Configureer en gebruik YubiKey Secure Login voor lokaal account in Windows 10

Gebruikers kunnen hardwarebeveiligingssleutels, vervaardigd door het Zweedse bedrijf Yubico , gebruiken om in te loggen op een lokaal account op Windows 10 . Het bedrijf heeft onlangs de eerste stabiele versie van de Yubico Login for Windows-applicatie(Login for Windows application) uitgebracht . In dit bericht laten we u zien hoe u YubiKey installeert en configureert voor gebruik op Windows 10-pc's.

YubiKey is een hardware-authenticatieapparaat dat eenmalige wachtwoorden, codering en authenticatie met openbare sleutels ondersteunt, en de Universal 2nd Factor (U2F) en FIDO2- protocollen die zijn ontwikkeld door de FIDO Alliance . Hiermee kunnen gebruikers veilig inloggen op hun accounts door eenmalige wachtwoorden uit te geven of door een op FIDO gebaseerd openbaar/privé-sleutelpaar te gebruiken dat door het apparaat is gegenereerd. YubiKey maakt het ook mogelijk om statische wachtwoorden op te slaan voor gebruik op sites die geen eenmalige wachtwoorden ondersteunen. Facebook gebruikt YubiKey voor werknemersreferenties en Google ondersteunt dit voor zowel werknemers als gebruikers. Sommige wachtwoordbeheerders ondersteunen YubiKey .Yubico produceert ook de Security Key , een apparaat vergelijkbaar met de YubiKey , maar gericht op authenticatie met openbare sleutels.

Met YubiKey kunnen gebruikers berichten ondertekenen, coderen en decoderen zonder de privésleutels aan de buitenwereld bloot te stellen. Deze functie was voorheen alleen beschikbaar voor Mac- en Linux - gebruikers.

To configure/set up YubiKey on Windows 10, you’ll need the following:

  1. Een YubiKey USB-hardware.
  2. Yubico Login-software voor Windows.
  3. YubiKey Manager-software.

Ze zijn allemaal beschikbaar op yubico.com onder het tabblad Product . Houd er ook rekening mee dat de YubiKey- app geen ondersteuning biedt voor lokale Windows - accounts die worden beheerd door Azure Active Directory ( AAD ) of Active Directory (AD) en ook niet voor Microsoft-accounts .

YubiKey hardware authenticatie apparaat

Noteer voordat u de Yubico Login for Windows -software installeert uw Windows - gebruikersnaam en wachtwoord voor het lokale account. De persoon die de software installeert, moet de Windows - gebruikersnaam en het wachtwoord voor zijn account hebben. Zonder deze kan er niets worden geconfigureerd en is het account niet toegankelijk. Het standaardgedrag van de Windows -referentieprovider is om uw laatste login te onthouden, zodat u de gebruikersnaam niet hoeft in te voeren.

Om deze reden herinneren veel mensen zich de gebruikersnaam misschien niet. Echter, zodra u de tool installeert en opnieuw opstart, wordt de nieuwe Yubico -referentieprovider geladen, zodat zowel beheerders als eindgebruikers de gebruikersnaam daadwerkelijk moeten invoeren. Om deze redenen moet niet alleen de beheerder, maar ook iedereen wiens account moet worden geconfigureerd via Yubico Login voor Windows , controleren of ze kunnen inloggen met de Windows -gebruikersnaam en het wachtwoord voor hun lokale account VOORDAT de beheerder de tool installeert en configureert. -gebruikersaccounts.

Het is ook absoluut noodzakelijk om op te merken dat, zodra Yubico Login voor Windows is geconfigureerd, er:

  • Geen Windows-wachtwoordhint
  • Geen manier om wachtwoorden opnieuw in te stellen
  • Nee Remember Previous User/Login functie.

Bovendien is automatisch inloggen bij Windows niet compatibel met Yubico Login voor Windows . Als een gebruiker wiens account is ingesteld voor automatisch inloggen niet langer zijn oorspronkelijke wachtwoord herinnert wanneer de Yubico Login voor Windows -configuratie van kracht wordt, is het account niet langer toegankelijk. Pak(Address) dit probleem preventief aan door:

  • Gebruikers nieuwe wachtwoorden laten instellen voordat automatisch inloggen wordt uitgeschakeld.
  • Laat alle gebruikers verifiëren dat ze toegang hebben tot hun accounts met hun gebruikersnaam en hun nieuwe wachtwoord voordat je Yubico Login voor Windows gebruikt om hun accounts te configureren.

Beheerdersrechten zijn vereist om de software te installeren.

YubiKey-installatie

Controleer eerst uw gebruikersnaam. Nadat je Yubico Login voor Windows hebt geïnstalleerd en opnieuw hebt opgestart, moet je dit naast je wachtwoord ook invoeren om in te loggen. Open hiervoor de opdrachtprompt(Command Prompt) of PowerShell vanuit het menu Start en voer de onderstaande opdracht uit

whoami

Let(Take) op de volledige uitvoer, die de vorm moet hebben DESKTOP-1JJQRDF\jdoe , waarbij  jdoe  de gebruikersnaam is.

  1. Download hier(here) de Yubico Login voor Windows -software .
  2. Voer het installatieprogramma uit door te dubbelklikken op de download.
  3. Accepteer de licentieovereenkomst voor eindgebruikers.
  4. Geef in de installatiewizard de locatie van de doelmap op of accepteer de standaardlocatie.
  5. Start de machine waarop de software is geïnstalleerd opnieuw op. Na de herstart presenteert de Yubico -referentieprovider het inlogscherm dat om de YubiKey vraagt(YubiKey) .

Omdat de YubiKey nog niet is ingericht, moet je van gebruiker wisselen en niet alleen het wachtwoord voor je lokale Windows - account invoeren, maar ook je gebruikersnaam voor dat account. Indien nodig moet u mogelijk het Microsoft-account wijzigen in Lokaal account .

Nadat u bent ingelogd, zoekt u met het groene icoontje naar “Login Configuration”. (Het item met de naam Yubico Login for Windows is alleen het installatieprogramma, niet de toepassing.)

YubiKey-configuratie

Beheerdersrechten(Administrator) zijn vereist om de software te configureren.
Alleen accounts die worden ondersteund, kunnen worden geconfigureerd voor Yubico Login voor Windows . Als u de configuratiewizard start en het account dat u zoekt niet wordt weergegeven, wordt het niet ondersteund en is het daarom niet beschikbaar voor configuratie.

Tijdens het configuratieproces is het volgende vereist;

  • Primaire en back(Primary and Backup Keys) -upsleutels: gebruik voor elke registratie een andere YubiKey . Als je back-upsleutels configureert, moet elke gebruiker één YubiKey hebben voor de primaire en een tweede voor de back-upsleutel.
  • Herstelcode(Recovery Code) : een herstelcode is een laatste redmiddel om een ​​gebruiker te authenticeren als alle YubiKeys verloren zijn gegaan. Herstelcodes(Recovery) kunnen worden toegewezen aan de gebruikers die u opgeeft; de herstelcode is echter alleen bruikbaar als de gebruikersnaam en het wachtwoord voor het account ook beschikbaar zijn. De optie om een ​​herstelcode te genereren wordt gepresenteerd tijdens het configuratieproces.

Stap 1: Selecteer in het Windows Start - menu Yubico > Login Configuration .

Stap 2: Het dialoogvenster Gebruikersaccountbeheer(User Account Control) verschijnt. Als u dit uitvoert vanuit een niet-beheerdersaccount, wordt u om lokale beheerdersreferenties gevraagd. De welkomstpagina introduceert de Yubico Login Configuration - provisioningwizard:

YubiKey hardware authenticatie apparaat

Stap 3: Klik op Volgende(Next) . De standaardpagina(Default) van Yubico Windows Login Configuration verschijnt.

Stap 4: De configureerbare items zijn:

Slots : Selecteer het slot waar het uitdaging-reactiegeheim wordt opgeslagen. Alle YubiKeys die niet zijn aangepast, worden vooraf geladen met een referentie in slot 1, dus als je Yubico Login(Yubico Login) voor Windows gebruikt om YubiKeys te configureren die al worden gebruikt om in te loggen op andere accounts, overschrijf dan slot 1 niet.

Challenge/Response Secret : Met dit item kun je specificeren hoe het geheim wordt geconfigureerd en waar het wordt opgeslagen. De opties zijn:

  • Gebruik bestaand geheim indien geconfigureerd – genereren indien niet geconfigureerd(Use existing secret if configured – generate if not configured) : het bestaande geheim van de sleutel wordt gebruikt in het opgegeven slot. Als het apparaat geen bestaand geheim heeft, genereert het inrichtingsproces een nieuw geheim.
  • Genereer een nieuw, willekeurig geheim, zelfs als er momenteel een geheim is geconfigureerd(Generate new, random secret, even if a secret is currently configured) : er wordt een nieuw geheim gegenereerd en in het slot geprogrammeerd, waarbij elk eerder geconfigureerd geheim wordt overschreven.
  • Handmatig geheim invoeren(Manually input secret)Voor geavanceerde gebruikers(For advanced users) : tijdens het inrichtingsproces zal de toepassing u vragen om handmatig een HMAC-SHA1-geheim in te voeren (20 bytes – 40 tekens hex-gecodeerd).

Genereer herstelcode(Generate Recovery Code) : voor elke geregistreerde gebruiker wordt een nieuwe herstelcode gegenereerd. Met deze herstelcode kan de eindgebruiker inloggen op het systeem als hij zijn YubiKey kwijt is.
Opmerking: als u ervoor kiest om een ​​herstelcode op te slaan terwijl u een gebruiker instelt voor een tweede sleutel, wordt een eerdere herstelcode ongeldig en werkt alleen de nieuwe herstelcode.

Maak een back-upapparaat voor elke gebruiker(Create Backup Device for Each User) : gebruik deze optie om het inrichtingsproces twee sleutels te laten registreren voor elke gebruiker, een primaire YubiKey en een back -up YubiKey . Als u uw gebruikers geen herstelcodes wilt geven, is het een goede gewoonte om elke gebruiker een back -up YubiKey te geven . Raadpleeg het gedeelte Primaire(Primary) sleutels en back-upsleutels(Backup Keys)  hierboven voor meer informatie.

Stap 5: Klik op Volgende(Next) om de gebruiker(s) te selecteren die u wilt inrichten. De pagina Gebruikersaccounts selecteren(Select User Accounts) (Als er geen lokale gebruikersaccounts worden ondersteund door Yubico Login voor Windows , is de lijst leeg) verschijnt.

Stap 6: Selecteer de gebruikersaccounts die moeten worden ingericht tijdens de huidige uitvoering van Yubico Login voor Windows door het selectievakje naast de gebruikersnaam te selecteren en klik vervolgens op Volgende(Next) . De pagina Gebruiker configureren(Configuring User) wordt weergegeven.

Stap 7: De gebruikersnaam die wordt weergegeven in het veld Gebruiker configureren(Configuring User) hierboven is de gebruiker voor wie momenteel een YubiKey wordt geconfigureerd. Omdat elke gebruikersnaam wordt weergegeven, wordt u gevraagd een YubiKey in te voeren om u voor die gebruiker te registreren.

Stap 8: De pagina Wacht op apparaat(Wait for Device) wordt weergegeven terwijl een ingevoegde YubiKey wordt gedetecteerd en voordat deze wordt geregistreerd voor de gebruiker wiens gebruikersnaam zich in het veld Gebruiker configureren(Configuring User) bovenaan de pagina bevindt. Als je Back-upapparaat maken voor elke gebruiker(Create Backup Device for Each User) hebt geselecteerd op de pagina Standaardinstellingen(Defaults) , wordt in het veld Gebruiker configureren(Configuring User) ook weergegeven welke van de YubiKeys wordt geregistreerd, Primair(Primary) of Back(Backup) -up .

Stap 9: Als u het inrichtingsproces hebt geconfigureerd om een ​​handmatig opgegeven geheim te gebruiken, wordt het veld voor de 40 hexadecimale geheimen weergegeven. Voer het geheim in en klik op Volgende(Next) .

Stap 10: Op de pagina Programmeerapparaat(Programming Device) wordt de voortgang van het programmeren van elke YubiKey weergegeven(YubiKey) . De hieronder getoonde apparaatbevestigingspagina toont de details van de (Device Confirmation)YubiKey die door het inrichtingsproces is gedetecteerd, inclusief het serienummer van het apparaat (indien beschikbaar) en de configuratiestatus van elk slot voor eenmalig wachtwoord(One-Time Password) ( OTP ). Als er conflicten zijn tussen wat u als standaard hebt ingesteld en wat mogelijk is met de gedetecteerde YubiKey , wordt een waarschuwingssymbool weergegeven. Als alles goed is om te gaan, wordt er een vinkje weergegeven. Als de statusregel een foutpictogram toont, wordt de fout beschreven en worden instructies voor het oplossen ervan op het scherm weergegeven.

Stap 11: Zodra het programmeren voor een gebruikersaccount is voltooid, is dat account niet langer toegankelijk zonder de bijbehorende YubiKey . U wordt gevraagd om de zojuist geconfigureerde YubiKey te verwijderen en het registratieproces gaat automatisch door naar de volgende combinatie van gebruikersaccount en YubiKey .

Stap 12: Immers, de YubiKeys voor het opgegeven gebruikersaccount zijn ingericht:

  • Als de Herstelcode genereren(Generate Recovery Code)  is geselecteerd op de pagina Standaardinstellingen , wordt de pagina (Defaults)Herstelcode(Recovery Code) weergegeven.
  • Als  Herstelcode genereren(Generate Recovery Code)  niet was geselecteerd, zou het inrichtingsproces automatisch doorgaan naar het volgende gebruikersaccount.
  • Het inrichtingsproces wordt verplaatst naar  Voltooid(Finished)  nadat het laatste gebruikersaccount is voltooid.

De herstelcode is een lange reeks. (Om problemen te voorkomen die worden veroorzaakt doordat de eindgebruiker het cijfer 1 voor kleine letter L en 0 voor de letter O verwisselt, is de herstelcode gecodeerd in Base32 , die alfanumerieke tekens behandelt die er hetzelfde uitzien alsof ze hetzelfde zijn.)

De pagina Herstelcode(Recovery Code) wordt weergegeven nadat alle YubiKeys voor het opgegeven gebruikersaccount zijn geconfigureerd.

Stap 13: Genereer en stel op de pagina Herstelcode een herstelcode in voor de geselecteerde gebruiker. (Recovery Code)Zodra dit is gedaan, worden de knoppen Kopiëren(Copy)  en  Opslaan(Save) rechts van het veld herstelcode beschikbaar.

Stap 14: Kopieer de herstelcode en bewaar deze zodat deze niet met de gebruiker kan worden gedeeld en bewaar deze voor het geval de gebruiker deze kwijtraakt.

Opmerking(Note) : zorg ervoor dat u de herstelcode op dit punt in het proces opslaat. Zodra u doorgaat naar het volgende scherm, is het niet mogelijk om de code op te halen.

Stap 15: Om naar de volgende gebruikersaccount te gaan vanaf de pagina Gebruikers selecteren(Select Users) , klikt u op Volgende(Next) . Wanneer u de laatste gebruiker hebt geconfigureerd, wordt tijdens het inrichtingsproces de pagina Voltooid(Finished) weergegeven.

Stap 16: Geef elke gebruiker zijn herstelcode. Eindgebruikers moeten hun herstelcode opslaan op een veilige locatie die toegankelijk is als ze niet kunnen inloggen.

YubiKey-gebruikerservaring

Wanneer de lokale gebruikersaccount is geconfigureerd om een ​​YubiKey te vereisen , wordt de gebruiker geauthenticeerd door de Yubico(Yubico Credential Provider) -referentieprovider in plaats van de standaard Windows-referentieprovider . De gebruiker wordt gevraagd zijn YubiKey in te voeren . Vervolgens wordt het Yubico Login -scherm weergegeven. De gebruiker voert zijn gebruikersnaam en wachtwoord in.

Opmerking(Note) : het is niet nodig om op de knop op de YubiKey USB -hardware te drukken om in te loggen. In sommige gevallen zorgt het indrukken van de knop ervoor dat de aanmelding mislukt.

Wanneer de eindgebruiker inlogt, moet hij de juiste YubiKey in een USB - poort op zijn systeem steken. Als de eindgebruiker zijn gebruikersnaam en wachtwoord invoert zonder de juiste YubiKey in te voeren , mislukt de authenticatie en krijgt de gebruiker een foutmelding.

Als het account van een eindgebruiker is geconfigureerd voor Yubico Login voor Windows en als een herstelcode is gegenereerd en een gebruiker zijn YubiKey(s) verliest, kan hij zijn herstelcode gebruiken om te authenticeren. De eindgebruiker ontgrendelt zijn computer met zijn gebruikersnaam, herstelcode en wachtwoord.

Totdat een nieuwe YubiKey is geconfigureerd, moet de eindgebruiker elke keer dat hij inlogt de herstelcode invoeren.

Als Yubico Login voor Windows niet detecteert dat er een YubiKey is geplaatst, komt dit waarschijnlijk doordat de sleutel de OTP -modus niet heeft ingeschakeld, of dat u geen YubiKey invoert(YubiKey) , maar een beveiligingssleutel(Security Key) die niet compatibel is met deze toepassing. Gebruik de YubiKey Manager  -toepassing om ervoor te zorgen dat alle YubiKeys die moeten worden ingericht, de OTP -interface hebben ingeschakeld.

Belangrijk(Important) : alternatieve aanmeldingsmethoden die door Windows worden ondersteund, worden niet beïnvloed. U moet daarom aanvullende lokale en externe inlogmethoden beperken voor de gebruikersaccounts die u beschermt met Yubico Login voor Windows om ervoor te zorgen dat u geen 'achterdeuren' hebt opengelaten.

Als je YubiKey uitprobeert, laat ons dan je ervaringen weten in de comments hieronder.(If you try out YubiKey, let us know your experience in the comments section below.)



Lizzy van Veen

About the author

Ik ben een ervaren software-engineer met meer dan 10 jaar ervaring in het Windows-ecosysteem voor app- en bestandsbeheer. Ik ben ook een veteraan in het ontwikkelen van systemen en beveiligingsoplossingen voor bedrijven en overheden. Mijn ervaringen in beide arena's geven me een uniek perspectief op wat goede software, systemen en beveiliging maakt en hoe deze efficiënt te bouwen.


Related posts