Как настроить yubikey 5 nfc для windows 10
Наконец-то ситуация изменилась и появился аппаратный ключ, с помощью которого данную проблему можно решить. Это программное решение применимо к аппаратным ключам YubiKey 4-й и 5-й версии.
Введение
Yubico Login for Windows добавляет ключ YubiKey в качестве второго ключа аутентификации для локальных учетных записей Windows.
Yubico Login for Windows поддерживает сценарии локальной аутентификации. Может использоваться для входа в систему Windows 7 SP1, Windows 8.1 или Windows 10.
Внимание! Доступ к локальным учетным записям может осуществляться удаленно с помощью таких методов, как программное обеспечение удаленного рабочего стола, SSH или проверка подлинности по протоколу SMB. Yubico Login for Windows не защищает эти нелокальные формы входа в локальные учетные записи.
Yubico Login for Windows не поддерживает ничего из следующего:
Active Directory (AD) Учетные записи управляемых учетных записей
Управляемые учетные записи Azure Active Directory (AAD)
Учетные записи Microsoft (MSA)
Yubico Login for Windows не мешает входу в сеть через NT LAN Manager (NTLM). Поэтому, если вы реализуете общий доступ к файлам в своей локальной сети, аутентификация на этих ресурсах продолжает функционировать нормально без аутентификации второго фактора.
Перед установкой обязательно проверьте, помните ли вы свой логин-пароль. Да-да, не смейтесь, так как последний логин запоминается системой, то многие люди просто не запоминают имя пользователя.
Учтите! Автоматический вход в Windows не совместим с Yubico Login для Windows. Если пользователь, чья учетная запись была настроена для автоматического входа в систему, больше не помнит свой первоначальный пароль, то он не сможет получить доступ к своей учетной записи. Необходимо решить эту проблему в первую очередь:
Установите новый пароль перед отключением автоматического входа.
Пользователь должен убедиться что может получить доступ к своей учетной записи с именем пользователя и новым паролем, прежде чем использовать Yubico Login для Windows.
Как только Yubico Login для Windows будет настроен, у пользователя:
Нет подсказки пароля Windows
Нет способа сбросить пароль
Нельзя запомнить предыдущего пользователя.
Вы можете использовать один и тот же ключ для нескольких учетных записей в одной системе.
Вы можете использовать один и тот же ключ для учетных записей в разных системах, например, если вы являетесь администратором небольшой компании, вы можете зарегистрировать свой YubiKey на всех ПК.
Установка
Для установки программного обеспечения требуются права администратора.
После установки необходимо перезагрузить компьютер. После перезапуска поставщик учетных данных Yubico отображает экран входа в систему, который запрашивает YubiKey.
Поскольку YubiKey еще не был подготовлен, вы должны сменить пользователя и ввести не только имя пользователя , но и пароль для своей локальной учетной записи Windows. При необходимости обратитесь к инструкциям Microsoft по переходу на локальную учетную запись .
После входа в систему выполните поиск «Конфигурация входа» с зеленым значком, как показано ниже на следующем снимке экрана. (Элемент, фактически помеченный как Yubico Login for Windows, является просто установщиком, а не приложением.)
Рисунок 1 Поиск и выбор «Конфигурация входа»
Процесс настройки
Для настройки программного обеспечения требуются права администратора.
Yubico Login for Windows по умолчанию записывает секретный запрос-ответ в слот 2, но вы можете записать его в слот 1.
Основные и резервные ключи
Следует учесть, что вы можете использовать разные YubiKey для каждой регистрации. Если вы настраиваете резервные ключи, у каждого пользователя должен быть один YubiKey для основного и второй для резервного ключа.
Вместе с тем стоит учесть, что, увы, ключи могут теряться. В этом случае вы должны использовать код восстановления.
Код восстановления
Укажите конфигурацию
Процесс подготовки имеет значения по умолчанию, и вам нужно только указать, какие учетные записи вы хотите включить для использования с YubiKeys.
Шаг 1 В меню Пуск Windows выберите Yubico> Конфигурация входа.
Шаг 2 Откроется диалоговое окно контроля учетных записей. Если вы запускаете его из учетной записи не администратора, вам будет предложено ввести учетные данные локального администратора. На странице приветствия представлен мастер подготовки конфигурации входа в систему Yubico, как показано на снимке экрана ниже:
Шаг 3 Нажмите Далее . Появится страница настроек по умолчанию в Yubico Windows Configuration Login, как показано на снимке экрана ниже.
Рисунок 2 Yubico Login Настройки по умолчанию
Шаг 4 Настраиваемые элементы:
Slot: выберите ячейку, в которой будет храниться секрет ответа на вызов. Все YubiKeys, которые не были настроены, предварительно загружены учетными данными в слоте 1, поэтому, если вы используете Yubico Login для Windows для настройки YubiKeys, которые уже используются для входа в другие учетные записи, не перезаписывайте слот 1.
Challengr/Response Secret: этот пункт позволяет указать, как будет настроен секрет и где он будет храниться. Варианты:
Создайте новый случайный секретный ключ, даже если секретный ключ настроен в данный момент : новый ключ будет сгенерирован и запрограммирован в слот, перезаписывая любой ранее сконфигурированный ключ.
Создать код восстановления : для каждого подготовленного пользователя будет создан новый код восстановления. Этот код восстановления позволяет конечному пользователю войти в систему, если он потерял свой YubiKey.
Создать устройство резервного копирования для каждого пользователя : используйте этот параметр, чтобы процесс подготовки регистрировал два ключа для каждого пользователя, основной YubiKey и резервный YubiKey.
Рисунок 3 Выбор учетной записи пользователя
Шаг 2 На странице, показанной выше, выберите учетную запись пользователя, которая будет подготовлена во время текущего запуска входа в Yubico для Windows, установив флажок рядом с именем пользователя, а затем нажав кнопку
Рисунок 4 Конфигурирование пользователя
Шаг 3 Имя пользователя, показанное в поле «Конфигурирование пользователя», показанном выше, — это пользователь, для которого в данный момент настраивается YubiKey. Когда отображается каждое имя пользователя, процесс предлагает вставить YubiKey для регистрации этого пользователя, как показано на скриншоте выше.
Рисунок 5 Подтверждение устройства
После завершения программирования для учетной записи пользователя, эта учетная запись больше не может быть доступна без соответствующего YubiKey.
Рисунок 6 Удалить устройство
После того, как все YubiKeys для указанной учетной записи пользователя были подготовлены:
Если на странице «Настройки по умолчанию» был выбран « Создать код восстановления», отображается страница «Код восстановления».
Если параметр « Создать код восстановления» не был выбран, процесс подготовки автоматически перейдет к следующей учетной записи пользователя.
Процесс подготовки переходит к Завершено после завершения последней учетной записи пользователя.
Создать коды восстановления
Если этот параметр установлен, страница кода восстановления отображается после того, как все YubiKeys для указанной учетной записи пользователя были настроены.
На странице Код восстановления создайте и установите код восстановления для выбранного пользователя. После этого кнопки « Копировать» и « Сохранить» справа от поля кода восстановления становятся доступными:
Рисунок 7 Генерация кода восстановления
Скопируйте код восстановления и сохраните его на случай, если пользователь потеряет ключ.
Примечание. Обязательно сохраните код восстановления на этом этапе процесса. Как только вы переходите к следующему экрану, восстановить код невозможно.
Рисунок 8 Нажмите Finish для выхода
Рисунок 9 Экран входа в систему YubiKey
Войти с кодом восстановления
Если же пользователь потерял свой ключ YubiKey, то он может использовать свой код восстановления для аутентификации. Конечный пользователь разблокирует свой компьютер с помощью своего имени пользователя, кода восстановления и пароля.
Рисунок 10 Ввод кода восстановления
Пока новый YubiKey не настроен, конечный пользователь должен вводить код восстановления каждый раз, когда он входит в систему.
Смена пароля
Смена пароля работает так же, как обычно.
Заключение
Как ни странно, я не понимаю одного. Для чего сегодня нужен 2FA при локальном входе? Ведь сегодня, как правило, локальным ПК в бездоменной среде пользуется как правило один пользователь. Цена ПК не так велика. Кроме того, как как 2FA работает только на версии Pro, то, на мой взгляд, гораздо проще использовать полное шифрование жесткого диска (в частности BitLocker), ведь в таком случае длина пароля локального пользователя уже не существенна. Впрочем, если вы используете EFS-шифрование, то в таком случае использование 2FA имеет смысл.
Если вы работаете в сфере информационных технологий, то у вас, возможно, есть аппаратный ключ безопасности YubiKey. У меня такой имеется. Это — YubiKey 5C Nano, показанный на следующем снимке.
YubiKey 5C Nano
Если вы работаете в области, не связанной с компьютерами, но при этом, в основном, пользуетесь ноутбуком, то вам, возможно, стоило бы обзавестись YubiKey. А если вы участвуете в политической кампании, или работаете журналистом, то вам, определённо, нужен YubiKey (или нечто подобное). Обсудите это с вашим отделом безопасности. Правда, этот материал будет кое о чём таком, о чём специалистам вашего отдела безопасности лучше не знать. Поэтому не говорите им об этой статье.
Ключ YubiKey используется в механизмах двухфакторной аутентификации. Это означает, что после того, как вы вошли в некую систему с помощью имени пользователя и пароля, система предложит вам авторизоваться с помощью ещё одного механизма. В результате, если ваши имя пользователя и пароль украдут, злоумышленнику придётся украсть ещё и второе средство аутентификации, что усложняет его задачу.
Существуют разные способы двухфакторной аутентификации. Например, часто встречается такая схема работы: веб-сайт предлагает вам отсканировать QR-код с помощью приложения вроде Google Authenticator, установленного на телефоне, генерирующего 6-значные коды. Работа этого механизма основана на том, что у сервера и у приложения имеется один и тот же секретный ключ. Телефон генерирует коды, основываясь на этом ключе и на текущей отметке времени. Такие же коды генерирует и сервер. Когда серверу предоставляют код, созданный в приложении, он проверяет, совпадает ли он с кодом, который сгенерировал он.
Шестизначный код, сгенерированный приложением
Ключи YubiKey — это маленькие устройства, подключаемые к USB-портам компьютеров и эмулирующие клавиатуру. Когда нажимают кнопку YubiKey (или, скорее, касаются её), устройство генерирует одноразовый пароль (One-Time password, OTP), который может быть проверен специальным сервером. На устройстве имеется секретный ключ, используемый для подписывания информации, но этот ключ никогда не выходит за пределы устройства, так как он сохранён в особом окружении, защищённом от несанкционированного доступа.
Мой YubiKey рассчитан на постоянное подключение к USB-порту. Поэтому я, когда, например, беру ноутбук с рабочего стола и переношу его в конференц-зал, забираю с собой и YubiKey. Но теперь мой ноутбук, как и ноутбуки многих «новообращённых» удалённых работников, никогда не покидает мой рабочий стол. Я подключил его к внешнему монитору, а чтобы сэкономить на столе немного места, я установил его вертикально, в сложенном состоянии, на специальной стойке.
Это усложнило задачу активации YubiKey. Особенно — если ноутбук находится далеко от внешней клавиатуры и мыши. Я решил эту проблему, купив USB-C-удлинитель, благодаря которому смог разместить YubiKey поближе к клавиатуре.
Да, я ещё не рассказал об одной особенности YubiKey 5C Nano. Дело в том, что кнопку устройства довольно тяжело «нажимать», и это — даже если не учитывать проблему большого расстояния до ключа. Область устройства, которой надо коснуться для активации ключа, очень мала.
YubiKey 5C Nano
Одна из особенностей YubiKey заключается в том, что устройство срабатывает только в том случае, если металлического контакта касается человек. Это предотвращает срабатывание ключа в том случае, если, например, YubiKey что-нибудь случайно заденет. Если вы когда-нибудь видели в Slack-канале или в документах Google одноразовый пароль, вроде tlerefhcvijlngibueiiuhkeibbcbecehvjiklltnbbl , то вы знаете о том, что система это не идеальная. Я бы сказал, что устройство не срабатывает в одной из пяти попыток его активировать.
На то, чтобы ключ нельзя было бы активировать программно, было потрачено много сил и времени.
Прежде чем мы пойдём дальше, мне хотелось бы остановиться на причинах подобного состояния дел. Если хакер сможет взломать компьютер и сумеет программно активировать YubiKey, это полностью лишит смысла использование данного ключа. Но я полагаю, что мы всегда идём на компромиссы между безопасностью и удобством. Например, часто бывает так, что YubiKey-пароль не нужно вводить каждый раз, подключаясь к некоей системе. Некоторые системы, после ввода такого пароля, позволяют, при следующих входах в них, некоторое время не вводить его снова. Или, например, когда система с двухфакторной аутентификацией выдаёт вам резервные коды доступа — часто ли вы их распечатываете на принтере и убираете в надёжное место? Каждый сам для себя находит устраивающий его баланс безопасности и удобства.
Учитывая вышесказанное, давайте поговорим о том, как можно программно активировать YubiKey.
Я называю этот механизм The Finger
Аппаратная часть системы
Для начала нам нужен какой-то способ для организации взаимодействия компьютера и The Finger. У меня есть куча макетных плат IZOKEE D1 Mini, которые представляют собой уменьшенную версию плат, использующих знаменитый чип ESP8266, применяемый во многих IoT-устройствах.
Плата с чипом ESP8266
Этот модуль можно подключить к ноутбуку по USB, но так как он поддерживает WiFi, на нём можно просто запустить веб-сервер и отправлять ему команды по беспроводной сети.
Далее, нам нужно нечто, способное перемещать The Finger в направлении YubiKey. После непродолжительных поисков в интернете я узнал о том, что с платой D1 Mini хорошо стыкуется шаговый двигатель 28BYJ-48.
Шаговый двигатель
Шаговый двигатель преобразует электрические импульсы во вращательные движения, у D1 Mini есть пины, способные выдавать подобные импульсы.
Схема работы двигателя
Но шаговый двигатель имеет вращающийся якорь, а нам нужно перемещать движущуюся часть The Finger по прямой. Я поискал по слову 28BYJ-48 на Thingiverse и обнаружил соответствующий механизм.
Механизм для преобразования вращательного движения в прямолинейное
Тут к двигателю крепится шестерня, которая перемещает вперёд-назад длинный стержень с зубцами. А если мы собираемся перемещать в направлении YubiKey длинную пластиковую штуковину, то она вполне может выглядеть как обычный палец. Я опять пошёл на Thingiverse, поискал там по слову «finger» и нашёл модель пальца, которую кто-то сделал для Хэллоуина.
Модель пальца
Я открыл файлы моделей в Fusion 360, и, пользуясь продвинутыми CAD-инструментами, сделал то, модель чего показана ниже.
Результат объединения моделей пальца и стержня
Потом я экспортировал модель в формат STL и напечатал её на 3D-принтере. В тот момент в принтер был заряжен пластик Prusament PLA Lipstick Red. Он и пошёл в дело. Когда пластиковый палец был готов, я взял его и коснулся им сенсора YubiKey. Ничего не произошло. Тогда я нашёл у себя на столе металлический винт и коснулся YubiKey на этот раз им. Ключ мгновенно выдал одноразовый пароль. Я прикрепил пластиковый палец к столу струбциной, просверлил в нём небольшое отверстие и вкрутил туда винт. Потом я коснулся сенсора винтом, вкрученным в пластиковый палец, но на этот раз устройство снова не отреагировало на прикосновение.
Обработка пластиковой модели
Именно тогда я понял, что я — идиот, и что когда я касался YubiKey металлическим винтом, металл просто передавал электрический заряд с моего тела на ёмкостный датчик касания YubiKey. Как же мне обмануть датчик и заставить его поверить в то, что пластиковая модель — это настоящий палец?
Я предположил, что принцип работы ёмкостных датчиков заключается в том, что они измеряют ёмкость человеческого тела по отношению к «земле». Поэтому, если подключить датчик прямо к «земле», то он решит, что тело коснувшегося его человека просто является очень хорошим проводником. Поэтому я взял изолированный провод, немного открутил винт, обмотал концом провода винт и опять его закрутил. Потом я подключил другой конец провода к выходу GND платы D1 Mini и снова коснулся YubiKey. На этот раз всё заработало!
К плате управления двигателем уже были подключены выходы 5V и GND платы D1 Mini. Поэтому я подумал, что мне может понадобиться подключить к GND и плату управления двигателем, и винт. Но неожиданно для себя я понял, что могу просто воткнуть другой конец провода, идущего от винта, между и металлическим корпусом двигателя (по-видимому — заземлённым) и пластиковой стенкой отсека для двигателя. И так всё тоже работало!
Провод, соединяющий корпус двигателя и винт, вкрученный в пластиковый палец
После того, как я убедился в том, что The Finger способен активировать YubiKey, я начал думать о том, как закрепить YubiKey рядом с пластиковым пальцем. Этот вопрос я решил, измерив цифровым штангенциркулем размеры USB-C-удлинителя и создав держатель для двигателя, пальца и удлинителя с YubiKey в Fusion 360.
Удлинитель входит в отверстие держателя, расположенное слева, а двигатель монтируется справа.
На этом этапе работы мне понадобилось подключить плату управления двигателем к D1 Mini. Это можно сделать, припаяв несколько выводов к D1 Mini и подключив к ним соединительные провода Dupont, идущие к плате двигателя.
Подключение платы управления двигателем к плате D1 Mini
В следующей таблице показана схема подключения платы управления двигателем к плате D1 Mini.
D1 Mini | Плата управления 28BYJ-48 |
5V | 5V |
GND | GND |
D1 | IN1 |
D2 | IN2 |
D3 | IN3 |
D4 | IN4 |
После того, как все части системы оказались собранными воедино, у меня получилось то, что показано на следующем рисунке.
Система в сборе
Программная часть системы
После предварительных настроек я, чтобы проверить работоспособность системы, запустил скетч, который мигает светодиодом.
Потом я обнаружил этот скетч, демонстрирующий пример управления шаговым двигателем 28BYJ-48 по WiFi.
Вот та часть кода, которая отвечает за управление двигателем:
Вот как всё это устроено. Веб-сервер выдаёт страницу с двумя кнопками. Одна из них, CCW, включает вращение вала двигателя против часовой стрелки, другая, CW — включает вращение по часовой стрелке. Если нажимают кнопку CCW, значение переменной dirStatus меняется на 1, если нажимают кнопку CW — значение этой переменной меняется на 2. Повторные нажатия на уже нажатые кнопки переводит переменную dirStatus в значение 3 и двигатель выключается.
Тут можно обратить внимание на функцию loop() , в которой осуществляется проверка переменной dirStatus . В зависимости от её значения осуществляется либо увеличение значения переменной poleStep , либо его уменьшение (двигатель в это время работает), либо выключение двигателя.
Это значит, что мы можем переписать функцию motorControl() , упростив её и приведя в такое состояние:
Она включит вращение вала двигателя против часовой стрелки при обращении к конечной точке.
Затем мы модифицируем функцию loop() , сделав так, чтобы вал двигателя перемещался бы на 400 шагов против часовой стрелки, а затем — менял бы направление движения и, вращаясь по часовой стрелке, выполнял бы 400 шагов в обратном направлении. После этого двигатель останавливается.
В том, как устроена аппаратная часть The Finger, есть одна приятная особенность. Она заключается в том, что из-за того, что двигатель является не особенно мощным, он, ничему не вредя, может продолжать вращаться против часовой стрелки даже после того, как пластиковый палец коснётся YubiKey. А когда двигатель вращается по часовой стрелке, возвращая палец в исходную позицию, кость, торчащая из пальца (делали-то его для Хэллоуина), упирается в край подставки и не даёт пальцу, прикреплённому к стержню, съехать с платформы. Я начал подбор значения переменной steps , от которой зависит расстояние, проходимое пальцем, с 1000 шагов. Потом, проверяя расстояние, на которое перемещается палец, постепенно уменьшал это значение, дойдя, в итоге, до 400 шагов.
Потом я выяснил MAC-адрес WiFi-платы, настроил статический IP-мэппинг на маршрутизаторе для этого адреса и сделал запись в локальном DNS о finger.localdomain .
Запуск The Finger
Нажимать на сенсорную кнопку YubiKey не так уж и удобно, а вот нажатие на клавишу механической клавиатуры — это уже совсем другое дело. Я полагал, что будет очень здорово, если я смогу активировать YubiKey с клавиатуры.
У того, кто пользуется клавиатурой без цифрового блока, в верхней правой части клавиатуры есть кнопки Print Screen , Scroll Lock и Pause . В 2020 году особого смысла в их обычном функционале нет, поэтому на них вполне можно «повесить» выполнение каких-то особых задач.
Настроить клавиатуру мне помогла программа Karabiner-Elements. Эта программа, как и аппаратная часть моего проекта, немного напоминает машину Голдберга.
Я воспользовался её вкладкой Simple modifications для того чтобы поменять From key на pause , а To key на f14 .
Потом я перешёл на её вкладку Misc и щёлкнул по кнопке Open config folder (
/bin/yubikey.scpt можно написать Applescript-код, вызывающий shell-скрипт:
Зачем вызывать один скрипт из другого? Я выяснил, что если запускаю shell-скрипт из Karabiner Elements, то открывается новый экземпляр Terminal.app . В результате окно, запрашивающее данные с YubiKey, теряет фокус. А при таком подходе всё работает в фоне.
И, наконец, в файле
/bin/yubikey.sh имеется следующий код:
А вот как выглядит работа готовой системы.
Нажатие на клавишу клавиатуры активирует YubiKey
Я, чтобы проверить работу системы, выполнил тестовый запрос на получение данных с YubiKey, но я могу гарантировать вам то, что The Finger делает своё дело и в ситуации, когда YubiKey нужен в реальных условиях. Вот код, позволяющий самостоятельно выполнить запрос ключа с YubiKey. Может, вам он зачем-то понадобится:
Мы, имея этот shell-скрипт, можем запустить процесс активации YubiKey вообще не нажимая ни на какие кнопки. А именно, в терминале iTerm2 есть возможность, называемая Triggers (триггеры). Она позволяет выполнять какие-то действия, основываясь на анализе текстов в терминале. Можно создать регулярное выражение, которое ожидает появления текста «Yubikey for» и запускает скрипт активации YubiKey. В результате для запуска The Finger не нужно нажимать на особую кнопку.
Итоги
Я показал The Finger одному человеку, а он говорит: «Итак… ты, по сути, сделал кнопку, которую ты нажимаешь для того чтобы нажать другую кнопку? Почему бы просто не нажать нужную кнопку?». Меня этот вопрос немного разозлил. Получается, что тот, кому я показывал проект, ничего не понял. «Неужели не ясно? Это — плохая кнопка. А это — кнопка хорошая. Я хочу нажимать на хорошую кнопку».
Работайте над тем, что для вас важно.
Были ли у вас проекты, которые казались кому-то из окружающих бессмысленными?
Система биологической аутентификации Microsoft Windows Hello — одна из самых востребованных функций, которые пользователи хотят получить от новых компьютеров. В настоящее время наиболее популярными являются считыватели отпечатков пальцев , распознавание лиц с помощью ИК-камер или сканеры радужной оболочки (для телефонов) .
Еще один новый метод Windows Hello только начинает появляться на рынке: сопутствующие устройства. Теоретически, такие носимые вещи, как умные часы или ваш телефон, могут стать еще одним способом проверки вашей подлинности. Новое приложение YubiKey для Windows 10 вписывается в эту категорию. Сегодня я рассмотрю и покажу, как это работает.
ЮбиКей — Что это
YubiKeys от Yubico — это небольшие USB-устройства, которые вы носите с собой, чтобы добавить двухфакторную аутентификацию (2FA) в различные приложения и службы. Например, если вы используете LastPass для хранения всех ваших паролей, вам нужен один мастер-пароль, чтобы разблокировать их все. Это огромная уязвимость безопасности, потому что, если кому-то удастся получить этот пароль, он получит все остальное в вашем сейфе. При использовании YubiKey злоумышленнику физически потребуется ваш USB YubiKey в дополнение к вашему паролю, чтобы разблокировать ваш виртуальный сейф.
Конечно, 2FA — это дополнительный шаг. Помимо ввода пароля, вам нужно вставить YubiKey, подождать секунду и нажать на металлическую область сенсорного ввода на клавише. Это супер просто в использовании, но все еще немного больше работы. Тем не менее, когда речь заходит о безопасности, такой тип защиты нужен — и нужен — многим.
YubiKey NEO стоит $ 50 и позволяет вам добавить 2FA ко многим услугам, а также разблокировать ваш ПК
Другие сервисы, которые работают с YubiKey, включают Google, Dashlane, KeePass, Dropbox, Evernote, WordPress, GitHub и другие вещи, такие как шифрование диска .
На данный момент в продаже есть три основных типа YubiKeys :
Они варьируются в цене от 40 долларов за обычные версии USB до 50 долларов за вариант USB и NFC. С NFC пользователи также могут использовать YubiKey NEO для мобильных телефонов Android и, предположительно, любую другую систему с NFC.
На CES 2017 Yubico анонсировала YubiKey 4C , устройство USB Type-C, которое соответствует современным ПК и компьютерам. Эта версия поступит в продажу в феврале 2017 года и за 50 долларов.
YubiKey для Windows Привет
Недавно Yubico выпустила новое приложение под названием YubiKey для Windows Hello в Магазине Windows. Бесплатное приложение позволяет вам связать ваш YubiKey с вашим ПК (не с учетной записью Microsoft) в качестве дополнительного устройства безопасности.
Хотя это не био-аутентификация, например, распознавание отпечатков пальцев или лиц, добавление YubiKey на ваш ПК позволяет разблокировать и войти в компьютер, просто вставив физическое устройство в ПК.
Итак, зачем? Большинство современных компьютеров, включая ноутбуки и настольные компьютеры, не имеют встроенной системы Windows Hello. Используя YubiKey, вы можете дешево добавить это на свой ПК, одновременно используя его с другими приложениями и службами, перечисленными выше.
После установки в ПК система все время разблокируется. Удаление ключа позволяет снова заблокировать его. YubiKey достаточно маленький, чтобы его можно было носить с собой на цепочке для ключей, что облегчает его использование на домашнем ПК или ноутбуке.
Настройка
Настроить YubiKey очень легко, если у вас есть физическое устройство.
Вот и все. Весь процесс занимает около 30 секунд.
Настройка в Windows 10 Pro или Enterprise
Для тех, кто имеет лицензию Windows 10 Home, перечисленные выше шаги — это все, что требуется для работы YubiKey с Windows Hello. Однако если у вас есть выпуски Windows 10 Pro или Enterprise, вам нужно будет отредактировать локальную политику безопасности, чтобы разрешить сопутствующие устройства.
Если вы не уверены, какая версия Windows 10 у вас есть, выберите «Настройки»> «Система»> «О программе» и «Под редакцией», она должна читаться как Windows 10 Home, Windows 10 Pro или Windows 10 для предприятия.
Если вы используете Windows 10 Pro или Enterprise, вы можете изменить систему, чтобы разрешить сопутствующие устройства для Windows Hello. Вот как по словам Юбико :
- Откройте редактор локальной групповой политики . Для этого нажмите [ Windows key + R ], а затем введите gpedit.msc .
- В редакторе локальной групповой политики на верхнем уровне политики локального компьютера выберите Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Фактор вторичной аутентификации Microsoft .
- На правой панели нажмите на ссылку Изменить параметр политики . (Можно также дважды щелкнуть параметр «Разрешить сопутствующему устройству для вторичной аутентификации».) Состояние по умолчанию Не настроено.
- На экране настроек выберите параметр «Включено» и нажмите « ОК» . Если этот параметр уже выбран, ваша политика установлена, и вы можете нажать Отмена.
- Выйдите из редактора локальной групповой политики и консоли управления.
Опять же, если вы Windows 10 Home, вы можете пропустить это, поскольку нет редактора локальной групповой политики.
Ограничения
Существуют некоторые интересные ограничения, связанные с использованием сопутствующего устройства, такого как YubiKey и Windows Hello.
Например, YubiKey не является двухфакторным средством проверки подлинности для Windows Hello. Другими словами, компьютеру не нужно сканировать ваше лицо и видеть YubiKey в USB-порту, чтобы разблокировать ваш компьютер.
Вместо этого, YubiKey — это физическое устройство без биометрических данных, которое при необходимости может разблокировать ваш ПК . Если вы потеряете ключ, вы все равно можете использовать PIN-код, отпечаток пальца, сканирование лица или основной пароль для входа в компьютер, как обычно.
В настоящее время нет способа требовать наличия YubiKey в USB-порту для разблокировки ПК. Это означает, что если у кого-то еще есть полный пароль к вашему ПК, он может разблокировать ваш компьютер независимо от того, есть ли у вас YubiKey. В этом смысле, если у вас уже есть сканер отпечатков пальцев или распознавание лиц с помощью YubiKey не требуется.
Концептуально, однако, вы можете думать об этом так: когда вы оставляете YubiKey на своем ПК, он разблокирован для всех, как автомобиль . Когда вы удаляете YubiKey, система теперь заблокирована. Существует много сред, включая школы, предприятия или лаборатории, где такая ключевая система была бы желательна. Это также хороший вариант, если вы уже используете YubiKey и у вас нет биометрической системы Windows Hello для вашего компьютера.
Заворачивать
В целом, приложение и ключ YubiKey для Windows Hello — отличный вариант для тех, кто заинтересован в безопасности. На домашнем компьютере родитель может использовать этот ключ, чтобы разблокировать компьютер для своих детей без необходимости вводить пароль или регулярно использовать отпечаток пальца. Однако после извлечения ключа ребенок не может пользоваться компьютером.
Я бы также предложил YubiKey в качестве опции для тех, у кого нет камеры распознавания лиц Windows Hello или сканера отпечатков пальцев. Когда он вставлен, он позволяет пользователю легко разблокировать ПК и может быть полезным инструментом в различных ситуациях.
Для офисов приложение YubiKey для Windows Hello также работает на Surface Hub. Это означает, что сотрудникам могут быть предоставлены ключи для разблокировки определенных компьютеров или Surface Hub без необходимости привлечения ИТ-специалистов к назначению или совместному использованию паролей.
Конечно, есть и другие варианты использования YubiKey, помимо Windows Hello, что дает инструменту вторичное и увлекательное использование. В будущем потребители могут ожидать, что такие функциональные возможности появятся в их мобильных телефонах, умных часах и многом другом, что сделает компьютерную безопасность еще более гибкой, позволяя вам иметь очень длинный пароль.
Мы можем заработать комиссию за покупки, используя наши ссылки. Узнайте больше
Нам удалось! Мы, совместно с Microsoft, предоставили сотням миллионов пользователей по всему миру возможность беспарольного входа в личные учетные записи Microsoft, при помощи YubiKey 5 или Security Key от Yubico.
Вместе с недавним обновлением Windows 10 (версия 1809) и встроенной в браузер Edge нативной поддержкой, все пользовательские учетные записи Microsoft получили возможность выполнения беспарольного входа через FIDO2/WebAuthn.
Используя YubiKey с учетной записью Microsoft в браузере Edge, вы можете выполнять быстрый и безопасный вход во все сервисы от Microsoft:
Доступ к вашим сервисам от Microsoft, с минимальными усилиями — всё это за счет одного логина и никаких паролей. Как вам такая идея?
Сегодняшнее* заявление от Microsoft ознаменовало переломный момент в истории аутентификации. Первое, не требующее драйверов, USB-устройство аутентификации «в одно касание» было представлено в 2008 году, в виде оригинального YubiKey — генератора одноразовых паролей. Для того, чтобы усовершенствовать защиту от фишинга и хакерских атак, а также для обеспечения работы ключей безопасности с любым количеством сервисов, при этом без обмена приватными ключами, Yubico совместно с Google создали стандарт U2F, который был в последствии передан FIDO Alliance.
Для того, чтобы устранить необходимость в именах пользователя и паролях, мы, совместно с Microsoft и FIDO Alliance, работали над развитием U2F, логическим продолжением которого стала технология беспарольного входа FIDO2. Мы благодарим всех, кто принимал участие в осуществлении данной идеи.
«Беспарольный вход должен кардинально изменить то, как представители бизнеса и потребители осуществляют доступ к устройствам и приложениям. Данное сочетание простоты использования с передовыми практиками в области безопасности предлагает опыт, который пользователи полюбят, а хакеры возненавидят», — говорит Алекс Саймонс — вице-президент департамента Microsoft Identity Division. «FIDO2 — это ключевой момент в планах Microsoft по отказу от паролей, а устройства, такие как YubiKey, являются замечательным примером того, как мы работаем с нашими партнерами над осуществлением данного перехода»
Как настроить YubiKey для работы с вашей учетной записью Microsoft
Чтобы воспользоваться новой функцией беспарольного входа, достаточно зарегистрировать в учетной записи Microsoft ключ с поддержкой FIDO2 — YubiKey 5 или Security Key от Yubico. Данная функция доступна на любом ПК с установленной ОС Windows 10, обновленной до версии 1809, и браузером Microsoft Edge.
Вы можете выбрать вариант с подключением по USB-A или USB-C (YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C, YubiKey 5C Nano, Security Key от Yubico), или по NFC (YubiKey 5 NFC).
- Для начала, запустите Microsoft Edge из ОС Windows 10, обновленной до версии 1809, и перейдите к странице входа в учетную запись Microsoft.
“(прим. пер., на момент написания статьи, опция добавления и настройки ключей безопасности доступна только если выбранный язык страницы — English (United States)”
- Войдите в учетную запись, нажмите на Security> More security options, затем выберите Set up a security key.
- Укажите, какой тип подключения YubiKey вы используете (USB или NFC), затем нажмите Next.
- Вы будете перенаправлены на процедуру, в ходе которой вам нужно будет подключить YubiKey и/или прикоснуться к датчику-кнопке на ключе.
В результате данного действия между YubiKey и вашей учетной записью Microsoft будет сгенерирована уникальная ключевая пара из открытого и приватного ключей. При этом, приватный ключ хранится только на вашем YubiKey, и ни при каких обстоятельствах из него не извлекается. Публичный ключ, который хранится в сервисах Microsoft, служит для аутентификации вашего входа в учетную запись.
- Далее, вы получите запрос на установку уникального PIN-кода, для защиты вашего ключа. Данный PIN-код сохраняется не в учетной записи Microsoft, а локально на YubiKey.
- Продолжайте процедуру настройки. Когда индикатор на YubiKey начнет мигать, прикоснитесь к датчику-кнопке на ключе.
- Укажите имя для вашего ключа безопасности, так вы сможете его отличить от других, используемых вами ключей (рекомендуется также настроить второй YubiKey, для использования в качестве запасного).
- Выйдите из учетной записи и странице входа выберите Use security key, затем войдите используя YubiKey, введите PIN-код и прикоснитесь к кнопке на ключе.
Вот и всё! Вы успешно настроили беспарольных вход в учетную запись Microsoft, при помощи надежной аппаратной аутентификации на основе открытых ключей, что предоставляет превосходную защиту от фишинга и атак типа «man-in-the-middle**».
Помимо FIDO2, серия YubiKey 5 поддерживает: FIDO U2F, режим PIV-совместимой смарт-карты, OpenPGP, одноразовые пароли Yubico OTP, OATH-TOTP, OATH-HOTP, и Challenge-Response***. Таким образом, устройство, которое вы используете для защиты вашей учетной записи Microsoft может использоваться для защиты учетных записей менеджеров паролей, социальных сетей, и многих других популярных онлайн-сервисов. Ознакомьтесь с полным каталогом сервисов и приложений, которые работают с YubiKey.
Читайте также: