È difficile confrontare i due, ma direi che sono approssimativamente simili quando si tratta di profili di rischio.
Un'app in esecuzione sul tuo telefono è generalmente più isolata dalle altre app rispetto alle applicazioni che utilizzano ambienti desktop standard. Un'app per smartphone rogue che non ha accesso a livello di root non sarebbe in grado di accedere ai dati di altre applicazioni né vedere cosa viene visualizzato sullo schermo. Questo non è vero per molti ambienti desktop in cui c'è molto meno isolamento tra i processi che usano il monitor (specialmente su Linux che usa X, il che è orribile in questo senso). Tuttavia, una vulnerabilità dello smartphone sufficientemente negativa consentirebbe agli aggressori di accedere alla chiave pre-condivisa utilizzata per generare codici monouso, quindi le vulnerabilità di sicurezza del telefono sono molto peggiori ai fini della salvaguardia dei codici di autenticazione a più fattori. Se qualcuno ruba la chiave precondivisa utilizzata per generare codici OTP, il tuo account è completamente compromesso.
D'altra parte, l'applicazione desktop Yubikey non espone il tuo vero segreto pre-condiviso al computer desktop, poiché i codici vengono generati direttamente su Yubikey. Quindi, anche se un utente malintenzionato accede al tuo computer, tutto ciò che sarebbe in grado di ottenere è l'attuale codice OTP -
che è male, ma non male come una vulnerabilità di una scala simile sullo smartphone.
Sta a te valutare i lati positivi e negativi, ma nella mia mente i rischi sono più o meno simili - quindi, usando l'app Yubikey Desktop supportata dall'hardware, Yubikeys è un'alternativa accettabile a Google Authenticator.