Οι χρήστες μπορούν να χρησιμοποιήσουν κλειδιά ασφαλείας υλικού, που κατασκευάζονται από τη σουηδική εταιρεία Yubico για να συνδεθούν σε έναν τοπικό λογαριασμό στα Windows 10 . Η εταιρεία κυκλοφόρησε πρόσφατα την πρώτη σταθερή έκδοση της εφαρμογής Yubico ^(Yubico) Login για Windows^{(Login for Windows application)} . Σε αυτήν την ανάρτηση, θα σας δείξουμε πώς να εγκαταστήσετε και να ρυθμίσετε το YubiKey^(YubiKey) για χρήση σε υπολογιστές με Windows 10.

Το YubiKey^(YubiKey) είναι μια συσκευή ελέγχου ταυτότητας υλικού που υποστηρίζει κωδικούς πρόσβασης μίας χρήσης, κρυπτογράφηση και έλεγχο ταυτότητας με δημόσιο κλειδί, καθώς και τα πρωτόκολλα Universal 2nd Factor (U2F) και FIDO2 που αναπτύχθηκαν από την FIDO Alliance . Επιτρέπει στους χρήστες να συνδέονται με ασφάλεια στους λογαριασμούς τους εκπέμποντας κωδικούς πρόσβασης μίας χρήσης ή χρησιμοποιώντας ένα ζεύγος δημόσιου/ιδιωτικού κλειδιού που βασίζεται σε FIDO που δημιουργείται από τη συσκευή. Το YubiKey^(YubiKey) επιτρέπει επίσης την αποθήκευση στατικών κωδικών πρόσβασης για χρήση σε ιστότοπους που δεν υποστηρίζουν κωδικούς πρόσβασης μίας χρήσης. Το Facebook^(Facebook) χρησιμοποιεί το YubiKey^(YubiKey) για τα διαπιστευτήρια εργαζομένων και η Google το υποστηρίζει τόσο για υπαλλήλους όσο και για χρήστες. Ορισμένοι διαχειριστές κωδικών πρόσβασης υποστηρίζουν το YubiKey^(YubiKey) .Η Yubico^(Yubico) κατασκευάζει επίσης το Κλειδί ασφαλείας^{(Security Key)} , μια συσκευή παρόμοια με το YubiKey , αλλά επικεντρώνεται στον έλεγχο ταυτότητας με δημόσιο κλειδί.

Το YubiKey επιτρέπει στους χρήστες να υπογράφουν, να κρυπτογραφούν και να αποκρυπτογραφούν μηνύματα χωρίς να εκθέτουν τα ιδιωτικά κλειδιά στον έξω κόσμο. Αυτή η δυνατότητα ήταν προηγουμένως διαθέσιμη μόνο για χρήστες Mac^(Mac) και Linux .

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. Ένα υλικό USB YubiKey.
2. Λογισμικό Yubico Login για Windows.
3. Λογισμικό YubiKey Manager.

Όλα είναι διαθέσιμα στο yubico.com στην καρτέλα Προϊόντα^(Product) . Επίσης, θα πρέπει να σημειώσετε ότι η εφαρμογή YubiKey δεν υποστηρίζει τοπικούς λογαριασμούς Windows που διαχειρίζονται από το Azure Active Directory ( AAD ) ή το Active Directory (AD) καθώς και από Λογαριασμούς Microsoft .

^(YubiKey)Συσκευή ελέγχου ταυτότητας υλικού YubiKey

Πριν εγκαταστήσετε το λογισμικό Yubico Login^{(Yubico Login)} for Windows , σημειώστε το όνομα χρήστη και τον κωδικό πρόσβασης των Windows για τον τοπικό λογαριασμό. Το άτομο που εγκαθιστά το λογισμικό πρέπει να έχει το όνομα χρήστη και τον κωδικό πρόσβασης των Windows για τον λογαριασμό του. ^(Windows)Χωρίς αυτά, τίποτα δεν μπορεί να ρυθμιστεί και ο λογαριασμός δεν είναι προσβάσιμος. Η προεπιλεγμένη συμπεριφορά του παρόχου διαπιστευτηρίων των Windows είναι να θυμάται την τελευταία σας σύνδεση, ώστε να μην χρειάζεται να πληκτρολογήσετε το όνομα χρήστη.

Για αυτόν τον λόγο, πολλοί άνθρωποι μπορεί να μην θυμούνται το όνομα χρήστη. Ωστόσο, μόλις εγκαταστήσετε το εργαλείο και κάνετε επανεκκίνηση, φορτώνεται ο νέος πάροχος διαπιστευτηρίων Yubico , έτσι ώστε τόσο οι διαχειριστές όσο και οι τελικοί χρήστες να πρέπει πραγματικά να πληκτρολογήσουν το όνομα χρήστη. Για αυτούς τους λόγους, όχι μόνο ο διαχειριστής, αλλά και όλοι οι λογαριασμός των οποίων πρόκειται να ρυθμιστούν μέσω Yubico Login για Windows θα πρέπει να ελέγξουν ότι μπορούν να συνδεθούν χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασης των Windows για τον τοπικό τους λογαριασμό ΠΡΙΝ ο διαχειριστής εγκαταστήσει το εργαλείο και διαμορφώσει το τέλος -λογαριασμοί χρηστών.

Είναι επίσης επιτακτική ανάγκη να σημειωθεί ότι, αφού ρυθμιστεί η σύνδεση Yubico^{(Yubico Login)} για Windows , υπάρχει:

• Δεν υπάρχει συμβουλή κωδικού πρόσβασης των Windows
• Δεν υπάρχει τρόπος επαναφοράς κωδικών πρόσβασης
• Όχι λειτουργία Remember Previous User/Login .

Επιπλέον, η αυτόματη σύνδεση των Windows δεν είναι συμβατή με τη σύνδεση Yubico^{(Yubico Login)} για Windows . Εάν ένας χρήστης του οποίου ο λογαριασμός έχει ρυθμιστεί για αυτόματη σύνδεση δεν θυμάται πλέον τον αρχικό κωδικό πρόσβασής του όταν τεθεί σε ισχύ η ρύθμιση παραμέτρων Yubico Login for Windows , δεν είναι πλέον δυνατή η πρόσβαση στον λογαριασμό. Αντιμετωπίστε^(Address) αυτό το ζήτημα προληπτικά με:

• Οι χρήστες ορίζουν νέους κωδικούς πρόσβασης πριν απενεργοποιήσουν την αυτόματη σύνδεση.
• Ζητήστε από όλους τους χρήστες να επαληθεύσουν ότι μπορούν να έχουν πρόσβαση στους λογαριασμούς τους με το όνομα χρήστη και τον νέο κωδικό πρόσβασής τους προτού χρησιμοποιήσετε το Yubico Login για Windows για να διαμορφώσετε τους λογαριασμούς τους.

Απαιτούνται δικαιώματα διαχειριστή για την εγκατάσταση του λογισμικού.

Εγκατάσταση YubiKey

Αρχικά, επαληθεύστε το όνομα χρήστη σας. Αφού εγκαταστήσετε το Yubico Login^{(Yubico Login)} για Windows και κάνετε επανεκκίνηση, θα χρειαστεί να εισαγάγετε αυτόν επιπλέον τον κωδικό πρόσβασής σας για να συνδεθείτε. Για να το κάνετε αυτό, ανοίξτε τη γραμμή εντολών^{(Command Prompt)} ή το PowerShell από το μενού Έναρξη και εκτελέστε την παρακάτω εντολή^(Start)

whoami

Σημειώστε^(Take) το πλήρες αποτέλεσμα, το οποίο θα πρέπει να έχει τη μορφή DESKTOP-1JJQRDF\jdoe , όπου  jdoe  είναι το όνομα χρήστη.

1. Κατεβάστε^(Download) το λογισμικό Yubico Login^{(Yubico Login)} for Windows από εδώ^(here) .
2. Εκτελέστε το πρόγραμμα εγκατάστασης κάνοντας διπλό κλικ στη λήψη.
3. Αποδεχτείτε τη συμφωνία άδειας χρήσης τελικού χρήστη.
4. Στον οδηγό εγκατάστασης, καθορίστε τη θέση του φακέλου προορισμού ή αποδεχτείτε την προεπιλεγμένη θέση.
5. Επανεκκινήστε το μηχάνημα στο οποίο έχει εγκατασταθεί το λογισμικό. Μετά την επανεκκίνηση, ο πάροχος διαπιστευτηρίων Yubico παρουσιάζει την οθόνη σύνδεσης που ζητά το YubiKey .

Επειδή το YubiKey δεν έχει ακόμη παρασχεθεί, πρέπει να αλλάξετε χρήστη και να εισαγάγετε όχι μόνο τον κωδικό πρόσβασης για τον τοπικό λογαριασμό σας στα Windows , αλλά και το όνομα χρήστη για αυτόν τον λογαριασμό. Εάν είναι απαραίτητο, ίσως χρειαστεί να αλλάξετε τον Λογαριασμό Microsoft σε Τοπικός λογαριασμός .

Αφού συνδεθείτε, αναζητήστε το "Login Configuration" με το πράσινο εικονίδιο. (Το στοιχείο με την ένδειξη Yubico Login for Windows είναι απλώς το πρόγραμμα εγκατάστασης και όχι η εφαρμογή.)

Διαμόρφωση YubiKey

Απαιτούνται^{(Administrator)} δικαιώματα διαχειριστή για τη διαμόρφωση του λογισμικού.
Μόνο οι λογαριασμοί που υποστηρίζονται μπορούν να ρυθμιστούν για Yubico Login για Windows . Εάν εκκινήσετε τον οδηγό διαμόρφωσης και ο λογαριασμός που αναζητάτε δεν εμφανίζεται, δεν υποστηρίζεται και επομένως δεν είναι διαθέσιμος για διαμόρφωση.

Κατά τη διαδικασία διαμόρφωσης, θα απαιτηθούν τα ακόλουθα:

• Κύριο και εφεδρικό κλειδί^{(Primary and Backup Keys)} : Χρησιμοποιήστε διαφορετικό YubiKey για κάθε εγγραφή. Εάν διαμορφώνετε εφεδρικά κλειδιά, κάθε χρήστης θα πρέπει να έχει ένα YubiKey για το κύριο και ένα δεύτερο για το εφεδρικό κλειδί.
• Κωδικός ανάκτησης^{(Recovery Code)} : Ο κωδικός ανάκτησης είναι ένας μηχανισμός τελευταίας λύσης για τον έλεγχο ταυτότητας ενός χρήστη εάν έχουν χαθεί όλα τα YubiKey. Οι κωδικοί ανάκτησης^(Recovery) μπορούν να εκχωρηθούν στους χρήστες που καθορίζετε. Ωστόσο, ο κωδικός ανάκτησης μπορεί να χρησιμοποιηθεί μόνο εάν το όνομα χρήστη και ο κωδικός πρόσβασης για τον λογαριασμό είναι επίσης διαθέσιμα. Η επιλογή δημιουργίας κωδικού ανάκτησης παρουσιάζεται κατά τη διαδικασία διαμόρφωσης.

Βήμα 1: Στο μενού Έναρξη^(Start) των Windows , επιλέξτε Yubico > Διαμόρφωση σύνδεσης^{(Login Configuration)} .

Βήμα 2: Εμφανίζεται το παράθυρο διαλόγου Έλεγχος λογαριασμού χρήστη^{(User Account Control)} . Εάν το εκτελείτε από λογαριασμό που δεν είναι διαχειριστής, θα σας ζητηθούν διαπιστευτήρια τοπικού διαχειριστή. Η σελίδα καλωσορίσματος παρουσιάζει τον οδηγό παροχής ρύθμισης παραμέτρων σύνδεσης Yubico^{(Yubico Login Configuration)} :

Βήμα 3: Κάντε κλικ στο Επόμενο^(Next) . Εμφανίζεται η προεπιλεγμένη^(Default) σελίδα του Yubico Windows Login Configuration .

Βήμα 4: Τα στοιχεία με δυνατότητα διαμόρφωσης είναι:

Κουλοχέρηδες^(Slots) : Επιλέξτε τη θέση όπου θα αποθηκευτεί το μυστικό πρόκλησης-απόκρισης. Όλα τα YubiKey που δεν έχουν προσαρμοστεί είναι προφορτωμένα με διαπιστευτήρια στην υποδοχή 1, επομένως, εάν χρησιμοποιείτε το Yubico Login^{(Yubico Login)} για Windows για να διαμορφώσετε τα YubiKeys που χρησιμοποιούνται ήδη για σύνδεση σε άλλους λογαριασμούς, μην αντικαταστήσετε την υποδοχή 1.

Challenge/Response Secret : Αυτό το στοιχείο σάς δίνει τη δυνατότητα να καθορίσετε πώς θα διαμορφωθεί το μυστικό και πού θα αποθηκευτεί. Οι επιλογές είναι:

• Χρήση υπάρχοντος μυστικού εάν έχει διαμορφωθεί – δημιουργία εάν δεν έχει διαμορφωθεί^{(Use existing secret if configured – generate if not configured)} : Το υπάρχον μυστικό του κλειδιού θα χρησιμοποιηθεί στην καθορισμένη υποδοχή. Εάν η συσκευή δεν έχει υπάρχον μυστικό, η διαδικασία παροχής θα δημιουργήσει ένα νέο μυστικό.
• Δημιουργία νέου, τυχαίου μυστικού, ακόμη και αν ένα μυστικό έχει διαμορφωθεί αυτήν τη στιγμή^{(Generate new, random secret, even if a secret is currently configured)} : Ένα νέο μυστικό θα δημιουργηθεί και θα προγραμματιστεί στην υποδοχή, αντικαθιστώντας οποιοδήποτε μυστικό που είχε ρυθμιστεί προηγουμένως.
• Μη αυτόματη εισαγωγή μυστικού^{(Manually input secret)} :  Για προχωρημένους χρήστες^{(For advanced users)} : Κατά τη διαδικασία παροχής, η εφαρμογή θα σας ζητήσει να εισαγάγετε με μη αυτόματο τρόπο ένα μυστικό HMAC-SHA1 (20 byte – 40 χαρακτήρες με εξαγωνική κωδικοποίηση).

Δημιουργία κωδικού ανάκτησης^{(Generate Recovery Code)} : Για κάθε παρεχόμενο χρήστη, θα δημιουργηθεί ένας νέος κωδικός ανάκτησης. Αυτός ο κωδικός ανάκτησης επιτρέπει στον τελικό χρήστη να συνδεθεί στο σύστημα εάν έχει χάσει το YubiKey του.
Σημείωση: Εάν επιλέξετε να αποθηκεύσετε έναν κωδικό ανάκτησης κατά την παροχή ενός δεύτερου κλειδιού σε έναν χρήστη, οποιοσδήποτε προηγούμενος κωδικός ανάκτησης καθίσταται άκυρος και μόνο ο νέος κωδικός ανάκτησης θα λειτουργεί.

Δημιουργία εφεδρικής συσκευής για κάθε χρήστη^{(Create Backup Device for Each User)} : Χρησιμοποιήστε αυτήν την επιλογή για να καταχωρίσετε δύο κλειδιά για κάθε χρήστη στη διαδικασία παροχής, ένα πρωτεύον YubiKey και ένα εφεδρικό YubiKey . Εάν δεν θέλετε να παρέχετε κωδικούς ανάκτησης στους χρήστες σας, είναι καλή πρακτική να δίνετε σε κάθε χρήστη ένα αντίγραφο ασφαλείας YubiKey . Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Κύριο^(Primary) και εφεδρικό κλειδί^{(Backup Keys)}  παραπάνω.

Βήμα 5: Κάντε κλικ στο Επόμενο^(Next) , για να επιλέξετε τους χρήστες προς παροχή. Εμφανίζεται η σελίδα Επιλογή λογαριασμών χρηστών^{(Select User Accounts)} (Εάν δεν υπάρχουν τοπικοί λογαριασμοί χρηστών που υποστηρίζονται από το Yubico Login για Windows , η λίστα θα είναι κενή).

Βήμα 6: Επιλέξτε τους λογαριασμούς χρηστών που θα παρέχονται κατά την τρέχουσα εκτέλεση της σύνδεσης Yubico^{(Yubico Login)} για Windows επιλέγοντας το πλαίσιο ελέγχου δίπλα στο όνομα χρήστη και, στη συνέχεια, κάντε κλικ στο κουμπί Επόμενο^(Next) . Εμφανίζεται η σελίδα Διαμόρφωση χρήστη^{(Configuring User)} .

Βήμα 7: Το όνομα χρήστη που εμφανίζεται στο πεδίο Ρύθμιση παραμέτρων χρήστη^{(Configuring User)} που εμφανίζεται παραπάνω είναι ο χρήστης για τον οποίο διαμορφώνεται ένα YubiKey αυτήν τη στιγμή. Καθώς εμφανίζεται κάθε όνομα χρήστη, η διαδικασία σας ζητά να εισαγάγετε ένα YubiKey για να εγγραφείτε για αυτόν τον χρήστη.

Βήμα 8: Η σελίδα αναμονής για συσκευή^{(Wait for Device)} εμφανίζεται ενώ εντοπίζεται ένα εισαγόμενο YubiKey και προτού εγγραφεί για τον χρήστη του οποίου το όνομα χρήστη βρίσκεται στο πεδίο Ρύθμιση παραμέτρων χρήστη^{(Configuring User)} στο επάνω μέρος της σελίδας. Εάν έχετε επιλέξει Δημιουργία εφεδρικής συσκευής για κάθε χρήστη^{(Create Backup Device for Each User)} στη σελίδα Προεπιλογές^(Defaults) , το πεδίο Ρύθμιση παραμέτρων χρήστη^{(Configuring User)} θα εμφανίσει επίσης ποιο από τα YubiKeys έχει καταχωρηθεί, Κύριο^(Primary) ή Εφεδρικό^(Backup) .

Βήμα 9: Εάν έχετε διαμορφώσει τη διαδικασία παροχής ώστε να χρησιμοποιεί ένα μη αυτόματα καθορισμένο μυστικό, εμφανίζεται το πεδίο για τα 40 εξαψήφια μυστικά. Εισαγάγετε το μυστικό και κάντε κλικ στο Επόμενο^(Next) .

Βήμα 10: Η σελίδα Συσκευή προγραμματισμού^{(Programming Device)} εμφανίζει την πρόοδο του προγραμματισμού κάθε YubiKey . Η σελίδα επιβεβαίωσης συσκευής^{(Device Confirmation)} που εμφανίζεται παρακάτω εμφανίζει τις λεπτομέρειες του YubiKey που εντοπίστηκαν από τη διαδικασία παροχής, συμπεριλαμβανομένου του σειριακού αριθμού συσκευής (εάν υπάρχει) και της κατάστασης διαμόρφωσης κάθε υποδοχής κωδικού πρόσβασης μίας χρήσης^{(One-Time Password)} ( OTP ). Εάν υπάρχουν διενέξεις μεταξύ αυτού που έχετε ορίσει ως προεπιλογές και του δυνατού με το YubiKey που εντοπίστηκε , εμφανίζεται ένα προειδοποιητικό σύμβολο. Εάν όλα είναι καλά, θα εμφανιστεί ένα σημάδι επιλογής. Εάν η γραμμή κατάστασης εμφανίζει ένα εικονίδιο σφάλματος, το σφάλμα περιγράφεται και οι οδηγίες για τη διόρθωσή του εμφανίζονται στην οθόνη.

Βήμα 11: Μόλις ολοκληρωθεί ο προγραμματισμός για έναν λογαριασμό χρήστη, δεν είναι πλέον δυνατή η πρόσβαση σε αυτόν τον λογαριασμό χωρίς το αντίστοιχο YubiKey . Σας ζητείται να αφαιρέσετε το YubiKey που^(YubiKey) μόλις διαμορφώθηκε και η διαδικασία παροχής προχωρά αυτόματα στον επόμενο συνδυασμό λογαριασμού χρήστη/ YubiKey .

Βήμα 12: Μετά από όλα, τα YubiKeys για τον καθορισμένο λογαριασμό χρήστη έχουν παρασχεθεί:

• Εάν  επιλέχθηκε η Δημιουργία κωδικού ανάκτησης^{(Generate Recovery Code)} στη σελίδα Προεπιλογές^(Defaults) , εμφανίζεται η σελίδα Κωδικός ανάκτησης .^{(Recovery Code)}
• Εάν  δεν είχε επιλεγεί η Δημιουργία κωδικού ανάκτησης^{(Generate Recovery Code)}  , η διαδικασία παροχής θα συνεχιζόταν αυτόματα στον επόμενο λογαριασμό χρήστη.
• Η διαδικασία παροχής μετακινείται στο  Ολοκληρώθηκε^(Finished)  μετά την ολοκλήρωση του τελευταίου λογαριασμού χρήστη.

Ο κωδικός ανάκτησης είναι μια μεγάλη συμβολοσειρά. (Για να εξαλειφθούν τα προβλήματα που προκαλούνται από τον τελικό χρήστη που μπερδεύει τον αριθμό 1 για το πεζό γράμμα L και το 0 για το γράμμα O, ο κωδικός ανάκτησης κωδικοποιείται στο Base32 , το οποίο αντιμετωπίζει τους αλφαριθμητικούς χαρακτήρες που μοιάζουν σαν να ήταν ίδιοι.)

Η σελίδα Κωδικός ανάκτησης^{(Recovery Code)} εμφανίζεται αφού διαμορφωθούν όλα τα YubiKey^(YubiKeys) για τον καθορισμένο λογαριασμό χρήστη.

Βήμα 13: Στη σελίδα Κωδικός ανάκτησης^{(Recovery Code)} , δημιουργήστε και ορίστε έναν κωδικό ανάκτησης για τον επιλεγμένο χρήστη. Μόλις γίνει αυτό, τα κουμπιά Αντιγραφή^(Copy)  και  Αποθήκευση^(Save) στα δεξιά του πεδίου κωδικού ανάκτησης γίνονται διαθέσιμα.

Βήμα 14: Αντιγράψτε τον κωδικό ανάκτησης και αποθηκεύστε τον από κοινή χρήση με τον χρήστη και διατηρήστε τον σε περίπτωση που ο χρήστης τον χάσει.

Σημείωση^(Note) : Φροντίστε να αποθηκεύσετε τον κωδικό ανάκτησης σε αυτό το σημείο της διαδικασίας. Μόλις προχωρήσετε στην επόμενη οθόνη, δεν είναι δυνατή η ανάκτηση του κώδικα.

Βήμα 15: Για να μετακινηθείτε στον επόμενο λογαριασμό χρήστη από τη σελίδα Επιλογή χρηστών^{(Select Users)} , κάντε κλικ στο Επόμενο^(Next) . Όταν έχετε διαμορφώσει τον τελευταίο χρήστη, η διαδικασία παροχής εμφανίζει τη σελίδα Ολοκληρώθηκε^(Finished) .

Βήμα 16: Δώστε σε κάθε χρήστη τον κωδικό ανάκτησής του. Οι τελικοί χρήστες θα πρέπει να αποθηκεύουν τον κωδικό ανάκτησης σε μια ασφαλή τοποθεσία προσβάσιμη όταν δεν μπορούν να συνδεθούν.

Εμπειρία χρήστη YubiKey

Όταν ο τοπικός λογαριασμός χρήστη έχει ρυθμιστεί ώστε να απαιτεί YubiKey , ο χρήστης ελέγχεται από τον πάροχο διαπιστευτηρίων Yubico^{(Yubico Credential Provider)} αντί για τον προεπιλεγμένο πάροχο διαπιστευτηρίων των Windows . Ζητείται από τον χρήστη να εισαγάγει το YubiKey του . Στη συνέχεια εμφανίζεται η οθόνη σύνδεσης Yubico^{(Yubico Login)} . Ο χρήστης εισάγει το όνομα χρήστη και τον κωδικό πρόσβασής του.

Σημείωση^(Note) : Δεν είναι απαραίτητο να πατήσετε το κουμπί στο υλικό YubiKey USB για να συνδεθείτε. Σε ορισμένες περιπτώσεις, το πάτημα του κουμπιού προκαλεί την αποτυχία της σύνδεσης.

Όταν ο τελικός χρήστης συνδεθεί, πρέπει να εισάγει το σωστό YubiKey σε μια θύρα USB^(USB) του συστήματός του. Εάν ο τελικός χρήστης εισαγάγει το όνομα χρήστη και τον κωδικό πρόσβασής του χωρίς να εισαγάγει το σωστό YubiKey , ο έλεγχος ταυτότητας θα αποτύχει και ο χρήστης θα εμφανιστεί με ένα μήνυμα σφάλματος.

Εάν ο λογαριασμός ενός τελικού χρήστη έχει ρυθμιστεί για Yubico Login για Windows , και αν δημιουργήθηκε κωδικός ανάκτησης και ένας χρήστης χάσει τα YubiKey του, μπορεί να χρησιμοποιήσει τον κωδικό ανάκτησης για έλεγχο ταυτότητας. Ο τελικός χρήστης ξεκλειδώνει τον υπολογιστή του με το όνομα χρήστη, τον κωδικό ανάκτησης και τον κωδικό πρόσβασής του.

Μέχρι να διαμορφωθεί ένα νέο YubiKey , ο τελικός χρήστης πρέπει να εισάγει τον κωδικό ανάκτησης κάθε φορά που συνδέεται.

Εάν το Yubico Login^{(Yubico Login)} για Windows δεν εντοπίσει ότι έχει εισαχθεί ένα YubiKey , πιθανότατα οφείλεται στο ότι το κλειδί δεν έχει ενεργοποιημένη τη λειτουργία OTP ή δεν εισάγετε ένα YubiKey , αλλά αντίθετα ένα Κλειδί ασφαλείας^{(Security Key)} , το οποίο δεν είναι συμβατό με αυτήν την εφαρμογή. Χρησιμοποιήστε την εφαρμογή YubiKey Manager  για να βεβαιωθείτε ότι όλα τα YubiKey^(YubiKeys) που θα παρασχεθούν έχουν ενεργοποιημένη τη διεπαφή OTP .

Σημαντικό^(Important) : Οι εναλλακτικές μέθοδοι σύνδεσης που υποστηρίζονται από τα Windows^(Windows) δεν θα επηρεαστούν. Πρέπει, επομένως, να περιορίσετε πρόσθετες μεθόδους τοπικής και απομακρυσμένης σύνδεσης για τους λογαριασμούς χρηστών που προστατεύετε με το Yubico Login^{(Yubico Login)} για Windows για να διασφαλίσετε ότι δεν έχετε αφήσει ανοιχτές "πίσω πόρτες".

Εάν δοκιμάσετε το YubiKey, πείτε μας την εμπειρία σας στην παρακάτω ενότητα σχολίων.^{(If you try out YubiKey, let us know your experience in the comments section below.)}

Configure & use YubiKey Secure Login for Local Account in Windows 10

Users can use hardware sеcurity keys, manufactured bу Swedish сompany Yubico to log into a Local account on Windows 10. The company recently released the first stable version of the Yubico Login for Windows application. In this post, we will show you how to install and configure YubiKey for use on Windows 10 PCs.

YubiKey is a hardware authentication device that supports one-time passwords, public-key encryption and authentication, and the Universal 2nd Factor (U2F) and FIDO2 protocols developed by the FIDO Alliance. It allows users to securely log in to their accounts by emitting one-time passwords or using a FIDO-based public/private key pair generated by the device. YubiKey also allows for storing static passwords for use at sites that do not support one-time passwords. Facebook uses YubiKey for employee credentials, and Google supports it for both employees and users. Some password managers support YubiKey. Yubico also manufactures the Security Key, a device similar to the YubiKey, but focused on public-key authentication.

YubiKey allows users to sign, encrypt, and decrypt messages without exposing the private keys to the outside world. This feature was previously available only for Mac & Linux users.

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. A YubiKey USB hardware .
2. Yubico Login software for Windows.
3. YubiKey Manager software.

All of them are available on yubico.com under their Products tab. Also, you should note that the YubiKey app does not support local Windows accounts managed by Azure Active Directory (AAD) or Active Directory (AD) as well as Microsoft Accounts.

YubiKey hardware authentication device

Before installing the Yubico Login for Windows software, make a note of your Windows username and password for the local account. The person who installs the software must have the Windows username and password for their account. Without these, nothing can be configured, and the account is inaccessible. The default behavior of the Windows credential provider is to remember your last login, so you do not have to type in the username.

For this reason, many people may not remember the username. However, once you install the tool and reboot, the new Yubico credential provider is loaded, so that both admins and end-users have actually to type in the username. For these reasons, not only the admin but also everybody whose account is to be configured via Yubico Login for Windows should check to ensure that they can log in using the Windows username and password for their local account BEFORE the admin installs the tool and configures end-users’ accounts.

It’s also imperative to note that, once Yubico Login for Windows has been configured, there is:

• No Windows Password Hint
• No way to reset passwords
• No Remember Previous User/Login function.

Additionally, Windows automatic login is not compatible with Yubico Login for Windows. If a user whose account was set up for automatic login no longer remembers their original password when the Yubico Login for Windows configuration takes effect, the account can no longer be accessed. Address this issue preemptively by:

• Having users set new passwords before disabling automatic login.
• Have all users verify they can access their accounts with username and their new password before you use Yubico Login for Windows to configure their accounts.

Administrator permissions are required to install the software.

YubiKey Installation

First, verify your username. Once you have installed Yubico Login for Windows and rebooted, you will need to enter this in addition to your password to log in. To do this, open Command Prompt or PowerShell from the Start menu and run the command below

whoami

Take note of the full output, which should be in the form DESKTOP-1JJQRDF\jdoe, where jdoe is the username.

1. Download the Yubico Login for Windows software from here.
2. Run the installer by double-clicking on the download.
3. Accept the end-user license agreement.
4. In the installation wizard, specify the destination folder location or accept the default location.
5. Restart the machine on which the software has been installed. After the restart, the Yubico credential provider presents the login screen that prompts for the YubiKey.

Because the YubiKey has not yet been provisioned, you must switch user and enter not only the password for your local Windows account, but also your username for that account. If necessary, you may have to change Microsoft Account to Local Account.

After you have logged in, search for “Login Configuration” with the green icon. (The item actually labeled Yubico Login for Windows is just the installer, not the application.)

YubiKey Configuration

Administrator permissions are required to configure the software.
Only accounts that are supported can be configured for Yubico Login for Windows. If you launch the configuration wizard, and the account you are looking for is not displayed, it is not supported and therefore not available for configuration.

During the configuration process, the following will be required;

• Primary and Backup Keys: Use a different YubiKey for each registration. If you are configuring backup keys, each user should have one YubiKey for the primary and a second one for the backup key.
• Recovery Code: A recovery code is a last-resort mechanism to authenticate a user if all YubiKeys have been lost. Recovery codes can be assigned to the users you specify; however, the recovery code is only usable if the username and password for the account are also available. The option to generate a recovery code is presented during the configuration process.

Step 1: In the Windows Start menu, select Yubico > Login Configuration.

Step 2: The User Account Control dialog appears. If you are running this from a non-Administrator account, you will be prompted for local administrator credentials. The Welcome page introduces the Yubico Login Configuration provisioning wizard:

Step 3: Click Next. The Default page of Yubico Windows Login Configuration appears.

Step 4: The configurable items are:

Slots: Select the slot where the challenge-response secret will be stored. All YubiKeys that have not been customized come pre-loaded with a credential in slot 1, so if you are using Yubico Login for Windows to configure YubiKeys that are already being used for logging into other accounts, do not overwrite slot 1.

Challenge/Response Secret: This item enables you to specify how the secret will be configured and where it will be stored. The options are:

• Use existing secret if configured – generate if not configured: The key’s existing secret will be used in the specified slot. If the device has no existing secret, the provisioning process will generate a new secret.
• Generate new, random secret, even if a secret is currently configured: A new secret will be generated and programmed to the slot, overwriting any previously configured secret.
• Manually input secret: For advanced users: During the provisioning process, the application will prompt you to input manually an HMAC-SHA1 secret (20 bytes – 40 characters hex-encoded).

Generate Recovery Code: For each user provisioned, a new recovery code will be generated. This recovery code enables the end-user to log in to the system if they have lost their YubiKey.
Note: If you select to save a recovery code while provisioning a user for a second key, any previous recovery code becomes invalid, and only the new recovery code will work.

Create Backup Device for Each User: Use this option to have the provisioning process register two keys for each user, a primary YubiKey and a backup YubiKey. If you do not want to provide recovery codes to your users, it is good practice to give each user a backup YubiKey. For more information, refer to the Primary and Backup Keys section above.

Step 5: Click Next, to select the user(s) to provision. The Select User Accounts page (If there are no local user accounts supported by Yubico Login for Windows, the list will be empty) appears.

Step 6: Select the user accounts to be provisioned during the current run of the Yubico Login for Windows by selecting the checkbox next to the username, and then click Next. The Configuring User page appears.

Step 7: The username shown in the Configuring User field shown above is the user for whom a YubiKey is currently being configured. As each username is displayed, the process prompts you to insert a YubiKey to register for that user.

Step 8: The Wait for Device page is shown while an inserted YubiKey is being detected and before it is registered for the user whose username is in the Configuring User field at the top of the page. If you have selected Create Backup Device for Each User in the Defaults page, the Configuring User field will also display which of the YubiKeys is being registered, Primary or Backup.

Step 9: If you have configured the provisioning process to use a manually specified secret, the field for the 40 hex-digit secrets is displayed. Enter the secret and click Next.

Step 10: The Programming Device page displays the progress of programming each YubiKey.  The Device Confirmation page shown below displays the details of the YubiKey detected by the provisioning process, including the device serial number (if available) and the configuration status of each One-Time Password (OTP) slot. If there are conflicts between what you have set as defaults and what is possible with the detected YubiKey, a warning symbol is displayed. If everything is good to go, a check mark will be shown. If the status line shows an error icon, the error is described, and instructions for fixing it are displayed on the screen.

Step 11: Once programming is complete for a user account, that account can no longer be accessed without the corresponding YubiKey. You are prompted to remove the YubiKey just configured, and the provisioning process automatically proceeds to the next user account/YubiKey combination.

Step 12: After all, the YubiKeys for the specified user account have been provisioned:

• If the Generate Recovery Code was selected on the Defaults page, the Recovery Code page is displayed.
• If Generate Recovery Code was not selected, the provisioning process would automatically continue to the next user account.
• The provisioning process moves to Finished after the last user account is done.

The recovery code is a long string. (To eliminate problems caused by the end-user mistaking the numeral 1 for lowercase letter L and 0 for the letter O, the recovery code is encoded in Base32, which treats alphanumeric characters that look similar as if they were the same.)

The Recovery Code page is displayed after all the YubiKeys for the specified user account has been configured.

Step 13: On the Recovery Code page, generate and set a recovery code for the selected user. Once this has been done, the Copy and Save buttons to the right of the recovery code field become available.

Step 14: Copy the recovery code and save it from being shared with the user and keep it in case the user loses it.

Note: Be sure to save the recovery code at this point in the process. Once you proceed to the next screen, it is not possible to retrieve the code.

Step 15: To move to the next user account from the Select Users page, click Next. When you have configured the last user, the provisioning process displays the Finished page.

Step 16: Give each user their recovery code. End-users should save their recovery code to a safe location accessible when they cannot log in.

YubiKey User Experience

When the local user account has been configured to require a YubiKey, the user is authenticated by the Yubico Credential Provider instead of the default Windows Credential Provider. The user is prompted to insert their YubiKey. Then the Yubico Login screen is presented. The user enters their username and password.

Note: It is not necessary to press the button on the YubiKey USB hardware to log in. In some instances, pressing the button causes the login to fail.

When the end-user logs in, they must insert the correct YubiKey into a USB port on their system. If the end-user enters their username and password without inserting the correct YubiKey, authentication will fail, and the user will be presented with an error message.

If an end user’s account is configured for Yubico Login for Windows, and if a recovery code was generated, and a user loses their YubiKey(s), they can use their recovery code to authenticate. The end-user unlocks their computer with their username, recovery code, and password.

Until a new YubiKey is configured, the end-user must enter the recovery code each time they log in.

If Yubico Login for Windows does not detect that a YubiKey has been inserted, it is likely due to the key not having OTP mode enabled, or you are not inserting a YubiKey, but instead a Security Key, which is not compatible with this application. Use the YubiKey Manager application to ensure that all the YubiKeys to be provisioned have the OTP interface enabled.

Important: Alternative sign-in methods supported by Windows will not be affected. You must, therefore, restrict additional local and remote login methods for the user accounts you are protecting with Yubico Login for Windows to ensure you have not left open any ‘back doors.’

If you try out YubiKey, let us know your experience in the comments section below.

Related posts

• Δείτε Ερωτήσεις και Απαντήσεις Ασφαλείας για Τοπικό Λογαριασμό στα Windows 10

• Πώς να εγκαταστήσετε τα Windows 11 και τα Windows 10 σε μονάδα USB (Windows To Go)

• 3 τρόποι για να εκκινήσετε τον υπολογιστή σας με Windows 10 από μια μονάδα flash USB -

• Εναλλαγή Επιλογής χρήστη λείπει από την οθόνη σύνδεσης των Windows 10

• Επαναφέρετε τον κωδικό πρόσβασης τοπικού λογαριασμού στα Windows 10 χρησιμοποιώντας Μέσα εγκατάστασης

• Τα καλύτερα ακουστικά Bluetooth για υπολογιστή με Windows 10

• 7 τρόποι για να ρυθμίσετε τη φωτεινότητα της οθόνης στα Windows 10

• Πώς να επιλέξετε την προεπιλεγμένη GPU για παιχνίδια ή εφαρμογές στα Windows 10

• Πώς μπορώ να συνδέσω το iPhone μου στον υπολογιστή μου με Windows 10;

• Λίστα υπολογιστών που υποστηρίζουν το Windows Hello στα Windows 10

• Λίστα αξεσουάρ και υλικού συμβατό με Windows 10 S

• Πώς να κάνετε κοινή χρήση του εκτυπωτή σας με το δίκτυο, στα Windows 10

• 10 τρόποι για να ανοίξετε τη Διαχείριση Συσκευών στα Windows 10

• Πώς να προσαρμόσετε τα σχήματα ήχου για Windows 10 -

• Πώς να ρυθμίσετε το μικρόφωνο και τα ηχεία στο Skype για Windows 10

• Πώς να δημιουργήσετε ένα hotspot των Windows 10: Όλα όσα πρέπει να γνωρίζετε

• Πώς να αποσυνδεθείτε από άλλους χρήστες στα Windows 10

• 5 τρόποι για να μετονομάσετε οποιαδήποτε μονάδα δίσκου στα Windows 10

• Οι καλύτεροι σαρωτές δακτυλικών αποτυπωμάτων για Windows 10

• Πώς να συνδέσω το smartphone μου Android στον υπολογιστή μου με Windows 10