Direktvergleich der Specs
Alle drei Sticks sind FIDO-Alliance-zertifiziert und decken den Mainstream-Anwendungsfall „Passkey plus 2FA bei Google, Microsoft, Apple und Passwort-Manager” zuverlaessig ab. Die Unterschiede liegen im Funktionsumfang jenseits FIDO2, in der Firmware-Philosophie und im Preis.
| Spec | YubiKey 5C NFC | Nitrokey 3A NFC | Token2 T2F2-PIN |
|---|---|---|---|
| Anschluss | USB-C + NFC | USB-A + NFC | USB-A + NFC |
| FIDO2 / WebAuthn | Ja | Ja | Ja |
| U2F | Ja | Ja | Ja |
| OATH-TOTP | Ja (32 Slots) | Ja (HOTP/TOTP) | Nein |
| OpenPGP | Ja (RSA/ECC) | Ja (RSA/ECC) | Nein |
| PIV / Smartcard | Ja | Eingeschraenkt | Nein |
| Resident Credentials | 100 | ca. 50-60 | 50 |
| Firmware | Closed Source | Open Source (Rust) | Closed Source |
| Firmware-Updates | Nein | Ja | Ja (begrenzt) |
| Apple-Zertifizierung | Ja | Nein (laeuft trotzdem) | Nein (laeuft trotzdem) |
| Made in | USA / Schweden | Deutschland | Schweiz |
| Preis | ca. 75 Euro | ca. 60 Euro | ca. 20 Euro |
YubiKey 5C NFC — der Industrie-Standard
Yubico ist seit 2014 Marktfuehrer und Mitgruender der FIDO Alliance. Der 5C NFC ist der Mainstream-Tipp fuer Privatpersonen mit Mac/iPhone, Linux-Laptops oder gemischten Setups. Funktionsumfang ist riesig: FIDO2/WebAuthn, U2F, OATH-TOTP (Authenticator-Ersatz), OpenPGP fuer GnuPG-Mail, PIV fuer Smartcard-Logins, Yubico-OTP, Challenge-Response (HMAC-SHA1) fuer KeePassXC, statisches Passwort. Mit 100 resident credentials hat er den groessten Passkey-Speicher der drei.
Stabilitaet. Yubico zertifiziert mit Apple, Microsoft und Google offiziell — gibt es Probleme mit einem Dienst, ist Yubico zuerst kompatibel.
Closed Source. Firmware ist nicht auditierbar. Trotzdem fuer die meisten Privatpersonen unproblematisch — Yubico hat einen tadellosen Track Record.
+ Pro
- Riesiger Funktionsumfang: FIDO2, OATH, OpenPGP, PIV in einem Stick
- USB-C plus NFC -- Mac, iPhone, Android, Linux mit einem Stick
- 100 resident credentials (Passkeys) -- am meisten im Vergleich
- Apple-, Google- und Microsoft-zertifiziert
- Sehr robuste Bauform
− Contra
- × Mit ca. 75 Euro fast das Vierfache vom Token2 T2F2-PIN
- × Firmware closed-source und nicht updatebar
- × Bei Schwachstelle muss der Stick getauscht werden
Nitrokey 3A NFC — Open Source, Made in Germany
Nitrokey aus Berlin verfolgt die offene Gegen-Strategie: Quelloffene Firmware (Rust-basiertes „Trussed”-Framework), auditierbare Hardware-Designs, klare DSGVO-Verortung. Der 3A NFC laeuft auf einem ARM Cortex-M33 mit TrustZone und unterstuetzt FIDO2, U2F, OpenPGP und OATH-HOTP/TOTP. Er ist firmware-updatebar — ein erheblicher Vorteil bei langfristiger Nutzung, falls Schwachstellen oder neue Standards (z.B. CTAP2.2) eingespielt werden muessen.
Reife. Die FIDO2-Implementierung ist 2026 stabil. OpenPGP und PIV haben aber noch vereinzelt Eigenheiten — wer GnuPG-Mail-Pipeline ernsthaft nutzt, faehrt mit YubiKey ruhiger.
NFC. Funktioniert am iPhone, ist aber nicht offiziell Apple-zertifiziert. Im Test 2026 keine Probleme bei iCloud-Login.
+ Pro
- Quelloffene Firmware -- extern auditierbar
- Firmware-Updates moeglich -- zukunftssicher
- Made in Germany, DSGVO-konformer Hersteller
- FIDO2 plus OpenPGP plus OATH in einem Stick
− Contra
- × OpenPGP/PIV-Implementierung weniger ausgereift als YubiKey
- × USB-A statt USB-C (USB-C-Variante: Nitrokey 3C NFC)
- × Keine Apple-Zertifizierung
- × Mit ca. 60 Euro nur knapp unter YubiKey-Preis
Token2 T2F2-PIN — Schweizer Budget-Spezialist
Token2 ist seit 2020 der Geheimtipp fuer FIDO2 zum Einstiegspreis. Der T2F2-PIN bietet das Wesentliche: FIDO2/WebAuthn, U2F, NFC fuer iPhone, PIN-Schutz, 50 resident credentials, FIDO-Alliance-zertifiziert. Closed Source wie YubiKey, aber begrenzt firmware-updatebar. Verzichtet wird auf OpenPGP, OATH und PIV — kompromisslos auf das FIDO2-Mainstream-Use-Case fokussiert.
Backup-Held. Genau die richtige Klasse fuer den zweiten Stick im Tresor: Wenn der teure YubiKey verloren geht, springt der Token2 ein. Bei zwei Sticks pro Konto landest du bei 95 Euro statt 150 Euro.
+ Pro
- Sehr guenstig (ca. 18-22 Euro)
- FIDO-Alliance-zertifiziert -- sauberer FIDO2-Standard
- USB-A plus NFC -- iPhone-Tap funktioniert
- PIN-Schutz fuer Passkeys
− Contra
- × Nur 50 resident credentials (YubiKey: 100)
- × Kein OATH/OpenPGP/PIV
- × Closed Source
- × Apple-Zertifizierung fehlt
Welcher fuer wen?
- Mainstream-Privatperson mit Mac/iPhone, will einen Stick fuer alles → YubiKey 5C NFC plus Token2 T2F2-PIN als Backup
- Open-Source-Verfechter, „Made in Germany” wichtig → Nitrokey 3A NFC (plus Nitrokey 3 Mini als Backup)
- Linux-Power-User mit GnuPG-Mail und SSH-Login → YubiKey 5C NFC (PGP-Stabilitaet entscheidend)
- Reines Budget-Setup mit zwei Sticks unter 50 Euro → 2x Token2 T2F2-PIN
- Admin in Firmen-Setup mit PIV-Pflicht → YubiKey 5C NFC
FAQ
Häufige Fragen
01 Welcher der drei Sticks funktioniert am iPhone?
02 Kann ich Passkeys von Google auf alle drei speichern?
03 Welcher Stick ist langfristig am sichersten?
04 Lohnt sich der Aufpreis vom YubiKey gegenueber Token2?
Verwandte Themen
-
Hardware Security Key Vergleich 2026
Pillar-Vergleich: YubiKey, Nitrokey, Token2, OnlyKey, SoloKeys und Feitian — alle relevanten FIDO2-Sticks im Ueberblick.
-
Passkey fuer Google und Microsoft mit Hardware-Key
Schritt-fuer-Schritt: Passkeys mit YubiKey oder Nitrokey bei Google, Microsoft, Apple einrichten.
-
USB-C Security Key vs NFC fuers iPhone
USB-C-Tap am iPhone 15+ oder klassisch per NFC — was im Alltag besser funktioniert.