principale, senza password.
Morale: impostatelo comunque. Non costa nulla, richiede un minuto, e vi protegge nel caso qualcuno metta le mani sulla vostra chiavetta e provi a usarla su un servizio che richiede la verifica completa. Meglio averlo e non averne bisogno che il contrario.
Il gestore di password via CLI
Anche da terminale si può usare la chiavetta come password manager. Va innanzitutto impostato un “secrets” cioè una password o un PIN possibilmente diverso da quello della chiavetta impostato prima e va fatto con il comando nitropy nk3 secrets set-pin. Scegli un PIN e confermalo. E tocca la chiavetta se lampeggia e ti viene chiesto di farlo.
Per salvare una password si usa il comando
nitropy nk3 secrets add-password --touch-button --protect-with-pin --password "LaTuaPasswordDiProva123" ProvaYoota
dove ProvaYoota è il nome che dai alla credenziale e LaTuaPasswordDiProva123 è la password vera e propria. L’opzione --touch-button richiede il tocco fisico, --protect-with-pin richiede invece il PIN per accedervi.Per recuperare la password salvata si può usare il comando
nitropy nk3 secrets get-password ProvaYoota
e in questo caso chiederà il PIN e poi il tocco, e restituirà infine la password.Per vedere tutte le credenziali salvate si usa il comando
nitropy nk3 secrets list.
La chiavetta per generare codici TOTP
La Nitrokey, volendo, può sostituire le app tipo Google Authenticator o Authy per generare quei codici a 6 cifre che scadono ogni 30 secondi. Per farlo basta andare sul sito dove vuoi attivare il 2FA con TOTP (tipo GitHub, Nextcloud, ecc.) e scegli “Aggiungi app di autenticazione”. Il sito ti mostrerà un QR code ma anche una chiave segreta testuale (una stringa tipo JBSWY3DPEHPK3PXP). È quella che ti serve.
Registra il segreto sulla Nitrokey con il comando
nitropy nk3 secrets register --kind TOTP --touch-button NomeServizio JBSWY3DPEHPK3PXP
dove NomeServizio è un nome a scelta (tipo “GitHub” o “Nextcloud”) e la stringa finale è la chiave segreta che ti ha dato il sito. Se vuoi che richieda anche il PIN aggiungi --protect-with-pin.Per generare il codice quando ti serve basta fare invece
nitropy nk3 secrets get NomeServizio
che ti restituirà il codice a 6 cifre valido in quel momento, come farebbe qualsiasi applicazione TOTP.Per HOTP è lo stesso ma con --kind HOTP (cambia solo il meccanismo: HOTP è basato su un contatore, TOTP sul tempo).
Attenzione pratica: il segreto va copiato senza spazi. Alcuni siti lo mostrano con spazi tipo JBSW Y3DP EHPK 3PXP ma sarebbe il caso incollarlo tutto attaccato. E se il sito usa SHA256 invece di SHA1 (raro potrebbe succedere), va aggiunto --hash SHA256.
La cosa bella è che così i segreti TOTP sono salvati sulla chiavetta fisica e non sul telefono, il che è oggettivamente più sicuro anche se ovviamente più scomodo.
Il firmware è scritto in Rust, completamente open source, e il cuore crittografico si basa su un elemento sicuro certificato Common Criteria EAL 6+, lo stesso livello che trovate nelle smart card bancarie. Io per il momento mi sono limitato a usarla come secondo fattore di autenticazione, che è probabilmente anche il caso d’uso più comune.
Attenzione: se la perdete, sono guai
Come forse avrete già intuito se impostate come unico accesso la chiavetta e poi la perdete… beh, è un disastro e rischiate di restare chiusi fuori dai vostri account senza un vero e proprio piano B. Non è una possibilità remota, è una certezza. Per questo il consiglio più importante che posso darvi se decidete di usare una chiavetta di sicurezza è quello di acquistarne almeno due e registrarle entrambe su tutti i servizi che utilizzate. Se una finisce in lavatrice, cade in un tombino o semplicemente sparisce, l’altra vi salva.
In alternativa, molti servizi generano dei codici di recupero al momento dell’attivazione del secondo fattore. Stampateli, scriveteli a mano, conservateli in un posto sicuro, qualunque metodo va bene purché non restino solo in formato digitale sullo stesso dispositivo che state cercando di proteggere. Sembra banale, ma è il tipo di cosa a cui si pensa solo quando è troppo tardi.
Oppure, ma qui dipende anche dai siti, potete impostare sia un metodo, come la 2FA tramite applicazione o la passkey tramite password manager, che la chiavetta fisica. In questo modo se anche perdete la chiavetta potete comunque entrare nei vostri account con il piano B. Ovviamente più modi avete per entrare e meno sicuro sarà il vostro account ma è, come sempre, tutta una questione di compromessi e necessità personali.
Ecco il paragrafo:
Integrazione con KeePassXC
Una delle domande ricevute quando ho detto che avrei ricevuto una chiavetta Nitrokey è stata l’integrazione con KeePassXC, il popolare gestore di password open source. Non è un programma che uso personalmente, ma la curiosità era legittima e ho voluto provare.
Dalla versione 2.7.6, KeePassXC supporta le Nitrokey 3 come fattore aggiuntivo per sbloccare il database delle password. Il meccanismo si chiama Challenge-Response e funziona in modo diverso dal FIDO2: la chiavetta non si limita a confermare la vostra presenza, ma partecipa attivamente alla decrittazione del database. Senza di lei, il file resta inaccessibile anche conoscendo la password.
Per chi volesse replicare la prova su Linux, servono pochi passaggi. Prima di tutto bisogna installare KeePassXC e il servizio pcscd, che è il demone che consente alle applicazioni di comunicare con le smart card (e quindi anche con la Nitrokey):
sudo apt install keepassxc pcscd
sudo systemctl start pcscd
sudo systemctl enable pcscd
A questo punto va generato un segreto casuale da salvare sulla chiavetta. Con il primo comando creiamo 20 byte casuali (la dimensione richiesta dal protocollo HMAC-SHA1), con il secondo li convertiamo in formato base32 e li scriviamo nello slot 2 della Nitrokey, che è quello utilizzato da KeePassXC:
dd if=/dev/urandom of=/tmp/nk bs=20 count=1
nitropy nk3 secrets add-challenge-response 2 $(base32 /tmp/nk)
Consiglio di annotarsi il segreto generato lanciando base32 /tmp/nk prima di perdere quel file temporaneo: se un domani voleste configurare una seconda chiavetta di backup con lo stesso segreto, vi servirà quella stringa.Fatto questo, basta aprire KeePassXC e, nella schermata delle credenziali del database (raggiungibile anche su un database già esistente da Database → Sicurezza del database), cliccare su Aggiungi protezione aggiuntiva. In fondo trovate la voce Challenge-Response: selezionandola dovrebbe comparire la Nitrokey nel menu a tendina (potrebbe apparire genericamente come “YubiKey”, è normale). Confermate e salvate.
Da quel momento, per aprire il database servono sia la password che la chiavetta fisicamente inserita. Nel mio test ha funzionato tutto al primo tentativo, senza particolari intoppi ma appunto non è il mio setup quotidiano quindi non ho fatto altre prove. Il PIN della chiavetta non viene richiesto in questo contesto, ma la presenza fisica della Nitrokey sì, il che aggiunge un livello di protezione concreto al vostro archivio di password.
Qualcosa da migliorare
Il modello che ho testato è esclusivamente USB-A, il che nel 2026 può risultare un po’ limitante se usate prevalentemente dispositivi con USB-C anche se come detto è stata una mia scelta e una mia richiesta. Per chi ha bisogno di maggiore flessibilità, Nitrokey offre la variante 3A NFC (che aggiunge la connettività senza fili per gli smartphone) e la 3C NFC con connettore USB-C. Costano qualcosina in più, ma la comodità dell’NFC con il telefono potrebbe valerne la pena.
Un’altra nota: l’applicazione desktop Nitrokey App 2 funziona bene per la gestione del dispositivo e gli aggiornamenti firmware, ma il gestore di password integrato è piuttosto essenziale. Se cercate un password manager vero e proprio vi conviene affidarvi a soluzioni dedicate come il già accennato Proton Pass.
Non solo chiavette per Nitrokey
Nitrokey non produce solo chiavette di sicurezza. L’azienda tedesca ha costruito negli anni un catalogo piuttosto ampio di prodotti hardware, tutti accomunati dalla stessa impostazione: firmware aperto, produzione in Germania, nessuna dipendenza da servizi cloud proprietari.
Il prodotto più particolare è probabilmente il NitroPhone, uno smartphone basato su hardware Google Pixel con preinstallato il sistema operativo open source GrapheneOS al posto di Android. Il Pixel viene scelto perché è uno dei pochi telefoni che consente di installare un sistema operativo alternativo mantenendo attivo il Verified Boot tramite il chip Titan M2. GrapheneOS non è semplicemente un Android ripulito da Google: interviene in profondità su kernel, gestione della memoria, sandbox delle applicazioni e permessi. I servizi Google, se servono, si possono reinstallare come app isolate senza privilegi speciali. La gamma parte dal NitroPhone 5a (Pixel 9a, supporto fino al 2032) e arriva fino al pieghevole. Su richiesta, Nitrokey può rimuovere fisicamente i microfoni e i sensori di movimento prima della spedizione, un’opzione pensata per contesti dove la riservatezza è una necessità concreta, non un vezzo.
Nel catalogo ci sono anche i NitroPad (portatili basati su ThinkPad con firmware Coreboot e Intel Management Engine disabilitato), i NitroPC (desktop con la stessa impostazione) e i NitroWall, firewall hardware con OPNsense o OpenWRT per la sicurezza di rete. I prezzi non sono popolari e l’approccio resta di nicchia, ma il catalogo esiste e vale la pena conoscerlo.
Prezzo e verdetto
La Nitrokey 3A Mini si trova sullo shop ufficiale a 49 euro. Non è poco, soprattutto se ne comprate due come consiglio, ma considerate che si tratta di un acquisto che protegge un numero illimitato di account. A differenza di altre soluzioni il firmware è aggiornabile e completamente open source, il che è un vantaggio non trascurabile nel lungo periodo.
Nel complesso, l’ho trovata pratica e facile da usare anche per chi non mastica sicurezza informatica tutti i giorni. Non è perfetta, il vincolo USB-A pesa e il prezzo non è proprio popolare, ma se volete un metodo concreto per blindare i vostri account più importanti è una delle opzioni più serie sul mercato. Soprattutto per chi tiene alla trasparenza del software e preferisce affidarsi a un prodotto europeo.
Potete acquistare la Nitrokey 3A Mini e tutti gli altri modelli tramite Nitrokey.
TechpertuttiGuglielmo Sbano
Huawei Watch Fit 5 Pro in versione Orange
Huawei Watch Fit 5 in versione Purple
I nuovi smartwatch Huawei dedicano particolare attenzione alla salute cardiovascolare e femminile
Il Supersonic Travel è perfetto da inserire in un borsone o nel bagaglio a mano
Dyson Supersonic Travel è compatibile con gli accessori Dyson Supersonic e Dyson Supersonic Nural
Dyson Supersonic Travel è più piccolo del 32% e più leggero del 25% rispetto all'asciugacapelli Dyson Supersonic originale
TechpertuttiGuglielmo Sbano
Il modello integra una rotazione ad alta velocità di 260 giri/min e una potente pressione verso il basso di 12 N
La stazione base all-in-one del P70 Pro Ultra
Combinando aspirazione e lavaggio in un unico sistema, P70 Pro Ultra offre una soluzione di pulizia completa ed efficiente
TechpertuttiGuglielmo Sbano
TechpertuttiGuglielmo Sbano
Con un peso di soli 106 grammi, questo traduttore è un compagno indispensabile da portare comodamente in tasca
Le funzioni di traduzione di foto e testo permettono di comprendere menù internazionali, orari dei trasporti o pannelli informativi con un solo clic
Un grande vantaggio è il pulsante fisico: chi non ama i touchscreen apprezzerà sicuramente questa soluzione touch
In Europa il trend dell'adozione delle crypto valute è trainato dalle generazioni più giovani
matz
in reply to Matteo Zenatti • • •rag. Gustavino Bevilacqua reshared this.