Korisnici mogu koristiti hardverske sigurnosne ključeve, koje proizvodi švedska tvrtka Yubico za prijavu na lokalni račun na Windows 10 . Tvrtka je nedavno objavila prvu stabilnu verziju aplikacije Yubico Login za Windows^{(Login for Windows application)} . U ovom postu ćemo vam pokazati kako instalirati i konfigurirati YubiKey za korištenje na Windows 10 računalima.

YubiKey je uređaj za hardversku autentifikaciju koji podržava jednokratne lozinke, šifriranje i provjeru autentičnosti s javnim ključem te Universal 2nd Factor (U2F) i FIDO2 protokole koje je razvio FIDO Alliance . Omogućuje korisnicima sigurnu prijavu na svoje račune emitiranjem jednokratnih lozinki ili korištenjem FIDO-temeljenog javnog/privatnog para ključeva koji generira uređaj. YubiKey također omogućuje pohranjivanje statičkih lozinki za korištenje na stranicama koje ne podržavaju jednokratne lozinke. Facebook koristi YubiKey za vjerodajnice zaposlenika, a Google ga podržava i za zaposlenike i za korisnike. Neki upravitelji lozinki podržavaju YubiKey .Yubico također proizvodi sigurnosni ključ^{(Security Key)} , uređaj sličan YubiKeyu^(YubiKey) , ali fokusiran na provjeru autentičnosti javnim ključem.

YubiKey korisnicima omogućuje potpisivanje, šifriranje i dešifriranje poruka bez izlaganja privatnih ključeva vanjskom svijetu. Ova je značajka prije bila dostupna samo za Mac i Linux korisnike.

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. YubiKey USB hardver.
2. Yubico Login softver za Windows.
3. YubiKey Manager softver.

Svi su dostupni na yubico.com pod karticom Product s. Također, trebate imati na umu da aplikacija YubiKey ne podržava lokalne Windows račune kojima upravlja Azure Active Directory ( AAD ) ili Active Directory (AD), kao ni Microsoft račune .

YubiKey hardverski uređaj za autentifikaciju

Prije instaliranja softvera Yubico Login^{(Yubico Login)} za Windows , zabilježite svoje Windows korisničko ime i lozinku za lokalni račun. Osoba koja instalira softver mora imati Windows korisničko ime i lozinku za svoj račun. Bez njih se ništa ne može konfigurirati, a račun je nedostupan. Zadano ponašanje Windows davatelja vjerodajnica je da zapamti vašu posljednju prijavu, tako da ne morate upisivati ​​korisničko ime.

Zbog toga se mnogi ljudi možda ne sjećaju korisničkog imena. Međutim, nakon što instalirate alat i ponovno pokrenete sustav, učitava se novi pružatelj vjerodajnica Yubico , tako da i administratori i krajnji korisnici zapravo moraju upisati korisničko ime. ^(Yubico)Iz ovih razloga, ne samo administrator nego i svi čiji se račun treba konfigurirati putem Yubico Login za Windows treba provjeriti mogu li se prijaviti pomoću Windows korisničkog imena i lozinke za svoj lokalni račun PRIJE nego što administrator instalira alat i konfigurira kraj -korisnički računi.

Također je važno napomenuti da, nakon što je Yubico Login za Windows konfiguriran, postoji:

• Nema savjeta za lozinku za Windows
• Nema načina za resetiranje lozinki
• Ne Remember Previous User/Login funkciju prethodnog korisnika/prijave.

Osim toga, automatska prijava u Windows nije kompatibilna s Yubico prijavom^{(Yubico Login)} za Windows . Ako se korisnik čiji je račun postavljen za automatsku prijavu više ne sjeća svoje izvorne lozinke kada konfiguracija Yubico Login za Windows stupi na snagu, računu se više ne može pristupiti. Preventivno^(Address) riješite ovaj problem na sljedeći način:

• Da korisnici postave nove lozinke prije onemogućavanja automatske prijave.
• Neka svi korisnici potvrde da mogu pristupiti svojim računima s korisničkim imenom i novom lozinkom prije nego što upotrijebite Yubico Login za Windows za konfiguriranje njihovih računa.

Za instalaciju softvera potrebna su administratorska dopuštenja.

Instalacija YubiKey

Prvo potvrdite svoje korisničko ime. Nakon što instalirate Yubico Login za Windows i ponovno pokrenete sustav, morat ćete unijeti ovo uz svoju lozinku za prijavu. Da biste to učinili, otvorite naredbeni redak^{(Command Prompt)} ili PowerShell iz izbornika Start i pokrenite naredbu u nastavku

whoami

Zabilježite^(Take) potpuni izlaz, koji bi trebao biti u obliku DESKTOP-1JJQRDF\jdoe , gdje  je jdoe  korisničko ime.

1. Preuzmite^(Download) softver Yubico^{(Yubico Login)} Login za Windows ovdje^(here) .
2. Pokrenite instalacijski program dvostrukim klikom na preuzimanje.
3. Prihvatite licencni ugovor za krajnjeg korisnika.
4. U čarobnjaku za instalaciju navedite mjesto odredišne ​​mape ili prihvatite zadanu lokaciju.
5. Ponovno pokrenite stroj na kojem je softver instaliran. Nakon ponovnog pokretanja, pružatelj vjerodajnica Yubico prikazuje zaslon za prijavu koji traži YubiKey .

Budući da YubiKey još nije osiguran, morate promijeniti korisnika i unijeti ne samo lozinku za svoj lokalni Windows račun, već i svoje korisničko ime za taj račun. Ako je potrebno, možda ćete morati promijeniti Microsoftov račun u Lokalni račun .

Nakon što ste se prijavili, potražite "Konfiguracija prijave" sa zelenom ikonom. (Stavka zapravo označena Yubico Login za Windows samo je instalacijski program, a ne aplikacija.)

YubiKey konfiguracija

^{(Administrator)}Za konfiguraciju softvera potrebna su administratorska dopuštenja.
Samo podržani računi mogu se konfigurirati za Yubico Login za Windows . Ako pokrenete čarobnjak za konfiguraciju, a račun koji tražite nije prikazan, nije podržan i stoga nije dostupan za konfiguraciju.

Tijekom procesa konfiguracije bit će potrebno sljedeće;

• Primarni i rezervni ključevi^{(Primary and Backup Keys)} : koristite drugačiji YubiKey za svaku registraciju. Ako konfigurirate rezervne ključeve, svaki korisnik treba imati jedan YubiKey za primarni i drugi za rezervni ključ.
• Kôd za oporavak: Kôd^{(Recovery Code)} za oporavak je posljednji mehanizam za provjeru autentičnosti korisnika ako su svi YubiKeyevi izgubljeni. Kodovi za oporavak^(Recovery) mogu se dodijeliti korisnicima koje navedete; međutim, kod za oporavak je upotrebljiv samo ako su korisničko ime i lozinka za račun također dostupni. Opcija za generiranje koda za oporavak prikazana je tijekom procesa konfiguracije.

Korak 1: U izborniku Windows Start odaberite Yubico > Konfiguracija prijave^{(Login Configuration)} .

Korak 2: Pojavljuje se dijaloški okvir Kontrola korisničkog računa . ^{(User Account Control)}Ako ovo pokrećete s računa koji nije administrator, od vas će se tražiti vjerodajnice lokalnog administratora. Stranica dobrodošlice predstavlja čarobnjaka za dostavljanje konfiguracije Yubico prijave^{(Yubico Login Configuration)} :

Korak 3: Kliknite Dalje^(Next) . Pojavljuje se zadana^(Default) stranica Yubico Windows konfiguracije prijave^{(Yubico Windows Login Configuration)} .

Korak 4: Stavke koje se mogu konfigurirati su:

Slots : Odaberite mjesto gdje će biti pohranjena tajna izazov-odgovor. Svi YubiKeyevi koji nisu prilagođeni dolaze s unaprijed učitanim vjerodajnicama u utor 1, pa ako koristite Yubico Login za Windows za konfiguriranje YubiKeyeva koji se već koriste za prijavu na druge račune, nemojte prebrisati mjesto 1.

Challenge/Response Secret : Ova stavka vam omogućuje da odredite kako će tajna biti konfigurirana i gdje će biti pohranjena. Opcije su:

• Koristi postojeću tajnu ako je konfigurirana – generiraj ako nije konfigurirana^{(Use existing secret if configured – generate if not configured)} : postojeća tajna ključa koristit će se u navedenom utoru. Ako uređaj nema postojeću tajnu, proces opskrbe će generirati novu tajnu.
• Generiranje nove, nasumične tajne, čak i ako je tajna trenutno konfigurirana^{(Generate new, random secret, even if a secret is currently configured)} : Nova tajna bit će generirana i programirana u utor, prebrišući bilo koju prethodno konfiguriranu tajnu.
• Ručni unos tajne^{(Manually input secret)} :  Za napredne korisnike^{(For advanced users)} : Tijekom procesa dobavljanja, aplikacija će od vas tražiti da ručno unesete HMAC-SHA1 tajnu (20 bajtova – 40 znakova heksadecimalno kodirano).

Generiranje koda za oporavak^{(Generate Recovery Code)} : Za svakog korisnika koji je osiguran, generirat će se novi kod za oporavak. Ovaj kod za oporavak omogućuje krajnjem korisniku da se prijavi na sustav ako je izgubio svoj YubiKey.
Napomena: Ako odaberete spremanje koda za oporavak dok korisniku dajete drugi ključ, svaki prethodni kod za oporavak postaje nevažeći, a funkcionirat će samo novi kod za oporavak.

Kreiraj uređaj za sigurnosnu kopiju za svakog korisnika^{(Create Backup Device for Each User)} : upotrijebite ovu opciju da bi proces dobavljanja registrirao dva ključa za svakog korisnika, primarni YubiKey i rezervni YubiKey . Ako ne želite davati kodove za oporavak svojim korisnicima, dobra je praksa svakom korisniku dati rezervni YubiKey . Za više informacija pogledajte gornji odjeljak Primarni^(Primary) i rezervni ključevi^{(Backup Keys)}  .

Korak 5: Kliknite Sljedeće^(Next) , da odaberete korisnika(e) za dostavljanje. Pojavljuje se stranica Odabir korisničkih računa (ako ^{(Select User Accounts)}Yubico Login za Windows ne podržava nijedan lokalni korisnički račun , popis će biti prazan).

Korak 6: Odaberite korisničke račune koji će biti dodijeljeni tijekom trenutnog pokretanja Yubico prijave^{(Yubico Login)} za Windows odabirom potvrdnog okvira pored korisničkog imena, a zatim kliknite Sljedeće^(Next) . Pojavljuje se stranica za konfiguriranje korisnika^{(Configuring User)} .

Korak 7: Korisničko ime prikazano u gore prikazanom polju Konfiguriranje korisnika^{(Configuring User)} je korisnik za kojeg se trenutno konfigurira YubiKey. Kako se svako korisničko ime prikazuje, proces od vas traži da umetnete YubiKey za registraciju za tog korisnika.

Korak 8: Stranica Wait for Device prikazuje se dok se otkriva umetnuti YubiKey i prije nego što se registrira za korisnika čije je korisničko ime u polju za konfiguriranje korisnika^{(Configuring User)} na vrhu stranice. Ako ste na stranici Defaults odabrali Create Backup Device for Every User, polje ^(Defaults)Configuring ^{(Create Backup Device for Each User)}User^{(Configuring User)} će također prikazati koji se YubiKeys registrira, primarni^(Primary) ili rezervni^(Backup) .

Korak 9: Ako ste konfigurirali proces opskrbe da koristi ručno određenu tajnu, prikazuje se polje za tajne od 40 heksadecimalnih znamenki. Unesite tajnu i kliknite Dalje^(Next) .

Korak 10: Stranica Uređaj za programiranje^{(Programming Device)} prikazuje napredak programiranja svakog YubiKey -a . Stranica za potvrdu uređaja^{(Device Confirmation)} prikazana u nastavku prikazuje pojedinosti o YubiKey -u otkrivenom postupkom priskrbe, uključujući serijski broj uređaja (ako je dostupan) i status konfiguracije svakog utora za jednokratnu lozinku^{(One-Time Password)} ( OTP ). Ako postoje sukobi između onoga što ste postavili kao zadane i onoga što je moguće s otkrivenim YubiKey -om , prikazuje se simbol upozorenja. Ako je sve u redu, prikazat će se kvačica. Ako se u statusnoj liniji prikazuje ikona pogreške, pogreška je opisana, a upute za njezino otklanjanje prikazane su na ekranu.

Korak 11: Nakon dovršetka programiranja za korisnički račun, tom računu se više ne može pristupiti bez odgovarajućeg YubiKey -a . Od vas se traži da uklonite upravo konfigurirani YubiKey , a proces opskrbe automatski nastavlja na sljedeću kombinaciju korisničkog računa/ YubiKey .

Korak 12: Uostalom, YubiKeys za navedeni korisnički račun su dodijeljeni:

• Ako je na stranici Defaults  odabran Generate Recovery Code , prikazuje se stranica Recovery Code .
• Ako  Generate Recovery Code  nije odabrano, proces opskrbe će se automatski nastaviti na sljedeći korisnički račun.
• Proces dodjele se premješta na  Završeno^(Finished)  nakon što je zadnji korisnički račun završen.

Kôd za oporavak je dugačak niz. (Kako bi se uklonili problemi uzrokovani time što je krajnji korisnik zamijenio broj 1 za malo slovo L i 0 za slovo O, kod za oporavak je kodiran u Base32 , koji tretira alfanumeričke znakove koji izgledaju slično kao da su isti.)

Stranica koda za oporavak^{(Recovery Code)} prikazuje se nakon što se konfiguriraju svi YubiKeyevi^(YubiKeys) za navedeni korisnički račun.

Korak 13: Na stranici Kod za oporavak^{(Recovery Code)} generirajte i postavite kod za oporavak za odabranog korisnika. Nakon što je to učinjeno, gumbi Kopiraj^(Copy)  i  Spremi^(Save) desno od polja koda za oporavak postaju dostupni.

Korak 14: Kopirajte kôd za oporavak i sačuvajte ga od dijeljenja s korisnikom te ga sačuvajte u slučaju da ga korisnik izgubi.

Napomena^(Note) : Obavezno spremite kod za oporavak u ovom trenutku procesa. Nakon što prijeđete na sljedeći zaslon, nije moguće dohvatiti kod.

Korak 15: Za prelazak na sljedeći korisnički račun sa stranice Odabir korisnika^{(Select Users)} , kliknite Sljedeće^(Next) . Kada ste konfigurirali posljednjeg korisnika, proces opskrbe prikazuje stranicu Završeno^(Finished) .

Korak 16: dajte svakom korisniku svoj kod za oporavak. Krajnji korisnici trebaju spremiti svoj kod za oporavak na sigurno mjesto dostupno kada se ne mogu prijaviti.

YubiKey korisničko iskustvo

Kada je lokalni korisnički račun konfiguriran da zahtijeva YubiKey , korisnika provjerava autentičnost Yubico davatelja vjerodajnica^{(Yubico Credential Provider)} umjesto zadanog davatelja vjerodajnica za Windows . Od korisnika se traži da umetne svoj YubiKey . Zatim se prikazuje Yubico Login zaslon. Korisnik upisuje svoje korisničko ime i lozinku.

Napomena^(Note) : Nije potrebno pritisnuti gumb na YubiKey USB hardveru za prijavu. U nekim slučajevima, pritisak na gumb uzrokuje neuspjeh prijave.

Kada se krajnji korisnik prijavi, mora umetnuti ispravan YubiKey u USB priključak na svom sustavu. Ako krajnji korisnik unese svoje korisničko ime i lozinku bez umetanja ispravnog YubiKey -a , autentifikacija neće uspjeti, a korisniku će se prikazati poruka o pogrešci.

Ako je račun krajnjeg korisnika konfiguriran za Yubico Login za Windows i ako je generiran kôd za oporavak, a korisnik izgubi svoje YubiKey(ove), može koristiti svoj kod za oporavak za provjeru autentičnosti. Krajnji korisnik otključava svoje računalo svojim korisničkim imenom, kodom za oporavak i lozinkom.

Dok se ne konfigurira novi YubiKey , krajnji korisnik mora unijeti kod za oporavak svaki put kada se prijavi.

Ako Yubico Login za Windows ne otkrije da je YubiKey umetnut, to je vjerojatno zbog toga što ključ nema omogućen OTP način ili ne umetnete YubiKey , već sigurnosni ključ^{(Security Key)} , koji nije kompatibilan s ovom aplikacijom. Upotrijebite aplikaciju YubiKey Manager  kako biste osigurali da svi YubiKey^(YubiKeys) -ovi koji će se dodijeliti imaju omogućeno OTP sučelje.

Važno^(Important) : To neće utjecati na alternativne metode prijave koje podržava Windows . Stoga morate ograničiti dodatne lokalne i udaljene metode prijave za korisničke račune koje štitite Yubico Login za Windows kako biste bili sigurni da niste ostavili otvorena nikakva 'stražnja vrata'.

Ako isprobate YubiKey, javite nam svoje iskustvo u odjeljku za komentare u nastavku.^{(If you try out YubiKey, let us know your experience in the comments section below.)}

Configure & use YubiKey Secure Login for Local Account in Windows 10

Users can use hаrdwarе securitу keys, manufactured by Swedish company Yubico to log into a Local account on Windows 10. The company recently released the first stable version of the Yubico Login for Windows application. In this post, we will show you how to install and configure YubiKey for use on Windows 10 PCs.

YubiKey is a hardware authentication device that supports one-time passwords, public-key encryption and authentication, and the Universal 2nd Factor (U2F) and FIDO2 protocols developed by the FIDO Alliance. It allows users to securely log in to their accounts by emitting one-time passwords or using a FIDO-based public/private key pair generated by the device. YubiKey also allows for storing static passwords for use at sites that do not support one-time passwords. Facebook uses YubiKey for employee credentials, and Google supports it for both employees and users. Some password managers support YubiKey. Yubico also manufactures the Security Key, a device similar to the YubiKey, but focused on public-key authentication.

YubiKey allows users to sign, encrypt, and decrypt messages without exposing the private keys to the outside world. This feature was previously available only for Mac & Linux users.

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. A YubiKey USB hardware .
2. Yubico Login software for Windows.
3. YubiKey Manager software.

All of them are available on yubico.com under their Products tab. Also, you should note that the YubiKey app does not support local Windows accounts managed by Azure Active Directory (AAD) or Active Directory (AD) as well as Microsoft Accounts.

YubiKey hardware authentication device

Before installing the Yubico Login for Windows software, make a note of your Windows username and password for the local account. The person who installs the software must have the Windows username and password for their account. Without these, nothing can be configured, and the account is inaccessible. The default behavior of the Windows credential provider is to remember your last login, so you do not have to type in the username.

For this reason, many people may not remember the username. However, once you install the tool and reboot, the new Yubico credential provider is loaded, so that both admins and end-users have actually to type in the username. For these reasons, not only the admin but also everybody whose account is to be configured via Yubico Login for Windows should check to ensure that they can log in using the Windows username and password for their local account BEFORE the admin installs the tool and configures end-users’ accounts.

It’s also imperative to note that, once Yubico Login for Windows has been configured, there is:

• No Windows Password Hint
• No way to reset passwords
• No Remember Previous User/Login function.

Additionally, Windows automatic login is not compatible with Yubico Login for Windows. If a user whose account was set up for automatic login no longer remembers their original password when the Yubico Login for Windows configuration takes effect, the account can no longer be accessed. Address this issue preemptively by:

• Having users set new passwords before disabling automatic login.
• Have all users verify they can access their accounts with username and their new password before you use Yubico Login for Windows to configure their accounts.

Administrator permissions are required to install the software.

YubiKey Installation

First, verify your username. Once you have installed Yubico Login for Windows and rebooted, you will need to enter this in addition to your password to log in. To do this, open Command Prompt or PowerShell from the Start menu and run the command below

whoami

Take note of the full output, which should be in the form DESKTOP-1JJQRDF\jdoe, where jdoe is the username.

1. Download the Yubico Login for Windows software from here.
2. Run the installer by double-clicking on the download.
3. Accept the end-user license agreement.
4. In the installation wizard, specify the destination folder location or accept the default location.
5. Restart the machine on which the software has been installed. After the restart, the Yubico credential provider presents the login screen that prompts for the YubiKey.

Because the YubiKey has not yet been provisioned, you must switch user and enter not only the password for your local Windows account, but also your username for that account. If necessary, you may have to change Microsoft Account to Local Account.

After you have logged in, search for “Login Configuration” with the green icon. (The item actually labeled Yubico Login for Windows is just the installer, not the application.)

YubiKey Configuration

Administrator permissions are required to configure the software.
Only accounts that are supported can be configured for Yubico Login for Windows. If you launch the configuration wizard, and the account you are looking for is not displayed, it is not supported and therefore not available for configuration.

During the configuration process, the following will be required;

• Primary and Backup Keys: Use a different YubiKey for each registration. If you are configuring backup keys, each user should have one YubiKey for the primary and a second one for the backup key.
• Recovery Code: A recovery code is a last-resort mechanism to authenticate a user if all YubiKeys have been lost. Recovery codes can be assigned to the users you specify; however, the recovery code is only usable if the username and password for the account are also available. The option to generate a recovery code is presented during the configuration process.

Step 1: In the Windows Start menu, select Yubico > Login Configuration.

Step 2: The User Account Control dialog appears. If you are running this from a non-Administrator account, you will be prompted for local administrator credentials. The Welcome page introduces the Yubico Login Configuration provisioning wizard:

Step 3: Click Next. The Default page of Yubico Windows Login Configuration appears.

Step 4: The configurable items are:

Slots: Select the slot where the challenge-response secret will be stored. All YubiKeys that have not been customized come pre-loaded with a credential in slot 1, so if you are using Yubico Login for Windows to configure YubiKeys that are already being used for logging into other accounts, do not overwrite slot 1.

Challenge/Response Secret: This item enables you to specify how the secret will be configured and where it will be stored. The options are:

• Use existing secret if configured – generate if not configured: The key’s existing secret will be used in the specified slot. If the device has no existing secret, the provisioning process will generate a new secret.
• Generate new, random secret, even if a secret is currently configured: A new secret will be generated and programmed to the slot, overwriting any previously configured secret.
• Manually input secret: For advanced users: During the provisioning process, the application will prompt you to input manually an HMAC-SHA1 secret (20 bytes – 40 characters hex-encoded).

Generate Recovery Code: For each user provisioned, a new recovery code will be generated. This recovery code enables the end-user to log in to the system if they have lost their YubiKey.
Note: If you select to save a recovery code while provisioning a user for a second key, any previous recovery code becomes invalid, and only the new recovery code will work.

Create Backup Device for Each User: Use this option to have the provisioning process register two keys for each user, a primary YubiKey and a backup YubiKey. If you do not want to provide recovery codes to your users, it is good practice to give each user a backup YubiKey. For more information, refer to the Primary and Backup Keys section above.

Step 5: Click Next, to select the user(s) to provision. The Select User Accounts page (If there are no local user accounts supported by Yubico Login for Windows, the list will be empty) appears.

Step 6: Select the user accounts to be provisioned during the current run of the Yubico Login for Windows by selecting the checkbox next to the username, and then click Next. The Configuring User page appears.

Step 7: The username shown in the Configuring User field shown above is the user for whom a YubiKey is currently being configured. As each username is displayed, the process prompts you to insert a YubiKey to register for that user.

Step 8: The Wait for Device page is shown while an inserted YubiKey is being detected and before it is registered for the user whose username is in the Configuring User field at the top of the page. If you have selected Create Backup Device for Each User in the Defaults page, the Configuring User field will also display which of the YubiKeys is being registered, Primary or Backup.

Step 9: If you have configured the provisioning process to use a manually specified secret, the field for the 40 hex-digit secrets is displayed. Enter the secret and click Next.

Step 10: The Programming Device page displays the progress of programming each YubiKey.  The Device Confirmation page shown below displays the details of the YubiKey detected by the provisioning process, including the device serial number (if available) and the configuration status of each One-Time Password (OTP) slot. If there are conflicts between what you have set as defaults and what is possible with the detected YubiKey, a warning symbol is displayed. If everything is good to go, a check mark will be shown. If the status line shows an error icon, the error is described, and instructions for fixing it are displayed on the screen.

Step 11: Once programming is complete for a user account, that account can no longer be accessed without the corresponding YubiKey. You are prompted to remove the YubiKey just configured, and the provisioning process automatically proceeds to the next user account/YubiKey combination.

Step 12: After all, the YubiKeys for the specified user account have been provisioned:

• If the Generate Recovery Code was selected on the Defaults page, the Recovery Code page is displayed.
• If Generate Recovery Code was not selected, the provisioning process would automatically continue to the next user account.
• The provisioning process moves to Finished after the last user account is done.

The recovery code is a long string. (To eliminate problems caused by the end-user mistaking the numeral 1 for lowercase letter L and 0 for the letter O, the recovery code is encoded in Base32, which treats alphanumeric characters that look similar as if they were the same.)

The Recovery Code page is displayed after all the YubiKeys for the specified user account has been configured.

Step 13: On the Recovery Code page, generate and set a recovery code for the selected user. Once this has been done, the Copy and Save buttons to the right of the recovery code field become available.

Step 14: Copy the recovery code and save it from being shared with the user and keep it in case the user loses it.

Note: Be sure to save the recovery code at this point in the process. Once you proceed to the next screen, it is not possible to retrieve the code.

Step 15: To move to the next user account from the Select Users page, click Next. When you have configured the last user, the provisioning process displays the Finished page.

Step 16: Give each user their recovery code. End-users should save their recovery code to a safe location accessible when they cannot log in.

YubiKey User Experience

When the local user account has been configured to require a YubiKey, the user is authenticated by the Yubico Credential Provider instead of the default Windows Credential Provider. The user is prompted to insert their YubiKey. Then the Yubico Login screen is presented. The user enters their username and password.

Note: It is not necessary to press the button on the YubiKey USB hardware to log in. In some instances, pressing the button causes the login to fail.

When the end-user logs in, they must insert the correct YubiKey into a USB port on their system. If the end-user enters their username and password without inserting the correct YubiKey, authentication will fail, and the user will be presented with an error message.

If an end user’s account is configured for Yubico Login for Windows, and if a recovery code was generated, and a user loses their YubiKey(s), they can use their recovery code to authenticate. The end-user unlocks their computer with their username, recovery code, and password.

Until a new YubiKey is configured, the end-user must enter the recovery code each time they log in.

If Yubico Login for Windows does not detect that a YubiKey has been inserted, it is likely due to the key not having OTP mode enabled, or you are not inserting a YubiKey, but instead a Security Key, which is not compatible with this application. Use the YubiKey Manager application to ensure that all the YubiKeys to be provisioned have the OTP interface enabled.

Important: Alternative sign-in methods supported by Windows will not be affected. You must, therefore, restrict additional local and remote login methods for the user accounts you are protecting with Yubico Login for Windows to ensure you have not left open any ‘back doors.’

If you try out YubiKey, let us know your experience in the comments section below.

Related posts

• Pregledajte sigurnosna pitanja i odgovore za lokalni račun u sustavu Windows 10

• Kako instalirati Windows 11 i Windows 10 na USB pogon (Windows To Go)

• 3 načina za pokretanje računala sa sustavom Windows 10 s USB flash pogona -

• Na zaslonu za prijavu u sustav Windows 10 nedostaje korisnička opcija

• Poništite lozinku lokalnog računa na Windows 10 pomoću instalacijskog medija

• Kako odabrati zadani GPU za igranje igara ili aplikacije u sustavu Windows 10

• Kako povezati svoj Android pametni telefon s mojim Windows 10 računalom

• 5 načina za izbacivanje vanjskog tvrdog diska ili USB-a iz sustava Windows 10

• Najbolji vanjski Bluetooth adapteri za Windows 10 računala

• Omogućite ili onemogućite administratorski račun na zaslonu za prijavu u sustavu Windows 10

• Kako koristiti Check Disk (chkdsk) za testiranje i ispravljanje pogrešaka tvrdog diska u sustavu Windows 10 -

• Kako odjaviti druge korisnike u sustavu Windows 10

• Kako koristiti Continuum na Windows 10 Mobile bez Microsoft Display Dock-a

• Kako primati datoteke putem Bluetootha i kako ih pronaći u Windows 10 Mobile

• Noćno svjetlo za Windows 10: što radi i kako ga koristiti -

• Kako napraviti pristupnu točku za Windows 10: sve što trebate znati

• Kako spojiti Windows 10 PC na Windows 10 Mobile pametni telefon, koristeći Bluetooth

• Kako uključiti Bluetooth na Windows 10: 5 načina

• Šaljite datoteke s Android pametnog telefona na Windows 10, uz Bluetooth

• Kako koristiti Windows Mobility Center u sustavu Windows 10 -