Yubikey for windowslogin

Heisann heisann, dette er Bjørn.

Jeg har en Yubikey. Den ser slik ut.

 

 
Yubikeyen genererer nøkkler/passord som jeg bruker til forskjellige innlogginger på interwebben. Så slipper jeg å lage de selv.
 

Yubikeyen kommer ferdigkonfigurert med en funksjon som genererer engangsnøkkler som kan brukes på tjenester som støtter yubikey. Lastpass for eksempel. Har man litt skills så kan man legge det til på egne tjenester også, men det har ikke jeg.

Yubico har nettop laget et lite program som legger yubikey beskyttelse på innloggingen i Windows, sammen med eksisterende sikkerhetstiltak.

Når jeg forsøker å logge inn på datamaskinen min må jeg fremdeles skrive passordet mitt, men om yubikeyen ikke står i usb porten kommer jeg ikke videre.

Først når jeg dytter den inn i usbporten vil windows la meg fortsette videre, selv om jeg skrev rett passord til å begynne med.

Fett!? plunder og heft??

Yubico har en nettside som forklarer i korte trekk hva greia går ut på. Hvordan bestille yubikey, og hvordan den må konfigureres. Videre er det en egen guide på yubicos sider som forklarer steg for steg hvordan man sikrer windowsbrukeren med nedlastbar programvare.

Guiden er veldig enkel og forklarer alt untatt dette punktet:

The YubiKey needs to be configured for HMAC-SHA1 challenge-response with variable input in slot 2.

Yubikeyen som bestilles nå er av versjon 2.2+ (sannsynligvis 2.23+) Uansett, så har den støtte for to forskjellige nøkkler. Disse kan aktiveres ved å holde knappen på yubikeyen inne i type 1 sekund for slot 1, 3 sekunder for slot 2, eller ved at det ene aktiveres av programvare som yubicos nye windowslogin(programmet ber yubikeyen om nøkkelen automagisk). For å aktivere den andre nøkkelslotten trenger vi Yubikey personalization tool.

Yubikey personalization tool ser slik ut, etter at det er ferdig lastet ned og installert.

Den røde pilen peker på linken med konfigurasjonsverktøyet for HMAC-SHA1 challenge-response, så klikk der!
Følg de røde pilene i bildet nedenfor for å konfigurere yubikeyen på enklest måte.

Det finnes et par ekstra alternativer som også kan aktiveres men det får man jammen eksperimentere med selv. Require user input på windowslogin kan nevnes at det er en solid dose plunder og heft å bruke, og anbefales på ingen som helst måte.
Som Hugo sier “Tvert imot!”.

Det anbefales forsåvidt også å sette yubikeyen inn i en usbslot på maskinen før “Write configuration” knappen trykkes.
Med litt hell skal nå brikken være ferdig konfigurert, og det nye programmet som yubico har laget for windowsbeskyttelse kan startes for å konfigurere windowsbrukeren. Guide for dette programmet finnes som tidligere nevnt her.

Koffer isje!

Leave a Reply

Your email address will not be published. Required fields are marked *