Používatelia môžu na prihlásenie do lokálneho účtu v systéme Windows 10^{(Windows 10)} použiť hardvérové ​​bezpečnostné kľúče vyrobené švédskou spoločnosťou Yubico . Spoločnosť nedávno vydala prvú stabilnú verziu aplikácie Yubico Login for Windows^{(Login for Windows application)} . V tomto príspevku vám ukážeme, ako nainštalovať a nakonfigurovať YubiKey na použitie na počítačoch so systémom Windows 10.

YubiKey je hardvérové ​​autentifikačné zariadenie, ktoré podporuje jednorazové heslá, šifrovanie a autentifikáciu verejným kľúčom a protokoly Universal 2nd Factor (U2F) a FIDO2 vyvinuté alianciou FIDO^{(FIDO Alliance)} . Umožňuje používateľom bezpečne sa prihlásiť do svojich účtov zadávaním jednorazových hesiel alebo pomocou páru verejného/súkromného kľúča založeného na FIDO vygenerovaného zariadením. YubiKey tiež umožňuje ukladanie statických hesiel na použitie na stránkach, ktoré nepodporujú jednorazové heslá. Facebook používa YubiKey pre prihlasovacie údaje zamestnancov a Google ho podporuje pre zamestnancov aj používateľov. Niektorí správcovia hesiel podporujú YubiKey .Yubico tiež vyrába bezpečnostný kľúč^{(Security Key)} , zariadenie podobné YubiKey , ale zamerané na autentifikáciu verejným kľúčom.

YubiKey umožňuje používateľom podpisovať, šifrovať a dešifrovať správy bez vystavenia súkromných kľúčov vonkajšiemu svetu. Táto funkcia bola predtým k dispozícii iba pre používateľov počítačov Mac a Linux .

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. USB hardvér YubiKey.
2. Softvér Yubico Login pre Windows.
3. Softvér YubiKey Manager.

Všetky sú dostupné na yubico.com na karte Produkt^(Product) . Mali by ste tiež poznamenať, že aplikácia YubiKey nepodporuje lokálne účty Windows spravované službou Azure Active Directory ( AAD ) alebo Active Directory (AD), ako aj účty Microsoft .

^(YubiKey)Hardvérové ​​autentifikačné zariadenie YubiKey

Pred inštaláciou softvéru Yubico Login for Windows si poznačte svoje používateľské meno a heslo systému Windows^(Windows) pre lokálny účet. Osoba, ktorá inštaluje softvér, musí mať pre svoj účet Windows používateľské meno a heslo. Bez nich nie je možné nič nakonfigurovať a účet je neprístupný. Predvolené správanie poskytovateľa poverení systému Windows^(Windows) je zapamätať si vaše posledné prihlásenie, takže nemusíte zadávať používateľské meno.

Z tohto dôvodu si veľa ľudí nemusí pamätať používateľské meno. Po nainštalovaní nástroja a reštarte sa však načíta nový poskytovateľ poverení Yubico , takže správcovia aj koncoví používatelia musia v skutočnosti zadať používateľské meno. Z týchto dôvodov by nielen správca, ale aj každý, koho účet má byť nakonfigurovaný cez Yubico Login for Windows , mal skontrolovať, či sa môže prihlásiť pomocou používateľského mena a hesla Windows pre svoj lokálny účet PREDTÝM, ako správca nainštaluje nástroj a nakonfiguruje koniec - užívateľské účty.

Je tiež nevyhnutné poznamenať, že po nakonfigurovaní prihlásenia Yubico^{(Yubico Login)} pre Windows existuje:

• Žiadna nápoveda pre heslo systému Windows
• Žiadny spôsob, ako obnoviť heslá
• Žiadna funkcia Remember Previous User/Login .

Automatické prihlásenie do systému Windows^(Windows) navyše nie je kompatibilné s prihlásením Yubico^{(Yubico Login)} pre systém Windows^(Windows) . Ak si používateľ, ktorého konto bolo nastavené na automatické prihlásenie, už nepamätá svoje pôvodné heslo, keď konfigurácia Yubico Login for Windows nadobudne účinnosť, k účtu už nebude možné pristupovať. Vyriešte^(Address) tento problém preventívne:

• Pred zakázaním automatického prihlásenia si používatelia nastavia nové heslá.
• Požiadajte všetkých používateľov, aby overili, že majú prístup k svojim účtom pomocou používateľského mena a svojho nového hesla, skôr než použijete Yubico Login for Windows na konfiguráciu ich účtov.

Na inštaláciu softvéru sú potrebné oprávnenia správcu .

Inštalácia YubiKey

Najprv overte svoje používateľské meno. Po nainštalovaní Yubico Login for Windows a reštartovaní budete musieť zadať toto spolu s heslom na prihlásenie. Ak to chcete urobiť, otvorte príkazový riadok^{(Command Prompt)} alebo PowerShell z ponuky Štart^(Start) a spustite príkaz nižšie

whoami

Všimnite si^(Take) úplný výstup, ktorý by mal byť v tvare DESKTOP-1JJQRDF\jdoe , kde  jdoe  je používateľské meno.

1. Stiahnite^(Download) si softvér Yubico Login for Windows tu^(here) .
2. Spustite inštalačný program dvojitým kliknutím na stiahnutie.
3. Prijmite licenčnú zmluvu s koncovým používateľom.
4. V sprievodcovi inštaláciou zadajte umiestnenie cieľového priečinka alebo akceptujte predvolené umiestnenie.
5. Reštartujte počítač, na ktorom je nainštalovaný softvér. Po reštarte poskytovateľ poverení Yubico zobrazí prihlasovaciu obrazovku s výzvou na zadanie kľúča YubiKey^(YubiKey) .

Pretože YubiKey ešte nebol poskytnutý, musíte prepnúť používateľa a zadať nielen heslo pre svoj lokálny účet Windows , ale aj svoje používateľské meno pre tento účet. Ak je to potrebné, možno budete musieť zmeniť účet Microsoft na lokálny účet .

Po prihlásení vyhľadajte „Konfigurácia prihlásenia“ so zelenou ikonou. (Položka v skutočnosti označená Yubico Login for Windows je len inštalátor, nie aplikácia.)

Konfigurácia YubiKey

^{(Administrator)}Na konfiguráciu softvéru sú potrebné oprávnenia správcu .
Iba účty, ktoré sú podporované, môžu byť nakonfigurované pre Yubico Login for Windows . Ak spustíte sprievodcu konfiguráciou a hľadaný účet sa nezobrazí, nie je podporovaný, a preto nie je k dispozícii na konfiguráciu.

Počas procesu konfigurácie sa bude vyžadovať nasledovné;

• Primárny a záložný^{(Primary and Backup Keys)} kľúč: Pre každú registráciu použite iný kľúč YubiKey . ^(YubiKey)Ak konfigurujete záložné kľúče, každý používateľ by mal mať jeden kľúč YubiKey^(YubiKey) pre primárny a druhý pre záložný kľúč.
• Obnovovací kód^{(Recovery Code)} : Obnovovací kód je mechanizmus poslednej možnosti na overenie používateľa v prípade straty všetkých kľúčov YubiKey. Obnovovacie^(Recovery) kódy môžu byť priradené používateľom, ktorých určíte; obnovovací kód je však použiteľný len vtedy, ak je k dispozícii aj používateľské meno a heslo účtu. Možnosť vygenerovať obnovovací kód sa zobrazí počas procesu konfigurácie.

Krok 1: V ponuke Štart^(Start) systému Windows vyberte položku Yubico > Konfigurácia prihlásenia^{(Login Configuration)} .

Krok 2: Zobrazí sa dialógové okno Kontrola používateľských kont^{(User Account Control)} . Ak to spúšťate z účtu, ktorý nie je správcom, zobrazí sa výzva na zadanie poverení miestneho správcu. Úvodná stránka predstavuje sprievodcu poskytovaním konfigurácie prihlásenia Yubico^{(Yubico Login Configuration)} :

Krok 3: Kliknite na Ďalej^(Next) . Zobrazí sa predvolená^(Default) stránka Yubico Windows Login Configuration .

Krok 4: Konfigurovateľné položky sú:

Automaty^(Slots) : Vyberte slot, kde bude uložené tajomstvo výzvy a odpovede. Všetky kľúče YubiKey, ktoré neboli prispôsobené, sú vopred nahrané s poverením v slote 1, takže ak používate Yubico Login for Windows na konfiguráciu kľúčov YubiKey, ktoré sa už používajú na prihlásenie do iných účtov, neprepisujte slot 1.

Challenge/Response Secret : Táto položka vám umožňuje určiť, ako bude tajný kľúč nakonfigurovaný a kde bude uložený. Možnosti sú:

• Použiť existujúci tajný kľúč, ak je nakonfigurovaný – vygenerovať, ak nie je nakonfigurovaný^{(Use existing secret if configured – generate if not configured)} : V špecifikovanom slote sa použije existujúci tajný kľúč. Ak zariadenie nemá žiadne existujúce tajomstvo, proces poskytovania vygeneruje nový tajný kľúč.
• Vygenerovať nový, náhodný tajný kľúč, aj keď je tajný kľúč aktuálne nakonfigurovaný^{(Generate new, random secret, even if a secret is currently configured)} : Vygeneruje sa nový tajný kľúč a naprogramuje sa do slotu, pričom prepíše akékoľvek predtým nakonfigurované tajomstvo.
• Manuálne zadanie tajného kľúča^{(Manually input secret)} :  Pre pokročilých používateľov^{(For advanced users)} : Počas procesu poskytovania vás aplikácia vyzve, aby ste manuálne zadali tajný kľúč HMAC-SHA1 (20 bajtov – 40 znakov hex-kódovaných).

Generovať kód obnovy^{(Generate Recovery Code)} : Pre každého poskytnutého používateľa sa vygeneruje nový kód obnovy. Tento obnovovací kód umožňuje koncovému používateľovi prihlásiť sa do systému, ak stratil svoj YubiKey.
Poznámka: Ak zvolíte uloženie kódu obnovenia pri poskytovaní druhého kľúča používateľovi, predchádzajúci kód obnovenia sa stane neplatným a bude fungovať iba nový kód obnovenia.

Vytvoriť záložné zariadenie pre každého používateľa^{(Create Backup Device for Each User)} : Túto možnosť použite, ak chcete, aby proces poskytovania zaregistroval dva kľúče pre každého používateľa, primárny YubiKey a záložný YubiKey . Ak nechcete svojim používateľom poskytovať kódy na obnovenie, je dobrou praxou poskytnúť každému používateľovi záložný kľúč YubiKey^(YubiKey) . Ďalšie informácie nájdete v časti Primárne^(Primary) a záložné kľúče^{(Backup Keys)}  vyššie.

Krok 5: Kliknite na Ďalej^(Next) a vyberte používateľov, ktorých chcete poskytnúť. Zobrazí sa stránka Select User Accounts (Ak ^{(Select User Accounts)}Yubico Login for Windows nepodporuje žiadne lokálne používateľské účty , zoznam bude prázdny).

Krok 6: Vyberte používateľské účty, ktoré sa majú zriadiť počas aktuálneho spustenia prihlásenia Yubico^{(Yubico Login)} pre Windows začiarknutím políčka vedľa používateľského mena a potom kliknite na tlačidlo Ďalej^(Next) . Zobrazí sa stránka Configuring User .

Krok 7: Používateľské meno zobrazené v poli Configuring User zobrazenom vyššie je používateľ, pre ktorého sa práve konfiguruje YubiKey. Keď sa zobrazí každé používateľské meno, proces vás vyzve na vloženie kľúča YubiKey na registráciu daného používateľa.

Krok 8: Stránka Čakať na zariadenie^{(Wait for Device)} sa zobrazí, kým sa zisťuje vložený kľúč YubiKey a kým sa zaregistruje pre používateľa, ktorého používateľské meno je v poli Konfigurácia používateľa^{(Configuring User)} v hornej časti stránky. Ak ste na stránke Predvolené vybrali ^(Defaults)možnosť Vytvoriť záložné zariadenie pre každého používateľa^{(Create Backup Device for Each User)} , v poli Konfigurácia používateľa^{(Configuring User)} sa tiež zobrazí, ktorý z kľúčov YubiKey^(YubiKeys) sa registruje, či ide o primárne^(Primary) alebo záložné^(Backup) .

Krok 9: Ak ste nakonfigurovali proces poskytovania na používanie manuálne zadaného tajného kľúča, zobrazí sa pole pre 40 hexadecimálnych tajných kľúčov. Zadajte tajný kód a kliknite na tlačidlo Ďalej^(Next) .

Krok 10: Stránka Programming Device zobrazuje priebeh programovania každého YubiKey . Stránka potvrdenia zariadenia^{(Device Confirmation)} uvedená nižšie zobrazuje podrobnosti o kľúči YubiKey^(YubiKey) zistenom procesom poskytovania vrátane sériového čísla zariadenia (ak je k dispozícii) a stavu konfigurácie každého slotu na jednorazové heslo^{(One-Time Password)} ( OTP ). Ak dôjde ku konfliktom medzi tým, čo ste nastavili ako predvolené, a tým, čo je možné pomocou rozpoznaného kľúča YubiKey^(YubiKey) , zobrazí sa varovný symbol. Ak je všetko v poriadku, zobrazí sa značka začiarknutia. Ak sa v stavovom riadku zobrazuje ikona chyby, chyba je opísaná a na obrazovke sa zobrazia pokyny na jej odstránenie.

Krok 11: Po dokončení programovania pre používateľský účet už nebude možné pristupovať k tomuto účtu bez príslušného kľúča YubiKey^(YubiKey) . Zobrazí sa výzva na odstránenie práve nakonfigurovaného kľúča YubiKey^(YubiKey) a proces poskytovania automaticky pokračuje na ďalšiu kombináciu používateľského účtu a kľúča YubiKey^(YubiKey) .

Krok 12: Koniec koncov, YubiKeys pre zadaný používateľský účet boli poskytnuté:

• Ak ste  zvolili Generate Recovery Code na stránke ^{(Generate Recovery Code)}Defaults , zobrazí sa stránka Recovery Code .
• Ak   nebola vybratá možnosť Generovať kód obnovy , proces poskytovania bude automaticky pokračovať na ďalšie používateľské konto.^{(Generate Recovery Code)}
•  Po dokončení posledného používateľského účtu sa proces poskytovania presunie do  stavu Dokončené .^(Finished)

Obnovovací kód je dlhý reťazec. (Na odstránenie problémov spôsobených koncovým používateľom, ktorý si pomýlil číslo 1 s malým písmenom L a 0 s písmenom O, kód obnovy je zakódovaný v Base32 , ktorý zaobchádza s alfanumerickými znakmi, ktoré vyzerajú podobne, ako keby boli rovnaké.)

Stránka s kódom obnovy^{(Recovery Code)} sa zobrazí po nakonfigurovaní všetkých kľúčov YubiKey^(YubiKeys) pre zadaný používateľský účet.

Krok 13: Na stránke Recovery Code vygenerujte a nastavte kód obnovy pre vybraného používateľa. Keď to urobíte, sprístupnia sa tlačidlá Kopírovať^(Copy)  a  Uložiť^(Save) napravo od poľa s kódom na obnovenie.

Krok 14: Skopírujte kód na obnovenie a uložte ho pred zdieľaním s používateľom a uschovajte ho pre prípad, že ho používateľ stratí.

Poznámka^(Note) : V tomto bode procesu nezabudnite uložiť kód na obnovenie. Keď prejdete na ďalšiu obrazovku, nie je možné získať kód.

Krok 15: Ak chcete prejsť na ďalší používateľský účet zo stránky Výber používateľov^{(Select Users)} , kliknite na Ďalej^(Next) . Keď ste nakonfigurovali posledného používateľa, proces poskytovania zobrazí stránku Dokončené^(Finished) .

Krok 16: Dajte každému používateľovi jeho kód na obnovenie. Koncoví používatelia by si mali uložiť svoj obnovovací kód na bezpečné miesto, ktoré bude dostupné, keď sa nebudú môcť prihlásiť.

Používateľská skúsenosť YubiKey

Keď je miestne používateľské konto nakonfigurované tak, aby vyžadovalo YubiKey , používateľa overí poskytovateľ poverení Yubico^{(Yubico Credential Provider)} namiesto predvoleného poskytovateľa poverení systému Windows . Používateľ je vyzvaný, aby vložil svoj YubiKey . Potom sa zobrazí prihlasovacia obrazovka Yubico . ^{(Yubico Login)}Používateľ zadá svoje používateľské meno a heslo.

Poznámka^(Note) : Na prihlásenie nie je potrebné stlačiť tlačidlo na hardvéri YubiKey USB^{(YubiKey USB)} . V niektorých prípadoch stlačenie tlačidla spôsobí zlyhanie prihlásenia.

Keď sa koncový používateľ prihlási, musí vložiť správny kľúč YubiKey^(YubiKey) do portu USB na svojom systéme. Ak koncový používateľ zadá svoje používateľské meno a heslo bez vloženia správneho kľúča YubiKey^(YubiKey) , overenie zlyhá a používateľovi sa zobrazí chybové hlásenie.

Ak je konto koncového používateľa nakonfigurované na prihlásenie Yubico^{(Yubico Login)} pre Windows a ak bol vygenerovaný obnovovací kód a používateľ stratí svoje kľúče YubiKey, môže na overenie použiť svoj obnovovací kód. Koncový používateľ odomkne svoj počítač pomocou svojho používateľského mena, kódu na obnovenie a hesla.

Kým nie je nakonfigurovaný nový kľúč YubiKey^(YubiKey) , koncový používateľ musí pri každom prihlásení zadať obnovovací kód.

Ak Yubico Login for Windows nezistí, že bol vložený YubiKey , je to pravdepodobne spôsobené tým, že kľúč nemá povolený režim OTP , alebo ^(OTP)nevkladáte YubiKey^(YubiKey) , ale bezpečnostný kľúč^{(Security Key)} , ktorý nie je kompatibilný s touto aplikáciou. Použite aplikáciu YubiKey Manager  , aby ste sa uistili, že všetky YubiKey^(YubiKeys) , ktoré sa majú poskytovať, majú povolené rozhranie OTP .

Dôležité^(Important) : Alternatívne spôsoby prihlásenia podporované systémom Windows nebudú ovplyvnené. Preto musíte obmedziť dodatočné metódy lokálneho a vzdialeného prihlásenia pre používateľské účty, ktoré chránite pomocou Yubico Login for Windows , aby ste sa uistili, že ste nenechali otvorené žiadne „zadné dvierka“.

Ak vyskúšate YubiKey, dajte nám vedieť o svojich skúsenostiach v sekcii komentárov nižšie.^{(If you try out YubiKey, let us know your experience in the comments section below.)}

Configure & use YubiKey Secure Login for Local Account in Windows 10

Users can use hardware seсurity keys, manufacturеd by Swedish compаny Yubico to log into a Local account on Windows 10. The company recently released the first stable version of the Yubico Login for Windows application. In this post, we will show you how to install and configure YubiKey for use on Windows 10 PCs.

YubiKey is a hardware authentication device that supports one-time passwords, public-key encryption and authentication, and the Universal 2nd Factor (U2F) and FIDO2 protocols developed by the FIDO Alliance. It allows users to securely log in to their accounts by emitting one-time passwords or using a FIDO-based public/private key pair generated by the device. YubiKey also allows for storing static passwords for use at sites that do not support one-time passwords. Facebook uses YubiKey for employee credentials, and Google supports it for both employees and users. Some password managers support YubiKey. Yubico also manufactures the Security Key, a device similar to the YubiKey, but focused on public-key authentication.

YubiKey allows users to sign, encrypt, and decrypt messages without exposing the private keys to the outside world. This feature was previously available only for Mac & Linux users.

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. A YubiKey USB hardware .
2. Yubico Login software for Windows.
3. YubiKey Manager software.

All of them are available on yubico.com under their Products tab. Also, you should note that the YubiKey app does not support local Windows accounts managed by Azure Active Directory (AAD) or Active Directory (AD) as well as Microsoft Accounts.

YubiKey hardware authentication device

Before installing the Yubico Login for Windows software, make a note of your Windows username and password for the local account. The person who installs the software must have the Windows username and password for their account. Without these, nothing can be configured, and the account is inaccessible. The default behavior of the Windows credential provider is to remember your last login, so you do not have to type in the username.

For this reason, many people may not remember the username. However, once you install the tool and reboot, the new Yubico credential provider is loaded, so that both admins and end-users have actually to type in the username. For these reasons, not only the admin but also everybody whose account is to be configured via Yubico Login for Windows should check to ensure that they can log in using the Windows username and password for their local account BEFORE the admin installs the tool and configures end-users’ accounts.

It’s also imperative to note that, once Yubico Login for Windows has been configured, there is:

• No Windows Password Hint
• No way to reset passwords
• No Remember Previous User/Login function.

Additionally, Windows automatic login is not compatible with Yubico Login for Windows. If a user whose account was set up for automatic login no longer remembers their original password when the Yubico Login for Windows configuration takes effect, the account can no longer be accessed. Address this issue preemptively by:

• Having users set new passwords before disabling automatic login.
• Have all users verify they can access their accounts with username and their new password before you use Yubico Login for Windows to configure their accounts.

Administrator permissions are required to install the software.

YubiKey Installation

First, verify your username. Once you have installed Yubico Login for Windows and rebooted, you will need to enter this in addition to your password to log in. To do this, open Command Prompt or PowerShell from the Start menu and run the command below

whoami

Take note of the full output, which should be in the form DESKTOP-1JJQRDF\jdoe, where jdoe is the username.

1. Download the Yubico Login for Windows software from here.
2. Run the installer by double-clicking on the download.
3. Accept the end-user license agreement.
4. In the installation wizard, specify the destination folder location or accept the default location.
5. Restart the machine on which the software has been installed. After the restart, the Yubico credential provider presents the login screen that prompts for the YubiKey.

Because the YubiKey has not yet been provisioned, you must switch user and enter not only the password for your local Windows account, but also your username for that account. If necessary, you may have to change Microsoft Account to Local Account.

After you have logged in, search for “Login Configuration” with the green icon. (The item actually labeled Yubico Login for Windows is just the installer, not the application.)

YubiKey Configuration

Administrator permissions are required to configure the software.
Only accounts that are supported can be configured for Yubico Login for Windows. If you launch the configuration wizard, and the account you are looking for is not displayed, it is not supported and therefore not available for configuration.

During the configuration process, the following will be required;

• Primary and Backup Keys: Use a different YubiKey for each registration. If you are configuring backup keys, each user should have one YubiKey for the primary and a second one for the backup key.
• Recovery Code: A recovery code is a last-resort mechanism to authenticate a user if all YubiKeys have been lost. Recovery codes can be assigned to the users you specify; however, the recovery code is only usable if the username and password for the account are also available. The option to generate a recovery code is presented during the configuration process.

Step 1: In the Windows Start menu, select Yubico > Login Configuration.

Step 2: The User Account Control dialog appears. If you are running this from a non-Administrator account, you will be prompted for local administrator credentials. The Welcome page introduces the Yubico Login Configuration provisioning wizard:

Step 3: Click Next. The Default page of Yubico Windows Login Configuration appears.

Step 4: The configurable items are:

Slots: Select the slot where the challenge-response secret will be stored. All YubiKeys that have not been customized come pre-loaded with a credential in slot 1, so if you are using Yubico Login for Windows to configure YubiKeys that are already being used for logging into other accounts, do not overwrite slot 1.

Challenge/Response Secret: This item enables you to specify how the secret will be configured and where it will be stored. The options are:

• Use existing secret if configured – generate if not configured: The key’s existing secret will be used in the specified slot. If the device has no existing secret, the provisioning process will generate a new secret.
• Generate new, random secret, even if a secret is currently configured: A new secret will be generated and programmed to the slot, overwriting any previously configured secret.
• Manually input secret: For advanced users: During the provisioning process, the application will prompt you to input manually an HMAC-SHA1 secret (20 bytes – 40 characters hex-encoded).

Generate Recovery Code: For each user provisioned, a new recovery code will be generated. This recovery code enables the end-user to log in to the system if they have lost their YubiKey.
Note: If you select to save a recovery code while provisioning a user for a second key, any previous recovery code becomes invalid, and only the new recovery code will work.

Create Backup Device for Each User: Use this option to have the provisioning process register two keys for each user, a primary YubiKey and a backup YubiKey. If you do not want to provide recovery codes to your users, it is good practice to give each user a backup YubiKey. For more information, refer to the Primary and Backup Keys section above.

Step 5: Click Next, to select the user(s) to provision. The Select User Accounts page (If there are no local user accounts supported by Yubico Login for Windows, the list will be empty) appears.

Step 6: Select the user accounts to be provisioned during the current run of the Yubico Login for Windows by selecting the checkbox next to the username, and then click Next. The Configuring User page appears.

Step 7: The username shown in the Configuring User field shown above is the user for whom a YubiKey is currently being configured. As each username is displayed, the process prompts you to insert a YubiKey to register for that user.

Step 8: The Wait for Device page is shown while an inserted YubiKey is being detected and before it is registered for the user whose username is in the Configuring User field at the top of the page. If you have selected Create Backup Device for Each User in the Defaults page, the Configuring User field will also display which of the YubiKeys is being registered, Primary or Backup.

Step 9: If you have configured the provisioning process to use a manually specified secret, the field for the 40 hex-digit secrets is displayed. Enter the secret and click Next.

Step 10: The Programming Device page displays the progress of programming each YubiKey.  The Device Confirmation page shown below displays the details of the YubiKey detected by the provisioning process, including the device serial number (if available) and the configuration status of each One-Time Password (OTP) slot. If there are conflicts between what you have set as defaults and what is possible with the detected YubiKey, a warning symbol is displayed. If everything is good to go, a check mark will be shown. If the status line shows an error icon, the error is described, and instructions for fixing it are displayed on the screen.

Step 11: Once programming is complete for a user account, that account can no longer be accessed without the corresponding YubiKey. You are prompted to remove the YubiKey just configured, and the provisioning process automatically proceeds to the next user account/YubiKey combination.

Step 12: After all, the YubiKeys for the specified user account have been provisioned:

• If the Generate Recovery Code was selected on the Defaults page, the Recovery Code page is displayed.
• If Generate Recovery Code was not selected, the provisioning process would automatically continue to the next user account.
• The provisioning process moves to Finished after the last user account is done.

The recovery code is a long string. (To eliminate problems caused by the end-user mistaking the numeral 1 for lowercase letter L and 0 for the letter O, the recovery code is encoded in Base32, which treats alphanumeric characters that look similar as if they were the same.)

The Recovery Code page is displayed after all the YubiKeys for the specified user account has been configured.

Step 13: On the Recovery Code page, generate and set a recovery code for the selected user. Once this has been done, the Copy and Save buttons to the right of the recovery code field become available.

Step 14: Copy the recovery code and save it from being shared with the user and keep it in case the user loses it.

Note: Be sure to save the recovery code at this point in the process. Once you proceed to the next screen, it is not possible to retrieve the code.

Step 15: To move to the next user account from the Select Users page, click Next. When you have configured the last user, the provisioning process displays the Finished page.

Step 16: Give each user their recovery code. End-users should save their recovery code to a safe location accessible when they cannot log in.

YubiKey User Experience

When the local user account has been configured to require a YubiKey, the user is authenticated by the Yubico Credential Provider instead of the default Windows Credential Provider. The user is prompted to insert their YubiKey. Then the Yubico Login screen is presented. The user enters their username and password.

Note: It is not necessary to press the button on the YubiKey USB hardware to log in. In some instances, pressing the button causes the login to fail.

When the end-user logs in, they must insert the correct YubiKey into a USB port on their system. If the end-user enters their username and password without inserting the correct YubiKey, authentication will fail, and the user will be presented with an error message.

If an end user’s account is configured for Yubico Login for Windows, and if a recovery code was generated, and a user loses their YubiKey(s), they can use their recovery code to authenticate. The end-user unlocks their computer with their username, recovery code, and password.

Until a new YubiKey is configured, the end-user must enter the recovery code each time they log in.

If Yubico Login for Windows does not detect that a YubiKey has been inserted, it is likely due to the key not having OTP mode enabled, or you are not inserting a YubiKey, but instead a Security Key, which is not compatible with this application. Use the YubiKey Manager application to ensure that all the YubiKeys to be provisioned have the OTP interface enabled.

Important: Alternative sign-in methods supported by Windows will not be affected. You must, therefore, restrict additional local and remote login methods for the user accounts you are protecting with Yubico Login for Windows to ensure you have not left open any ‘back doors.’

If you try out YubiKey, let us know your experience in the comments section below.

Related posts

• Pozrite si bezpečnostné otázky a odpovede pre lokálny účet v systéme Windows 10

• Ako nainštalovať Windows 11 a Windows 10 na USB kľúč (Windows To Go)

• 3 spôsoby spustenia počítača so systémom Windows 10 z jednotky USB flash -

• Na prihlasovacej obrazovke systému Windows 10 chýba možnosť Switch User Option

• Obnovte heslo miestneho účtu v systéme Windows 10 pomocou inštalačného média

• Ako vybrať predvolený GPU pre hry alebo aplikácie v systéme Windows 10

• Herný režim v systéme Windows 10: Testovanie skutočného výkonu v moderných hrách

• Zoznam počítačov, ktoré podporujú Windows Hello v systéme Windows 10

• Ako vytvoriť lokálny používateľský účet v systéme Windows 10

• Čo je súbor ICM? Ako ho použiť na inštaláciu profilu farieb v systéme Windows 10?

• Najlepšie externé adaptéry Bluetooth pre počítače so systémom Windows 10

• Ako používať Check Disk (chkdsk) na testovanie a opravu chýb pevného disku v systéme Windows 10 -

• Ako prispôsobiť zvukové schémy pre Windows 10 -

• Pripojte telefón so systémom Android k notebooku alebo počítaču so systémom Windows 10 cez Bluetooth -

• Frekvencie procesora sa v systéme Windows 10 nezhodujú

• Zoznam príslušenstva a hardvéru kompatibilného so systémom Windows 10 S

• Povoľte alebo zakážte zabezpečené prihlásenie v systéme Windows 10

• Ako prenášať súbory iným pomocou Bluetooth zo systému Windows 10 Mobile

• 7 spôsobov, ako upraviť jas obrazovky v systéme Windows 10

• Ako automaticky uzamknúť Windows 10 pomocou smartfónu