Firma Yubico oficjalnie udostępniła ulepszoną aplikację Yubikey Login for Windows do logowania się do systemów z rodziny Windows z użyciem klucza bezpieczeństwa Yubikey. Obsługiwane są zarówno systemy konsumenckie jak i firmowe — istnieje możliwość integracji kluczy z Active Directory lub Azure Active Directory, gdzie wspierane jest dodatkowo tak zwane logowanie passwordless (bezhasłowe). Obsługę logowania za pomocą klucza przewidziano dla systemów: Windows 7 Service Pack 1, Windows 8.1 i Windows 10.

W obecnej wersji aplikacji Yubikey Login for Windows na jednym kluczu bezpieczeństwa można dodać do 10 użytkowników. Oprogramowanie podczas wdrażania zaproponuje utworzenie zapasowego kodu awaryjnego na wypadek zgubienia klucza (albo braku dostępności w danym momencie). Ten kod jest bardzo długi, dlatego dobrze jest zapisać wygenerowane znaki w menadżerze haseł lub w pliku tekstowym i przechowywać w chmurze w celu synchronizacji ze smartfonem.

Aby wykorzystać klucz bezpieczeństwa Yubikey do logowania się do systemów Windows trzeba:

  • Skonfigurować logowanie do Windows za pomocą loginu i hasła (ten krok jest dla użytkowników, którzy mają skonfigurowaną metodę logowania za pomocą odcisku palca, Windows Hello albo metody obrazkowej).
  • Następnie trzeba pobrać i zainstalować oprogramowanie Yubikey Login for Windows, wybierając odpowiednią wersją dla architektury systemu (32 lub 64 bity). Aplikacja od razu poprosi o zrestartowanie systemu.
  • Po ponownym uruchomieniu odnajdujemy zainstalowaną aplikację Login Configuration.

Login Configuration to nasza docelowa aplikacja.
Login Configuration to nasza docelowa aplikacja.

Konfiguracja oprogramowania sprowadza się do klikania „Dalej”, ale należy pamiętać o zaznaczeniu opcji generowania kodu zapasowego na wypadek zgubienia klucza. Zalogowanie się do Windows bez klucza bezpieczeństwa lub bez kodu awaryjnego nie będzie możliwe!

Generate Recovery Code to opcja, którą TRZEBA zaznaczyć.
Generate Recovery Code to opcja, którą TRZEBA zaznaczyć.

Po zakończonej konfiguracji już można logować się do Windows tak zwaną metodą wieloskładnikową (multi-factor authentication, MFA). Najpierw loginem i hasłem oraz następnie kluczem bezpieczeństwa.

W pierwszym kroku logujemy się jak zawsze za pomocą loginu i hasła.
W pierwszym kroku logujemy się jak zawsze za pomocą loginu i hasła.
Po skonfigurowaniu oprogramowania logowanie do Windows bez klucza Yubikey nie jest możliwe.
Po skonfigurowaniu oprogramowania logowanie do Windows bez klucza Yubikey nie jest możliwe.
I to wszystko. Teraz mamy solidne i bezpieczne logowanie do środowiska roboczego
I to wszystko. Teraz mamy solidne i bezpieczne logowanie do środowiska roboczego

Szczegółowy opis każdej opcji dostępny jest tutaj. Niestety aplikacja Yubikey Login for Windows (i później Login Configuration) jest tylko w języku angielskim. Natomiast szczegółowe informacje dla administratorów zostały podane na tej stronie. Gorąco zachęcamy do używania tej metody uwierzytelniania się do urządzenia przenośnego jak i stacjonarnego.

Awaryjne logowanie na wypadek niedostępności klucza (warto zaopatrzyć się w dwa klucze i na każdym skonfigurować logowanie)  przebiega w taki sposób:

Yubikey awaryjne logowanie
Podajemy login, awaryjny kod zapasowy oraz hasło do Windows.

Nasze szczegółowe recenzje klucza bezpieczeństwa Yubikey są dostępne na specjalnej stronie poświęconej producentowi Yubico. Bezpieczne uwierzytelnianie na Yubikey się nie kończy, dlatego o innych systemach logowania na miarę XXI wieku można poczytać u nas, np. o polskim systemie Cyberus Key, który jeśli zostałby wprowadzony na masową skalę, na pewno zrewolucjonizowałby logowanie. Warto też przyswoić sobie wiedzę o WebAuthn, czyli o bezpiecznym logowaniu przyszłości. Na naszym portalu mamy też opisane różne techniki omijania wieloskładnikowego logowania.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

MW sob., 19-10-2019 - 20:02

Takie poradniki to świetny pomysł na popularyzowanie kluczy w PL.

A wt., 22-10-2019 - 14:48

A ja ciągle czekam na logowanie do office365 z yubikey'em....

Adrian Ścibor wt., 22-10-2019 - 15:33

Standard protokołu jest gotowy. Microsoft najwyraźniej nie widzi potrzeby śpieszyć się z dodaniem obsługi U2F:
https://office365.uservoice.com/forums/264636-general/suggestions/87037…
https://office365.uservoice.com/forums/289138-office-365-security-compl…

Jeżeli gdzieś klucz bezpieczeństwa nie jest wspierany, to nie dlatego, że czegoś nie obsłuży. Dodatnie obsługi protokołu to dobra wola dewelopera aplikacji. Dla firm jest to bezpłatne już teraz: https://docs.microsoft.com/pl-pl/office365/admin/security-and-complianc…

Dodane przez A w odpowiedzi na

mw wt., 29-10-2019 - 06:34

Usługi MS i Google i tak są zabezpieczone, w porównaniu z innymi. Celowo piszę o tych dwóch, bo to najpopularniejsze poczty i pakiety chmurowe.
Mizerna to jest oferta polskich operatorów, którzy nawet weryfikacji dwuetapowej nie wprowadzają. Zastanawiam się, co trzyma ludzi przy najpopularniejszych usługach pocztowych w PL?

Adrian Ścibor wt., 29-10-2019 - 07:25

Przyzwyczajenie, niewiedza i niechęć do zmian. Początki mogą być trudne jeżeli ktoś od lat używa takiej poczty do wszystkich usług. Zwykli użytkownicy nie słyszeli o przekierowaniach, chociaż nie wiem czy onety i im podobne umożliwiają przekazywanie całej poczty na inną domenę.

Wczoraj odzyskiwałem koleżance konto na FB, ponieważ miała hasło takie samo jak jej data urodzenia. W sumie będzie mały case stady, bo to dobra nauczka dla osób o nikłej wiedzy technicznej.

Oczywiście nie miała wdrożonego 2FA (drugi składnik logowania). A co to jest? - zapytała. Pocztę miała jeszcze w domenie amorki.pl... Chyba jest to już onet, ale sam fakt założenia poczty na czymś takim świadczy o braku świadomości. W każdym razie dla bezpieczników będzie praca w dalszym ciągu :)

Dodane przez mw w odpowiedzi na

mw wt., 29-10-2019 - 06:49

Czasami myślę sobie, że koniecznością jest rezygnacja z tradycyjnego logowania na rzecz nowego sposobu uwiarygadniania, oderwanego od haseł, potwierdzeń, loginów, itp. Biometria, odcisk genetyczny - sam nie wiem co. Ale na pewno coś innego, bo ludzie nie chcą haseł, nawet tego jednego do bazy haseł.

Często słyszę od współpracowników "nie mam nic do ukrycia". Większość ludzi zapisuje i zapamiętuje swoje hasła w każdej przeglądarce, jakiej używa. Teraz to już może nie taki problem, bo robią to na smartfonach. Kawiarenki i publiczne kompy odeszły w zapomnienie ale ... pytanie człowieka, co mu się kopiuje do backupu telefonu, kiedy skasował ostatniego SMS-a, kiedy opróżnił usunięte bywa problematyczne. Podobnie jak wgrywanie poprawek do systemu.
Świadomość, szkolenia, samokontrola, nawyki, zasady, procedury. To wszystko pojęcia abstrakcyjne dla większości. Rzecz ma działać i koniec. Może my faktycznie potrzebujemy jednej łaty - nowej wersji raz w roku i kilku poprawek bezpieczeństwa w międzyczasie? Może trzeba zahermetyzować system operacyjny z aplikacjami użytkowym od jakiegokolwiek grzebania i traktować jako całkowicie oddzielony od danych użytkownika i prób ingerencji?

Adrian Ścibor wt., 29-10-2019 - 07:27

Yubikey to dobra rzecz dla nieuświadomionych ludzi. Problemem jest to, że sami nie będą potrafili skonfigurować takiego logowania.

Dodane przez mw w odpowiedzi na

Dodaj komentarz