Configura e usa YubiKey Secure Login per l'account locale in Windows 10

Gli utenti possono utilizzare chiavi di sicurezza hardware, prodotte dalla società svedese Yubico per accedere a un account locale su Windows 10 . L'azienda ha recentemente rilasciato la prima versione stabile dell'applicazione Yubico Login per Windows(Login for Windows application) . In questo post, ti mostreremo come installare e configurare YubiKey per l'uso su PC Windows 10.

YubiKey è un dispositivo di autenticazione hardware che supporta password monouso, crittografia e autenticazione a chiave pubblica e protocolli Universal 2nd Factor (U2F) e FIDO2 sviluppati da FIDO Alliance . Consente agli utenti di accedere in modo sicuro ai propri account emettendo password monouso o utilizzando una coppia di chiavi pubblica/privata basata su FIDO generata dal dispositivo. YubiKey consente inoltre di archiviare password statiche da utilizzare in siti che non supportano password monouso. Facebook utilizza YubiKey per le credenziali dei dipendenti e Google lo supporta sia per i dipendenti che per gli utenti. Alcuni gestori di password supportano YubiKey .Yubico produce anche Security Key , un dispositivo simile a YubiKey , ma incentrato sull'autenticazione a chiave pubblica.

YubiKey consente agli utenti di firmare, crittografare e decrittografare i messaggi senza esporre le chiavi private al mondo esterno. Questa funzionalità era precedentemente disponibile solo per utenti Mac e Linux .

To configure/set up YubiKey on Windows 10, you’ll need the following:

  1. Un hardware USB YubiKey.
  2. Software di accesso Yubico per Windows.
  3. Software YubiKey Manager.

Tutti sono disponibili su yubico.com nella scheda Prodotti(Product) . Inoltre, tieni presente che l' app YubiKey non supporta gli account Windows locali gestiti da Azure Active Directory ( AAD ) o Active Directory (AD), nonché gli account Microsoft .

(YubiKey)Dispositivo di autenticazione hardware YubiKey

Prima di installare il software Yubico Login(Yubico Login) per Windows , prendere nota del nome utente e della password di Windows per l'account locale . (Windows)La persona che installa il software deve avere il nome utente e la password di Windows per il proprio account. (Windows)Senza questi, non è possibile configurare nulla e l'account è inaccessibile. Il comportamento predefinito del provider di credenziali di Windows consiste nel ricordare l'ultimo accesso, quindi non è necessario digitare il nome utente.

Per questo motivo, molte persone potrebbero non ricordare il nome utente. Tuttavia, una volta installato lo strumento e riavviato, il nuovo provider di credenziali Yubico viene caricato, in modo che sia gli amministratori che gli utenti finali debbano effettivamente digitare il nome utente. Per questi motivi, non solo l'amministratore, ma anche tutti coloro il cui account deve essere configurato tramite Yubico Login per Windows dovrebbero verificare di poter accedere utilizzando il nome utente e la password di Windows per il proprio account locale PRIMA che l'amministratore installi lo strumento e configuri la fine -conti degli utenti.

È inoltre indispensabile notare che, una volta configurato Yubico Login(Yubico Login) per Windows , è presente:

  • Nessun suggerimento per la password di Windows
  • Non c'è modo di reimpostare le password
  • Nessun Remember Previous User/Login Funzione di accesso.

Inoltre, l'accesso automatico a Windows non è compatibile con Yubico Login per Windows . Se un utente il cui account è stato impostato per l'accesso automatico non ricorda più la password originale quando la configurazione di Yubico Login per Windows diventa effettiva, non sarà più possibile accedere all'account. Affronta(Address) questo problema preventivamente:

  • Fare in modo che gli utenti impostino nuove password prima di disabilitare l'accesso automatico.
  • Chiedi a tutti gli utenti di verificare che possono accedere ai propri account con il nome utente e la nuova password prima di utilizzare Yubico Login per Windows per configurare i propri account.

Per installare il software sono necessarie le autorizzazioni di amministratore .

Installazione YubiKey

Innanzitutto, verifica il tuo nome utente. Dopo aver installato Yubico Login per Windows e riavviato, dovrai inserirlo oltre alla password per accedere. Per fare ciò, apri il prompt dei comandi(Command Prompt) o PowerShell dal menu Start ed esegui il comando seguente

whoami

Prendi(Take) nota dell'output completo, che dovrebbe essere nel formato DESKTOP-1JJQRDF\jdoe , dove  jdoe  è il nome utente.

  1. Scarica(Download) il software Yubico Login(Yubico Login) per Windows da qui(here) .
  2. Esegui il programma di installazione facendo doppio clic sul download.
  3. Accetta il contratto di licenza con l'utente finale.
  4. Nella procedura guidata di installazione, specificare il percorso della cartella di destinazione o accettare il percorso predefinito.
  5. Riavviare la macchina su cui è stato installato il software. Dopo il riavvio, il provider di credenziali Yubico presenta la schermata di accesso che richiede la YubiKey .

Poiché la YubiKey non è stata ancora predisposta, devi cambiare utente e inserire non solo la password per il tuo account Windows locale , ma anche il tuo nome utente per quell'account. Se necessario, potrebbe essere necessario modificare l'account Microsoft in Account locale .

Dopo aver effettuato l'accesso, cerca "Configurazione accesso" con l'icona verde. (L'elemento effettivamente etichettato Yubico Login per Windows è solo il programma di installazione, non l'applicazione.)

Configurazione YubiKey

(Administrator)Per configurare il software sono necessarie le autorizzazioni di amministratore .
Solo gli account supportati possono essere configurati per Yubico Login per Windows . Se avvii la procedura guidata di configurazione e l'account che stai cercando non viene visualizzato, non è supportato e quindi non disponibile per la configurazione.

Durante il processo di configurazione, sarà richiesto quanto segue;

  • Chiavi primarie e di backup(Primary and Backup Keys) : utilizza una YubiKey diversa per ogni registrazione. Se stai configurando le chiavi di backup, ogni utente dovrebbe avere una YubiKey per la chiave primaria e una seconda per la chiave di backup.
  • Codice di ripristino(Recovery Code) : un codice di ripristino è un meccanismo di ultima istanza per autenticare un utente se tutte le YubiKey sono state perse. I codici di ripristino(Recovery) possono essere assegnati agli utenti specificati; tuttavia, il codice di ripristino è utilizzabile solo se sono disponibili anche nome utente e password per l'account. L'opzione per generare un codice di ripristino viene presentata durante il processo di configurazione.

Passaggio 1: nel menu Start di Windows , seleziona Yubico > Configurazione accesso(Login Configuration) .

Passaggio 2: viene visualizzata la finestra di dialogo Controllo account utente(User Account Control) . Se lo stai eseguendo da un account non amministratore, ti verranno richieste le credenziali di amministratore locale. La pagina di benvenuto introduce la procedura guidata di provisioning della configurazione di accesso di Yubico(Yubico Login Configuration) :

Dispositivo di autenticazione hardware YubiKey

Passaggio 3: fare clic su Avanti(Next) . Viene visualizzata la pagina predefinita di (Default)Yubico Windows Login Configuration .

Passaggio 4: gli elementi configurabili sono:

Slot(Slots) : seleziona lo slot in cui verrà archiviato il segreto della risposta alla sfida. Tutte le YubiKey che non sono state personalizzate sono precaricate con una credenziale nello slot 1, quindi se utilizzi Yubico Login per Windows per configurare le YubiKey che sono già in uso per accedere ad altri account, non sovrascrivere lo slot 1.

Challenge/Response Secret : questo elemento consente di specificare come verrà configurato il segreto e dove verrà archiviato. Le opzioni sono:

  • Usa segreto esistente se configurato – genera se non configurato(Use existing secret if configured – generate if not configured) : il segreto esistente della chiave verrà utilizzato nello slot specificato. Se il dispositivo non ha un segreto esistente, il processo di provisioning genererà un nuovo segreto.
  • Genera un nuovo segreto casuale, anche se è attualmente configurato un segreto(Generate new, random secret, even if a secret is currently configured) : un nuovo segreto verrà generato e programmato nello slot, sovrascrivendo qualsiasi segreto precedentemente configurato.
  • Segreto di immissione manuale(Manually input secret)per utenti esperti(For advanced users) : durante il processo di provisioning, l'applicazione richiede di immettere manualmente un segreto HMAC-SHA1 (20 byte – 40 caratteri con codifica esadecimale).

Genera codice di ripristino(Generate Recovery Code) : per ogni utente sottoposto a provisioning, verrà generato un nuovo codice di ripristino. Questo codice di ripristino consente all'utente finale di accedere al sistema se ha perso la YubiKey.
Nota: se si seleziona di salvare un codice di ripristino durante il provisioning di un utente per una seconda chiave, qualsiasi codice di ripristino precedente non sarà più valido e funzionerà solo il nuovo codice di ripristino.

Crea dispositivo di backup per ogni utente(Create Backup Device for Each User) : utilizzare questa opzione per fare in modo che il processo di provisioning registri due chiavi per ogni utente, una YubiKey primaria e una YubiKey di backup . Se non si desidera fornire codici di ripristino ai propri utenti, è buona norma fornire a ciascun utente una YubiKey di backup . Per ulteriori informazioni, fare riferimento alla sezione Chiavi (Backup Keys)primarie(Primary) e di backup  sopra.

Passaggio 5: fare clic su Avanti(Next) per selezionare gli utenti di cui eseguire il provisioning. Viene visualizzata la pagina Seleziona account utente(Select User Accounts) (se non ci sono account utente locali supportati da Yubico Login per Windows , l'elenco sarà vuoto).

Passaggio 6: seleziona gli account utente di cui eseguire il provisioning durante l'esecuzione corrente di Yubico Login per Windows selezionando la casella di controllo accanto al nome utente, quindi fai clic su Avanti(Next) . Viene visualizzata la pagina Configurazione utente(Configuring User) .

Passaggio 7: il nome utente mostrato nel campo Configurazione utente(Configuring User) mostrato sopra è l'utente per il quale è attualmente configurata una YubiKey. Quando viene visualizzato ogni nome utente, il processo richiede di inserire una YubiKey per registrarsi per quell'utente.

Passaggio 8: la pagina Attendi dispositivo(Wait for Device) viene visualizzata durante il rilevamento di una YubiKey inserita e prima che venga registrata per l'utente il cui nome utente si trova nel campo Configurazione utente(Configuring User) nella parte superiore della pagina. Se hai selezionato Crea dispositivo di backup per ogni utente(Create Backup Device for Each User) nella pagina Default , il campo (Defaults)Configurazione utente(Configuring User) visualizzerà anche quale delle YubiKey(YubiKeys) è stata registrata, primaria(Primary) o di backup .

Passaggio 9: se il processo di provisioning è stato configurato per l'utilizzo di un segreto specificato manualmente, viene visualizzato il campo per i segreti a 40 cifre esadecimali. Immettere il segreto e fare clic su Avanti(Next) .

Fase 10: La pagina Dispositivo di programmazione(Programming Device) mostra lo stato di avanzamento della programmazione di ciascuna YubiKey . La pagina di conferma del dispositivo(Device Confirmation) mostrata di seguito mostra i dettagli della YubiKey rilevata dal processo di provisioning, incluso il numero di serie del dispositivo (se disponibile) e lo stato di configurazione di ogni slot One-Time Password ( OTP ). Se ci sono conflitti tra ciò che hai impostato come predefinito e ciò che è possibile con la YubiKey rilevata , viene visualizzato un simbolo di avviso. Se tutto è a posto, verrà mostrato un segno di spunta. Se la riga di stato mostra un'icona di errore, l'errore viene descritto e sullo schermo vengono visualizzate le istruzioni per risolverlo.

Passaggio 11: una volta completata la programmazione per un account utente, non è più possibile accedere a tale account senza la YubiKey corrispondente . Viene richiesto di rimuovere la YubiKey appena configurata e il processo di provisioning procede automaticamente alla combinazione account utente/ YubiKey successiva .

Passaggio 12: dopotutto, è stato eseguito il provisioning delle YubiKey(YubiKeys) per l'account utente specificato:

  • Se  è stato selezionato Genera codice di ripristino(Generate Recovery Code) nella pagina Default , viene visualizzata la pagina (Defaults)Codice di ripristino(Recovery Code) .
  • Se  Genera codice di ripristino(Generate Recovery Code)  non è stato selezionato, il processo di provisioning continuerà automaticamente all'account utente successivo.
  • Il processo di provisioning passa a  Terminato(Finished) al  termine dell'ultimo account utente.

Il codice di ripristino è una stringa lunga. (Per eliminare i problemi causati dall'utente finale che scambia il numero 1 per la lettera minuscola L e 0 per la lettera O, il codice di ripristino è codificato in Base32 , che tratta i caratteri alfanumerici che sembrano simili come se fossero gli stessi.)

La pagina del codice di ripristino(Recovery Code) viene visualizzata dopo che tutte le YubiKey(YubiKeys) per l'account utente specificato sono state configurate.

Passaggio 13: nella pagina Codice di ripristino(Recovery Code) , genera e imposta un codice di ripristino per l'utente selezionato. Fatto ciò, diventano disponibili i pulsanti Copia(Copy)  e  Salva(Save) a destra del campo del codice di ripristino.

Passaggio 14: copia il codice di ripristino e salvalo dalla condivisione con l'utente e conservalo nel caso in cui l'utente lo perda.

Nota(Note) : assicurati di salvare il codice di ripristino a questo punto del processo. Una volta che si passa alla schermata successiva, non è possibile recuperare il codice.

Passaggio 15: per passare all'account utente successivo dalla pagina Seleziona utenti(Select Users) , fare clic su Avanti(Next) . Dopo aver configurato l'ultimo utente, il processo di provisioning visualizza la pagina Terminato(Finished) .

Passaggio 16: fornisci a ciascun utente il proprio codice di ripristino. Gli utenti finali devono salvare il proprio codice di ripristino in una posizione sicura accessibile quando non possono accedere.

Esperienza utente YubiKey

Quando l'account utente locale è stato configurato per richiedere una YubiKey , l'utente viene autenticato dal provider di credenziali Yubico anziché dal provider di (Yubico Credential Provider)credenziali di Windows predefinito . All'utente viene richiesto di inserire la propria YubiKey . Quindi viene presentata la schermata di accesso di Yubico(Yubico Login) . L'utente inserisce il proprio nome utente e password.

Nota(Note) : non è necessario premere il pulsante sull'hardware USB YubiKey(YubiKey USB) per accedere. In alcuni casi, premendo il pulsante l'accesso non riesce.

Quando l'utente finale effettua l'accesso, deve inserire la YubiKey corretta in una porta USB del proprio sistema. Se l'utente finale inserisce il proprio nome utente e password senza inserire la YubiKey corretta , l'autenticazione avrà esito negativo e all'utente verrà visualizzato un messaggio di errore.

Se l'account di un utente finale è configurato per Yubico Login per Windows e se è stato generato un codice di ripristino e un utente perde le proprie YubiKey, può utilizzare il codice di ripristino per l'autenticazione. L'utente finale sblocca il proprio computer con nome utente, codice di ripristino e password.

Fino a quando non viene configurata una nuova YubiKey , l'utente finale deve inserire il codice di ripristino ogni volta che effettua l'accesso.

Se Yubico Login per Windows non rileva che è stata inserita una YubiKey , è probabile che la chiave non abbia la modalità OTP abilitata o che tu non stia inserendo una YubiKey , ma una chiave di sicurezza(Security Key) , che non è compatibile con questa applicazione. Utilizzare l' applicazione YubiKey Manager  per assicurarsi che tutte le YubiKey(YubiKeys) di cui eseguire il provisioning abbiano l' interfaccia OTP abilitata.

Importante(Important) : i metodi di accesso alternativi supportati da Windows non saranno interessati. È quindi necessario limitare i metodi di accesso locali e remoti aggiuntivi per gli account utente che si stanno proteggendo con Yubico Login per Windows per assicurarsi di non aver lasciato alcuna "porta sul retro".

Se provi YubiKey, facci sapere la tua esperienza nella sezione commenti qui sotto.(If you try out YubiKey, let us know your experience in the comments section below.)



About the author

Sono un ingegnere telefonico con oltre 10 anni di esperienza nel settore della telefonia mobile e sono specializzato nella riparazione e aggiornamento di smartphone. Il mio lavoro ha incluso lo sviluppo e la manutenzione del firmware del telefono, lo sviluppo di immagini per dispositivi Apple e il lavoro su progetti Firefox OS. Grazie alle mie competenze nello sviluppo di software, ingegneria hardware, elaborazione di immagini e sviluppo di Firefox OS, ho la capacità di affrontare problemi complessi e trasformarli in soluzioni semplici che funzionano su qualsiasi dispositivo.



Related posts