Konfigurera och använd YubiKey Secure Login för lokalt konto i Windows 10

Användare kan använda hårdvarusäkerhetsnycklar, tillverkade av svenska företaget Yubico för att logga in på ett lokalt konto på Windows 10 . Företaget släppte nyligen den första stabila versionen av Yubico Login for Windows-applikationen(Login for Windows application) . I det här inlägget kommer vi att visa dig hur du installerar och konfigurerar YubiKey för användning på Windows 10-datorer.

YubiKey är en maskinvaruautentiseringsenhet som stöder engångslösenord, kryptering och autentisering med offentlig nyckel samt protokollen Universal 2nd Factor (U2F) och FIDO2 utvecklade av FIDO Alliance . Det tillåter användare att säkert logga in på sina konton genom att sända engångslösenord eller använda ett FIDO-baserat offentligt/privat nyckelpar som genereras av enheten. YubiKey tillåter också att lagra statiska lösenord för användning på webbplatser som inte stöder engångslösenord. Facebook använder YubiKey för anställdas autentiseringsuppgifter, och Google stöder det för både anställda och användare. Vissa lösenordshanterare stöder YubiKey .Yubico tillverkar också säkerhetsnyckeln(Security Key) , en enhet som liknar YubiKey , men fokuserad på autentisering med offentlig nyckel.

YubiKey låter användare signera, kryptera och dekryptera meddelanden utan att exponera de privata nycklarna för omvärlden. Den här funktionen var tidigare endast tillgänglig för Mac- och Linux- användare.

To configure/set up YubiKey on Windows 10, you’ll need the following:

  1. En YubiKey USB-hårdvara.
  2. Yubico Login programvara för Windows.
  3. YubiKey Manager programvara.

Alla är tillgängliga på yubico.com under deras produktflik(Product) . Du bör också notera att YubiKey- appen inte stöder lokala Windows - konton som hanteras av Azure Active Directory ( AAD ) eller Active Directory (AD) samt Microsoft-konton .

YubiKey hårdvaruautentiseringsenhet

Innan du installerar Yubico Login för Windows -programvaran, anteckna ditt Windows -användarnamn och lösenord för det lokala kontot. Personen som installerar programvaran måste ha Windows användarnamn och lösenord för sitt konto. Utan dessa kan ingenting konfigureras och kontot är otillgängligt. Standardbeteendet för Windows -legitimationsleverantören är att komma ihåg din senaste inloggning, så att du inte behöver skriva in användarnamnet.

Av denna anledning kanske många inte kommer ihåg användarnamnet. Men när du väl har installerat verktyget och startat om, laddas den nya Yubico- referensleverantören, så att både administratörer och slutanvändare faktiskt måste skriva in användarnamnet. Av dessa skäl bör inte bara administratören utan även alla vars konto ska konfigureras via Yubico Login för Windows kontrollera att de kan logga in med Windows användarnamn och lösenord för sitt lokala konto INNAN administratören installerar verktyget och konfigurerar slutet -användarnas konton.

Det är också viktigt att notera att när Yubico Login för Windows har konfigurerats finns det:

  • Inget Windows-lösenordstips
  • Inget sätt att återställa lösenord
  • Ingen Remember Previous User/Login .

Dessutom är Windows automatisk inloggning inte kompatibel med Yubico Login för Windows . Om en användare vars konto konfigurerats för automatisk inloggning inte längre kommer ihåg sitt ursprungliga lösenord när Yubico Login for Windows - konfigurationen träder i kraft, kan kontot inte längre nås. Åtgärda(Address) problemet förebyggande genom att:

  • Att låta användare ställa in nya lösenord innan de inaktiverar automatisk inloggning.
  • Låt alla användare verifiera att de kan komma åt sina konton med användarnamn och sitt nya lösenord innan du använder Yubico Login för Windows för att konfigurera sina konton.

Administratörsbehörigheter krävs för att installera programvaran.

YubiKey-installation

Verifiera först ditt användarnamn. När du har installerat Yubico Login för Windows och startat om, måste du ange detta förutom ditt lösenord för att logga in. För att göra detta, öppna Kommandotolken(Command Prompt) eller PowerShell från Start -menyn och kör kommandot nedan

whoami

Notera(Take) hela utdata, som bör vara i formen DESKTOP-1JJQRDF\jdoe , där  jdoe  är användarnamnet.

  1. Ladda(Download) ner programvaran Yubico Login för Windows härifrån(here) .
  2. Kör installationsprogrammet genom att dubbelklicka på nedladdningen.
  3. Acceptera slutanvändarlicensavtalet.
  4. Ange destinationsmappen i installationsguiden eller acceptera standardplatsen.
  5. Starta om maskinen som programvaran har installerats på. Efter omstarten presenterar Yubico-(Yubico) legitimationsleverantören inloggningsskärmen som ber om YubiKey .

Eftersom YubiKey ännu inte har tillhandahållits måste du byta användare och ange inte bara lösenordet för ditt lokala Windows -konto, utan även ditt användarnamn för det kontot. Om det behövs kan du behöva ändra Microsoft-konto till Lokalt konto .

Efter att du har loggat in, sök efter "Login Configuration" med den gröna ikonen. (Artikeln som faktiskt är märkt Yubico Login för Windows är bara installationsprogrammet, inte applikationen.)

YubiKey-konfiguration

Administratörsbehörigheter(Administrator) krävs för att konfigurera programvaran.
Endast konton som stöds kan konfigureras för Yubico Login för Windows . Om du startar konfigurationsguiden och kontot du letar efter inte visas, stöds det inte och därför inte tillgängligt för konfiguration.

Under konfigurationsprocessen kommer följande att krävas;

  • Primär- och säkerhetsnycklar(Primary and Backup Keys) : Använd en annan YubiKey för varje registrering. Om du konfigurerar reservnycklar bör varje användare ha en YubiKey för den primära och en andra för reservnyckeln.
  • Återställningskod(Recovery Code) : En återställningskod är en sista utvägsmekanism för att autentisera en användare om alla YubiKeys har förlorats. Återställningskoder(Recovery) kan tilldelas de användare du anger; återställningskoden är dock endast användbar om användarnamnet och lösenordet för kontot också är tillgängliga. Alternativet att generera en återställningskod visas under konfigurationsprocessen.

Steg 1: I Windows Start - meny väljer du Yubico(Yubico) > Inloggningskonfiguration(Login Configuration) .

Steg 2: Dialogrutan Användarkontokontroll(User Account Control) visas. Om du kör detta från ett konto som inte är administratör, kommer du att bli ombedd att ange lokala administratörsuppgifter. Välkomstsidan introducerar Yubico Login Configuration provisioning wizard:

YubiKey hårdvaruautentiseringsenhet

Steg 3: Klicka på Nästa(Next) . Standardsidan för Yubico (Default)Windows Login Configuration(Yubico Windows Login Configuration) visas.

Steg 4: De konfigurerbara objekten är:

Slots : Välj den plats där utmaningssvarshemligheten kommer att lagras. Alla YubiKeys som inte har anpassats kommer förinstallerade med en referens i plats 1, så om du använder Yubico Login för Windows för att konfigurera YubiKeys som redan används för att logga in på andra konton, skriv inte över plats 1.

Challenge/Response Secret : Detta objekt låter dig specificera hur hemligheten ska konfigureras och var den ska lagras. Alternativen är:

  • Använd befintlig hemlighet om konfigurerad – generera om inte konfigurerad(Use existing secret if configured – generate if not configured) : Nyckelns befintliga hemlighet kommer att användas i den angivna luckan. Om enheten inte har någon befintlig hemlighet genererar provisioneringsprocessen en ny hemlighet.
  • Generera ny, slumpmässig hemlighet, även om en hemlighet för närvarande är konfigurerad(Generate new, random secret, even if a secret is currently configured) : En ny hemlighet kommer att genereras och programmeras till luckan, och skriver över alla tidigare konfigurerade hemligheter.
  • Manuell inmatning av hemlighet(Manually input secret)För avancerade användare(For advanced users) : Under provisioneringsprocessen kommer programmet att uppmana dig att manuellt mata in en HMAC-SHA1-hemlighet (20 byte – 40 tecken hex-kodad).

Generera återställningskod(Generate Recovery Code) : En ny återställningskod kommer att genereras för varje administrerad användare. Denna återställningskod gör det möjligt för slutanvändaren att logga in på systemet om de har tappat bort sin YubiKey.
Obs: Om du väljer att spara en återställningskod medan du tillhandahåller en användare för en andra nyckel, blir alla tidigare återställningskoder ogiltiga och endast den nya återställningskoden kommer att fungera.

Skapa säkerhetskopieringsenhet för varje(Create Backup Device for Each User) användare: Använd det här alternativet för att få provisioneringsprocessen att registrera två nycklar för varje användare, en primär YubiKey och en backup YubiKey . Om du inte vill tillhandahålla återställningskoder till dina användare är det bra att ge varje användare en backup YubiKey . För mer information, se avsnittet Primära(Primary) och säkerhetskopieringsnycklar(Backup Keys)  ovan.

Steg 5: Klicka på Nästa(Next) för att välja den eller de användare som ska tillhandahållas. Sidan Välj(Select User Accounts) användarkonton (Om det inte finns några lokala användarkonton som stöds av Yubico Login för Windows kommer listan att vara tom) visas.

Steg 6: Välj de användarkonton som ska tillhandahållas under den aktuella körningen av Yubico Login för Windows genom att markera kryssrutan bredvid användarnamnet och klicka sedan på Nästa(Next) . Sidan Konfigurera(Configuring User) användare visas.

Steg 7: Användarnamnet som visas i fältet Konfigurera(Configuring User) användare som visas ovan är användaren för vilken en YubiKey för närvarande konfigureras. När varje användarnamn visas, uppmanar processen dig att infoga en YubiKey för att registrera dig för den användaren.

Steg 8: Vänta på enhetssidan(Wait for Device) visas medan en införd YubiKey upptäcks och innan den registreras för användaren vars användarnamn finns i fältet Konfigurera(Configuring User) användare högst upp på sidan. Om du har valt Skapa säkerhetskopieringsenhet för varje(Create Backup Device for Each User) användare på sidan Default , kommer fältet (Defaults)Konfigurera(Configuring User) användare också att visa vilken av YubiKeys som registreras, primär(Primary) eller säkerhetskopiering(Backup) .

Steg 9: Om du har konfigurerat provisioneringsprocessen för att använda en manuellt angiven hemlighet, visas fältet för de 40 sexsiffriga hemligheterna. Ange hemligheten och klicka på Nästa(Next) .

Steg 10: Sidan Programmeringsenhet(Programming Device) visar förloppet för programmeringen av varje YubiKey . Enhetsbekräftelsesidan(Device Confirmation) som visas nedan visar detaljerna för YubiKey som(YubiKey) upptäckts av provisioneringsprocessen, inklusive enhetens serienummer (om tillgängligt) och konfigurationsstatus för varje engångslösenord(One-Time Password) ( OTP )-plats. Om det finns konflikter mellan vad du har angett som standard och vad som är möjligt med den upptäckta YubiKey , visas en varningssymbol. Om allt är bra att gå, kommer en bock att visas. Om statusraden visar en felikon beskrivs felet och instruktioner för att åtgärda det visas på skärmen.

Steg 11: När programmeringen är klar för ett användarkonto kan det kontot inte längre nås utan motsvarande YubiKey . Du uppmanas att ta bort den just konfigurerade YubiKey och provisioneringsprocessen fortsätter automatiskt till nästa användarkonto/ YubiKey- kombination.

Steg 12: När allt kommer omkring har YubiKeys för det angivna användarkontot tillhandahållits:

  • Om Generate Recovery Code  har valts på sidan Defaults , visas sidan för Recovery Code .
  • Om  Generate Recovery Code  inte valdes, skulle provisioneringsprocessen automatiskt fortsätta till nästa användarkonto.
  • Provisioneringsprocessen flyttas till  Finished  efter att det sista användarkontot är klart.

Återställningskoden är en lång sträng. (För att eliminera problem som orsakas av att slutanvändaren missar siffran 1 för liten bokstav L och 0 för bokstaven O, är återställningskoden kodad i Base32 , som behandlar alfanumeriska tecken som ser likadana ut som om de vore samma.)

Sidan för återställningskod(Recovery Code) visas efter att alla YubiKeys för det angivna användarkontot har konfigurerats.

Steg 13: På sidan för återställningskod(Recovery Code) , generera och ställ in en återställningskod för den valda användaren. När detta har gjorts blir knapparna Kopiera(Copy)  och  Spara(Save) till höger om fältet för återställningskod tillgängliga.

Steg 14: Kopiera återställningskoden och spara den från att delas med användaren och behåll den ifall användaren tappar bort den.

Obs(Note) : Se till att spara återställningskoden vid denna tidpunkt i processen. När du väl har gått vidare till nästa skärm går det inte att hämta koden.

Steg 15: För att flytta till nästa användarkonto från sidan Välj användare(Select Users) , klicka på Nästa(Next) . När du har konfigurerat den senaste användaren visar provisioneringsprocessen sidan Klar(Finished) .

Steg 16: Ge varje användare sin återställningskod. Slutanvändare bör spara sin återställningskod på en säker plats som är tillgänglig när de inte kan logga in.

YubiKey användarupplevelse

När det lokala användarkontot har konfigurerats för att kräva en YubiKey , autentiseras användaren av Yubico Credential Provider istället för standard Windows Credential Provider . Användaren uppmanas att sätta in sin YubiKey . Sedan visas Yubico-inloggningsskärmen(Yubico Login) . Användaren anger sitt användarnamn och lösenord.

Obs(Note) : Det är inte nödvändigt att trycka på knappen på YubiKey USB- hårdvaran för att logga in. I vissa fall kan inloggningen misslyckas om du trycker på knappen.

När slutanvändaren loggar in måste de sätta in rätt YubiKey i en USB- port på sitt system. Om slutanvändaren anger sitt användarnamn och lösenord utan att sätta in rätt YubiKey kommer autentiseringen att misslyckas och användaren kommer att presenteras med ett felmeddelande.

Om en slutanvändares konto är konfigurerat för Yubico Login för Windows , och om en återställningskod genererades och en användare förlorar sin YubiKey(s), kan de använda sin återställningskod för att autentisera. Slutanvändaren låser upp sin dator med sitt användarnamn, återställningskod och lösenord.

Tills en ny YubiKey har konfigurerats måste slutanvändaren ange återställningskoden varje gång de loggar in.

Om Yubico Login för Windows inte upptäcker att en YubiKey har infogats, beror det troligen på att nyckeln inte har OTP -läge aktiverat, eller så sätter du inte in en YubiKey utan istället en säkerhetsnyckel(Security Key) , som inte är kompatibel med denna applikation. Använd YubiKey Manager-  applikationen för att säkerställa att alla YubiKeys som ska tillhandahållas har OTP -gränssnittet aktiverat.

Viktigt(Important) : Alternativa inloggningsmetoder som stöds av Windows kommer inte att påverkas. Du måste därför begränsa ytterligare lokala och fjärrinloggningsmetoder för de användarkonton du skyddar med Yubico Login for Windows för att säkerställa att du inte har lämnat några "bakdörrar" öppna.

Om du provar YubiKey, låt oss veta din upplevelse i kommentarsfältet nedan.(If you try out YubiKey, let us know your experience in the comments section below.)



About the author

Jag är en mjukvaruingenjör med över 10 års erfarenhet av att bygga och underhålla Apple Mac-datorer, iOS-enheter och webbläsare Google Chrome. Min erfarenhet inkluderar utveckling, underhåll och drift av mjukvaruprodukter från grunden eller att bidra till projekt med öppen källkod. Jag har också haft möjlighet att arbeta med en mängd olika hårdvaruprojekt – från att fixa trasiga skärmar på sjukhus till att designa och implementera nya funktioner för iPhone. På min fritid tycker jag om att spela favoritspel, läsa böcker, laga middag med min familj eller umgås med vänner.



Related posts