Корисници могу да користе хардверске безбедносне кључеве, које производи шведска компанија Иубицо,^(Yubico) да се пријаве на локални налог на Виндовс 10^{(Windows 10)} . Компанија је недавно објавила прву стабилну верзију апликације Иубицо ^(Yubico) Логин за Виндовс^{(Login for Windows application)} . У овом посту ћемо вам показати како да инсталирате и конфигуришете ИубиКеи^(YubiKey) за коришћење на Виндовс 10 рачунарима.

ИубиКеи^(YubiKey) је уређај за хардверску аутентификацију који подржава једнократне лозинке, шифровање и аутентификацију са јавним кључем, као и протоколе Универсал 2нд Фацтор (У2Ф)^{(Universal 2nd Factor (U2F))} и ФИДО2^(FIDO2) које је развила Алијанса ФИДО^{(FIDO Alliance)} . Омогућава корисницима да се безбедно пријављују на своје налоге емитујући једнократне лозинке или користећи ФИДО-базирани пар јавних/приватних кључева који генерише уређај. ИубиКеи^(YubiKey) такође омогућава чување статичких лозинки за коришћење на локацијама које не подржавају једнократне лозинке. Фацебоок^(Facebook) користи ИубиКеи^(YubiKey) за акредитиве запослених, а Гоогле^(Google) га подржава и за запослене и за кориснике. Неки менаџери лозинки подржавају ИубиКеи^(YubiKey) .Иубицо^(Yubico) такође производи безбедносни кључ^{(Security Key)} , уређај сличан ИубиКеи-^(YubiKey) у , али је фокусиран на аутентификацију јавним кључем.

ИубиКеи омогућава корисницима да потпишу, шифрују и дешифрују поруке без излагања приватних кључева спољном свету. Ова функција је раније била доступна само за Мац^(Mac) и Линук^(Linux) кориснике.

To configure/set up YubiKey on Windows 10, you’ll need the following:

ИубиКеи УСБ хардвер.
Иубицо Логин софтвер за Виндовс.
ИубиКеи Манагер софтвер.

Сви они су доступни на иубицо.цом^(yubico.com) под картицом Продуцт^(Product) с. Такође, треба да имате на уму да ИубиКеи^(YubiKey) апликација не подржава локалне Виндовс^(Windows) налоге којима управља Азуре Ацтиве Дирецтори^{(Azure Active Directory)} ( ААД^(AAD) ) или Ацтиве Дирецтори^(Directory) (АД), као ни Мицрософт налоге .

ИубиКеи^(YubiKey) хардверски уређај за аутентификацију

Пре инсталирања софтвера Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) , забележите своје Виндовс^(Windows) корисничко име и лозинку за локални налог. Особа која инсталира софтвер мора имати Виндовс^(Windows) корисничко име и лозинку за свој налог. Без њих се ништа не може конфигурисати, а налог је недоступан. Подразумевано понашање Виндовс^(Windows) провајдера акредитива је да запамти вашу последњу пријаву, тако да не морате да уносите корисничко име.

Из тог разлога, многи људи можда неће запамтити корисничко име. Међутим, када инсталирате алатку и поново покренете систем, нови Иубицо^(Yubico) провајдер акредитива се учитава, тако да и администратори и крајњи корисници заправо морају да унесу корисничко име. Из ових разлога, не само администратор већ и сви чији налог треба да се конфигурише преко Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) треба да провере да ли могу да се пријаве користећи Виндовс^(Windows) корисничко име и лозинку за свој локални налог ПРЕ него што администратор инсталира алатку и конфигурише крај -кориснички налози.

Такође је неопходно напоменути да, након што је Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) конфигурисан, постоји:

Нема наговештаја за лозинку за Виндовс
Нема начина за ресетовање лозинки
Не Remember Previous User/Login функцију претходног корисника/пријаве.

Поред тога, аутоматско пријављивање на Виндовс^(Windows) није компатибилно са Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) . Ако корисник чији је налог подешен за аутоматско пријављивање више не памти своју оригиналну лозинку када конфигурација Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) ступи на снагу, налогу се више не може приступити. Превентивно решите^(Address) овај проблем тако што ћете:

Да корисници поставе нове лозинке пре онемогућавања аутоматске пријаве.
Нека сви корисници потврде да могу да приступе својим налозима са корисничким именом и новом лозинком пре него што користите Иубицо Логин^(Login) за Виндовс^(Windows) да бисте конфигурисали њихове налоге.

За инсталирање софтвера потребне су администраторске дозволе.

ИубиКеи Инсталлатион

Прво потврдите своје корисничко име. Када инсталирате Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) и поново покренете систем, мораћете да унесете ово поред своје лозинке да бисте се пријавили. Да бисте то урадили, отворите командну линију^{(Command Prompt)} или ПоверСхелл^(PowerShell) из менија Старт и покрените наредбу испод^(Start)

whoami

Обратите^(Take) пажњу на цео излаз, који треба да буде у облику DESKTOP-1JJQRDF\jdoe , где је јдое^(jdoe) корисничко име.

Преузмите^(Download) софтвер Иубицо^{(Yubico Login)} Логин за Виндовс^(Windows) одавде .^(here)
Покрените инсталациони програм тако што ћете двапут кликнути на преузимање.
Прихватите уговор о лиценци за крајњег корисника.
У чаробњаку за инсталацију наведите локацију одредишне фасцикле или прихватите подразумевану локацију.
Поново покрените машину на којој је софтвер инсталиран. Након поновног покретања, Иубицо^(Yubico) добављач акредитива приказује екран за пријаву који тражи ИубиКеи^(YubiKey) .

Пошто ИубиКеи^(YubiKey) још увек није обезбеђен, морате променити корисника и унети не само лозинку за ваш локални Виндовс^(Windows) налог, већ и своје корисничко име за тај налог. Ако је потребно, можда ћете морати да промените Мицрософт налог у Локални налог .

Након што сте се пријавили, потражите „Конфигурација пријаве“ са зеленом иконом. (Ставка која је заправо означена Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) је само инсталатер, а не апликација.)

ИубиКеи конфигурација

^{(Administrator)}За конфигурисање софтвера потребне су администраторске дозволе.
Само подржани налози могу да се конфигуришу за Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) . Ако покренете чаробњак за конфигурацију, а налог који тражите није приказан, није подржан и стога није доступан за конфигурисање.

Током процеса конфигурације, биће потребно следеће;

Примарни и резервни кључеви^{(Primary and Backup Keys)} : Користите другачији ИубиКеи^(YubiKey) за сваку регистрацију. Ако конфигуришете резервне кључеве, сваки корисник треба да има један ИубиКеи^(YubiKey) за примарни и други за резервни кључ.
Код^{(Recovery Code)} за опоравак: Код за опоравак је механизам последњег решења за аутентификацију корисника ако су сви ИубиКеиеви изгубљени. Кодови за опоравак^(Recovery) могу бити додељени корисницима које наведете; међутим, код за опоравак је употребљив само ако су корисничко име и лозинка за налог такође доступни. Опција за генерисање кода за опоравак је представљена током процеса конфигурације.

Корак 1: У Виндовс Старт^(Start) менију изаберите Иубицо^(Yubico) > Конфигурација пријаве^{(Login Configuration)} .

Корак 2: Појављује се дијалог Контрола корисничког налога . ^{(User Account Control)}Ако ово покрећете са налога који није администратор, од вас ће бити затражено да унесете акредитиве локалног администратора. Страница добродошлице представља чаробњака за доделу конфигурације Иубицо Логин^{(Yubico Login Configuration)} :

ИубиКеи хардверски уређај за аутентификацију

Корак 3: Кликните на Нект^(Next) . Појављује се подразумевана^(Default) страница Иубицо Виндовс конфигурације за пријаву^{(Yubico Windows Login Configuration)} .

Корак 4: Ставке које се могу конфигурисати су:

Слотс^(Slots) : Изаберите слот где ће се чувати тајна изазов-одговор. Сви ИубиКеи кључеви који нису прилагођени долазе са унапред учитаним акредитивима у слоту 1, тако да ако користите Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) да бисте конфигурисали ИубиКеи који се већ користи за пријављивање на друге налоге, немојте заменити слот 1.

Challenge/Response Secret : Ова ставка вам омогућава да наведете како ће тајна бити конфигурисана и где ће бити ускладиштена. Опције су:

Користи постојећу тајну ако је конфигурисано – генерише ако није конфигурисано^{(Use existing secret if configured – generate if not configured)} : Постојећа тајна кључа ће се користити у наведеном слоту. Ако уређај нема постојећу тајну, процес обезбеђивања ће генерисати нову тајну.
Генерисање нове, насумичне тајне, чак и ако је тајна тренутно конфигурисана^{(Generate new, random secret, even if a secret is currently configured)} : Нова тајна ће бити генерисана и програмирана у слоту, замењујући сваку претходно конфигурисану тајну.
Ручни унос тајне^{(Manually input secret)} : За напредне кориснике^{(For advanced users)} : Током процеса обезбеђивања, апликација ће од вас тражити да ручно унесете ХМАЦ-СХА1 тајну (20 бајтова – 40 знакова хексадецимално кодирано).

Генерисање кода за опоравак^{(Generate Recovery Code)} : За сваког корисника који је додељен, биће генерисан нови код за опоравак. Овај код за опоравак омогућава крајњем кориснику да се пријави на систем ако је изгубио свој ИубиКеи.
Напомена: Ако изаберете да сачувате код за опоравак док кориснику дајете други кључ, сваки претходни код за опоравак постаје неважећи и само нови код за опоравак ће радити.

Креирај резервни уређај за сваког корисника^{(Create Backup Device for Each User)} : Користите ову опцију да процес обезбеђивања региструје два кључа за сваког корисника, примарни ИубиКеи^(YubiKey) и резервни ИубиКеи^(YubiKey) . Ако не желите да дате кодове за опоравак својим корисницима, добра је пракса да сваком кориснику дате резервну копију ИубиКеи-а^(YubiKey) . За више информација погледајте горњи одељак Примарни^(Primary) и резервни кључеви .^{(Backup Keys)}

Корак 5: Кликните на Нект^(Next) , да изаберете корисника(е) за доделу. Појављује се страница Избор корисничких налога (ако ^{(Select User Accounts)}Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) не подржава ниједан локални кориснички налог , листа ће бити празна).

Корак 6: Изаберите корисничке налоге који ће бити обезбеђени током тренутног покретања Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) тако што ћете означити поље за потврду поред корисничког имена, а затим кликните на Нект^(Next) . Појављује се страница за конфигурисање корисника^{(Configuring User)} .

Корак 7: Корисничко име приказано у пољу за конфигурисање корисника^{(Configuring User)} приказаном изнад је корисник за кога се тренутно конфигурише ИубиКеи. Како се свако корисничко име приказује, процес од вас тражи да убаците ИубиКеи да бисте се регистровали за тог корисника.

Корак 8: Страница Сачекајте уређај^{(Wait for Device)} се приказује док се детектује уметнути ИубиКеи и пре него што се региструје за корисника чије је корисничко име у пољу за подешавање корисника^{(Configuring User)} на врху странице. Ако сте изабрали Креирај уређај за резервну копију за сваког корисника^{(Create Backup Device for Each User)} на страници са подразумеваним подешавањима, поље за ^(Defaults)конфигурисање корисника^{(Configuring User)} ће такође приказати који од ИубиКеис-^(YubiKeys) а се региструје, примарни^(Primary) или резервни^(Backup) .

Корак 9: Ако сте конфигурисали процес обезбеђивања да користи ручно специфицирану тајну, приказује се поље за тајне од 40 хексадецимални цифара. Унесите тајну и кликните на Даље^(Next) .

Корак 10: Страница Уређај^{(Programming Device)} за програмирање приказује напредак програмирања сваког ИубиКеи-а^(YubiKey) . Страница за потврду уређаја^{(Device Confirmation)} приказана испод приказује детаље ИубиКеи-а^(YubiKey) откривеног процесом обезбеђивања, укључујући серијски број уређаја (ако је доступан) и статус конфигурације сваког слота за једнократну лозинку^{(One-Time Password)} ( ОТП^(OTP) ). Ако постоје сукоби између онога што сте поставили као подразумеване и онога што је могуће са откривеним ИубиКеи-ом^(YubiKey) , приказује се симбол упозорења. Ако је све у реду, појавиће се квачица. Ако статусна линија приказује икону грешке, грешка је описана и упутства за њено отклањање су приказана на екрану.

Корак 11: Када се програмирање за кориснички налог заврши, том налогу се више не може приступити без одговарајућег ИубиКеи-а^(YubiKey) . Од вас ће бити затражено да уклоните ИубиКеи који^(YubiKey) је управо конфигурисан, а процес обезбеђивања аутоматски наставља на следећу комбинацију корисничког налога/ ИубиКеи-а^(YubiKey) .

Корак 12: На крају крајева, ИубиКеис^(YubiKeys) за наведени кориснички налог су обезбеђени:

Ако је Генерате Рецовери Цоде^{(Generate Recovery Code)} изабран на страници Дефаултс^(Defaults) , приказује се страница Рецовери Цоде^{(Recovery Code)} .
Ако Генерате Рецовери Цоде^{(Generate Recovery Code)} није изабрано, процес обезбеђивања ће се аутоматски наставити на следећи кориснички налог.
Процес обезбеђивања прелази на Завршено^(Finished) након што је последњи кориснички налог завршен.

Код за опоравак је дугачак низ. (Да би се елиминисали проблеми узроковани тиме што је крајњи корисник погрешио број 1 за мало слово Л и 0 за слово О, код за опоравак је кодиран у Басе32^(Base32) , који третира алфанумеричке знакове који изгледају слично као да су исти.)

Страница кода за опоравак^{(Recovery Code)} се приказује након што су сви ИубиКеи^(YubiKeys) -ови за наведени кориснички налог конфигурисани.

Корак 13: На страници кода за опоравак^{(Recovery Code)} генеришете и поставите код за опоравак за изабраног корисника. Када се ово уради, дугмад Копирај^(Copy) и Сачувај^(Save) са десне стране поља кода за опоравак постају доступна.

Корак 14: Копирајте код за опоравак и сачувајте га од дељења са корисником и задржите га у случају да га корисник изгуби.

Напомена^(Note) : Обавезно сачувајте код за опоравак у овом тренутку процеса. Када пређете на следећи екран, није могуће преузети код.

Корак 15: Да бисте прешли на следећи кориснички налог са странице Избор корисника^{(Select Users)} , кликните на Следеће^(Next) . Када конфигуришете последњег корисника, процес обезбеђивања приказује страницу Завршено^(Finished) .

Корак 16: Дајте сваком кориснику њихов код за опоравак. Крајњи корисници би требало да сачувају свој код за опоравак на безбедној локацији доступној када не могу да се пријаве.

ИубиКеи корисничко искуство

Када је локални кориснички налог конфигурисан да захтева ИубиКеи^(YubiKey) , корисника проверава Иубицо добављач акредитива^{(Yubico Credential Provider)} уместо подразумеваног Виндовс добављача акредитива . Од корисника се тражи да убаци свој ИубиКеи^(YubiKey) . Затим се приказује Иубицо Логин^{(Yubico Login)} екран. Корисник уноси своје корисничко име и лозинку.

Напомена^(Note) : Није неопходно притиснути дугме на ИубиКеи УСБ^{(YubiKey USB)} хардверу да бисте се пријавили. У неким случајевима, притиском на дугме пријава не успе.

Када се крајњи корисник пријави, мора да убаци исправан ИубиКеи^(YubiKey) у УСБ^(USB) порт на свом систему. Ако крајњи корисник унесе своје корисничко име и лозинку без уметања исправног ИубиКеи-а^(YubiKey) , аутентификација неће успети, а кориснику ће се приказати порука о грешци.

Ако је налог крајњег корисника конфигурисан за Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) , и ако је генерисан код за опоравак, а корисник изгуби своје ИубиКеи(ове), може да користи свој код за опоравак за аутентификацију. Крајњи корисник откључава свој рачунар својим корисничким именом, кодом за опоравак и лозинком.

Док се не конфигурише нови ИубиКеи^(YubiKey) , крајњи корисник мора да унесе код за опоравак сваки пут када се пријави.

Ако Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) не открије да је ИубиКеи^(YubiKey) уметнут, то је вероватно због тога што кључ нема омогућен ОТП^(OTP) режим или не убацујете ИубиКеи^(YubiKey) , већ безбедносни кључ^{(Security Key)} , који није компатибилан са овом апликацијом. Користите апликацију ИубиКеи Манагер^{(YubiKey Manager)} да бисте осигурали да сви ИубиКеи^(YubiKeys) -ови који ће бити обезбеђени имају омогућен ОТП^(OTP) интерфејс.

Важно^(Important) : То неће утицати на алтернативне методе пријављивања које подржава Виндовс . ^(Windows)Стога морате ограничити додатне локалне и удаљене методе пријављивања за корисничке налоге које штитите помоћу Иубицо Логин^{(Yubico Login)} за Виндовс^(Windows) како бисте били сигурни да нисте оставили отворена никаква „стражња врата“.

Ако испробате ИубиКеи, јавите нам своје искуство у одељку за коментаре испод.^{(If you try out YubiKey, let us know your experience in the comments section below.)}

Configure & use YubiKey Secure Login for Local Account in Windows 10

Users can use hardwarе security keys, manufactured by Swedish compаny Yubico to log into a Local account on Windows 10. The company recently released the first stable version of the Yubico Login for Windows application. In this post, we will show you how to install and configure YubiKey for use on Windows 10 PCs.

YubiKey is a hardware authentication device that supports one-time passwords, public-key encryption and authentication, and the Universal 2nd Factor (U2F) and FIDO2 protocols developed by the FIDO Alliance. It allows users to securely log in to their accounts by emitting one-time passwords or using a FIDO-based public/private key pair generated by the device. YubiKey also allows for storing static passwords for use at sites that do not support one-time passwords. Facebook uses YubiKey for employee credentials, and Google supports it for both employees and users. Some password managers support YubiKey. Yubico also manufactures the Security Key, a device similar to the YubiKey, but focused on public-key authentication.

YubiKey allows users to sign, encrypt, and decrypt messages without exposing the private keys to the outside world. This feature was previously available only for Mac & Linux users.

To configure/set up YubiKey on Windows 10, you’ll need the following:

A YubiKey USB hardware .
Yubico Login software for Windows.
YubiKey Manager software.

All of them are available on yubico.com under their Products tab. Also, you should note that the YubiKey app does not support local Windows accounts managed by Azure Active Directory (AAD) or Active Directory (AD) as well as Microsoft Accounts.

YubiKey hardware authentication device

Before installing the Yubico Login for Windows software, make a note of your Windows username and password for the local account. The person who installs the software must have the Windows username and password for their account. Without these, nothing can be configured, and the account is inaccessible. The default behavior of the Windows credential provider is to remember your last login, so you do not have to type in the username.

For this reason, many people may not remember the username. However, once you install the tool and reboot, the new Yubico credential provider is loaded, so that both admins and end-users have actually to type in the username. For these reasons, not only the admin but also everybody whose account is to be configured via Yubico Login for Windows should check to ensure that they can log in using the Windows username and password for their local account BEFORE the admin installs the tool and configures end-users’ accounts.

It’s also imperative to note that, once Yubico Login for Windows has been configured, there is:

No Windows Password Hint
No way to reset passwords
No Remember Previous User/Login function.

Additionally, Windows automatic login is not compatible with Yubico Login for Windows. If a user whose account was set up for automatic login no longer remembers their original password when the Yubico Login for Windows configuration takes effect, the account can no longer be accessed. Address this issue preemptively by:

Having users set new passwords before disabling automatic login.
Have all users verify they can access their accounts with username and their new password before you use Yubico Login for Windows to configure their accounts.

Administrator permissions are required to install the software.

YubiKey Installation

First, verify your username. Once you have installed Yubico Login for Windows and rebooted, you will need to enter this in addition to your password to log in. To do this, open Command Prompt or PowerShell from the Start menu and run the command below

whoami

Take note of the full output, which should be in the form DESKTOP-1JJQRDF\jdoe, where jdoe is the username.

Download the Yubico Login for Windows software from here.
Run the installer by double-clicking on the download.
Accept the end-user license agreement.
In the installation wizard, specify the destination folder location or accept the default location.
Restart the machine on which the software has been installed. After the restart, the Yubico credential provider presents the login screen that prompts for the YubiKey.

Because the YubiKey has not yet been provisioned, you must switch user and enter not only the password for your local Windows account, but also your username for that account. If necessary, you may have to change Microsoft Account to Local Account.

After you have logged in, search for “Login Configuration” with the green icon. (The item actually labeled Yubico Login for Windows is just the installer, not the application.)

YubiKey Configuration

Administrator permissions are required to configure the software.
Only accounts that are supported can be configured for Yubico Login for Windows. If you launch the configuration wizard, and the account you are looking for is not displayed, it is not supported and therefore not available for configuration.

During the configuration process, the following will be required;

Primary and Backup Keys: Use a different YubiKey for each registration. If you are configuring backup keys, each user should have one YubiKey for the primary and a second one for the backup key.
Recovery Code: A recovery code is a last-resort mechanism to authenticate a user if all YubiKeys have been lost. Recovery codes can be assigned to the users you specify; however, the recovery code is only usable if the username and password for the account are also available. The option to generate a recovery code is presented during the configuration process.

Step 1: In the Windows Start menu, select Yubico > Login Configuration.

Step 2: The User Account Control dialog appears. If you are running this from a non-Administrator account, you will be prompted for local administrator credentials. The Welcome page introduces the Yubico Login Configuration provisioning wizard:

YubiKey hardware authentication device

Step 3: Click Next. The Default page of Yubico Windows Login Configuration appears.

Step 4: The configurable items are:

Slots: Select the slot where the challenge-response secret will be stored. All YubiKeys that have not been customized come pre-loaded with a credential in slot 1, so if you are using Yubico Login for Windows to configure YubiKeys that are already being used for logging into other accounts, do not overwrite slot 1.

Challenge/Response Secret: This item enables you to specify how the secret will be configured and where it will be stored. The options are:

Use existing secret if configured – generate if not configured: The key’s existing secret will be used in the specified slot. If the device has no existing secret, the provisioning process will generate a new secret.
Generate new, random secret, even if a secret is currently configured: A new secret will be generated and programmed to the slot, overwriting any previously configured secret.
Manually input secret: For advanced users: During the provisioning process, the application will prompt you to input manually an HMAC-SHA1 secret (20 bytes – 40 characters hex-encoded).

Generate Recovery Code: For each user provisioned, a new recovery code will be generated. This recovery code enables the end-user to log in to the system if they have lost their YubiKey.
Note: If you select to save a recovery code while provisioning a user for a second key, any previous recovery code becomes invalid, and only the new recovery code will work.

Create Backup Device for Each User: Use this option to have the provisioning process register two keys for each user, a primary YubiKey and a backup YubiKey. If you do not want to provide recovery codes to your users, it is good practice to give each user a backup YubiKey. For more information, refer to the Primary and Backup Keys section above.

Step 5: Click Next, to select the user(s) to provision. The Select User Accounts page (If there are no local user accounts supported by Yubico Login for Windows, the list will be empty) appears.

Step 6: Select the user accounts to be provisioned during the current run of the Yubico Login for Windows by selecting the checkbox next to the username, and then click Next. The Configuring User page appears.

Step 7: The username shown in the Configuring User field shown above is the user for whom a YubiKey is currently being configured. As each username is displayed, the process prompts you to insert a YubiKey to register for that user.

Step 8: The Wait for Device page is shown while an inserted YubiKey is being detected and before it is registered for the user whose username is in the Configuring User field at the top of the page. If you have selected Create Backup Device for Each User in the Defaults page, the Configuring User field will also display which of the YubiKeys is being registered, Primary or Backup.

Step 9: If you have configured the provisioning process to use a manually specified secret, the field for the 40 hex-digit secrets is displayed. Enter the secret and click Next.

Step 10: The Programming Device page displays the progress of programming each YubiKey. The Device Confirmation page shown below displays the details of the YubiKey detected by the provisioning process, including the device serial number (if available) and the configuration status of each One-Time Password (OTP) slot. If there are conflicts between what you have set as defaults and what is possible with the detected YubiKey, a warning symbol is displayed. If everything is good to go, a check mark will be shown. If the status line shows an error icon, the error is described, and instructions for fixing it are displayed on the screen.

Step 11: Once programming is complete for a user account, that account can no longer be accessed without the corresponding YubiKey. You are prompted to remove the YubiKey just configured, and the provisioning process automatically proceeds to the next user account/YubiKey combination.

Step 12: After all, the YubiKeys for the specified user account have been provisioned:

If the Generate Recovery Code was selected on the Defaults page, the Recovery Code page is displayed.
If Generate Recovery Code was not selected, the provisioning process would automatically continue to the next user account.
The provisioning process moves to Finished after the last user account is done.

The recovery code is a long string. (To eliminate problems caused by the end-user mistaking the numeral 1 for lowercase letter L and 0 for the letter O, the recovery code is encoded in Base32, which treats alphanumeric characters that look similar as if they were the same.)

The Recovery Code page is displayed after all the YubiKeys for the specified user account has been configured.

Step 13: On the Recovery Code page, generate and set a recovery code for the selected user. Once this has been done, the Copy and Save buttons to the right of the recovery code field become available.

Step 14: Copy the recovery code and save it from being shared with the user and keep it in case the user loses it.

Note: Be sure to save the recovery code at this point in the process. Once you proceed to the next screen, it is not possible to retrieve the code.

Step 15: To move to the next user account from the Select Users page, click Next. When you have configured the last user, the provisioning process displays the Finished page.

Step 16: Give each user their recovery code. End-users should save their recovery code to a safe location accessible when they cannot log in.

YubiKey User Experience

When the local user account has been configured to require a YubiKey, the user is authenticated by the Yubico Credential Provider instead of the default Windows Credential Provider. The user is prompted to insert their YubiKey. Then the Yubico Login screen is presented. The user enters their username and password.

Note: It is not necessary to press the button on the YubiKey USB hardware to log in. In some instances, pressing the button causes the login to fail.

When the end-user logs in, they must insert the correct YubiKey into a USB port on their system. If the end-user enters their username and password without inserting the correct YubiKey, authentication will fail, and the user will be presented with an error message.

If an end user’s account is configured for Yubico Login for Windows, and if a recovery code was generated, and a user loses their YubiKey(s), they can use their recovery code to authenticate. The end-user unlocks their computer with their username, recovery code, and password.

Until a new YubiKey is configured, the end-user must enter the recovery code each time they log in.

If Yubico Login for Windows does not detect that a YubiKey has been inserted, it is likely due to the key not having OTP mode enabled, or you are not inserting a YubiKey, but instead a Security Key, which is not compatible with this application. Use the YubiKey Manager application to ensure that all the YubiKeys to be provisioned have the OTP interface enabled.

Important: Alternative sign-in methods supported by Windows will not be affected. You must, therefore, restrict additional local and remote login methods for the user accounts you are protecting with Yubico Login for Windows to ensure you have not left open any ‘back doors.’

If you try out YubiKey, let us know your experience in the comments section below.

Giselle Hale

About the author

Ја сам искусан софтверски инжењер, са више од 10 година искуства у развоју и одржавању Мицрософт Оффице апликација. Имам снажну страст да помажем другима да остваре своје циљеве, како кроз свој рад као софтверски инжењер, тако и кроз своје вештине јавног говора и умрежавања. Такође сам изузетно упућен у драјвере хардвера и тастатуре, пошто сам многе од њих сам развио и тестирао.

Конфигуришите и користите ИубиКеи Сецуре Логин за локални налог у оперативном систему Виндовс 10