Yubico per aziende: quante YubiKey servono e come gestirle
Proteggere un team di lavoro non è la stessa cosa che proteggere un account personale. Quando ci sono 10, 50 o 200 persone con accesso a sistemi critici, la domanda non è se usare una YubiKey, ma come organizzarla senza che diventi un problema operativo.
Questa guida è per i responsabili IT, i direttori operativi e chiunque debba prendere questa decisione: quante chiavi ordinare, come distribuirle e quali strumenti esistono per gestirle.
Di quante YubiKey ha bisogno la tua azienda?
La regola di base: una chiave per dipendente, più una di backup per ogni profilo critico. Ma il numero reale dipende da chi ha accesso a cosa.
Non tutti i ruoli hanno lo stesso livello di esposizione. Un dipendente con accesso solo alla posta elettronica aziendale non ha bisogno dello stesso livello di protezione di qualcuno con accesso a server di produzione o dati finanziari.
| Profilo | Chiavi raccomandate | Perché |
|---|---|---|
| Dipendente standard (email, app SaaS) | 1 chiave | Accesso limitato, rischio medio |
| Manager con accesso a dati sensibili | 2 chiavi | Senza backup, un incidente blocca l'accesso |
| IT / sysadmin / DevOps | Minimo 2 chiavi | Accesso a sistemi e server critici |
| C-level / direzione | 2 chiavi + 1 in custodia | Obiettivo prioritario in attacchi mirati |
| Remoto / collaboratore esterno | 1-2 chiavi a seconda dell'accesso | Connessione fuori dal perimetro aziendale |
Yubico raccomanda di registrare sempre almeno due chiavi per utente. Se qualcuno perde la sua e non c'è un backup registrato, recuperare l'accesso può richiedere ore — o giorni. In ambienti critici, questo ha un costo reale.
Riferimento rapido per dimensione del team
Per orientarti prima di fare l'ordine:
| Dimensione del team | Chiavi minime | Chiavi raccomandate | Note |
|---|---|---|---|
| 1–10 persone | 10 | 15–20 | Includere backup per i profili critici |
| 11–50 persone | 50 | 65–80 | Backup almeno per IT e direzione |
| 51–200 persone | 200 | 250–280 | Considerare un'implementazione per fasi |
| 200+ persone | Variabile | Contattare Yubico direttamente | Programma Yubico for Enterprise con prezzi scaglionati |
Quale modello di YubiKey scegliere per un'azienda
Il modello dipende dalle porte disponibili sui computer del team. In ambienti misti — portatili nuovi con USB-C e computer desktop con USB-A — la scelta più comune è optare per un modello e integrarlo con adattatori, o distribuire due modelli diversi.
YubiKey 5 NFC (USB-A)
Il modello più diffuso in ambienti aziendali. Compatibile con la maggior parte dei computer desktop e portatili con porta USB-A. L'NFC permette di usarla anche da cellulare senza adattatori.
YubiKey 5C NFC (USB-C)
Per computer moderni con USB-C. MacBook, portatili Dell o Lenovo di ultime generazioni. Se la maggior parte del parco macchine è USB-C, questo è il modello giusto.
YubiKey 5 Nano / 5C Nano
Per persone che lavorano sempre sullo stesso computer e preferiscono lasciare la chiave inserita permanentemente. Rimane quasi a filo della porta, senza sporgere.
Se hai computer sia USB-A che USB-C nella stessa organizzazione, l'opzione più pratica è solitamente standardizzare sulla YubiKey 5 NFC (USB-A) e distribuire adattatori USB-C dove necessario. Riduce il numero di codici prodotto da gestire.
Come gestire le YubiKey in un'organizzazione
L'errore più grande nelle implementazioni aziendali non è scegliere il modello sbagliato, ma non avere un sistema per sapere chi ha quale chiave, quali accessi ha registrato e cosa fare quando qualcuno se ne va.
Yubico Enterprise Subscription
Yubico offre un programma di abbonamento per aziende che include la sostituzione delle chiavi senza costi aggiuntivi, supporto prioritario e accesso a YubiEnterprise Delivery — un sistema per distribuire le chiavi direttamente ai dipendenti remoti senza passare dal dipartimento IT.
YubiKey Manager
Lo strumento ufficiale di Yubico per configurare le chiavi individualmente. Permette di gestire gli slot della chiave, vedere quali applicazioni ha configurato e resettare una chiave prima di riassegnarla. Gratuito, disponibile per Windows, macOS e Linux.
Yubico SCIM Tool
Per le organizzazioni che utilizzano provider di identità come Okta, Azure AD o Google Workspace. Permette di fornire e revocare automaticamente le chiavi quando un dipendente entra o esce dall'azienda.
Registrazione nell'IdP
Qualunque sia lo strumento, il flusso di gestione passa sempre attraverso il provider di identità. La YubiKey non ha valore se non è registrata nel sistema che controlla gli accessi. Il processo standard è: assegnare la chiave → il dipendente la registra nell'IdP → l'IT verifica la registrazione → l'accesso viene attivato.
Il protocollo di offboarding deve includere esplicitamente la YubiKey. Prima si disattiva l'accesso nell'IdP. Poi si raccoglie la chiave fisica. Se non si può recuperare — dipendente remoto, smarrimento — si revoca la registrazione e si resetta la chiave se verrà riutilizzata.
Proteggere le chiavi fisicamente
Una YubiKey senza custodia finisce graffiata in fondo a uno zaino o a sbattere contro le chiavi della macchina nel portachiavi. In un'implementazione aziendale, dove le chiavi passano per molte mani e situazioni diverse, la protezione fisica non è un dettaglio minore.
Holdtag produce accessori specifici per YubiKey — custodie, vassoi formato carta di credito e portafogli con blocco RFID — progettati per l'uso quotidiano in ambienti professionali. Fabbricati in Spagna, in PLA+ ad alta resistenza.
Vassoio YubiKey 2 slot
Formato carta di credito. Due slot — chiave principale e backup nella stessa carta. Entra in qualsiasi portafoglio. Ideale per profili che portano due chiavi.
Custodia YubiKey PLA+
Protezione per uso quotidiano con portachiavi integrato. Protegge da urti e graffi. Per chi porta sempre la chiave con sé.
Per ordini aziendali di volume, condizioni speciali o personalizzazione, consulta la pagina delle soluzioni per aziende.
Domande Frequenti
Si può usare una sola YubiKey per più servizi?
Sì. Una YubiKey può essere registrata su più servizi contemporaneamente — Google Workspace, Microsoft 365, GitHub, Okta e altri. Non c'è un limite pratico di registrazioni. Ogni servizio salva la propria registrazione della chiave.
Cosa succede se un dipendente perde la sua YubiKey?
Se c'è una chiave di backup registrata, il dipendente può usarla per accedere mentre si gestisce la sostituzione. Se non c'è backup, l'IT deve recuperare l'accesso con un altro metodo — il che può richiedere tempo. Per questo il backup è essenziale per i profili critici.
Si può riutilizzare una YubiKey di un dipendente che ha lasciato l'azienda?
Sì, ma con il protocollo corretto. Prima bisogna revocare tutte le registrazioni nell'IdP. Poi si può resettare la chiave con YubiKey Manager e riassegnarla a un altro dipendente. Se non si segue questo ordine, esiste il rischio che la chiave precedente rimanga attiva su qualche servizio.
YubiKey funziona con Google Workspace e Microsoft 365?
Sì, entrambe le piattaforme sono compatibili con YubiKey come metodo di autenticazione FIDO2. Google Workspace lo supporta nativamente. Anche Microsoft 365, tramite Azure Active Directory. La configurazione richiede l'abilitazione dal pannello di amministrazione.
Ci sono sconti per volumi per le aziende?
Yubico offre il programma YubiEnterprise Subscription per ordini aziendali, con prezzi scaglionati e servizio di sostituzione incluso. Per accessori Holdtag in volume, puoi consultare le condizioni sulla pagina delle soluzioni per aziende.
La YubiKey funziona in azienda — se c'è un sistema dietro
La chiave fisica è la parte facile. Ciò che fa funzionare o fallire un'implementazione è il processo: chi ha quale chiave, quali accessi ha registrato e cosa succede quando qualcuno se ne va. Senza questo sistema, ti ritrovi con chiavi perse, accessi non revocati e un dipartimento IT che gestisce eccezioni.
Inizia dai profili a maggior rischio — IT, direzione, accessi a sistemi critici. Definisci il protocollo di onboarding e offboarding prima di acquistare le prime chiavi. E assicurati che ogni profilo critico abbia il suo backup registrato fin dal primo giorno.
