这两个站点的所有者可能能够使用浏览器指纹识别等方法或在用户从一个站点浏览到另一个站点时跟踪用户的其他方法，从一个站点跟踪您到另一个站点；但他们将无法通过您的 Yubikey 从一个站点到另一个站点跟踪您。Yubikey 依赖 FIDO2，FIDO2 的开发者考虑了这个问题。请参阅https://fidoalliance.org/fido2/，然后向下滚动到它的位置：

隐私

由于 FIDO 加密密钥对于每个 Internet 站点都是唯一的，因此它们不能用于跨站点跟踪用户。此外，生物特征数据在使用时永远不会离开用户的设备。

是的，如果他们足够“邪恶”的话。

即使您没有像@mti2935 提到的那样使用 U2F 密钥，也有很多方法可以跨网站跟踪您，但如果他们对关联您的硬件设备上的不同密钥特别感兴趣（甚至是关联不同的硬件设备，如果您将它们全部同时插入，并且它们不需要对每次访问进行单独的额外身份验证），则它们可以使用技术将它们关联起来（例如，在站点 A 上，iframe使用随机令牌打开一个小的/不可见的部分具有相同令牌的站点 B - 您的浏览器将在站点 A 上使用密钥 A 进行身份验证，并在站点 B 上使用密钥 B 进行身份验证，因此密钥 A 和密钥 B 都访问包含相同令牌的 URL，因此属于同一访问者）

好问题。

安全硬件（和软件）的共同特点是它生成的密钥在可能的密钥空间中有一些非均匀分布。这通常是可以接受的，只要键没有太多可预测性。

在某些情况下，可以将密钥识别为由特定软件或设备生成。这仍然是可以接受的，只要整个键空间没有减少太多。

在某些极端情况下，密钥生成算法有一些严重的错误，由于使用的熵不足，它会生成重复的密钥（参见例如此处或此处）。

当然，最后一种情况很糟糕。

生成可识别为由同一实例生成的密钥的算法应被视为严重损坏。归结为密钥依赖于随机生成器的一些初始种子，并且在密钥生成之间添加了一点熵。

Yubikeys 尤其享有盛誉。一方面，他们的软件部分封闭，另一方面，他们非常受欢迎，很多人都在搜索他们的漏洞。

我会特别关注这一点，这意味着供应商对一个强大的国家资助的黑客组织特别感兴趣。这可能意味着它们对国家支持的黑客攻击“足够好”，或者它们已经受到损害。

你的旅费可能会改变。