Yubikeys sind prinzipiell ziemlich sicher. Die Dinger kann niemand hacken, da sie nicht mehr einfach so ausgelesen werden können, außer man bricht sie auf, lötet sich den Datenträger heraus und schafft es diesen irgendwie auszulesen. Die Codes werden IM Yubikey generiert. Theoretisch kann ein Trojaner mitlesen was du beim Einloggen im Browser eingibst, aber das wird ihm kaum etwas bringen, da diese Codes TOTP sind, sprich Time-based onetime Passwords. Die sind nach Gebrauch und Ablauf der 20(?) Sekunden ungültig für die Session und es wird ein neues TOTP benötigt.

Will jemand genau DICH hacken und deine Loggins haben, muss er dir schon den Yubikey physisch klauen und selbst benutzen. Da sind wir dann schon bei dem Punkt der hier schon angesprochen wurde: Für Gelegenheitshacker, bist du mit einem Yubikeys absolut unattraktiv. Hat es jemand auf sich abgesehen findet er einen Weg z.B. deinen Key stehlen (in diesem Fall gäbe es theoretisch Yubikeys mit Fingerabdruckscanner, dann bräuchte er zusätzlich auch noch deinen Finger :D die haben aber weniger Features eingebaut so weit ich weiß)

Falls du dich genauer über Yubikeys und 2FA informieren willst, empfehle ich das YouTube Video von Morpheus Tutorials zu Yubikeys!

Ich benutze selbst zwei Yubikeys für meine Logins (einer als Backup. Unbedingt einen Backupkey kaufen, für den Fall dass du einen verlierst! Sonst kommst du nirgends mehr hinein. Direkt beim Einrichten jeder 2FA BEIDE Keys registrieren. Im Idealfall packst du den Backupkey in einen Safe. Um ganz sicher zu gehen :D).