Định cấu hình và sử dụng Đăng nhập an toàn YubiKey cho Tài khoản cục bộ trong Windows 10

Người dùng có thể sử dụng khóa bảo mật phần cứng do công ty Thụy Điển Yubico sản xuất để đăng nhập vào tài khoản Local trên Windows 10 . Công ty gần đây đã phát hành phiên bản ổn định đầu tiên của ứng dụng Yubico Login cho Windows(Login for Windows application) . Trong bài đăng này, chúng tôi sẽ hướng dẫn bạn cách cài đặt và cấu hình YubiKey để sử dụng trên PC chạy Windows 10.

YubiKey là một thiết bị xác thực phần cứng hỗ trợ mật khẩu một lần, mã hóa và xác thực khóa công khai cũng như các giao thức Universal 2nd Factor (U2F)FIDO2 do FIDO Alliance phát triển . Nó cho phép người dùng đăng nhập an toàn vào tài khoản của họ bằng cách nhập mật khẩu một lần hoặc sử dụng cặp khóa công khai / riêng tư dựa trên FIDO do thiết bị tạo ra. YubiKey cũng cho phép lưu trữ mật khẩu tĩnh để sử dụng tại các trang web không hỗ trợ mật khẩu dùng một lần. Facebook sử dụng YubiKey cho thông tin đăng nhập của nhân viên và Google hỗ trợ nó cho cả nhân viên và người dùng. Một số trình quản lý mật khẩu hỗ trợ YubiKey .Yubico cũng sản xuất Khóa bảo mật(Security Key) , một thiết bị tương tự như YubiKey , nhưng tập trung vào xác thực khóa công khai.

YubiKey cho phép người dùng ký, mã hóa và giải mã tin nhắn mà không để lộ khóa cá nhân ra thế giới bên ngoài. Tính năng này trước đây chỉ có sẵn cho người dùng MacLinux .

To configure/set up YubiKey on Windows 10, you’ll need the following:

  1. Một phần cứng USB YubiKey.
  2. Phần mềm đăng nhập Yubico dành cho Windows.
  3. Phần mềm YubiKey Manager.

Tất cả chúng đều có sẵn trên yubico.com trong tab Sản phẩm(Product) của họ . Ngoài ra, bạn cần lưu ý rằng ứng dụng YubiKey không hỗ trợ các tài khoản Windows cục bộ được quản lý bởi Azure Active Directory ( AAD ) hoặc Active Directory (AD) cũng như Tài khoản Microsoft .

(YubiKey)Thiết bị xác thực phần cứng YubiKey

Trước khi cài đặt phần mềm Yubico Login cho Windows , hãy ghi lại tên người dùng và mật khẩu Windows của bạn cho tài khoản cục bộ. Người cài đặt phần mềm phải có tên người dùng và mật khẩu Windows cho tài khoản của họ. Không có những thứ này, không có gì có thể được định cấu hình và tài khoản không thể truy cập được. Hành vi mặc định của nhà cung cấp thông tin đăng nhập Windows là ghi nhớ lần đăng nhập cuối cùng của bạn, vì vậy bạn không cần phải nhập tên người dùng.

Vì lý do này, nhiều người có thể không nhớ tên người dùng. Tuy nhiên, sau khi bạn cài đặt công cụ và khởi động lại, nhà cung cấp thông tin xác thực Yubico mới sẽ được tải, để cả quản trị viên và người dùng cuối thực sự phải nhập tên người dùng. Vì những lý do này, không chỉ quản trị viên mà tất cả mọi người có tài khoản được định cấu hình thông qua Yubico Đăng nhập(Yubico Login) cho Windows nên kiểm tra để đảm bảo rằng họ có thể đăng nhập bằng tên người dùng và mật khẩu Windows cho tài khoản cục bộ của họ TRƯỚC KHI quản trị viên cài đặt công cụ và cấu hình kết thúc -tài khoản của người dùng.

Cũng cần lưu ý rằng, sau khi đăng nhập Yubico(Yubico Login) cho Windows đã được định cấu hình, sẽ có:

  • Gợi ý không có mật khẩu Windows
  • Không có cách nào để đặt lại mật khẩu
  • Không Remember Previous User/Login Chức năng đăng nhập trước đó.

Ngoài ra, đăng nhập tự động của Windows không tương thích với (Windows)Đăng nhập Yubico(Yubico Login) dành cho Windows . Nếu người dùng có tài khoản được thiết lập để đăng nhập tự động không còn nhớ mật khẩu ban đầu của họ khi cấu hình Đăng nhập Yubico(Yubico Login) cho Windows có hiệu lực, thì tài khoản đó sẽ không thể truy cập được nữa. Giải(Address) quyết vấn đề này trước bằng cách:

  • Yêu cầu người dùng đặt mật khẩu mới trước khi tắt đăng nhập tự động.
  • Yêu cầu tất cả người dùng xác minh rằng họ có thể truy cập tài khoản của mình bằng tên người dùng và mật khẩu mới trước khi bạn sử dụng Đăng nhập(Login) Yubico cho Windows để định cấu hình tài khoản của họ.

Quyền của quản trị viên được yêu cầu để cài đặt phần mềm.

Cài đặt YubiKey

Đầu tiên, xác minh tên người dùng của bạn. Khi bạn đã cài đặt Yubico Login cho Windows và khởi động lại, bạn sẽ cần nhập thông tin này cùng với mật khẩu để đăng nhập. Để thực hiện việc này, hãy mở Command Prompt hoặc PowerShell từ menu Start và chạy lệnh bên dưới

whoami

(Take)Lưu ý đầu ra đầy đủ, phải ở dạng DESKTOP-1JJQRDF\jdoe, trong đó  jdoe  là tên người dùng.

  1. Tải xuống(Download) phần mềm Yubico Login cho Windows từ đây(here) .
  2. Chạy trình cài đặt bằng cách nhấp đúp vào phần tải xuống.
  3. Chấp nhận thỏa thuận cấp phép người dùng cuối.
  4. Trong trình hướng dẫn cài đặt, chỉ định vị trí thư mục đích hoặc chấp nhận vị trí mặc định.
  5. Khởi động lại máy đã cài đặt phần mềm. Sau khi khởi động lại, nhà cung cấp thông tin xác thực Yubico hiển thị màn hình đăng nhập nhắc nhở về YubiKey .

YubiKey chưa được cấp phép, bạn phải chuyển đổi người dùng và nhập không chỉ mật khẩu cho tài khoản Windows cục bộ của mình mà còn cả tên người dùng của bạn cho tài khoản đó. Nếu cần, bạn có thể phải thay đổi Tài khoản Microsoft thành Tài khoản Cục bộ .

Sau khi bạn đã đăng nhập, hãy tìm kiếm “Cấu hình đăng nhập” với biểu tượng màu xanh lá cây. (Mục thực sự có nhãn Đăng nhập Yubico(Yubico Login) cho Windows chỉ là trình cài đặt, không phải ứng dụng.)

Cấu hình YubiKey

Quyền của quản trị(Administrator) viên được yêu cầu để cấu hình phần mềm.
Chỉ những tài khoản được hỗ trợ mới có thể được định cấu hình cho Đăng nhập Yubico(Yubico Login) cho Windows . Nếu bạn khởi chạy trình hướng dẫn cấu hình và tài khoản bạn đang tìm kiếm không được hiển thị, nó không được hỗ trợ và do đó không có sẵn để cấu hình.

Trong quá trình cấu hình, những điều sau đây sẽ được yêu cầu;

  • Khóa chính và khóa dự phòng(Primary and Backup Keys) : Sử dụng một YubiKey khác cho mỗi lần đăng ký. Nếu bạn đang định cấu hình các khóa dự phòng, mỗi người dùng nên có một YubiKey cho chính và một YubiKey cho khóa dự phòng.
  • Mã khôi phục(Recovery Code) : Mã khôi phục là cơ chế cuối cùng để xác thực người dùng nếu tất cả YubiKeys đã bị mất. Mã khôi phục(Recovery) có thể được chỉ định cho người dùng mà bạn chỉ định; tuy nhiên, mã khôi phục chỉ có thể sử dụng được nếu tên người dùng và mật khẩu cho tài khoản cũng có sẵn. Tùy chọn để tạo mã khôi phục được trình bày trong quá trình cấu hình.

Bước 1: Trong menu Start của Windows , chọn Yubico > Login Configuration .

Bước 2: Hộp thoại Kiểm soát Tài khoản Người dùng xuất hiện. (User Account Control)Nếu bạn đang chạy điều này từ tài khoản không phải Quản trị viên, bạn sẽ được nhắc nhập thông tin đăng nhập quản trị viên cục bộ. Trang Chào mừng giới thiệu trình hướng dẫn cấp phép Cấu hình Đăng nhập Yubico(Yubico Login Configuration) :

Thiết bị xác thực phần cứng YubiKey

Bước 3: Nhấp vào Tiếp theo(Next) . Trang Mặc định(Default) của Cấu hình đăng nhập Windows Yubico(Yubico Windows Login Configuration) xuất hiện.

Bước 4: Các mục có thể định cấu hình là:

Vị(Slots) trí: Chọn vị trí nơi lưu trữ bí mật phản hồi thử thách. Tất cả các YubiKeys chưa được tùy chỉnh đều được tải sẵn thông tin đăng nhập trong vùng 1, vì vậy nếu bạn đang sử dụng Đăng nhập Yubico(Yubico Login) cho Windows để định cấu hình YubiKeys đã được sử dụng để đăng nhập vào các tài khoản khác, đừng ghi đè vùng 1.

Challenge/Response Secret : Mục này cho phép bạn chỉ định cách thức cấu hình bí mật và nơi lưu trữ. Các tùy chọn là:

  • Sử dụng bí mật hiện có nếu được định cấu hình - tạo nếu chưa được định cấu hình(Use existing secret if configured – generate if not configured) : Bí mật hiện có của khóa sẽ được sử dụng trong vị trí đã chỉ định. Nếu thiết bị không có bí mật hiện có, quá trình cấp phép sẽ tạo ra một bí mật mới.
  • Tạo bí mật mới, ngẫu nhiên, ngay cả khi bí mật hiện đang được định cấu hình(Generate new, random secret, even if a secret is currently configured) : Một bí mật mới sẽ được tạo và lập trình cho vị trí, ghi đè lên bất kỳ bí mật nào đã được định cấu hình trước đó.
  • Nhập thủ công bí mật(Manually input secret)Đối với người dùng nâng cao(For advanced users) : Trong quá trình cấp phép, ứng dụng sẽ nhắc bạn nhập thủ công bí mật HMAC-SHA1 (20 byte - 40 ký tự được mã hóa hex).

Tạo mã khôi phục(Generate Recovery Code) : Đối với mỗi người dùng được cấp phép, một mã khôi phục mới sẽ được tạo. Mã khôi phục này cho phép người dùng cuối đăng nhập vào hệ thống nếu họ bị mất YubiKey.
Lưu ý: Nếu bạn chọn lưu mã khôi phục trong khi cấp phép cho người dùng khóa thứ hai, thì mọi mã khôi phục trước đó đều trở nên không hợp lệ và chỉ mã khôi phục mới hoạt động.

Tạo thiết bị sao lưu cho mỗi người dùng(Create Backup Device for Each User) : Sử dụng tùy chọn này để yêu cầu quá trình cấp phép đăng ký hai khóa cho mỗi người dùng, một YubiKey chính và một YubiKey dự phòng . Nếu bạn không muốn cung cấp mã khôi phục cho người dùng của mình, bạn nên cung cấp cho mỗi người dùng một YubiKey dự phòng . Để biết thêm thông tin, hãy tham khảo phần Khóa chính(Primary)khóa dự phòng(Backup Keys)  ở trên.

Bước 5: Nhấp vào Tiếp theo(Next) , để chọn (các) người dùng để cung cấp. Trang Chọn tài khoản người dùng(Select User Accounts) (Nếu không có tài khoản người dùng cục bộ nào được Yubico Login cho Windows hỗ trợ , danh sách sẽ trống) xuất hiện.

Bước 6: Chọn tài khoản người dùng sẽ được cấp phép trong quá trình chạy Yubico Login cho Windows hiện tại bằng cách chọn hộp kiểm bên cạnh tên người dùng, sau đó nhấp vào Tiếp theo(Next) . Trang Định cấu hình người dùng(Configuring User) xuất hiện.

Bước 7: Tên người dùng hiển thị trong trường Định cấu hình người dùng(Configuring User) hiển thị ở trên là người dùng mà YubiKey hiện đang được định cấu hình. Khi mỗi tên người dùng được hiển thị, quy trình sẽ nhắc bạn chèn YubiKey để đăng ký cho người dùng đó.

Bước 8: Trang Chờ thiết bị(Wait for Device) được hiển thị trong khi YubiKey được chèn đang được phát hiện và trước khi nó được đăng ký cho người dùng có tên người dùng trong trường Định cấu hình người dùng(Configuring User) ở đầu trang. Nếu bạn đã chọn Tạo thiết bị sao lưu cho từng người dùng(Create Backup Device for Each User) trong trang Mặc định(Defaults) , trường Định cấu hình người dùng(Configuring User) cũng sẽ hiển thị YubiKeys nào(YubiKeys) đang được đăng ký, Chính(Primary) hoặc Dự phòng(Backup) .

Bước 9: Nếu bạn đã định cấu hình quy trình cung cấp để sử dụng bí mật được chỉ định theo cách thủ công, trường cho 40 bí mật sáu chữ số sẽ được hiển thị. Nhập bí mật và nhấp vào Tiếp theo(Next) .

Bước 10: Trang Thiết bị lập trình(Programming Device) hiển thị tiến trình lập trình từng YubiKey . Trang Xác nhận thiết bị(Device Confirmation) hiển thị bên dưới hiển thị thông tin chi tiết của YubiKey được phát hiện bởi quá trình cấp phép, bao gồm số sê-ri thiết bị (nếu có) và trạng thái cấu hình của mỗi vị trí Mật khẩu dùng một lần(One-Time Password) ( OTP ). Nếu có xung đột giữa những gì bạn đã đặt làm mặc định và những gì có thể xảy ra với YubiKey được phát hiện , một biểu tượng cảnh báo sẽ hiển thị. Nếu mọi thứ diễn ra tốt đẹp, một dấu kiểm sẽ được hiển thị. Nếu dòng trạng thái hiển thị biểu tượng lỗi, lỗi được mô tả và hướng dẫn sửa lỗi sẽ hiển thị trên màn hình.

Bước 11: Sau khi hoàn tất lập trình cho một tài khoản người dùng, tài khoản đó sẽ không thể truy cập được nữa nếu không có YubiKey tương ứng . Bạn được nhắc xóa YubiKey vừa được định cấu hình và quá trình cấp phép sẽ tự động tiến hành đến kết hợp tài khoản người dùng / YubiKey tiếp theo .

Bước 12: Sau cùng, YubiKeys cho tài khoản người dùng được chỉ định đã được cấp phép:

  • Nếu bạn chọn Tạo mã khôi phục(Generate Recovery Code)  trên trang Mặc định(Defaults) , thì trang Mã khôi phục(Recovery Code) sẽ hiển thị.
  • Nếu  Tạo mã khôi phục(Generate Recovery Code)  không được chọn, quá trình cấp phép sẽ tự động tiếp tục đến tài khoản người dùng tiếp theo.
  • Quá trình cấp phép chuyển sang  Hoàn tất(Finished)  sau khi tài khoản người dùng cuối cùng được hoàn tất.

Mã khôi phục là một chuỗi dài. (Để loại bỏ các vấn đề do người dùng cuối nhầm lẫn chữ số 1 với chữ cái viết thường L và 0 cho chữ(Base32) O.

Trang Mã khôi phục(Recovery Code) được hiển thị sau khi tất cả các YubiKeys cho tài khoản người dùng được chỉ định đã được định cấu hình.

Bước 13: Trên trang Mã khôi phục(Recovery Code) , tạo và đặt mã khôi phục cho người dùng đã chọn. Khi điều này đã được thực hiện xong, các nút Sao chép(Copy)  và  Lưu(Save) ở bên phải của trường mã khôi phục sẽ khả dụng.

Bước 14: Sao chép mã khôi phục và lưu lại chia sẻ với người dùng và giữ lại đề phòng người dùng làm mất.

Lưu ý(Note) : Đảm bảo lưu mã khôi phục tại thời điểm này trong quá trình. Khi bạn chuyển sang màn hình tiếp theo, bạn không thể lấy mã.

Bước 15: Để chuyển sang tài khoản người dùng tiếp theo từ trang Chọn(Select Users) người dùng , hãy nhấp vào Tiếp theo(Next) . Khi bạn đã định cấu hình người dùng cuối cùng, quá trình cấp phép sẽ hiển thị trang Đã hoàn tất(Finished) .

Bước 16: Cung cấp cho mỗi người dùng mã khôi phục của họ. Người dùng cuối nên lưu mã khôi phục của họ vào một vị trí an toàn có thể truy cập được khi họ không thể đăng nhập.

Trải nghiệm người dùng YubiKey

Khi tài khoản người dùng cục bộ đã được định cấu hình để yêu cầu YubiKey , người dùng sẽ được Nhà cung cấp thông tin xác thực Yubico xác(Yubico Credential Provider) thực thay vì Nhà cung cấp thông tin đăng nhập mặc định của Windows . Người dùng được nhắc chèn YubiKey của họ . Sau đó, màn hình Đăng nhập Yubico(Yubico Login) được hiển thị. Người dùng nhập tên người dùng và mật khẩu của họ.

Lưu ý(Note) : Không cần thiết phải nhấn nút trên phần cứng YubiKey USB để đăng nhập. Trong một số trường hợp, việc nhấn nút này khiến quá trình đăng nhập không thành công.

Khi người dùng cuối đăng nhập, họ phải cắm đúng YubiKey vào cổng USB(USB) trên hệ thống của họ. Nếu người dùng cuối nhập tên người dùng và mật khẩu của họ mà không chèn YubiKey chính xác , xác thực sẽ không thành công và người dùng sẽ nhận được thông báo lỗi.

Nếu tài khoản của người dùng cuối được định cấu hình cho Đăng nhập Yubico(Yubico Login) cho Windows và nếu mã khôi phục được tạo và người dùng mất (các) YubiKey của họ, họ có thể sử dụng mã khôi phục của mình để xác thực. Người dùng cuối mở khóa máy tính của họ bằng tên người dùng, mã khôi phục và mật khẩu.

Cho đến khi một YubiKey mới được định cấu hình, người dùng cuối phải nhập mã khôi phục mỗi khi họ đăng nhập.

Nếu Yubico Login cho Windows không phát hiện thấy YubiKey đã được chèn, có thể do khóa chưa được bật chế độ OTP hoặc bạn không chèn YubiKey mà thay vào đó là Khóa bảo mật(Security Key) , không tương thích với ứng dụng này. Sử dụng ứng dụng Trình quản lý YubiKey(YubiKey Manager)  để đảm bảo rằng tất cả các YubiKeys được cấp phép đều đã bật giao diện OTP .

Quan trọng(Important) : Các phương pháp đăng nhập thay thế được Windows hỗ trợ sẽ không bị ảnh hưởng. Do đó, bạn phải hạn chế các phương thức đăng nhập cục bộ và từ xa bổ sung cho các tài khoản người dùng mà bạn đang bảo vệ bằng Đăng nhập Yubico(Yubico Login) cho Windows để đảm bảo bạn không để ngỏ bất kỳ 'cửa sau' nào.

Nếu bạn dùng thử YubiKey, hãy cho chúng tôi biết trải nghiệm của bạn trong phần bình luận bên dưới.(If you try out YubiKey, let us know your experience in the comments section below.)



Miên Ái

About the author

Tôi là một kỹ sư phần cứng với hơn 10 năm kinh nghiệm trong lĩnh vực này. Tôi chuyên về bộ điều khiển và cáp USB, cũng như nâng cấp BIOS và hỗ trợ ACPI. Trong thời gian rảnh rỗi, tôi cũng thích viết blog về các chủ đề khác nhau liên quan đến công nghệ và kỹ thuật.


Related posts