Hướng dẫn sử dụng YubiKey – Đăng nhập an toàn Windows 10


Người dùng có thể sử dụng các khóa bảo mật phần cứng, do công ty Yubico của Thụy Điển sản xuất để đăng nhập vào tài khoản Local trên Windows 10. Công ty gần đây đã phát hành phiên bản ổn định đầu tiên của ứng dụng Yubico Đăng nhập cho Windows. Trong bài đăng này, chúng tôi sẽ chỉ cho bạn cách cài đặt và định cấu hình YubiKey để sử dụng trên PC Windows 10.

YubiKey là một thiết bị xác thực phần cứng hỗ trợ mật khẩu một lần, mã hóa và xác thực khóa chung và các giao thức Nhân tố thứ 2 (U2F) và FIDO2 do Liên minh FIDO phát triển. Nó cho phép người dùng đăng nhập an toàn vào tài khoản của họ bằng cách phát mật khẩu một lần hoặc sử dụng cặp khóa công khai / riêng dựa trên FIDO do thiết bị tạo ra. YubiKey cũng cho phép lưu trữ mật khẩu tĩnh để sử dụng tại các trang web không hỗ trợ mật khẩu một lần. Facebook sử dụng YubiKey cho thông tin đăng nhập của nhân viên và Google hỗ trợ nó cho cả nhân viên và người dùng. Một số trình quản lý mật khẩu hỗ trợ YubiKey. Yubico cũng sản xuất Khóa bảo mật, một thiết bị tương tự như YubiKey, nhưng tập trung vào xác thực khóa công khai.

YubiKey cho phép người dùng ký, mã hóa và giải mã tin nhắn mà không để lộ các khóa riêng tư ra thế giới bên ngoài. Tính năng này trước đây chỉ có sẵn cho người dùng Mac & Linux.

Để định cấu hình / thiết lập YubiKey trên Windows 10, bạn sẽ cần những điều sau:

  • USB YubiKey.
  • Phần mềm đăng nhập Yubico cho Windows.
  • Phần mềm quản lý YubiKey.

Tất cả đều có sẵn trên yubico.com trong tab Products của họ. Ngoài ra, bạn cần lưu ý rằng ứng dụng YubiKey không hỗ trợ các tài khoản Windows cục bộ được quản lý bởi Azure Active Directory (AAD) hoặc Active Directory (AD) cũng như Tài khoản Microsoft.

Thiết bị xác thực phần cứng YubiKey

Trước khi cài đặt phần mềm Đăng nhập Yubico cho Windows, hãy ghi lại tên người dùng và mật khẩu Windows của bạn cho tài khoản cục bộ. Người cài đặt phần mềm phải có tên người dùng và mật khẩu Windows cho tài khoản của họ. Không có những thứ này, không có gì đểc cấu hình và tài khoản không thể truy cập được. Hành vi mặc định của nhà cung cấp thông tin Windows là ghi nhớ lần đăng nhập cuối cùng của bạn, vì vậy bạn không phải nhập tên người dùng.

Vì lý do này, nhiều người có thể không nhớ tên người dùng. Tuy nhiên, khi bạn cài đặt công cụ và khởi động lại, nhà cung cấp thông tin đăng nhập Yubico mới sẽ được tải, để cả quản trị viên và người dùng cuối thực sự phải nhập tên người dùng. Vì những lý do này, không chỉ quản trị viên mà tất cả mọi người có tài khoản được cấu hình qua Yubico Đăng nhập cho Windows nên kiểm tra để đảm bảo rằng họ có thể đăng nhập bằng tên người dùng và mật khẩu Windows cho tài khoản cục bộ của mình TRƯỚC KHI quản trị viên cài đặt công cụ và kết thúc cấu hình tài khoản của người dùng.

Nó cũng bắt buộc phải lưu ý rằng, một khi Yubico Login cho Windows đã được cấu hình,:

  • Không có gợi ý mật khẩu Windows
  • Không có cách nào để thiết lập lại mật khẩu
  • Không nhớ chức năng đăng nhập / người dùng trước

Ngoài ra, đăng nhập tự động của Windows không tương thích với Yubico Login cho Windows. Nếu người dùng có tài khoản được thiết lập để đăng nhập tự động không còn nhớ mật khẩu ban đầu của họ khi cấu hình Yubico Login cho Windows có hiệu lực, tài khoản không thể truy cập được. Giải quyết vấn đề này bằng cách:

  • Người dùng thiết lập mật khẩu mới trước khi vô hiệu hóa đăng nhập tự động.
  • Yêu cầu tất cả người dùng xác minh rằng họ có thể truy cập tài khoản của họ bằng tên người dùng và mật khẩu mới của họ trước khi bạn sử dụng Yubico Login cho Windows để định cấu hình tài khoản của họ.

Quyền quản trị viên được yêu cầu để cài đặt phần mềm.

Cài đặt YubiKey

Đầu tiên, xác minh tên người dùng của bạn. Khi bạn đã cài đặt Yubico Login cho Windows và khởi động lại, bạn sẽ cần nhập mã này ngoài mật khẩu để đăng nhập. Để thực hiện việc này, hãy mở Command Prompt hoặc PowerShell từ menu Start và chạy lệnh bên dưới

whoami

Lưu ý đến đầu ra đầy đủ, phải ở dạng DESKTOP-1JJQRDF \ jdoe, trong đó jdoe là tên người dùng.

  • Tải xuống phần mềm Yubico Login cho Windows : DOWNLOAD
  • Chạy trình cài đặt bằng cách nhấp đúp vào tải xuống.
  • Chấp nhận thỏa thuận cấp phép người dùng cuối.
  • Trong trình hướng dẫn cài đặt, chỉ định vị trí thư mục lưu hoặc chấp nhận vị trí mặc định.
  • Khởi động lại máy mà phần mềm đã được cài đặt. Sau khi khởi động lại, nhà cung cấp thông tin Yubico trình bày màn hình đăng nhập nhắc nhở cho YubiKey.

Vì YubiKey chưa được kích hoạt, bạn phải chuyển người dùng và nhập không mật khẩu cho tài khoản Windows cục bộ và tên người dùng của bạn cho tài khoản đó. Nếu cần, bạn có thể phải thay đổi Tài khoản Microsoft thành Tài khoản cục bộ.

Sau khi bạn đã đăng nhập, hãy tìm kiếm Login Configuration với biểu tượng màu xanh lá cây. (Mục thực sự được gắn nhãn Yubico Login cho Windows chỉ là trình cài đặt, không phải ứng dụng.)

Cấu hình YubiKey

Quyền quản trị viên được yêu cầu để cấu hình phần mềm.
Chỉ các tài khoản được hỗ trợ mới có thể được định cấu hình cho Yubico Login cho Windows. Nếu bạn khởi chạy trình hướng dẫn cấu hình và tài khoản bạn đang tìm kiếm không được hiển thị, nó không được hỗ trợ và do đó không có sẵn cho cấu hình.

Trong quá trình cấu hình, những điều sau đây sẽ được yêu cầu;

  • Primary and Backup Keys : Sử dụng một YubiKey khác nhau cho mỗi lần đăng ký. Nếu bạn đang định cấu hình các khóa sao lưu, mỗi người dùng nên có một YubiKey cho khóa chính và một khóa thứ hai cho khóa sao lưu.
  • Recovery Code : Mã khôi phục là một cơ chế cuối cùng để xác thực người dùng nếu tất cả các YubiKey bị mất. Mã khôi phục có thể được chỉ định cho người dùng bạn chỉ định; tuy nhiên, mã khôi phục chỉ có thể sử dụng được nếu tên người dùng và mật khẩu cho tài khoản cũng có sẵn. Tùy chọn tạo mã khôi phục được trình bày trong quá trình cấu hình.

Bước 1: Trong menu Start của Windows, chọn Yubico > Login Configuration.

Bước 2: Hộp thoại Account Control xuất hiện. Nếu bạn đang chạy tài khoản này từ tài khoản không phải Quản trị viên, bạn sẽ được nhắc nhập thông tin quản trị viên cục bộ. Trang Chào mừng giới thiệu Yubico Login Configuration:

Bước 3: Nhấn Next. Trang Mặc định của Yubico Windows Login Configuration xuất hiện.

Bước 4: Các mục cấu hình là:

Slots: Chọn vị trí nơi bí mật hành động sẽ được lưu trữ. Tất cả các YubiKey chưa được tùy chỉnh đều được tải sẵn thông tin xác thực trong vị trí 1, vì vậy nếu bạn đang sử dụng Yubico Login cho Windows để định cấu hình YubiKey đã được sử dụng để đăng nhập vào các tài khoản khác, đừng ghi đè lên vị trí 1.

Challenge/Response Secret: Mục này cho phép bạn chỉ định cách bí mật sẽ được cấu hình và nơi nó sẽ được lưu trữ. Các tùy chọn là:

  • Use existing secret if configured – generate if not configured: Bí mật hiện có của khóa chính sẽ được sử dụng trong vị trí đã chỉ định. Nếu thiết bị không có bí mật hiện có, quy trình cung cấp sẽ tạo ra một bí mật mới.
  • Generate new, random secret, even if a secret is currently configured: Một bí mật mới sẽ được tạo và lập trình vào vị trí, ghi đè bất kỳ bí mật nào được cấu hình trước đó.
  • Manually input secret: Đối với người dùng nâng cao: Trong quá trình cung cấp, ứng dụng sẽ nhắc bạn nhập thủ công một bí mật HMAC-SHA1 (20 byte – mã hóa hex 40 ký tự).

Generate Recovery Code Đối với mỗi người dùng được cung cấp, mã khôi phục mới sẽ được tạo. Mã khôi phục này cho phép người dùng cuối đăng nhập vào hệ thống nếu họ bị mất YubiKey.

Create Backup Device for Each User Sử dụng tùy chọn này để quy trình cung cấp đăng ký hai khóa cho mỗi người dùng, YubiKey chính và YubiKey dự phòng. Nếu bạn không muốn cung cấp mã khôi phục cho người dùng của mình, thì nên cung cấp cho mỗi người dùng một YubiKey dự phòng. Để biết thêm thông tin, hãy tham khảo phần Chính và Khóa dự phòng ở trên.

Bước 5: Nhấn Next, để chọn người dùng cần cung cấp. Trang Select User Accounts (Nếu không có tài khoản người dùng cục bộ nào được Yubico Login cho Windows hỗ trợ, danh sách sẽ trống) xuất hiện.

Bước 6: Chọn tài khoản người dùng sẽ được cung cấp trong lần chạy hiện tại của Yubico Login cho Windows bằng cách chọn hộp kiểm bên cạnh tên người dùng, sau đó nhấp vào Tiếp theo. Trang Configuring User xuất hiện.

Bước 7: Tên người dùng được hiển thị trong trường Cấu hình người dùng được hiển thị ở trên là người dùng mà YubiKey hiện đang được định cấu hình. Khi mỗi tên người dùng được hiển thị, quá trình sẽ nhắc bạn chèn YubiKey để đăng ký cho người dùng đó.

Bước 8: Trang Wait for Device cho thiết bị được hiển thị trong khi YubiKey được chèn đang được phát hiện và trước khi nó được đăng ký cho người dùng có tên người dùng trong trường Định cấu hình người dùng ở đầu trang. Nếu bạn đã chọn Create Backup Device for Each User, trường Người dùng cấu hình cũng sẽ hiển thị những YubiKeys nào đang được đăng ký, Chính hoặc Sao lưu.

Bước 9: Nếu bạn đã cấu hình quy trình cung cấp để sử dụng bí mật được chỉ định thủ công, trường cho bí mật 40 chữ số được hiển thị. Nhập bí mật và nhấp vào Tiếp theo.

Bước 10: Trang Thiết bị lập trình hiển thị tiến trình lập trình từng YubiKey. Trang Device Confirmation hiển thị chi tiết về YubiKey được phát hiện bởi quy trình cung cấp, bao gồm số sê-ri thiết bị (nếu có) và trạng thái cấu hình của từng khe Mật khẩu một lần (OTP). Nếu có xung đột giữa những gì bạn đã đặt làm mặc định và những gì có thể xảy ra với YubiKey được phát hiện, một biểu tượng cảnh báo sẽ được hiển thị. Nếu mọi thứ đều tốt, một dấu kiểm sẽ được hiển thị. Nếu dòng trạng thái hiển thị biểu tượng lỗi, lỗi được mô tả và hướng dẫn sửa lỗi được hiển thị trên màn hình.

Bước 11: Sau khi cấu hình hoàn tất cho tài khoản người dùng, tài khoản đó không còn có thể được truy cập mà không có YubiKey tương ứng. Bạn được nhắc xóa YubiKey vừa được cấu hình và quá trình cung cấp sẽ tự động tiến hành kết hợp tài khoản người dùng / YubiKey tiếp theo.

Bước 12: Sau tất cả, YubiKeys cho tài khoản người dùng được chỉ định đã được cung cấp:

  • Nếu Mã tạo khôi phục được chọn trên trang Mặc định, trang Mã khôi phục được hiển thị.
  • Nếu Tạo mã khôi phục không được chọn, quy trình cung cấp sẽ tự động tiếp tục đến tài khoản người dùng tiếp theo.
  • Quá trình cung cấp chuyển sang Hoàn thành sau khi tài khoản người dùng cuối cùng được thực hiện.

Mã khôi phục là một chuỗi dài. (Để loại bỏ các vấn đề gây ra bởi người dùng cuối nhầm chữ số 1 cho chữ thường L và 0 cho chữ O, mã khôi phục được mã hóa trong Base32, xử lý các ký tự chữ và số trông giống như chúng giống nhau.)

Trang Mã khôi phục được hiển thị sau khi tất cả các YubiKey cho tài khoản người dùng được chỉ định đã được định cấu hình.

Bước 13: Trên trang Mã khôi phục, tạo và đặt mã khôi phục cho người dùng đã chọn. Khi điều này đã được thực hiện, các nút Sao chép và Lưu ở bên phải của trường mã khôi phục sẽ khả dụng.

Bước 14: Sao chép mã khôi phục và lưu nó khỏi bị chia sẻ với người dùng và giữ nó trong trường hợp người dùng mất nó.

Bước 15: Để di chuyển đến tài khoản người dùng tiếp theo từ trang Chọn người dùng, bấm Tiếp theo. Khi bạn đã cấu hình người dùng cuối cùng, quy trình cung cấp sẽ hiển thị trang Hoàn tất.

Bước 16: Cung cấp cho mỗi người dùng mã khôi phục của họ. Người dùng cuối nên lưu mã khôi phục của họ vào một vị trí an toàn có thể truy cập khi họ không thể đăng nhập.

Sử dụng thực tế YubiKey

Khi tài khoản người dùng cục bộ đã được định cấu hình để yêu cầu YubiKey, người dùng được xác thực bởi Nhà cung cấp thông tin xác thực Yubico thay vì Nhà cung cấp thông tin xác thực Windows mặc định. Người dùng được nhắc chèn YubiKey của họ. Sau đó, màn hình Đăng nhập Yubico được hiện ra. Người dùng nhập tên người dùng và mật khẩu của họ.

Lưu ý: Không cần thiết phải nhấn nút trên phần cứng USB YubiKey để đăng nhập. Trong một số trường hợp, nhấn nút khiến đăng nhập thất bại.

Khi người dùng cuối đăng nhập, họ phải chèn YubiKey chính xác vào cổng USB trên hệ thống của họ. Nếu người dùng cuối nhập tên người dùng và mật khẩu của họ mà không chèn YubiKey chính xác, xác thực sẽ thất bại và người dùng sẽ được thông báo lỗi.

Nếu tài khoản người dùng cuối được cấu hình cho Đăng nhập Yubico cho Windows và nếu mã khôi phục được tạo và người dùng mất YubiKey (s), họ có thể sử dụng mã khôi phục để xác thực. Người dùng cuối mở khóa máy tính của họ bằng tên người dùng, mã khôi phục và mật khẩu.

Cho đến khi YubiKey mới được định cấu hình, người dùng cuối phải nhập mã khôi phục mỗi lần họ đăng nhập.

f4vnn.com chúc các bạn thành công!


Welcome to F4vnn.com - Blog Thủ Thuật, tất cả nội dung trên website được chúng tôi sưu tập trên Internet. Nếu có vấn đề về bản quyền với bài viết trên Blog vui lòng liên hệ với và chúng tôi sẽ xóa bài viết ngay lập tức . Liên lạc với Admin qua mail: hoangvansy90@gmail.com!

ĐỪNG QUÊN ĐĂNG KÝ FANPAGE ĐỂ NHẬN THỦ THUẬT MỚI NHẤT NHÉ!