A security key (akár gyári, akár barkács) alapvetően azért biztonságosabb, mint az OTP (akár app/SMS/email/kijelzős kütyü alapú), mert a phishing lehetőséget kiiktatja: ha OTP-t kell megadnod, és azt beírod a g00gle.com-ra, akkor a támadó azt fel tudja használni, hogy saját magánál azzal a google.com-ra lépjen be, de a security key által készített aláírás nem lesz érvényes, azt nem lehet továbbítani (mert tartalmazza a domaint is).
A YubiKey és a hasonló gyári megoldások az ilyen barkácsmegoldásoknál még annyival adnak többet, hogy nem tudod kinyerni és lemásolni belőle a privát kulcsot észrevétlenül, hamarabb válik használhatatlanná az eszköz, minthogy a memóriachiphez hozzáférnél - ennél az Arduino-s kütyünél ha megszerzed pár órára, valószínűleg ki tudod olvasni belőle a privát kulcsot anélkül, hogy a tulajdonosa ezt utólag észrevenné.
Egyébként Google bejelentkezéshez lehet a modernebb telefonokat bluetoothon át security keynek használni, ekkor nem kell külön eszközt venned, és megkapod a security key szintű phishing elleni védelmet is: https://support.google.com/accounts/answer/9289445 (arról nem tudok, hogy ezt más szolgáltató támogatná).