Firma Yubico oficjalnie udostępniła ulepszoną aplikację 
Konfiguracja oprogramowania sprowadza się do klikania „Dalej”, ale należy pamiętać o zaznaczeniu opcji generowania kodu zapasowego na wypadek zgubienia klucza. Zalogowanie się do Windows bez klucza bezpieczeństwa lub bez kodu awaryjnego nie będzie możliwe!
Po zakończonej konfiguracji już można logować się do Windows tak zwaną metodą wieloskładnikową (multi-factor authentication, MFA). Najpierw loginem i hasłem oraz następnie kluczem bezpieczeństwa.
Szczegółowy opis każdej opcji dostępny jest tutaj. Niestety aplikacja Yubikey Login for Windows (i później Login Configuration) jest tylko w języku angielskim. Natomiast szczegółowe informacje dla administratorów zostały podane na tej stronie. Gorąco zachęcamy do używania tej metody uwierzytelniania się do urządzenia przenośnego jak i stacjonarnego.
Awaryjne logowanie na wypadek niedostępności klucza (warto zaopatrzyć się w dwa klucze i na każdym skonfigurować logowanie) przebiega w taki sposób:
Nasze szczegółowe recenzje klucza bezpieczeństwa Yubikey są dostępne na specjalnej stronie poświęconej producentowi Yubico. Bezpieczne uwierzytelnianie na Yubikey się nie kończy, dlatego o innych systemach logowania na miarę XXI wieku można poczytać u nas, np. o polskim systemie Cyberus Key, który jeśli zostałby wprowadzony na masową skalę, na pewno zrewolucjonizowałby logowanie. Warto też przyswoić sobie wiedzę o WebAuthn, czyli o bezpiecznym logowaniu przyszłości. Na naszym portalu mamy też opisane różne techniki omijania wieloskładnikowego logowania.
Yubikey Login for Windows do logowania się do systemów z rodziny Windows z użyciem klucza bezpieczeństwa Yubikey. Obsługiwane są zarówno systemy konsumenckie jak i firmowe — istnieje możliwość integracji kluczy z Active Directory lub Azure Active Directory, gdzie wspierane jest dodatkowo tak zwane logowanie passwordless (bezhasłowe). Obsługę logowania za pomocą klucza przewidziano dla systemów: Windows 7 Service Pack 1, Windows 8.1 i Windows 10.
W obecnej wersji aplikacji Yubikey Login for Windows na jednym kluczu bezpieczeństwa można dodać do 10 użytkowników. Oprogramowanie podczas wdrażania zaproponuje utworzenie zapasowego kodu awaryjnego na wypadek zgubienia klucza (albo braku dostępności w danym momencie). Ten kod jest bardzo długi, dlatego dobrze jest zapisać wygenerowane znaki w menadżerze haseł lub w pliku tekstowym i przechowywać w chmurze w celu synchronizacji ze smartfonem.
Aby wykorzystać klucz bezpieczeństwa Yubikey do logowania się do systemów Windows trzeba:
- Skonfigurować logowanie do Windows za pomocą loginu i hasła (ten krok jest dla użytkowników, którzy mają skonfigurowaną metodę logowania za pomocą odcisku palca, Windows Hello albo metody obrazkowej).
- Następnie trzeba pobrać i zainstalować oprogramowanie Yubikey Login for Windows, wybierając odpowiednią wersją dla architektury systemu (32 lub 64 bity). Aplikacja od razu poprosi o zrestartowanie systemu.
- Po ponownym uruchomieniu odnajdujemy zainstalowaną aplikację
Login Configuration.
Konfiguracja oprogramowania sprowadza się do klikania „Dalej”, ale należy pamiętać o zaznaczeniu opcji generowania kodu zapasowego na wypadek zgubienia klucza. Zalogowanie się do Windows bez klucza bezpieczeństwa lub bez kodu awaryjnego nie będzie możliwe!
Po zakończonej konfiguracji już można logować się do Windows tak zwaną metodą wieloskładnikową (multi-factor authentication, MFA). Najpierw loginem i hasłem oraz następnie kluczem bezpieczeństwa.
Szczegółowy opis każdej opcji dostępny jest tutaj. Niestety aplikacja Yubikey Login for Windows (i później Login Configuration) jest tylko w języku angielskim. Natomiast szczegółowe informacje dla administratorów zostały podane na tej stronie. Gorąco zachęcamy do używania tej metody uwierzytelniania się do urządzenia przenośnego jak i stacjonarnego.
Awaryjne logowanie na wypadek niedostępności klucza (warto zaopatrzyć się w dwa klucze i na każdym skonfigurować logowanie) przebiega w taki sposób:
Nasze szczegółowe recenzje klucza bezpieczeństwa Yubikey są dostępne na specjalnej stronie poświęconej producentowi Yubico. Bezpieczne uwierzytelnianie na Yubikey się nie kończy, dlatego o innych systemach logowania na miarę XXI wieku można poczytać u nas, np. o polskim systemie Cyberus Key, który jeśli zostałby wprowadzony na masową skalę, na pewno zrewolucjonizowałby logowanie. Warto też przyswoić sobie wiedzę o WebAuthn, czyli o bezpiecznym logowaniu przyszłości. Na naszym portalu mamy też opisane różne techniki omijania wieloskładnikowego logowania.Proste i bezpieczne logowanie z kluczami YubiKey
Dzięki kluczom bezpieczeństwa Yubikey ryzyko przejęcia konta internetowego w wyniku ataku phishingowego lub wycieku loginu i hasła jest ograniczone praktycznie do ZERA. Zalogowanie się na profil użytkownika np. do Facebooka albo poczty GMail bez fizycznego dostępu do klucza nie będzie możliwe.
Hakerzy nie mają żadnych szans!
Yubikey chroni internetowe konta polityków, osób na kluczowych stanowiskach, ekspertów z branży IT, a także redakcji AVLab.
Takie poradniki to świetny pomysł na popularyzowanie kluczy w PL.
A ja ciągle czekam na logowanie do office365 z yubikey’em….
Standard protokołu jest gotowy. Microsoft najwyraźniej nie widzi potrzeby śpieszyć się z dodaniem obsługi U2F:
https://office365.uservoice.com/forums/264636-general/suggestions/8703772-fido-u2f
https://office365.uservoice.com/forums/289138-office-365-security-compliance/suggestions/34965667-fido-u2f-support
Jeżeli gdzieś klucz bezpieczeństwa nie jest wspierany, to nie dlatego, że czegoś nie obsłuży. Dodatnie obsługi protokołu to dobra wola dewelopera aplikacji. Dla firm jest to bezpłatne już teraz: https://docs.microsoft.com/pl-pl/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide
Usługi MS i Google i tak są zabezpieczone, w porównaniu z innymi. Celowo piszę o tych dwóch, bo to najpopularniejsze poczty i pakiety chmurowe.
Mizerna to jest oferta polskich operatorów, którzy nawet weryfikacji dwuetapowej nie wprowadzają. Zastanawiam się, co trzyma ludzi przy najpopularniejszych usługach pocztowych w PL?
Przyzwyczajenie, niewiedza i niechęć do zmian. Początki mogą być trudne jeżeli ktoś od lat używa takiej poczty do wszystkich usług. Zwykli użytkownicy nie słyszeli o przekierowaniach, chociaż nie wiem czy onety i im podobne umożliwiają przekazywanie całej poczty na inną domenę.
Wczoraj odzyskiwałem koleżance konto na FB, ponieważ miała hasło takie samo jak jej data urodzenia. W sumie będzie mały case stady, bo to dobra nauczka dla osób o nikłej wiedzy technicznej.
Oczywiście nie miała wdrożonego 2FA (drugi składnik logowania). A co to jest? – zapytała. Pocztę miała jeszcze w domenie amorki.pl… Chyba jest to już onet, ale sam fakt założenia poczty na czymś takim świadczy o braku świadomości. W każdym razie dla bezpieczników będzie praca w dalszym ciągu 🙂
Czasami myślę sobie, że koniecznością jest rezygnacja z tradycyjnego logowania na rzecz nowego sposobu uwiarygadniania, oderwanego od haseł, potwierdzeń, loginów, itp. Biometria, odcisk genetyczny – sam nie wiem co. Ale na pewno coś innego, bo ludzie nie chcą haseł, nawet tego jednego do bazy haseł. Często słyszę od współpracowników „nie mam nic do ukrycia”. Większość ludzi zapisuje i zapamiętuje swoje hasła w każdej przeglądarce, jakiej używa. Teraz to już może nie taki problem, bo robią to na smartfonach. Kawiarenki i publiczne kompy odeszły w zapomnienie ale … pytanie człowieka, co mu się kopiuje do backupu telefonu, kiedy skasował ostatniego SMS-a, kiedy opróżnił usunięte bywa problematyczne. Podobnie jak wgrywanie poprawek do systemu. Świadomość, szkolenia, samokontrola, nawyki, zasady, procedury. To wszystko pojęcia abstrakcyjne dla większości. Rzecz… Czytaj więcej »
Yubikey to dobra rzecz dla nieuświadomionych ludzi. Problemem jest to, że sami nie będą potrafili skonfigurować takiego logowania.