Użytkownicy mogą używać sprzętowych kluczy bezpieczeństwa, wyprodukowanych przez szwedzką firmę Yubico , aby zalogować się na konto lokalne w systemie Windows 10^{(Windows 10)} . Firma niedawno wydała pierwszą stabilną wersję aplikacji Yubico Login for Windows^{(Login for Windows application)} . W tym poście pokażemy, jak zainstalować i skonfigurować YubiKey do użytku na komputerach z systemem Windows 10.

YubiKey to sprzętowe urządzenie uwierzytelniające, które obsługuje hasła jednorazowe, szyfrowanie i uwierzytelnianie kluczem publicznym oraz protokoły Universal 2nd Factor (U2F) i FIDO2 opracowane przez FIDO Alliance . Pozwala użytkownikom bezpiecznie logować się na swoje konta, emitując jednorazowe hasła lub używając pary kluczy publiczny/prywatny opartej na FIDO, generowanej przez urządzenie. YubiKey umożliwia również przechowywanie statycznych haseł do użytku w witrynach, które nie obsługują haseł jednorazowych. Facebook używa YubiKey do poświadczeń pracowników, a Google obsługuje go zarówno dla pracowników, jak i użytkowników. Niektóre menedżery haseł obsługują YubiKey .Yubico produkuje również klucz bezpieczeństwa^{(Security Key)} , urządzenie podobne do YubiKey , ale skupiające się na uwierzytelnianiu za pomocą klucza publicznego.

YubiKey pozwala użytkownikom podpisywać, szyfrować i odszyfrowywać wiadomości bez ujawniania kluczy prywatnych światu zewnętrznemu. Ta funkcja była wcześniej dostępna tylko dla użytkowników komputerów Mac^(Mac) i Linux .

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. Sprzęt USB YubiKey.
2. Oprogramowanie Yubico do logowania dla systemu Windows.
3. Oprogramowanie YubiKey Manager.

Wszystkie z nich są dostępne na yubico.com w zakładce Produkty^(Product) . Należy również pamiętać, że aplikacja YubiKey nie obsługuje lokalnych kont Windows zarządzanych przez ^(Windows)Azure Active Directory ( AAD ) lub Active Directory (AD), a także konta Microsoft .

^(YubiKey)Urządzenie do uwierzytelniania sprzętowego YubiKey

Przed zainstalowaniem oprogramowania Yubico Login for Windows zanotuj swoją nazwę użytkownika i hasło systemu Windows do konta lokalnego . ^(Windows)Osoba, która instaluje oprogramowanie, musi posiadać nazwę użytkownika i hasło systemu Windows do swojego konta. ^(Windows)Bez nich nic nie można skonfigurować, a konto jest niedostępne. Domyślnym zachowaniem dostawcy poświadczeń systemu Windows^(Windows) jest zapamiętywanie ostatniego logowania, dzięki czemu nie trzeba wpisywać nazwy użytkownika.

Z tego powodu wiele osób może nie pamiętać nazwy użytkownika. Jednak po zainstalowaniu narzędzia i ponownym uruchomieniu ładowany jest nowy dostawca poświadczeń Yubico , więc zarówno administratorzy, jak i użytkownicy końcowi muszą wpisać nazwę użytkownika. Z tych powodów nie tylko administrator, ale także wszyscy, których konto ma zostać skonfigurowane za pomocą Yubico Login for Windows , powinni sprawdzić, czy mogą się zalogować przy użyciu nazwy użytkownika i hasła systemu Windows^(Windows) do swojego konta lokalnego ZANIM administrator zainstaluje narzędzie i skonfiguruje koniec -konta użytkowników.

Należy również zauważyć, że po skonfigurowaniu Yubico Login^{(Yubico Login)} for Windows istnieje:

• Brak podpowiedzi do hasła systemu Windows
• Nie ma możliwości zresetowania haseł
• Brak funkcji Remember Previous User/Login .

Ponadto automatyczne logowanie Windows nie jest kompatybilne z ^(Windows)Yubico Login for Windows . Jeśli użytkownik, którego konto zostało skonfigurowane do automatycznego logowania, nie pamięta już swojego oryginalnego hasła, gdy konfiguracja Yubico Login for Windows zaczyna obowiązywać, dostęp do konta nie jest już możliwy. Rozwiąż^(Address) ten problem zapobiegawczo poprzez:

• Poproszenie użytkowników o ustawienie nowych haseł przed wyłączeniem automatycznego logowania.
• Poproś wszystkich użytkowników o sprawdzenie, czy mogą uzyskać dostęp do swoich kont przy użyciu nazwy użytkownika i nowego hasła, zanim użyjesz Yubico Login for Windows do skonfigurowania ich kont.

Do zainstalowania oprogramowania wymagane są uprawnienia administratora .

Instalacja YubiKey

Najpierw zweryfikuj swoją nazwę użytkownika. Po zainstalowaniu Yubico Login dla Windows i ponownym uruchomieniu, będziesz musiał wprowadzić to oprócz hasła, aby się zalogować. Aby to zrobić, otwórz Wiersz polecenia^{(Command Prompt)} lub PowerShell z menu Start i uruchom poniższe polecenie

whoami

Zwróć^(Take) uwagę na pełne dane wyjściowe, które powinny mieć postać DESKTOP-1JJQRDF\jdoe , gdzie  jdoe  to nazwa użytkownika.

1. Pobierz^(Download) oprogramowanie Yubico Login dla^(here) systemu Windows stąd .
2. Uruchom instalator, klikając dwukrotnie pobrany plik.
3. Zaakceptuj umowę licencyjną użytkownika końcowego.
4. W kreatorze instalacji określ lokalizację folderu docelowego lub zaakceptuj lokalizację domyślną.
5. Uruchom ponownie komputer, na którym zainstalowano oprogramowanie. Po ponownym uruchomieniu dostawca poświadczeń Yubico wyświetla ekran logowania z monitem o YubiKey .

Ponieważ YubiKey nie został jeszcze udostępniony, musisz zmienić użytkownika i wprowadzić nie tylko hasło do lokalnego konta Windows , ale także nazwę użytkownika dla tego konta. W razie potrzeby może być konieczna zmiana konta Microsoft na konto lokalne .

Po zalogowaniu wyszukaj „Konfiguracja logowania” z zieloną ikoną. (Element faktycznie oznaczony jako Yubico Login for Windows to tylko instalator, a nie aplikacja.)

Konfiguracja YubiKey

^{(Administrator)}Do konfiguracji oprogramowania wymagane są uprawnienia administratora .
Tylko konta, które są obsługiwane, mogą być skonfigurowane dla Yubico Login for Windows . Jeśli po uruchomieniu kreatora konfiguracji konto, którego szukasz, nie jest wyświetlane, oznacza to, że nie jest obsługiwane i dlatego nie jest dostępne do konfiguracji.

Podczas procesu konfiguracji wymagane będą następujące elementy;

• Klucze podstawowe i zapasowe^{(Primary and Backup Keys)} : do każdej rejestracji użyj innego klucza YubiKey . ^(YubiKey)Jeśli konfigurujesz klucze zapasowe, każdy użytkownik powinien mieć jeden YubiKey jako klucz podstawowy i drugi jako klucz zapasowy.
• Kod odzyskiwania^{(Recovery Code)} : Kod odzyskiwania jest mechanizmem ostatniej szansy do uwierzytelnienia użytkownika, jeśli wszystkie YubiKeys zostały utracone. Kody odzyskiwania^(Recovery) można przypisać do określonych użytkowników; jednak kod odzyskiwania jest użyteczny tylko wtedy, gdy dostępna jest również nazwa użytkownika i hasło do konta. Opcja wygenerowania kodu odzyskiwania jest prezentowana podczas procesu konfiguracji.

Krok 1: W menu Start systemu Windows wybierz Yubico > Konfiguracja logowania^{(Login Configuration)} .

Krok 2: Pojawi się okno dialogowe Kontrola konta użytkownika^{(User Account Control)} . Jeśli używasz tego z konta innego niż Administrator, zostaniesz poproszony o podanie poświadczeń administratora lokalnego. Strona powitalna przedstawia kreatora konfiguracji logowania Yubico^{(Yubico Login Configuration)} :

Krok 3: Kliknij Dalej^(Next) . Zostanie wyświetlona strona domyślna ^(Default)konfiguracji logowania Windows Yubico^{(Yubico Windows Login Configuration)} .

Krok 4: Konfigurowalne elementy to:

Sloty^(Slots) : wybierz slot, w którym będzie przechowywany sekret wyzwania-odpowiedzi. Wszystkie YubiKeys, które nie zostały dostosowane, są fabrycznie załadowane z poświadczeniami w gnieździe 1, więc jeśli używasz Yubico Login for Windows do konfigurowania YubiKeys, które są już używane do logowania na inne konta, nie nadpisuj gniazda 1.

Challenge/Response Secret : Ta pozycja umożliwia określenie, w jaki sposób hasło zostanie skonfigurowane i gdzie będzie ono przechowywane. Dostępne opcje to:

• Użyj istniejącego klucza tajnego, jeśli skonfigurowano – wygeneruj, jeśli nie skonfigurowano^{(Use existing secret if configured – generate if not configured)} : Istniejący klucz tajny będzie używany w określonym slocie. Jeśli urządzenie nie ma istniejącego klucza tajnego, proces udostępniania wygeneruje nowy klucz tajny.
• Generuj nowy, losowy sekret, nawet jeśli sekret jest aktualnie skonfigurowany^{(Generate new, random secret, even if a secret is currently configured)} : Nowy sekret zostanie wygenerowany i zaprogramowany w gnieździe, nadpisując wcześniej skonfigurowany sekret.
• Ręcznie wprowadź hasło^{(Manually input secret)} :  dla zaawansowanych użytkowników^{(For advanced users)} : podczas procesu udostępniania aplikacja wyświetli monit o ręczne wprowadzenie hasła HMAC-SHA1 (20 bajtów – 40 znaków zakodowanych szesnastkowo).

Wygeneruj kod odzyskiwania^{(Generate Recovery Code)} : dla każdego udostępnionego użytkownika zostanie wygenerowany nowy kod odzyskiwania. Ten kod odzyskiwania umożliwia użytkownikowi końcowemu zalogowanie się do systemu, jeśli zgubił swój YubiKey.
Uwaga: Jeśli wybierzesz zapisanie kodu odzyskiwania podczas udostępniania użytkownikowi drugiego klucza, poprzedni kod odzyskiwania stanie się nieważny i będzie działał tylko nowy kod odzyskiwania.

Utwórz urządzenie zapasowe dla każdego użytkownika^{(Create Backup Device for Each User)} : użyj tej opcji, aby proces udostępniania rejestrował dwa klucze dla każdego użytkownika, podstawowy YubiKey i zapasowy YubiKey . Jeśli nie chcesz udostępniać użytkownikom kodów odzyskiwania, dobrą praktyką jest przekazanie każdemu użytkownikowi kopii zapasowej YubiKey . Aby uzyskać więcej informacji, zapoznaj się z sekcją Klucze ^{(Backup Keys)}podstawowe^(Primary) i zapasowe  powyżej.

Krok 5: Kliknij Dalej^(Next) , aby wybrać użytkowników do udostępnienia. Pojawi się strona Wybierz konta użytkowników^{(Select User Accounts)} (jeśli nie ma lokalnych kont użytkowników obsługiwanych przez Yubico Login for Windows , lista będzie pusta).

Krok 6: Wybierz konta użytkowników, które mają być udostępniane podczas bieżącego uruchamiania Yubico Login for Windows , zaznaczając pole wyboru obok nazwy użytkownika, a następnie kliknij przycisk Dalej^(Next) . Pojawi się strona Konfiguracja użytkownika^{(Configuring User)} .

Krok 7: Nazwa użytkownika pokazana w polu Konfiguracja użytkownika^{(Configuring User)} pokazanym powyżej to użytkownik, dla którego aktualnie konfigurowany jest YubiKey. Gdy wyświetlana jest każda nazwa użytkownika, proces prosi o włożenie YubiKey, aby zarejestrować się dla tego użytkownika.

Krok 8: Strona Czekaj na urządzenie^{(Wait for Device)} jest wyświetlana, gdy włożony klucz YubiKey jest wykrywany i przed jego rejestracją dla użytkownika, którego nazwa użytkownika znajduje się w polu Konfiguracja użytkownika^{(Configuring User)} u góry strony. Jeśli wybrałeś Utwórz kopię zapasową urządzenia dla każdego użytkownika^{(Create Backup Device for Each User)} na stronie Domyślne^(Defaults) , w polu Konfiguracja użytkownika^{(Configuring User)} pojawi się również, który z kluczy YubiKeys^(YubiKeys) jest rejestrowany, Podstawowy^(Primary) lub Zapasowy^(Backup) .

Krok 9: Jeśli skonfigurowano proces aprowizacji tak, aby używał ręcznie określonego hasła, zostanie wyświetlone pole 40 szesnastkowych kluczy tajnych. Wprowadź klucz tajny i kliknij Dalej^(Next) .

Krok 10: Strona Urządzenie Programujące^{(Programming Device)} wyświetla postęp programowania każdego YubiKey . Strona potwierdzenia urządzenia^{(Device Confirmation)} pokazana poniżej wyświetla szczegóły YubiKey wykrytego podczas procesu udostępniania, w tym numer seryjny urządzenia (jeśli jest dostępny) i stan konfiguracji każdego gniazda hasła^{(One-Time Password)} jednorazowego ( OTP ). Jeśli wystąpią konflikty między ustawieniami domyślnymi a możliwościami wykrytego klucza YubiKey^(YubiKey) , wyświetlany jest symbol ostrzegawczy. Jeśli wszystko jest w porządku, pojawi się znacznik wyboru. Jeśli w wierszu stanu wyświetlana jest ikona błędu, błąd jest opisany, a na ekranie wyświetlane są instrukcje dotyczące jego naprawy.

Krok 11: Po zakończeniu programowania konta użytkownika, dostęp do tego konta nie jest już możliwy bez odpowiedniego YubiKey . Zostaniesz poproszony o usunięcie właśnie skonfigurowanego YubiKey , a proces udostępniania automatycznie przejdzie do następnej kombinacji konta użytkownika / YubiKey .

Krok 12: W końcu YubiKeys dla określonego konta użytkownika zostały udostępnione:

• Jeśli na stronie Defaults  wybrano opcję Generate Recovery Code , zostanie wyświetlona strona Recovery Code .
• Jeśli  opcja Generuj kod odzyskiwania^{(Generate Recovery Code)}  nie zostanie wybrana, proces udostępniania zostanie automatycznie kontynuowany na następnym koncie użytkownika.
• Proces aprowizacji przechodzi do  stanu Zakończono^(Finished)  po zakończeniu ostatniego konta użytkownika.

Kod odzyskiwania to długi ciąg. (Aby wyeliminować problemy spowodowane przez pomylenie przez użytkownika końcowego cyfry 1 z małą literą L i 0 z literą O, kod odzyskiwania jest zakodowany w Base32 , który traktuje znaki alfanumeryczne, które wyglądają podobnie, jakby były takie same).

Strona Kod odzyskiwania^{(Recovery Code)} jest wyświetlana po skonfigurowaniu wszystkich YubiKeys dla określonego konta użytkownika.

Krok 13: Na stronie Kod odzyskiwania^{(Recovery Code)} wygeneruj i ustaw kod odzyskiwania dla wybranego użytkownika. Po wykonaniu tej czynności przyciski Kopiuj^(Copy)  i  Zapisz^(Save) po prawej stronie pola kodu odzyskiwania stają się dostępne.

Krok 14: Skopiuj kod odzyskiwania i zapisz go przed udostępnieniem użytkownikowi i zachowaj na wypadek jego utraty.

Uwaga^(Note) : pamiętaj o zapisaniu kodu odzyskiwania na tym etapie procesu. Po przejściu do następnego ekranu nie ma możliwości odzyskania kodu.

Krok 15: Aby przejść do następnego konta użytkownika ze strony Wybierz użytkowników^{(Select Users)} , kliknij Dalej^(Next) . Po skonfigurowaniu ostatniego użytkownika proces aprowizacji wyświetla stronę Zakończono^(Finished) .

Krok 16: Podaj każdemu użytkownikowi swój kod odzyskiwania. Użytkownicy końcowi powinni zapisać swój kod odzyskiwania w bezpiecznym miejscu dostępnym, gdy nie mogą się zalogować.

Doświadczenie użytkownika YubiKey

Gdy konto użytkownika lokalnego zostało skonfigurowane tak, aby wymagało klucza YubiKey^(YubiKey) , użytkownik jest uwierzytelniany przez dostawcę poświadczeń Yubico^{(Yubico Credential Provider)} zamiast domyślnego dostawcy poświadczeń systemu Windows . Użytkownik jest proszony o włożenie swojego YubiKey . Następnie zostanie wyświetlony ekran logowania Yubico^{(Yubico Login)} . Użytkownik wprowadza swoją nazwę użytkownika i hasło.

Uwaga^(Note) : Aby się zalogować, nie trzeba naciskać przycisku na sprzęcie YubiKey USB^{(YubiKey USB)} . W niektórych przypadkach naciśnięcie przycisku powoduje niepowodzenie logowania.

Gdy użytkownik końcowy się zaloguje, musi włożyć właściwy YubiKey do portu USB w swoim systemie. Jeśli użytkownik końcowy wprowadzi swoją nazwę użytkownika i hasło bez wpisania prawidłowego klucza YubiKey^(YubiKey) , uwierzytelnianie nie powiedzie się, a użytkownikowi zostanie wyświetlony komunikat o błędzie.

Jeśli konto użytkownika końcowego jest skonfigurowane do logowania Yubico^{(Yubico Login)} dla systemu Windows^(Windows) i jeśli wygenerowano kod odzyskiwania, a użytkownik utraci swoje klucze YubiKey, może użyć swojego kodu odzyskiwania do uwierzytelnienia. Użytkownik końcowy odblokowuje swój komputer za pomocą swojej nazwy użytkownika, kodu odzyskiwania i hasła.

Dopóki nowy YubiKey nie zostanie skonfigurowany, użytkownik końcowy musi wprowadzić kod odzyskiwania przy każdym logowaniu.

Jeśli Yubico Login for Windows nie wykryje, że YubiKey został włożony, prawdopodobnie jest to spowodowane tym, że klucz nie ma włączonej funkcji OTP lub nie wkładasz YubiKey^(YubiKey) , ale zamiast tego klucz bezpieczeństwa^{(Security Key)} , który nie jest kompatybilny z tą aplikacją. Użyj aplikacji YubiKey Manager  , aby upewnić się, że wszystkie YubiKeys , które mają zostać udostępnione, mają włączony interfejs OTP .

Ważne^(Important) : nie będzie to miało wpływu na alternatywne metody logowania obsługiwane przez system Windows . ^(Windows)Dlatego musisz ograniczyć dodatkowe lokalne i zdalne metody logowania dla kont użytkowników, które chronisz za pomocą Yubico Login for Windows , aby upewnić się, że nie pozostawiłeś otwartych żadnych „tylnych drzwi”.

Jeśli wypróbujesz YubiKey, daj nam znać o swoich doświadczeniach w sekcji komentarzy poniżej.^{(If you try out YubiKey, let us know your experience in the comments section below.)}

Configure & use YubiKey Secure Login for Local Account in Windows 10

Users can uѕe hardware security keys, manufactured by Swedish company Yubico to log into a Local account on Windows 10. The company recently released the first stable version of the Yubico Login for Windows application. In this post, we will show you how to install and configure YubiKey for use on Windows 10 PCs.

YubiKey is a hardware authentication device that supports one-time passwords, public-key encryption and authentication, and the Universal 2nd Factor (U2F) and FIDO2 protocols developed by the FIDO Alliance. It allows users to securely log in to their accounts by emitting one-time passwords or using a FIDO-based public/private key pair generated by the device. YubiKey also allows for storing static passwords for use at sites that do not support one-time passwords. Facebook uses YubiKey for employee credentials, and Google supports it for both employees and users. Some password managers support YubiKey. Yubico also manufactures the Security Key, a device similar to the YubiKey, but focused on public-key authentication.

YubiKey allows users to sign, encrypt, and decrypt messages without exposing the private keys to the outside world. This feature was previously available only for Mac & Linux users.

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. A YubiKey USB hardware .
2. Yubico Login software for Windows.
3. YubiKey Manager software.

All of them are available on yubico.com under their Products tab. Also, you should note that the YubiKey app does not support local Windows accounts managed by Azure Active Directory (AAD) or Active Directory (AD) as well as Microsoft Accounts.

YubiKey hardware authentication device

Before installing the Yubico Login for Windows software, make a note of your Windows username and password for the local account. The person who installs the software must have the Windows username and password for their account. Without these, nothing can be configured, and the account is inaccessible. The default behavior of the Windows credential provider is to remember your last login, so you do not have to type in the username.

For this reason, many people may not remember the username. However, once you install the tool and reboot, the new Yubico credential provider is loaded, so that both admins and end-users have actually to type in the username. For these reasons, not only the admin but also everybody whose account is to be configured via Yubico Login for Windows should check to ensure that they can log in using the Windows username and password for their local account BEFORE the admin installs the tool and configures end-users’ accounts.

It’s also imperative to note that, once Yubico Login for Windows has been configured, there is:

• No Windows Password Hint
• No way to reset passwords
• No Remember Previous User/Login function.

Additionally, Windows automatic login is not compatible with Yubico Login for Windows. If a user whose account was set up for automatic login no longer remembers their original password when the Yubico Login for Windows configuration takes effect, the account can no longer be accessed. Address this issue preemptively by:

• Having users set new passwords before disabling automatic login.
• Have all users verify they can access their accounts with username and their new password before you use Yubico Login for Windows to configure their accounts.

Administrator permissions are required to install the software.

YubiKey Installation

First, verify your username. Once you have installed Yubico Login for Windows and rebooted, you will need to enter this in addition to your password to log in. To do this, open Command Prompt or PowerShell from the Start menu and run the command below

whoami

Take note of the full output, which should be in the form DESKTOP-1JJQRDF\jdoe, where jdoe is the username.

1. Download the Yubico Login for Windows software from here.
2. Run the installer by double-clicking on the download.
3. Accept the end-user license agreement.
4. In the installation wizard, specify the destination folder location or accept the default location.
5. Restart the machine on which the software has been installed. After the restart, the Yubico credential provider presents the login screen that prompts for the YubiKey.

Because the YubiKey has not yet been provisioned, you must switch user and enter not only the password for your local Windows account, but also your username for that account. If necessary, you may have to change Microsoft Account to Local Account.

After you have logged in, search for “Login Configuration” with the green icon. (The item actually labeled Yubico Login for Windows is just the installer, not the application.)

YubiKey Configuration

Administrator permissions are required to configure the software.
Only accounts that are supported can be configured for Yubico Login for Windows. If you launch the configuration wizard, and the account you are looking for is not displayed, it is not supported and therefore not available for configuration.

During the configuration process, the following will be required;

• Primary and Backup Keys: Use a different YubiKey for each registration. If you are configuring backup keys, each user should have one YubiKey for the primary and a second one for the backup key.
• Recovery Code: A recovery code is a last-resort mechanism to authenticate a user if all YubiKeys have been lost. Recovery codes can be assigned to the users you specify; however, the recovery code is only usable if the username and password for the account are also available. The option to generate a recovery code is presented during the configuration process.

Step 1: In the Windows Start menu, select Yubico > Login Configuration.

Step 2: The User Account Control dialog appears. If you are running this from a non-Administrator account, you will be prompted for local administrator credentials. The Welcome page introduces the Yubico Login Configuration provisioning wizard:

Step 3: Click Next. The Default page of Yubico Windows Login Configuration appears.

Step 4: The configurable items are:

Slots: Select the slot where the challenge-response secret will be stored. All YubiKeys that have not been customized come pre-loaded with a credential in slot 1, so if you are using Yubico Login for Windows to configure YubiKeys that are already being used for logging into other accounts, do not overwrite slot 1.

Challenge/Response Secret: This item enables you to specify how the secret will be configured and where it will be stored. The options are:

• Use existing secret if configured – generate if not configured: The key’s existing secret will be used in the specified slot. If the device has no existing secret, the provisioning process will generate a new secret.
• Generate new, random secret, even if a secret is currently configured: A new secret will be generated and programmed to the slot, overwriting any previously configured secret.
• Manually input secret: For advanced users: During the provisioning process, the application will prompt you to input manually an HMAC-SHA1 secret (20 bytes – 40 characters hex-encoded).

Generate Recovery Code: For each user provisioned, a new recovery code will be generated. This recovery code enables the end-user to log in to the system if they have lost their YubiKey.
Note: If you select to save a recovery code while provisioning a user for a second key, any previous recovery code becomes invalid, and only the new recovery code will work.

Create Backup Device for Each User: Use this option to have the provisioning process register two keys for each user, a primary YubiKey and a backup YubiKey. If you do not want to provide recovery codes to your users, it is good practice to give each user a backup YubiKey. For more information, refer to the Primary and Backup Keys section above.

Step 5: Click Next, to select the user(s) to provision. The Select User Accounts page (If there are no local user accounts supported by Yubico Login for Windows, the list will be empty) appears.

Step 6: Select the user accounts to be provisioned during the current run of the Yubico Login for Windows by selecting the checkbox next to the username, and then click Next. The Configuring User page appears.

Step 7: The username shown in the Configuring User field shown above is the user for whom a YubiKey is currently being configured. As each username is displayed, the process prompts you to insert a YubiKey to register for that user.

Step 8: The Wait for Device page is shown while an inserted YubiKey is being detected and before it is registered for the user whose username is in the Configuring User field at the top of the page. If you have selected Create Backup Device for Each User in the Defaults page, the Configuring User field will also display which of the YubiKeys is being registered, Primary or Backup.

Step 9: If you have configured the provisioning process to use a manually specified secret, the field for the 40 hex-digit secrets is displayed. Enter the secret and click Next.

Step 10: The Programming Device page displays the progress of programming each YubiKey.  The Device Confirmation page shown below displays the details of the YubiKey detected by the provisioning process, including the device serial number (if available) and the configuration status of each One-Time Password (OTP) slot. If there are conflicts between what you have set as defaults and what is possible with the detected YubiKey, a warning symbol is displayed. If everything is good to go, a check mark will be shown. If the status line shows an error icon, the error is described, and instructions for fixing it are displayed on the screen.

Step 11: Once programming is complete for a user account, that account can no longer be accessed without the corresponding YubiKey. You are prompted to remove the YubiKey just configured, and the provisioning process automatically proceeds to the next user account/YubiKey combination.

Step 12: After all, the YubiKeys for the specified user account have been provisioned:

• If the Generate Recovery Code was selected on the Defaults page, the Recovery Code page is displayed.
• If Generate Recovery Code was not selected, the provisioning process would automatically continue to the next user account.
• The provisioning process moves to Finished after the last user account is done.

The recovery code is a long string. (To eliminate problems caused by the end-user mistaking the numeral 1 for lowercase letter L and 0 for the letter O, the recovery code is encoded in Base32, which treats alphanumeric characters that look similar as if they were the same.)

The Recovery Code page is displayed after all the YubiKeys for the specified user account has been configured.

Step 13: On the Recovery Code page, generate and set a recovery code for the selected user. Once this has been done, the Copy and Save buttons to the right of the recovery code field become available.

Step 14: Copy the recovery code and save it from being shared with the user and keep it in case the user loses it.

Note: Be sure to save the recovery code at this point in the process. Once you proceed to the next screen, it is not possible to retrieve the code.

Step 15: To move to the next user account from the Select Users page, click Next. When you have configured the last user, the provisioning process displays the Finished page.

Step 16: Give each user their recovery code. End-users should save their recovery code to a safe location accessible when they cannot log in.

YubiKey User Experience

When the local user account has been configured to require a YubiKey, the user is authenticated by the Yubico Credential Provider instead of the default Windows Credential Provider. The user is prompted to insert their YubiKey. Then the Yubico Login screen is presented. The user enters their username and password.

Note: It is not necessary to press the button on the YubiKey USB hardware to log in. In some instances, pressing the button causes the login to fail.

When the end-user logs in, they must insert the correct YubiKey into a USB port on their system. If the end-user enters their username and password without inserting the correct YubiKey, authentication will fail, and the user will be presented with an error message.

If an end user’s account is configured for Yubico Login for Windows, and if a recovery code was generated, and a user loses their YubiKey(s), they can use their recovery code to authenticate. The end-user unlocks their computer with their username, recovery code, and password.

Until a new YubiKey is configured, the end-user must enter the recovery code each time they log in.

If Yubico Login for Windows does not detect that a YubiKey has been inserted, it is likely due to the key not having OTP mode enabled, or you are not inserting a YubiKey, but instead a Security Key, which is not compatible with this application. Use the YubiKey Manager application to ensure that all the YubiKeys to be provisioned have the OTP interface enabled.

Important: Alternative sign-in methods supported by Windows will not be affected. You must, therefore, restrict additional local and remote login methods for the user accounts you are protecting with Yubico Login for Windows to ensure you have not left open any ‘back doors.’

If you try out YubiKey, let us know your experience in the comments section below.

Related posts

• Wyświetl pytania bezpieczeństwa i odpowiedzi dotyczące konta lokalnego w systemie Windows 10

• Jak zainstalować system Windows 11 i Windows 10 na dysku USB (Windows To Go)

• 3 sposoby uruchamiania komputera z systemem Windows 10 z dysku flash USB —

• Brak opcji przełączania użytkownika na ekranie logowania do systemu Windows 10

• Zresetuj hasło do konta lokalnego w systemie Windows 10 za pomocą nośnika instalacyjnego

• Włącz lub wyłącz konto administratora na ekranie logowania w systemie Windows 10

• Jak zmienić domyślne urządzenia dźwiękowe w systemie Windows 10 (odtwarzanie i nagrywanie)

• Jak podłączyć komputer z systemem Windows 10 do smartfona z systemem Windows 10 Mobile za pomocą Bluetooth

• Jak wejść do BIOS w Windows 10?

• Jak włączyć Bluetooth w systemie Windows 10: 5 sposobów

• Jak zrobić hotspot w systemie Windows 10: wszystko, co musisz wiedzieć

• Jak przetestować i używać kamery internetowej w systemie Windows 10 za pomocą aplikacji Aparat

• Jak dostosować schematy dźwiękowe dla systemu Windows 10 -

• 5 sposobów na zmianę nazwy dowolnego dysku w systemie Windows 10

• Lista komputerów obsługujących Windows Hello w Windows 10

• Jak skonfigurować mikrofon i głośniki w Skype dla Windows 10

• Najlepsze skanery linii papilarnych dla systemu Windows 10

• Lista akcesoriów i sprzętu kompatybilnego z Windows 10 S

• Co to jest plik ICM? Jak go użyć do zainstalowania profilu kolorów w systemie Windows 10?

• Jak wylogować innych użytkowników w systemie Windows 10