A felhasználók a svéd Yubico cég által gyártott hardveres biztonsági kulcsokkal jelentkezhetnek be helyi fiókba Windows 10 rendszeren^{(Windows 10)} . A cég nemrégiben kiadta a Yubico Login for Windows alkalmazás^{(Login for Windows application)} első stabil verzióját . Ebben a bejegyzésben megmutatjuk, hogyan telepítheti és konfigurálhatja a YubiKey -t Windows 10 PC-ken való használatra.

A YubiKey^(YubiKey) egy hardveres hitelesítő eszköz, amely támogatja az egyszeri jelszavakat, a nyilvános kulcsú titkosítást és hitelesítést, valamint a FIDO Alliance által kifejlesztett Universal 2nd Factor (U2F) és FIDO2 protokollokat . Lehetővé teszi a felhasználók számára, hogy egyszeri jelszavak kibocsátásával vagy az eszköz által generált FIDO-alapú nyilvános/privát kulcspár használatával biztonságosan bejelentkezzenek fiókjukba. A YubiKey^(YubiKey) statikus jelszavak tárolását is lehetővé teszi olyan webhelyeken, amelyek nem támogatják az egyszeri jelszavakat. A Facebook a ^(Facebook)YubiKey -t használja az alkalmazottak hitelesítésére, a Google pedig támogatja mind az alkalmazottak, mind a felhasználók számára. Egyes jelszókezelők támogatják a YubiKey-t^(YubiKey) .A Yubico a ^(Yubico)biztonsági kulcsot^{(Security Key)} is gyártja , egy olyan eszközt, amely hasonló a YubiKey -hez , de a nyilvános kulcsú hitelesítésre összpontosít.

A YubiKey lehetővé teszi a felhasználók számára az üzenetek aláírását, titkosítását és visszafejtését anélkül, hogy a privát kulcsokat kitennék a külvilágnak. Ez a funkció korábban csak Mac és Linux felhasználók számára volt elérhető.

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. YubiKey USB hardver.
2. Yubico Login szoftver Windowshoz.
3. YubiKey Manager szoftver.

Mindegyik elérhető a yubico.com webhelyen^(yubico.com) a Termékek^(Product) lapon. Azt is meg kell jegyezni, hogy a YubiKey alkalmazás nem támogatja az Azure Active Directory ( AAD ) vagy Active Directory (AD), valamint a Microsoft-fiókok által kezelt helyi Windows -fiókokat .

YubiKey hardveres hitelesítő eszköz

A Yubico Login for Windows szoftver telepítése előtt jegyezze fel Windows felhasználónevét és jelszavát a helyi fiókhoz. A szoftvert telepítő személynek rendelkeznie kell a fiókjához tartozó Windows felhasználónévvel és jelszóval. Ezek nélkül semmit nem lehet konfigurálni, és a fiók elérhetetlen. A Windows hitelesítőadat-szolgáltató alapértelmezett viselkedése az, hogy megjegyzi az utolsó bejelentkezést, így nem kell beírnia a felhasználónevet.

Emiatt előfordulhat, hogy sokan nem emlékeznek a felhasználónévre. Az eszköz telepítése és újraindítása után azonban betöltődik az új Yubico hitelesítőadat-szolgáltató, így a rendszergazdáknak és a végfelhasználóknak is be kell írniuk a felhasználónevet. Ezen okokból kifolyólag nemcsak az adminisztrátornak, hanem mindenkinek, akinek a fiókját a Yubico Login for Windows segítségével szeretné konfigurálni, ellenőriznie kell, hogy be tud-e jelentkezni a helyi fiókjához tartozó Windows felhasználónévvel és jelszóval, MIELŐTT az adminisztrátor telepíti az eszközt és konfigurálja az end - felhasználói fiókok.

Azt is feltétlenül meg kell jegyezni, hogy a Yubico Login for Windows konfigurálása után van:

• Nincs Windows jelszó tipp
• Nincs mód a jelszavak visszaállítására
• Nem Remember Previous User/Login funkcióra.

Ezenkívül a Windows automatikus bejelentkezés nem kompatibilis a Yubico Login for Windows szolgáltatással . Ha egy felhasználó, akinek fiókja automatikus bejelentkezésre lett beállítva, már nem emlékszik eredeti jelszavára, amikor a Yubico Login for Windows konfiguráció életbe lép, akkor a fiók többé nem érhető el. Előzetesen orvosolja^(Address) ezt a problémát:

• A felhasználók új jelszavakat állítanak be az automatikus bejelentkezés letiltása előtt.
• Mielőtt a Yubico Login for Windows szolgáltatást használná fiókjaik konfigurálásához, ellenőrizze, hogy minden felhasználó hozzáfér-e fiókjához felhasználónévvel és új jelszavával.

A szoftver telepítéséhez rendszergazdai engedélyek szükségesek.

YubiKey telepítés

Először ellenőrizze a felhasználónevét. A Yubico Login for Windows telepítése^(Windows) és újraindítása után ezt is meg kell adnia a jelszaván kívül a bejelentkezéshez. Ehhez nyissa meg a Parancssort^{(Command Prompt)} vagy a PowerShellt^(PowerShell) a Start menüből, és futtassa az alábbi parancsot.

whoami

Vegye^(Take) figyelembe a teljes kimenetet, amelynek DESKTOP-1JJQRDF\jdoe formában kell lennie , ahol  a jdoe  a felhasználónév.

1. Töltse^(Download) le a Yubico Login for Windows szoftvert innen^(here) .
2. Futtassa a telepítőt a letöltésre duplán kattintva.
3. Fogadja el a végfelhasználói licencszerződést.
4. A telepítő varázslóban adja meg a célmappa helyét, vagy fogadja el az alapértelmezett helyet.
5. Indítsa újra azt a gépet, amelyre a szoftvert telepítette. Az újraindítás után a Yubico hitelesítő adatszolgáltató megjeleníti a bejelentkezési képernyőt, amely a YubiKey kulcsot kéri .

Mivel a YubiKey még nincs kiépítve, felhasználót kell váltania, és nem csak a helyi Windows -fiók jelszavát kell megadnia, hanem a fiókhoz tartozó felhasználónevét is. Ha szükséges, előfordulhat, hogy a Microsoft-fiókot Helyi fiókra kell módosítania .

Miután bejelentkezett, keresse meg a „Bejelentkezési konfiguráció” elemet a zöld ikonnal. (A Yubico Login for Windows feliratú elem valójában csak a telepítő, nem az alkalmazás.)

YubiKey konfiguráció

A szoftver konfigurálásához rendszergazdai^{(Administrator)} engedélyek szükségesek.
Csak a támogatott fiókok konfigurálhatók a Yubico Login for Windows szolgáltatáshoz . Ha elindítja a konfigurációs varázslót, és a keresett fiók nem jelenik meg, akkor az nem támogatott, ezért nem áll rendelkezésre a konfigurációhoz.

A konfigurációs folyamat során a következőkre lesz szükség;

• Elsődleges és tartalék kulcsok^{(Primary and Backup Keys)} : Minden regisztrációhoz használjon más YubiKey -t. ^(YubiKey)Ha biztonsági mentési kulcsokat konfigurál, minden felhasználónak rendelkeznie kell egy YubiKey -vel az elsődleges és egy másodikkal a biztonsági kulcshoz.
• Helyreállítási kód^{(Recovery Code)} : A helyreállítási kód egy utolsó lehetőség a felhasználó hitelesítésére, ha az összes YubiKey elveszett. A helyreállítási^(Recovery) kódok hozzárendelhetők az Ön által megadott felhasználókhoz; a helyreállítási kód azonban csak akkor használható, ha a fiókhoz tartozó felhasználónév és jelszó is rendelkezésre áll. A helyreállítási kód létrehozásának lehetősége a konfigurációs folyamat során jelenik meg.

1. lépés: A Windows Start menüjében válassza a Yubico > Bejelentkezési konfiguráció^{(Login Configuration)} lehetőséget .

2. lépés: Megjelenik a Felhasználói fiókok felügyelete^{(User Account Control)} párbeszédpanel. Ha ezt nem rendszergazdai fiókból futtatja, a rendszer megkéri a helyi rendszergazda hitelesítő adatait. Az üdvözlő oldal bemutatja a Yubico bejelentkezési konfigurációs^{(Yubico Login Configuration)} varázslót:

3. lépés: Kattintson a Tovább^(Next) gombra . Megjelenik a Yubico Windows bejelentkezési konfiguráció ^{(Yubico Windows Login Configuration)}alapértelmezett^(Default) oldala .

4. lépés: A konfigurálható elemek a következők:

Slots : Válassza ki azt a nyílást, ahol a kihívás-válasz titka tárolva lesz. Az összes nem testreszabott YubiKey-hez előre be van töltve egy hitelesítési adat az 1. slotban, tehát ha a Yubico Login for Windows segítségével konfigurálja azokat a YubiKey-ket, amelyeket már más fiókokba való bejelentkezéshez használnak, ne írja felül az 1. bővítőhelyet.

Challenge/Response Secret : Ez az elem lehetővé teszi annak megadását, hogy a titok hogyan legyen konfigurálva, és hol kerüljön tárolásra. A lehetőségek a következők:

• Meglévő titok használata, ha be van állítva – generálás, ha nincs konfigurálva^{(Use existing secret if configured – generate if not configured)} : A kulcs meglévő titka a megadott nyílásban kerül felhasználásra. Ha az eszköz nem rendelkezik meglévő titkossággal, a kiépítési folyamat új titkosságot generál.
• Új, véletlenszerű titkosítás generálása, még akkor is, ha jelenleg be van állítva egy titok^{(Generate new, random secret, even if a secret is currently configured)} : A rendszer új titkosságot generál és programoz a nyílásba, felülírva a korábban beállított titkokat.
• Titkos kézi bevitele^{(Manually input secret)} :  Haladó felhasználóknak^{(For advanced users)} : A kiépítési folyamat során az alkalmazás felkéri a HMAC-SHA1 titkos kód manuális bevitelére (20 bájt – 40 karakter hexadecimális kódolású).

Helyreállítási kód generálása^{(Generate Recovery Code)} : Minden kiépített felhasználóhoz új helyreállítási kód jön létre. Ez a helyreállítási kód lehetővé teszi a végfelhasználó számára, hogy bejelentkezzen a rendszerbe, ha elvesztette YubiKey-ját.
Megjegyzés: Ha a helyreállítási kód mentését választja, miközben egy második kulcsot biztosít a felhasználónak, akkor minden korábbi helyreállítási kód érvénytelen lesz, és csak az új helyreállítási kód fog működni.

Biztonsági mentési eszköz létrehozása minden felhasználó számára^{(Create Backup Device for Each User)} : Ezzel a beállítással a kiépítési folyamat két kulcsot regisztrál minden felhasználóhoz, egy elsődleges YubiKey -t és egy tartalék YubiKey -t . Ha nem szeretne helyreállítási kódokat adni felhasználóinak, jó gyakorlat, ha minden felhasználónak ad egy biztonsági YubiKey kulcsot^(YubiKey) . További információkért tekintse meg a fenti Elsődleges^(Primary) és biztonsági kulcsok^{(Backup Keys)}  részt.

5. lépés: Kattintson a Tovább^(Next) gombra a kiépítendő felhasználó(k) kiválasztásához. Megjelenik a Felhasználói fiókok kiválasztása^{(Select User Accounts)} oldal (Ha a Yubico Login for Windows nem támogatja a helyi felhasználói fiókokat , a lista üres lesz).

6. lépés: Válassza ki a Yubico Login for Windows jelenlegi futtatása során kiépítendő felhasználói fiókokat a felhasználónév melletti jelölőnégyzet bejelölésével, majd kattintson a Tovább^(Next) gombra . Megjelenik a Felhasználó konfigurálása^{(Configuring User)} oldal.

7. lépés: A fenti Felhasználó konfigurálása^{(Configuring User)} mezőben látható felhasználónév az a felhasználó, akinek a YubiKey beállítása éppen folyamatban van. Amint minden felhasználónév megjelenik, a folyamat kéri, hogy illesszen be egy YubiKey-t, hogy regisztráljon az adott felhasználóhoz.

8. lépés: A Várakozás az eszközre^{(Wait for Device)} oldal akkor jelenik meg, amikor egy behelyezett YubiKey-t észlel, és mielőtt azt regisztrálná annak a felhasználónak, akinek a felhasználóneve a Felhasználó konfigurálása^{(Configuring User)} mezőben található az oldal tetején. Ha az Alapértelmezések^(Defaults) oldalon a Biztonsági másolat eszköz létrehozása minden felhasználó számára lehetőséget választotta, a ^{(Create Backup Device for Each User)}Felhasználó konfigurálása^{(Configuring User)} mező azt is megjeleníti, hogy melyik YubiKey^(YubiKeys) regisztrálása van folyamatban, az Elsődleges^(Primary) vagy a Tartalék^(Backup) .

9. lépés: Ha a kiépítési folyamatot úgy konfigurálta, hogy egy manuálisan megadott titkos titkosságot használjon, megjelenik a 40 hexadecimális titkokat tartalmazó mező. Írja be a titkot, és kattintson a Tovább^(Next) gombra .

10. lépés: A Programozási eszköz^{(Programming Device)} oldal megjeleníti az egyes YubiKey programozásának folyamatát . Az alább látható Eszközmegerősítő oldal a kiépítési folyamat által észlelt ^{(Device Confirmation)}YubiKey részleteit jeleníti meg , beleértve az eszköz sorozatszámát (ha elérhető) és az egyes egyszeri jelszó^{(One-Time Password)} ( OTP ) helyek konfigurációs állapotát. Ha ütközések vannak az alapértelmezettként beállított és az észlelt YubiKey által lehetségesek között , egy figyelmeztető szimbólum jelenik meg. Ha minden rendben van, megjelenik egy pipa. Ha az állapotsorban hibaikon jelenik meg, a hiba leírása megtörténik, és a javítási utasítások megjelennek a képernyőn.

11. lépés: A felhasználói fiók programozásának befejezése után a fiókhoz már nem lehet hozzáférni a megfelelő YubiKey nélkül . A rendszer kéri, hogy távolítsa el az imént konfigurált YubiKey -t , és a kiépítési folyamat automatikusan a következő felhasználói fiók/ YubiKey kombinációval folytatódik.

12. lépés: Végül is a megadott felhasználói fiókhoz tartozó YubiKeys kiépítésre került:^(YubiKeys)

• Ha az Alapértelmezések^(Defaults) oldalon a Helyreállítási kód létrehozása^{(Generate Recovery Code)}  lehetőséget választotta , megjelenik a Helyreállítási kód^{(Recovery Code)} oldal.
• Ha  a Helyreállítási kód generálása^{(Generate Recovery Code)}  nem lett kiválasztva, a kiépítési folyamat automatikusan a következő felhasználói fiókkal folytatódik.
• A kiépítési folyamat   az utolsó felhasználói fiók elkészülte után a Befejezett állapotba kerül.^(Finished)

A helyreállítási kód egy hosszú karakterlánc. (Annak kiküszöbölésére, hogy a végfelhasználó összetéveszti az 1-et a kis L betűvel és a 0-t az O betűvel, a helyreállítási kódot a Base32 kódolja^(Base32) , amely a hasonlónak tűnő alfanumerikus karaktereket úgy kezeli, mintha ugyanazok lennének.)

A Helyreállítási kód^{(Recovery Code)} oldal akkor jelenik meg, ha a megadott felhasználói fiókhoz tartozó összes YubiKey^(YubiKeys) konfigurálásra került.

13. lépés: A Helyreállítási kód^{(Recovery Code)} oldalon hozzon létre és állítson be helyreállítási kódot a kiválasztott felhasználó számára. Ha ez megtörtént, elérhetővé válnak a helyreállítási kód mezőtől jobbra található Másolás^(Copy)  és  Mentés gombok.^(Save)

14. lépés: Másolja ki a helyreállítási kódot, és mentse el, hogy ne ossza meg a felhasználóval, és őrizze meg, ha a felhasználó elveszítené.

Megjegyzés^(Note) : A folyamat ezen pontján feltétlenül mentse el a helyreállítási kódot. Miután továbblép a következő képernyőre, nem lehet lekérni a kódot.

15. lépés: Ha a következő felhasználói fiókra szeretne lépni a Felhasználók kiválasztása^{(Select Users)} oldalról, kattintson a Tovább^(Next) gombra . Amikor konfigurálta az utolsó felhasználót, a kiépítési folyamat megjeleníti a Befejezett^(Finished) oldalt.

16. lépés: Adja meg minden felhasználónak a helyreállítási kódját. A végfelhasználóknak el kell menteniük helyreállítási kódjukat egy biztonságos helyre, amely akkor is elérhető, ha nem tudnak bejelentkezni.

YubiKey felhasználói élmény

Ha a helyi felhasználói fiókot úgy konfigurálták, hogy YubiKey -t igényeljen , a felhasználót a Yubico hitelesítési adatszolgáltató hitelesíti az alapértelmezett ^{(Yubico Credential Provider)}Windows hitelesítőadat -szolgáltató helyett . A felhasználónak meg kell adnia a YubiKey kulcsát^(YubiKey) . Ezután megjelenik a Yubico bejelentkezési^{(Yubico Login)} képernyő. A felhasználó megadja felhasználónevét és jelszavát.

Megjegyzés^(Note) : A bejelentkezéshez nem szükséges megnyomni a YubiKey USB hardver gombját. Egyes esetekben a gomb megnyomása a bejelentkezés meghiúsulását okozza.

Amikor a végfelhasználó bejelentkezik, be kell helyeznie a megfelelő YubiKey - t a rendszere egyik USB -portjába. Ha a végfelhasználó a megfelelő YubiKey beszúrása nélkül adja meg felhasználónevét és jelszavát , a hitelesítés sikertelen lesz, és a felhasználó hibaüzenetet kap.

Ha egy végfelhasználó fiókja be van állítva a Yubico Login for Windows szolgáltatáshoz , és helyreállítási kódot hoztak létre, és a felhasználó elveszti YubiKey-jét, akkor a helyreállítási kódját használhatja a hitelesítéshez. A végfelhasználó a felhasználónevével, helyreállítási kódjával és jelszavával oldja fel számítógépét.

Az új YubiKey konfigurálásáig a végfelhasználónak minden bejelentkezéskor meg kell adnia a helyreállítási kódot.

Ha a Yubico Login for Windows nem észleli, hogy YubiKey -t helyeztek be, annak valószínűleg az az oka, hogy a kulcsban nincs engedélyezve az OTP mód, vagy nem YubiKey -t, hanem biztonsági kulcsot^{(Security Key)} helyez be , amely nem kompatibilis ezzel az alkalmazással. Használja a YubiKey Manager  alkalmazást annak biztosítására, hogy az összes kiépítendő YubiKeyben^(YubiKeys) engedélyezve legyen az OTP interfész.

Fontos : A ^(Important)Windows által támogatott alternatív bejelentkezési módokat ez nem érinti. Ezért korlátoznia kell a Yubico Login for Windows szolgáltatással védett felhasználói fiókok további helyi és távoli bejelentkezési módokat, hogy biztosan ne hagyjon nyitva semmilyen „hátsó ajtót”.

Ha kipróbálja a YubiKey-t, ossza meg velünk tapasztalatait az alábbi megjegyzések részben.^{(If you try out YubiKey, let us know your experience in the comments section below.)}

Configure & use YubiKey Secure Login for Local Account in Windows 10

Users can use hardware security keys, manufactured by Swedіsh company Yubico to log into a Local account on Windows 10. The company recently released the first stable version of the Yubico Login for Windows application. In this post, we will show you how to install and configure YubiKey for use on Windows 10 PCs.

YubiKey is a hardware authentication device that supports one-time passwords, public-key encryption and authentication, and the Universal 2nd Factor (U2F) and FIDO2 protocols developed by the FIDO Alliance. It allows users to securely log in to their accounts by emitting one-time passwords or using a FIDO-based public/private key pair generated by the device. YubiKey also allows for storing static passwords for use at sites that do not support one-time passwords. Facebook uses YubiKey for employee credentials, and Google supports it for both employees and users. Some password managers support YubiKey. Yubico also manufactures the Security Key, a device similar to the YubiKey, but focused on public-key authentication.

YubiKey allows users to sign, encrypt, and decrypt messages without exposing the private keys to the outside world. This feature was previously available only for Mac & Linux users.

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. A YubiKey USB hardware .
2. Yubico Login software for Windows.
3. YubiKey Manager software.

All of them are available on yubico.com under their Products tab. Also, you should note that the YubiKey app does not support local Windows accounts managed by Azure Active Directory (AAD) or Active Directory (AD) as well as Microsoft Accounts.

YubiKey hardware authentication device

Before installing the Yubico Login for Windows software, make a note of your Windows username and password for the local account. The person who installs the software must have the Windows username and password for their account. Without these, nothing can be configured, and the account is inaccessible. The default behavior of the Windows credential provider is to remember your last login, so you do not have to type in the username.

For this reason, many people may not remember the username. However, once you install the tool and reboot, the new Yubico credential provider is loaded, so that both admins and end-users have actually to type in the username. For these reasons, not only the admin but also everybody whose account is to be configured via Yubico Login for Windows should check to ensure that they can log in using the Windows username and password for their local account BEFORE the admin installs the tool and configures end-users’ accounts.

It’s also imperative to note that, once Yubico Login for Windows has been configured, there is:

• No Windows Password Hint
• No way to reset passwords
• No Remember Previous User/Login function.

Additionally, Windows automatic login is not compatible with Yubico Login for Windows. If a user whose account was set up for automatic login no longer remembers their original password when the Yubico Login for Windows configuration takes effect, the account can no longer be accessed. Address this issue preemptively by:

• Having users set new passwords before disabling automatic login.
• Have all users verify they can access their accounts with username and their new password before you use Yubico Login for Windows to configure their accounts.

Administrator permissions are required to install the software.

YubiKey Installation

First, verify your username. Once you have installed Yubico Login for Windows and rebooted, you will need to enter this in addition to your password to log in. To do this, open Command Prompt or PowerShell from the Start menu and run the command below

whoami

Take note of the full output, which should be in the form DESKTOP-1JJQRDF\jdoe, where jdoe is the username.

1. Download the Yubico Login for Windows software from here.
2. Run the installer by double-clicking on the download.
3. Accept the end-user license agreement.
4. In the installation wizard, specify the destination folder location or accept the default location.
5. Restart the machine on which the software has been installed. After the restart, the Yubico credential provider presents the login screen that prompts for the YubiKey.

Because the YubiKey has not yet been provisioned, you must switch user and enter not only the password for your local Windows account, but also your username for that account. If necessary, you may have to change Microsoft Account to Local Account.

After you have logged in, search for “Login Configuration” with the green icon. (The item actually labeled Yubico Login for Windows is just the installer, not the application.)

YubiKey Configuration

Administrator permissions are required to configure the software.
Only accounts that are supported can be configured for Yubico Login for Windows. If you launch the configuration wizard, and the account you are looking for is not displayed, it is not supported and therefore not available for configuration.

During the configuration process, the following will be required;

• Primary and Backup Keys: Use a different YubiKey for each registration. If you are configuring backup keys, each user should have one YubiKey for the primary and a second one for the backup key.
• Recovery Code: A recovery code is a last-resort mechanism to authenticate a user if all YubiKeys have been lost. Recovery codes can be assigned to the users you specify; however, the recovery code is only usable if the username and password for the account are also available. The option to generate a recovery code is presented during the configuration process.

Step 1: In the Windows Start menu, select Yubico > Login Configuration.

Step 2: The User Account Control dialog appears. If you are running this from a non-Administrator account, you will be prompted for local administrator credentials. The Welcome page introduces the Yubico Login Configuration provisioning wizard:

Step 3: Click Next. The Default page of Yubico Windows Login Configuration appears.

Step 4: The configurable items are:

Slots: Select the slot where the challenge-response secret will be stored. All YubiKeys that have not been customized come pre-loaded with a credential in slot 1, so if you are using Yubico Login for Windows to configure YubiKeys that are already being used for logging into other accounts, do not overwrite slot 1.

Challenge/Response Secret: This item enables you to specify how the secret will be configured and where it will be stored. The options are:

• Use existing secret if configured – generate if not configured: The key’s existing secret will be used in the specified slot. If the device has no existing secret, the provisioning process will generate a new secret.
• Generate new, random secret, even if a secret is currently configured: A new secret will be generated and programmed to the slot, overwriting any previously configured secret.
• Manually input secret: For advanced users: During the provisioning process, the application will prompt you to input manually an HMAC-SHA1 secret (20 bytes – 40 characters hex-encoded).

Generate Recovery Code: For each user provisioned, a new recovery code will be generated. This recovery code enables the end-user to log in to the system if they have lost their YubiKey.
Note: If you select to save a recovery code while provisioning a user for a second key, any previous recovery code becomes invalid, and only the new recovery code will work.

Create Backup Device for Each User: Use this option to have the provisioning process register two keys for each user, a primary YubiKey and a backup YubiKey. If you do not want to provide recovery codes to your users, it is good practice to give each user a backup YubiKey. For more information, refer to the Primary and Backup Keys section above.

Step 5: Click Next, to select the user(s) to provision. The Select User Accounts page (If there are no local user accounts supported by Yubico Login for Windows, the list will be empty) appears.

Step 6: Select the user accounts to be provisioned during the current run of the Yubico Login for Windows by selecting the checkbox next to the username, and then click Next. The Configuring User page appears.

Step 7: The username shown in the Configuring User field shown above is the user for whom a YubiKey is currently being configured. As each username is displayed, the process prompts you to insert a YubiKey to register for that user.

Step 8: The Wait for Device page is shown while an inserted YubiKey is being detected and before it is registered for the user whose username is in the Configuring User field at the top of the page. If you have selected Create Backup Device for Each User in the Defaults page, the Configuring User field will also display which of the YubiKeys is being registered, Primary or Backup.

Step 9: If you have configured the provisioning process to use a manually specified secret, the field for the 40 hex-digit secrets is displayed. Enter the secret and click Next.

Step 10: The Programming Device page displays the progress of programming each YubiKey.  The Device Confirmation page shown below displays the details of the YubiKey detected by the provisioning process, including the device serial number (if available) and the configuration status of each One-Time Password (OTP) slot. If there are conflicts between what you have set as defaults and what is possible with the detected YubiKey, a warning symbol is displayed. If everything is good to go, a check mark will be shown. If the status line shows an error icon, the error is described, and instructions for fixing it are displayed on the screen.

Step 11: Once programming is complete for a user account, that account can no longer be accessed without the corresponding YubiKey. You are prompted to remove the YubiKey just configured, and the provisioning process automatically proceeds to the next user account/YubiKey combination.

Step 12: After all, the YubiKeys for the specified user account have been provisioned:

• If the Generate Recovery Code was selected on the Defaults page, the Recovery Code page is displayed.
• If Generate Recovery Code was not selected, the provisioning process would automatically continue to the next user account.
• The provisioning process moves to Finished after the last user account is done.

The recovery code is a long string. (To eliminate problems caused by the end-user mistaking the numeral 1 for lowercase letter L and 0 for the letter O, the recovery code is encoded in Base32, which treats alphanumeric characters that look similar as if they were the same.)

The Recovery Code page is displayed after all the YubiKeys for the specified user account has been configured.

Step 13: On the Recovery Code page, generate and set a recovery code for the selected user. Once this has been done, the Copy and Save buttons to the right of the recovery code field become available.

Step 14: Copy the recovery code and save it from being shared with the user and keep it in case the user loses it.

Note: Be sure to save the recovery code at this point in the process. Once you proceed to the next screen, it is not possible to retrieve the code.

Step 15: To move to the next user account from the Select Users page, click Next. When you have configured the last user, the provisioning process displays the Finished page.

Step 16: Give each user their recovery code. End-users should save their recovery code to a safe location accessible when they cannot log in.

YubiKey User Experience

When the local user account has been configured to require a YubiKey, the user is authenticated by the Yubico Credential Provider instead of the default Windows Credential Provider. The user is prompted to insert their YubiKey. Then the Yubico Login screen is presented. The user enters their username and password.

Note: It is not necessary to press the button on the YubiKey USB hardware to log in. In some instances, pressing the button causes the login to fail.

When the end-user logs in, they must insert the correct YubiKey into a USB port on their system. If the end-user enters their username and password without inserting the correct YubiKey, authentication will fail, and the user will be presented with an error message.

If an end user’s account is configured for Yubico Login for Windows, and if a recovery code was generated, and a user loses their YubiKey(s), they can use their recovery code to authenticate. The end-user unlocks their computer with their username, recovery code, and password.

Until a new YubiKey is configured, the end-user must enter the recovery code each time they log in.

If Yubico Login for Windows does not detect that a YubiKey has been inserted, it is likely due to the key not having OTP mode enabled, or you are not inserting a YubiKey, but instead a Security Key, which is not compatible with this application. Use the YubiKey Manager application to ensure that all the YubiKeys to be provisioned have the OTP interface enabled.

Important: Alternative sign-in methods supported by Windows will not be affected. You must, therefore, restrict additional local and remote login methods for the user accounts you are protecting with Yubico Login for Windows to ensure you have not left open any ‘back doors.’

If you try out YubiKey, let us know your experience in the comments section below.

Related posts

• Tekintse meg a helyi fiók biztonsági kérdéseit és válaszait a Windows 10 rendszerben

• A Windows 11 és a Windows 10 telepítése USB-meghajtóra (Windows To Go)

• 3 módszer a Windows 10 számítógép indítására USB flash meghajtóról -

• A Felhasználóváltás opció hiányzik a Windows 10 bejelentkezési képernyőjéről

• Állítsa vissza a helyi fiók jelszavát Windows 10 rendszeren az Installation Media használatával

• Hogyan készítsünk Windows 10 hotspotot: Minden, amit tudnod kell

• A Continuum használata Windows 10 Mobile rendszeren a Microsoft Display Dock nélkül

• A hangsémák testreszabása a Windows 10 rendszerhez -

• A Windows Mobility Center használata Windows 10 rendszerben -

• A nyomtató megosztása a hálózattal Windows 10 rendszerben

• A legjobb külső Bluetooth adapterek Windows 10 számítógépekhez

• A legjobb ujjlenyomat-szkennerek a Windows 10 rendszerhez

• Engedélyezze vagy tiltsa le a biztonságos bejelentkezést a Windows 10 rendszerben

• Hogyan válasszuk ki az alapértelmezett GPU-t a játékokhoz vagy az alkalmazásokhoz a Windows 10 rendszerben

• Azon számítógépek listája, amelyek támogatják a Windows Hello rendszert a Windows 10 rendszerben

• Az alapértelmezett hangeszközök megváltoztatása a Windows 10 rendszerben (lejátszás és felvétel)

• A Windows 10 éjszakai lámpa: mit csinál és hogyan kell használni?

• Rendszergazdai fiók engedélyezése vagy letiltása a bejelentkezési képernyőn a Windows 10 rendszerben

• Hol találom a Windows 10 frissítési gyakoriságát? Hogyan lehet megváltoztatni?

• Mi az ICM fájl? Hogyan használható színprofil telepítésére Windows 10 rendszerben?