792 315 084
OVĚŘIT DOSTUPNOST

Hardware klíče — YubiKey vs SoloKey vs Nitrokey srovnání

Publikováno: 2. 7. 20262486 slovČtení na 12.4 min.

Hesla samotná dnes přestávají stačit. Phishingové stránky umí oklamat i ostříleného profesionála, SMS kódy lze odposlechnout prostřednictvím útoku na SIM swap a aplikace pro generování jednorázových kódů žijí v telefonu, který může být kompromitován škodlivým softwarem. Hardwarový bezpečnostní klíč je tichý, malý a dnes finančně dostupný způsob, jak tyto rizika eliminovat. Tento článek srovnává tři nejvýznamnější výrobce — Yubico, SoloKeys a Nitrokey — z pohledu uživatele, který si chce v roce 2026 pořídit klíč pro osobní nebo firemní použití.

Proč mít hardwarový klíč v roce 2026

Standard FIDO2 a WebAuthn, na kterých moderní bezpečnostní klíče stojí, jsou dnes podporovány prakticky všemi velkými službami — Google, Microsoft, Apple, GitHub, banky včetně několika českých, NIA pro státní portály i většina firemních identity providerů jako Okta nebo Microsoft Entra ID. Hardwarový klíč nahrazuje nejen heslo, ale i druhý faktor autentizace v jediné fyzické věci, kterou musíte mít u sebe.

Hlavní výhoda — odolnost vůči phishingu

Klíč nikdy nepošle podpis na podvodnou doménu. Pokud se přihlašujete na bance.cz a phishingová stránka vypadá jako banka.cz s drobnou typografickou záměnou, klíč prostě nevyšle odpověď — sám zkontroluje origin domény proti tomu, na co byl zaregistrován. Toto je vrstva ochrany, kterou nedokáže nahradit ani autentizační aplikace v telefonu, ani SMS.

Druhá výhoda — žádný účet, žádný cloud

Klíč nepotřebuje internet pro svoji základní funkci, neukládá vaše hesla u třetí strany a nemůže být vzdáleně zablokován. Tato vlastnost je důležitá pro lidi, kteří dlouhodobě řeší digitální suverenitu — od novinářů po samostatné profesionály, kteří chtějí mít plnou kontrolu nad svým přístupem.

YubiKey od Yubico — etablovaný standard

Yubico je švédsko‑americká firma, která hardwarové klíče dělá od roku 2007 a dnes pokrývá asi 60–70 % světového trhu. YubiKey je defaultní volba pro velké firmy, vlády a všechny, kdo chtějí prověřené řešení s rozsáhlou dokumentací a podporou.

Modelová řada v roce 2026

Aktuální nabídka zahrnuje YubiKey 5 sérii s USB‑A, USB‑C, NFC a kombinacemi pro mobilní telefony, YubiKey Bio s otiskem prstu pro bezdotykovou autentizaci a nově YubiKey 5 FIPS pro regulovaná prostředí. Cena se v ČR pohybuje od přibližně 1 200 Kč za základní model do 2 500 Kč za varianty s NFC a biometrií.

Silné stránky YubiKey

Hlavní devíza je univerzálnost. Jeden klíč zvládne FIDO2/WebAuthn, U2F, OATH‑TOTP, OATH‑HOTP, PIV (chytrá karta pro Windows přihlášení), OpenPGP pro šifrování a podepisování e‑mailu a statické heslo pro starší systémy. Pro praktického uživatele to znamená, že jeden klíč pokryje skoro všechny scénáře autentizace, na které narazí.

Druhá síla je ekosystém. Yubico Authenticator je solidní aplikace pro správu OTP kódů uložených v klíči, Yubico SDK je široce dokumentovaná a integrace s firemními identity providery funguje out of the box.

Slabší stránky a kompromisy

Firmware YubiKey je proprietární, klíč nelze přeprogramovat na novější verzi a kryptografické knihovny v něm běžící nejsou veřejně auditovatelné. Pro většinu uživatelů to není problém — Yubico má seriózní bezpečnostní reputaci a v roce 2024 publikovaný side‑channel útok EUCLEAK byl rychle adresován novou hardwarovou generací. Pro paranoidní uživatele to však zůstává nevyřešená otázka.

Druhým bodem je cena. YubiKey patří k nejdražším klíčům na trhu a pro někoho, kdo potřebuje dva kusy (primární a záložní), je počáteční investice 2 500–5 000 Kč nezanedbatelná.

SoloKey 2 — open‑source alternativa

SoloKeys je startup, který od roku 2018 buduje plně open‑source alternativu k YubiKey. Druhá generace, Solo 2, je dnes komerčně dostupná a představuje seriózní volbu pro každého, kdo chce kombinaci bezpečnosti a transparentnosti.

Co dělá Solo 2 zajímavým

Hardware i firmware jsou veřejně publikované na GitHubu. Kdokoli si může nezávisle ověřit, jak klíč pracuje, jaké šifrovací operace provádí a zda neobsahuje skryté backdoory. Tato vlastnost je hodnotná pro novináře pracující s citlivými zdroji, výzkumníky v kyberbezpečnosti a uživatele, kteří nechtějí důvěřovat zavřenému systému.

Druhá výhoda je možnost upgrade firmware. Pokud se objeví nová verze FIDO2 specifikace nebo bezpečnostní záplata, klíč můžete sami aktualizovat, aniž byste si museli kupovat nový.

Funkční omezení proti YubiKey

Solo 2 je primárně FIDO2/U2F klíč. Nepodporuje OATH‑TOTP úložiště v klíči, PIV chytrou kartu ani OpenPGP. Pokud potřebujete OTP kódy uložené přímo v klíči nebo chcete přihlašovat na Windows přes PIV, Solo 2 vás neuspokojí. Pro čistě webovou autentizaci přes FIDO2 však dostačuje plně.

Dostupnost v ČR

Solo 2 lze objednat přímo z e‑shopu SoloKeys nebo přes pár evropských distributorů. Cena je nižší než u YubiKey — přibližně 600–900 Kč za kus, plus poštovné. Pro páry klíčů to často znamená úsporu 1 000–2 000 Kč proti YubiKey.

Nitrokey — německý hráč s důrazem na privacy

Nitrokey je berlínská firma, která se profiluje jako evropská open‑source alternativa s důrazem na privacy a auditovatelnost. Modelová řada je širší než u SoloKeys a pokrývá různé profily použití.

Klíčové modely

Nitrokey 3 je vlajková loď s FIDO2, OpenPGP, PIV a Secrets manageru, Nitrokey Pro je starší ale stále podporovaný model orientovaný na OpenPGP a šifrování e‑mailu, Nitrokey Storage navíc obsahuje šifrované USB úložiště pro citlivá data.

Silné stránky Nitrokey

Stejně jako Solo je hardware a firmware veřejně publikovaný. Navíc Nitrokey 3 nabízí širší funkční záběr, který se blíží YubiKey — OpenPGP, PIV, FIDO2 i správa hesel přes Nitrokey App. Pro uživatele, který chce open‑source klíč s plnou funkčností, je Nitrokey 3 dnes asi nejucelenější volba.

Druhá výhoda je evropská jurisdikce. Společnost sídlí v Německu, podléhá GDPR a evropskému právu. Pro někoho, kdo si nechce do bezpečnostního workflow tahat americkou nebo asijskou firmu, je to relevantní argument.

Slabší stránky

Cena Nitrokey 3 je vyšší než SoloKeys a v některých konfiguracích se blíží YubiKey. Aplikace a uživatelská zkušenost není tak vyleštěná jako u Yubica — pro běžného uživatele to znamená trochu strmější křivku učení, zejména pokud chce využít OpenPGP nebo PIV funkce.

Pro koho je Nitrokey ideální

Pokud chcete open‑source, plnou funkčnost a evropského dodavatele, je Nitrokey 3 jasná volba. Stejně tak pro uživatele, kteří aktivně používají GnuPG pro šifrování e‑mailu nebo podepisování kódu.

Praktické srovnání — který klíč pro jaký profil uživatele

Místo abstraktního výčtu funkcí dává smysl rozdělit volbu podle reálných profilů uživatele a hlavních scénářů použití.

Běžný uživatel — Gmail, GitHub, banka, NIA

Pro tento profil je YubiKey 5 NFC ideální. Univerzálnost, NFC pro mobilní přihlášení a kvalitní podpora českých identity providerů ho dělají bezstarostnou volbou. Investice 1 800–2 200 Kč za jeden klíč plus záložní stejného modelu.

Programátor a bezpečnostní nadšenec

SoloKey 2 nebo Nitrokey 3. Open‑source firmware, možnost auditu, podpora moderních protokolů. Nitrokey navíc, pokud aktivně používáte GnuPG pro podepisování commitů.

Firemní nasazení pro tým 10+ lidí

YubiKey, prakticky bez výjimky. Yubico nabízí firemní balíčky, centrální správu přes Yubico Enterprise Console a kvalitní podporu pro IT správce. Open‑source alternativy nemají tak rozvinutý management.

Žurnalista, aktivista, výzkumník s nároky na audit

SoloKey 2 nebo Nitrokey. Transparentnost firmware, evropská jurisdikce u Nitrokey a možnost vlastního auditu jsou pro tento profil zásadnější než multi‑protokol univerzálnost.

Uživatel s minimálním rozpočtem

SoloKey 2 nebo levnější varianta YubiKey Security Key C NFC (asi 1 100 Kč). Oba zvládají základní FIDO2 a U2F a pokryjí 90 % reálných potřeb.

Praktické otázky kolem nasazení

Při zavádění klíče se objeví řada praktických otázek, které dokumentace často nepokrývá v dostatečné šíři.

Vždy si pořiďte dva klíče

První pravidlo bezpečnostních klíčů zní: jeden klíč není klíč. Pokud ztratíte jediný klíč, můžete se ocitnout zamknuti mimo vlastní účty. Druhý klíč uložte na bezpečném místě (sejf, doma, pracovna) a registrujte ho ke všem důležitým službám zároveň s primárním.

Backup kódy nestačí

Některé služby nabízejí backup kódy jako fallback k bezpečnostnímu klíči. To je řešení pro nouzové situace, ale není to plnohodnotná náhrada — backup kódy lze odcizit, vyfotit nebo náhodně zveřejnit. Druhý klíč je vždy lepší.

Mobilní telefony a NFC

Pokud chcete klíč používat s mobilem, vyberte model s NFC. Klíče bez NFC vyžadují USB‑C nebo Lightning konektor, který v praxi není pohodlný — vždycky musíte odpojit klíč fyzicky.

Co s klíčem na cestách

Klíč nosit u sebe, záložní nechat doma. V hotelu klíč neukládat — v případě ztráty totiž útočník bez znalosti vašich účtů s ním nic neudělá, ale můžete ztratit přístup. Některé klíče lze chránit PIN kódem, který musíte zadat před každým použitím — pro cestování to dává smysl.

Časté dotazy

Funguje hardwarový klíč s českou bankou? Závisí na bance. Česká spořitelna a Komerční banka v roce 2026 podporují FIDO2 pro firemní účty, retailové bankovnictví na klíče zatím masově nepřešlo. Pro NIA a státní portály funguje YubiKey i Nitrokey bezproblémově.

Co když ztratím oba klíče? Pokud máte u každé služby aktivované jen klíče, musíte projít obnovou účtu — typicky přes e‑mail nebo zákaznickou podporu. Doporučuji u kritických služeb (Google, banka) mít navíc backup kódy uložené v správci hesel.

Jaký je rozdíl mezi FIDO2 a U2F? U2F je starší standard pouze pro druhý faktor, FIDO2 ho rozšiřuje o tzv. passkeys, které mohou plně nahradit heslo. Všechny tři srovnávané klíče podporují oba standardy a moderní implementace volí FIDO2.

Lze klíč použít k podpisu PDF dokumentů? YubiKey ano přes PIV nebo OpenPGP, Nitrokey ano přes OpenPGP, SoloKey ne. Pro elektronický podpis dokumentů ve smyslu eIDAS se v ČR ale typicky používá kvalifikovaný certifikát od I.CA nebo PostSignum, klíč ho nenahradí.

Vydrží klíč fyzicky dlouho? Yubico udává životnost 10+ let, podobně SoloKeys i Nitrokey. V praxi USB konektor opotřebí pravděpodobně dřív než vnitřní elektronika. Pro denní použití doporučuji klíč mít na klíčence v silikonovém pouzdře.

Mohu sdílet klíč s rodinou? Lze, ale není to dobrá praxe. Klíč je vázán na účty, ke kterým ho registrujete. Pokud chcete sdílet, raději každému členovi pořídit vlastní klíč a registrovat ho ke sdíleným účtům paralelně.

Funguje klíč offline? Pro lokální autentizaci ano (Windows login přes PIV), pro webovou autentizaci potřebujete připojení k cílové službě, ale klíč samotný nepotřebuje internet.

Závěr

Pro většinu českých uživatelů v roce 2026 doporučuji jednoznačně začít s YubiKey 5 NFC nebo YubiKey 5C NFC podle konektoru vašich zařízení. Univerzálnost, kvalitní podpora a stabilita ekosystému z něj dělají nejméně riskantní volbu. Investice do dvou kusů kolem 4 000 Kč se vrátí v podobě klidnějšího spánku, jakmile si uvědomíte, kolik účtů máte zabezpečeno jen heslem.

Pokud máte specifické nároky na open‑source a auditovatelnost, podívejte se na Nitrokey 3 nebo SoloKey 2 — oba klíče jsou seriózní volba, jen vyžadují trochu víc trpělivosti při nasazení a vyrovnání se s užším funkčním záběrem. Bez ohledu na výrobce platí jedno univerzální pravidlo: dva klíče, ne jeden, a registrujte je u všech důležitých služeb současně. Tahle drobnost odlišuje funkční bezpečnostní řešení od potenciální noční můry s obnovou účtů.

Postup nasazení v prvním týdnu

Pokud klíče právě dorazí, doporučuji postupovat ve čtyřech krocích. První den projděte všechny své účty a vypište si ty, které podporují FIDO2/WebAuthn. Druhý den postupně každý účet přidejte oba klíče (primární i záložní) ve stejné chvíli. Třetí den deaktivujte SMS jako druhý faktor — necháte si autentizační aplikaci jako mezikrok, ale jakmile máte dva klíče zaregistrované, SMS je slabší a útočníky zbytečně zve. Čtvrtý den otestujte přihlášení záložním klíčem na všech kritických účtech, abyste si ověřili, že obnova funguje.

Tento postup zabere kumulativně tři až čtyři hodiny, ale eliminuje největší zranitelnost moderní digitální identity — phishing a SIM swap. Pro lidi, kteří aktivně podnikají, manageři s přístupy k firemním systémům nebo profesionály v citlivých oborech je tahle investice nepoměrně levnější než následky úspěšného útoku.

Co dělat při ztrátě klíče

Pokud klíč ztratíte, postupujte takto. Okamžitě se na všech důležitých účtech přihlaste záložním klíčem. Z účtu odeberte registraci ztraceného klíče. Pokud máte podezření, že ho někdo cíleně odcizil, projeďte si také logy přístupu, abyste viděli, jestli někdo neúspěšně zkoušel klíč použít. Klíč samotný je bezcenný bez znalosti vašich přihlašovacích jmen — to je část jeho síly — ale jakmile máte podezření, raději zrušte registraci a investujte do nového záložního klíče.

Čtěte také

Přečtěte si i ostatní články z blogu.