Benutzer können Hardware-Sicherheitsschlüssel verwenden, die von der schwedischen Firma Yubico hergestellt werden, um sich bei einem ^(Yubico)lokalen Konto unter Windows 10 anzumelden . Das Unternehmen hat kürzlich die erste stabile Version der Anwendung Yubico Login für Windows^{(Login for Windows application)} veröffentlicht . In diesem Beitrag zeigen wir Ihnen, wie Sie YubiKey für die Verwendung auf Windows 10-PCs installieren und konfigurieren.

YubiKey ist ein Hardware-Authentifizierungsgerät, das Einmalpasswörter, Public-Key-Verschlüsselung und -Authentifizierung sowie die von der FIDO Alliance entwickelten Protokolle Universal 2nd Factor (U2F) und FIDO2 unterstützt^(FIDO2) . Es ermöglicht Benutzern, sich sicher bei ihren Konten anzumelden, indem sie Einmalpasswörter ausgeben oder ein vom Gerät generiertes FIDO-basiertes öffentliches/privates Schlüsselpaar verwenden. YubiKey ermöglicht auch das Speichern statischer Passwörter zur Verwendung auf Websites, die keine Einmalpasswörter unterstützen. Facebook verwendet YubiKey für Mitarbeiteranmeldeinformationen und Google unterstützt es sowohl für Mitarbeiter als auch für Benutzer. Einige Passwort-Manager unterstützen YubiKey .Yubico stellt auch den Sicherheitsschlüssel her, ein dem ^{(Security Key)}YubiKey ähnliches Gerät, das sich jedoch auf die Authentifizierung mit öffentlichen Schlüsseln konzentriert.

Mit YubiKey können Benutzer Nachrichten signieren, verschlüsseln und entschlüsseln, ohne die privaten Schlüssel der Außenwelt preiszugeben. Diese Funktion war bisher nur für Mac- und Linux - Benutzer verfügbar.

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. Eine YubiKey USB-Hardware.
2. Yubico Login-Software für Windows.
3. YubiKey Manager-Software.

Alle sind auf yubico.com unter der Registerkarte „ Produkte^(Product) “ verfügbar . Außerdem sollten Sie beachten, dass die YubiKey- App lokale Windows - Konten, die von Azure Active Directory ( AAD ) oder Active Directory (AD) verwaltet werden, sowie Microsoft-Konten nicht unterstützt .

YubiKey -Hardware-Authentifizierungsgerät

Notieren Sie sich vor der Installation der Yubico Login for Windows -Software Ihren Windows - Benutzernamen und Ihr Passwort für das lokale Konto. Die Person, die die Software installiert, muss über den Windows - Benutzernamen und das Kennwort für ihr Konto verfügen. Ohne diese kann nichts konfiguriert werden und das Konto ist nicht zugänglich. Das Standardverhalten des Windows -Anmeldeinformationsanbieters besteht darin, sich Ihre letzte Anmeldung zu merken, sodass Sie den Benutzernamen nicht eingeben müssen.

Aus diesem Grund erinnern sich viele Menschen möglicherweise nicht an den Benutzernamen. Sobald Sie das Tool jedoch installieren und neu starten, wird der neue Yubico -Anmeldeinformationsanbieter geladen, sodass sowohl Administratoren als auch Endbenutzer den Benutzernamen tatsächlich eingeben müssen. Aus diesen Gründen sollte nicht nur der Administrator, sondern jeder, dessen Konto über Yubico Login für Windows konfiguriert werden soll, sicherstellen, dass er sich mit dem Windows - Benutzernamen und -Passwort für sein lokales Konto anmelden kann, BEVOR der Administrator das Tool installiert und die Konfiguration beendet -Benutzerkonten.

Es ist auch unbedingt zu beachten, dass nach der Konfiguration von Yubico Login für Windows Folgendes vorhanden ist:

• Kein Windows-Kennworthinweis
• Keine Möglichkeit, Passwörter zurückzusetzen
• Keine Funktion Remember Previous User/Login .

Außerdem ist die automatische Windows -Anmeldung nicht mit Yubico Login für Windows kompatibel . Wenn ein Benutzer, dessen Konto für die automatische Anmeldung eingerichtet wurde, sich nicht mehr an sein ursprüngliches Passwort erinnert, wenn die Konfiguration von Yubico Login für Windows wirksam wird, kann nicht mehr auf das Konto zugegriffen werden. Beheben Sie^(Address) dieses Problem präventiv, indem Sie:

• Benutzer neue Passwörter festlegen lassen, bevor die automatische Anmeldung deaktiviert wird.
• Lassen Sie alle Benutzer überprüfen, ob sie mit ihrem Benutzernamen und ihrem neuen Passwort auf ihre Konten zugreifen können, bevor Sie Yubico Login für Windows verwenden, um ihre Konten zu konfigurieren.

Für die Installation der Software sind Administratorrechte erforderlich.

YubiKey-Installation

Überprüfen Sie zunächst Ihren Benutzernamen. Nachdem Sie Yubico Login für Windows installiert und neu gestartet haben, müssen Sie dieses zusätzlich zu Ihrem Passwort eingeben, um sich anzumelden. Öffnen Sie dazu die Eingabeaufforderung^{(Command Prompt)} oder PowerShell aus dem Startmenü^(Start) und führen Sie den folgenden Befehl aus

whoami

^(Take)Beachten Sie die vollständige Ausgabe, die das Format DESKTOP DESKTOP-1JJQRDF\jdoe haben sollte , wobei  jdoe  der Benutzername ist.

1. Laden^(Download) Sie die Yubico Login für Windows -Software hier^(here) herunter .
2. Führen Sie das Installationsprogramm aus, indem Sie auf den Download doppelklicken.
3. Akzeptieren Sie die Endbenutzer-Lizenzvereinbarung.
4. Geben Sie im Installationsassistenten den Speicherort des Zielordners an oder akzeptieren Sie den Standardspeicherort.
5. Starten Sie den Computer neu, auf dem die Software installiert wurde. Nach dem Neustart zeigt der Yubico -Anmeldeinformationsanbieter den Anmeldebildschirm an, der zur Eingabe des YubiKey auffordert .

Da der YubiKey noch nicht bereitgestellt wurde, müssen Sie den Benutzer wechseln und nicht nur das Passwort für Ihr lokales Windows - Konto eingeben, sondern auch Ihren Benutzernamen für dieses Konto. Gegebenenfalls müssen Sie das Microsoft-Konto möglicherweise in Lokales Konto ändern .

Nachdem Sie sich angemeldet haben, suchen Sie mit dem grünen Symbol nach „Login Configuration“. (Das eigentlich mit Yubico Login for Windows bezeichnete Element ist nur das Installationsprogramm, nicht die Anwendung.)

YubiKey-Konfiguration

Administratorrechte^{(Administrator)} sind erforderlich, um die Software zu konfigurieren.
Nur unterstützte Konten können für Yubico Login für Windows konfiguriert werden . Wenn Sie den Konfigurationsassistenten starten und das gesuchte Konto nicht angezeigt wird, wird es nicht unterstützt und steht daher nicht zur Konfiguration zur Verfügung.

Während des Konfigurationsprozesses wird Folgendes benötigt;

• Primär- und Sicherungsschlüssel^{(Primary and Backup Keys)} : Verwenden Sie für jede Registrierung einen anderen YubiKey . Wenn Sie Sicherungsschlüssel konfigurieren, sollte jeder Benutzer einen YubiKey für den primären und einen zweiten für den Sicherungsschlüssel haben.
• Wiederherstellungscode^{(Recovery Code)} : Ein Wiederherstellungscode ist ein letzter Ausweg, um einen Benutzer zu authentifizieren, wenn alle YubiKeys verloren gegangen sind. Wiederherstellungscodes^(Recovery) können den von Ihnen angegebenen Benutzern zugewiesen werden; Der Wiederherstellungscode ist jedoch nur verwendbar, wenn der Benutzername und das Kennwort für das Konto ebenfalls verfügbar sind. Die Option zum Generieren eines Wiederherstellungscodes wird während des Konfigurationsprozesses angezeigt.

Schritt 1: Wählen Sie im Windows - ^{(Login Configuration)}Startmenü ^(Start)Yubico > Anmeldekonfiguration aus .

Schritt 2: Das Dialogfeld Benutzerkontensteuerung wird angezeigt. ^{(User Account Control)}Wenn Sie dies von einem Nicht-Administratorkonto aus ausführen, werden Sie zur Eingabe der Anmeldeinformationen des lokalen Administrators aufgefordert. Auf der Willkommensseite wird der Bereitstellungsassistent für die Yubico-Anmeldekonfiguration^{(Yubico Login Configuration)} vorgestellt :

Schritt 3: Klicken Sie auf Weiter^(Next) . Die Standardseite^(Default) der Yubico-Windows-Anmeldekonfiguration^{(Yubico Windows Login Configuration)} wird angezeigt.

Schritt 4: Die konfigurierbaren Elemente sind:

Slots : Wählen Sie den Slot aus, in dem das Challenge-Response-Geheimnis gespeichert wird. Alle YubiKeys, die nicht angepasst wurden, sind mit einem Berechtigungsnachweis in Steckplatz 1 vorinstalliert. Wenn Sie also Yubico Login für Windows verwenden, um YubiKeys zu konfigurieren, die bereits für die Anmeldung bei anderen Konten verwendet werden, überschreiben Sie Steckplatz 1 nicht.

Challenge/Response Secret : Mit diesem Element können Sie angeben, wie das Geheimnis konfiguriert und wo es gespeichert wird. Die Optionen sind:

• Vorhandenes Geheimnis verwenden, wenn konfiguriert – generieren, wenn nicht konfiguriert^{(Use existing secret if configured – generate if not configured)} : Das vorhandene Geheimnis des Schlüssels wird im angegebenen Slot verwendet. Wenn das Gerät über kein vorhandenes Geheimnis verfügt, generiert der Bereitstellungsprozess ein neues Geheimnis.
• Neues, zufälliges Geheimnis generieren, auch wenn derzeit ein Geheimnis konfiguriert ist^{(Generate new, random secret, even if a secret is currently configured)} : Ein neues Geheimnis wird generiert und in den Steckplatz programmiert, wobei alle zuvor konfigurierten Geheimnisse überschrieben werden.
• Manuelle Eingabe des Geheimnisses^{(Manually input secret)} :  Für fortgeschrittene Benutzer^{(For advanced users)} : Während des Bereitstellungsprozesses fordert Sie die Anwendung auf, manuell ein HMAC-SHA1-Geheimnis (20 Bytes – 40 Zeichen hexadezimal codiert) einzugeben.

Wiederherstellungscode generieren^{(Generate Recovery Code)} : Für jeden bereitgestellten Benutzer wird ein neuer Wiederherstellungscode generiert. Dieser Wiederherstellungscode ermöglicht es dem Endbenutzer, sich beim System anzumelden, wenn er seinen YubiKey verloren hat.
Hinweis: Wenn Sie einen Wiederherstellungscode speichern, während Sie einem Benutzer einen zweiten Schlüssel zuweisen, wird jeder vorherige Wiederherstellungscode ungültig und nur der neue Wiederherstellungscode funktioniert.

Backup-Gerät für jeden Benutzer erstellen^{(Create Backup Device for Each User)} : Verwenden Sie diese Option, damit der Bereitstellungsprozess zwei Schlüssel für jeden Benutzer registriert, einen primären YubiKey und einen Backup- YubiKey . Wenn Sie Ihren Benutzern keine Wiederherstellungscodes zur Verfügung stellen möchten, empfiehlt es sich, jedem Benutzer einen Backup- YubiKey zu geben . Weitere Informationen finden Sie  oben im Abschnitt Primär-^(Primary) und Backup-Schlüssel .^{(Backup Keys)}

Schritt 5: Klicken Sie auf Weiter^(Next) , um die bereitzustellenden Benutzer auszuwählen. Die Seite Benutzerkonten auswählen^{(Select User Accounts)} (Wenn keine lokalen Benutzerkonten von Yubico Login für Windows unterstützt werden , ist die Liste leer) erscheint.

Schritt 6: Wählen Sie die Benutzerkonten aus, die während der aktuellen Ausführung von Yubico Login für Windows bereitgestellt werden sollen , indem Sie das Kontrollkästchen neben dem Benutzernamen aktivieren, und klicken Sie dann auf Weiter^(Next) . Die Seite Benutzer konfigurieren^{(Configuring User)} wird angezeigt.

Schritt 7: Der Benutzername, der oben im Feld Benutzer konfigurieren^{(Configuring User)} angezeigt wird, ist der Benutzer, für den derzeit ein YubiKey konfiguriert wird. Wenn jeder Benutzername angezeigt wird, fordert der Prozess Sie auf, einen YubiKey einzulegen, um sich für diesen Benutzer zu registrieren.

Schritt 8: Die Seite „ Warten auf Gerät^{(Wait for Device)} “ wird angezeigt, während ein eingeführter YubiKey erkannt wird und bevor er für den Benutzer registriert wird, dessen Benutzername sich im Feld Benutzer konfigurieren^{(Configuring User)} oben auf der Seite befindet. Wenn Sie Backup-Gerät für jeden Benutzer erstellen^{(Create Backup Device for Each User)} auf der Seite „ Standards “ ausgewählt haben, zeigt das Feld ^(YubiKeys)Benutzer konfigurieren^{(Configuring User)} auch an, welcher der YubiKeys^(Defaults) registriert wird, Primär^(Primary) oder Backup .

Schritt 9: Wenn Sie den Bereitstellungsprozess für die Verwendung eines manuell angegebenen Geheimnisses konfiguriert haben, wird das Feld für die 40 hexadezimalen Geheimnisse angezeigt. Geben Sie das Geheimnis ein und klicken Sie auf Weiter^(Next) .

Schritt 10: Die Seite Programmiergerät^{(Programming Device)} zeigt den Fortschritt der Programmierung jedes YubiKey an . Die unten gezeigte Gerätebestätigungsseite^(YubiKey) zeigt die Details des vom Bereitstellungsprozess erkannten YubiKey^{(Device Confirmation)} an, einschließlich der Geräteseriennummer (falls verfügbar) und des Konfigurationsstatus jedes One-Time Password ( OTP )-Steckplatzes. Wenn es Konflikte zwischen dem gibt, was Sie als Standard eingestellt haben, und was mit dem erkannten YubiKey möglich ist , wird ein Warnsymbol angezeigt. Wenn alles in Ordnung ist, wird ein Häkchen angezeigt. Wenn in der Statuszeile ein Fehlersymbol angezeigt wird, wird der Fehler beschrieben und Anweisungen zur Behebung werden auf dem Bildschirm angezeigt.

Schritt 11: Sobald die Programmierung für ein Benutzerkonto abgeschlossen ist, kann auf dieses Konto nicht mehr ohne den entsprechenden YubiKey zugegriffen werden . Sie werden aufgefordert, den gerade konfigurierten YubiKey zu entfernen , und der Bereitstellungsprozess fährt automatisch mit der nächsten Benutzerkonto/ YubiKey- Kombination fort.

Schritt 12: Schließlich wurden die YubiKeys für das angegebene Benutzerkonto bereitgestellt:

• Wenn „ Wiederherstellungscode generieren^{(Generate Recovery Code)}  “ auf der Seite „Standards“ ausgewählt wurde, wird die Seite „ ^(Defaults)Wiederherstellungscode^{(Recovery Code)} “ angezeigt.
• Wenn  Wiederherstellungscode generieren^{(Generate Recovery Code)}  nicht ausgewählt wurde, wird der Bereitstellungsprozess automatisch mit dem nächsten Benutzerkonto fortgesetzt.
• Der Bereitstellungsprozess wechselt zu  Fertig^(Finished) ,  nachdem das letzte Benutzerkonto fertig ist.

Der Wiederherstellungscode ist eine lange Zeichenfolge. (Um Probleme zu vermeiden, die dadurch verursacht werden, dass der Endbenutzer die Zahl 1 mit dem Kleinbuchstaben L und 0 mit dem Buchstaben O verwechselt, ist der Wiederherstellungscode in Base32 codiert , wodurch ähnlich aussehende alphanumerische Zeichen so behandelt werden, als wären sie gleich.)

Die Seite Wiederherstellungscode^{(Recovery Code)} wird angezeigt, nachdem alle YubiKeys für das angegebene Benutzerkonto konfiguriert wurden.

Schritt 13: Generieren Sie auf der Seite „ Wiederherstellungscode^{(Recovery Code)} “ einen Wiederherstellungscode für den ausgewählten Benutzer und legen Sie ihn fest. Sobald dies geschehen ist, werden die Schaltflächen „ Kopieren^(Copy) “  und  „ Speichern^(Save) “ rechts neben dem Feld „Wiederherstellungscode“ verfügbar.

Schritt 14: Kopieren Sie den Wiederherstellungscode und speichern Sie ihn, damit er nicht mit dem Benutzer geteilt wird, und bewahren Sie ihn auf, falls der Benutzer ihn verliert.

Hinweis^(Note) : Stellen Sie sicher, dass Sie den Wiederherstellungscode an diesem Punkt des Prozesses speichern. Sobald Sie mit dem nächsten Bildschirm fortfahren, ist es nicht möglich, den Code abzurufen.

Schritt 15: Um von der Seite Benutzer auswählen^{(Select Users)} zum nächsten Benutzerkonto zu wechseln , klicken Sie auf Weiter^(Next) . Wenn Sie den letzten Benutzer konfiguriert haben, zeigt der Bereitstellungsprozess die Seite „ Fertig^(Finished) “ an .

Schritt 16: Geben Sie jedem Benutzer seinen Wiederherstellungscode. Endbenutzer sollten ihren Wiederherstellungscode an einem sicheren Ort speichern, auf den sie zugreifen können, wenn sie sich nicht anmelden können.

YubiKey-Benutzererfahrung

Wenn das lokale Benutzerkonto so konfiguriert wurde, dass es einen YubiKey erfordert , wird der Benutzer durch den Yubico Credential Provider authentifiziert anstatt durch den standardmäßigen Windows Credential Provider . Der Benutzer wird aufgefordert, seinen YubiKey einzulegen^(YubiKey) . Dann wird der Yubico^{(Yubico Login)} -Anmeldebildschirm angezeigt. Der Benutzer gibt seinen Benutzernamen und sein Passwort ein.

Hinweis^(Note) : Es ist nicht erforderlich, die Taste auf der YubiKey USB -Hardware zu drücken, um sich anzumelden. In einigen Fällen führt das Drücken der Taste dazu, dass die Anmeldung fehlschlägt.

Wenn sich der Endbenutzer anmeldet, muss er den richtigen YubiKey in einen USB -Anschluss seines Systems stecken. Wenn der Endbenutzer seinen Benutzernamen und sein Passwort eingibt, ohne den richtigen YubiKey einzugeben^(YubiKey) , schlägt die Authentifizierung fehl und dem Benutzer wird eine Fehlermeldung angezeigt.

Wenn das Konto eines Endbenutzers für Yubico Login für Windows konfiguriert ist und ein Wiederherstellungscode generiert wurde und ein Benutzer seinen/ihre(n) YubiKey(s) verliert, kann er seinen Wiederherstellungscode zur Authentifizierung verwenden. Der Endbenutzer entsperrt seinen Computer mit seinem Benutzernamen, Wiederherstellungscode und Kennwort.

Bis ein neuer YubiKey konfiguriert ist, muss der Endbenutzer bei jeder Anmeldung den Wiederherstellungscode eingeben.

Wenn Yubico Login für Windows nicht erkennt, dass ein YubiKey eingeführt wurde, liegt es wahrscheinlich daran, dass der OTP- Modus des Schlüssels nicht aktiviert ist, oder Sie fügen keinen YubiKey ein , sondern einen Sicherheitsschlüssel^{(Security Key)} , der nicht mit dieser Anwendung kompatibel ist. Verwenden Sie die YubiKey Manager -  Anwendung, um sicherzustellen, dass für alle bereitzustellenden YubiKeys^(YubiKeys) die OTP -Schnittstelle aktiviert ist.

Wichtig^(Important) : Alternative Anmeldemethoden, die von Windows unterstützt werden, sind nicht betroffen. Sie müssen daher zusätzliche lokale und Remote-Anmeldemethoden für die Benutzerkonten einschränken, die Sie mit Yubico Login für Windows schützen , um sicherzustellen, dass Sie keine „Hintertüren“ offen gelassen haben.

Wenn Sie YubiKey ausprobieren, teilen Sie uns Ihre Erfahrungen im Kommentarbereich unten mit.^{(If you try out YubiKey, let us know your experience in the comments section below.)}

Configure & use YubiKey Secure Login for Local Account in Windows 10

Users can use hardware security keys, manufactured by Swedіsh company Yubico to log into a Local account on Windows 10. The company recently released the first stable version of the Yubico Login for Windows application. In this post, we will show you how to install and configure YubiKey for use on Windows 10 PCs.

YubiKey is a hardware authentication device that supports one-time passwords, public-key encryption and authentication, and the Universal 2nd Factor (U2F) and FIDO2 protocols developed by the FIDO Alliance. It allows users to securely log in to their accounts by emitting one-time passwords or using a FIDO-based public/private key pair generated by the device. YubiKey also allows for storing static passwords for use at sites that do not support one-time passwords. Facebook uses YubiKey for employee credentials, and Google supports it for both employees and users. Some password managers support YubiKey. Yubico also manufactures the Security Key, a device similar to the YubiKey, but focused on public-key authentication.

YubiKey allows users to sign, encrypt, and decrypt messages without exposing the private keys to the outside world. This feature was previously available only for Mac & Linux users.

To configure/set up YubiKey on Windows 10, you’ll need the following:

1. A YubiKey USB hardware .
2. Yubico Login software for Windows.
3. YubiKey Manager software.

All of them are available on yubico.com under their Products tab. Also, you should note that the YubiKey app does not support local Windows accounts managed by Azure Active Directory (AAD) or Active Directory (AD) as well as Microsoft Accounts.

YubiKey hardware authentication device

Before installing the Yubico Login for Windows software, make a note of your Windows username and password for the local account. The person who installs the software must have the Windows username and password for their account. Without these, nothing can be configured, and the account is inaccessible. The default behavior of the Windows credential provider is to remember your last login, so you do not have to type in the username.

For this reason, many people may not remember the username. However, once you install the tool and reboot, the new Yubico credential provider is loaded, so that both admins and end-users have actually to type in the username. For these reasons, not only the admin but also everybody whose account is to be configured via Yubico Login for Windows should check to ensure that they can log in using the Windows username and password for their local account BEFORE the admin installs the tool and configures end-users’ accounts.

It’s also imperative to note that, once Yubico Login for Windows has been configured, there is:

• No Windows Password Hint
• No way to reset passwords
• No Remember Previous User/Login function.

Additionally, Windows automatic login is not compatible with Yubico Login for Windows. If a user whose account was set up for automatic login no longer remembers their original password when the Yubico Login for Windows configuration takes effect, the account can no longer be accessed. Address this issue preemptively by:

• Having users set new passwords before disabling automatic login.
• Have all users verify they can access their accounts with username and their new password before you use Yubico Login for Windows to configure their accounts.

Administrator permissions are required to install the software.

YubiKey Installation

First, verify your username. Once you have installed Yubico Login for Windows and rebooted, you will need to enter this in addition to your password to log in. To do this, open Command Prompt or PowerShell from the Start menu and run the command below

whoami

Take note of the full output, which should be in the form DESKTOP-1JJQRDF\jdoe, where jdoe is the username.

1. Download the Yubico Login for Windows software from here.
2. Run the installer by double-clicking on the download.
3. Accept the end-user license agreement.
4. In the installation wizard, specify the destination folder location or accept the default location.
5. Restart the machine on which the software has been installed. After the restart, the Yubico credential provider presents the login screen that prompts for the YubiKey.

Because the YubiKey has not yet been provisioned, you must switch user and enter not only the password for your local Windows account, but also your username for that account. If necessary, you may have to change Microsoft Account to Local Account.

After you have logged in, search for “Login Configuration” with the green icon. (The item actually labeled Yubico Login for Windows is just the installer, not the application.)

YubiKey Configuration

Administrator permissions are required to configure the software.
Only accounts that are supported can be configured for Yubico Login for Windows. If you launch the configuration wizard, and the account you are looking for is not displayed, it is not supported and therefore not available for configuration.

During the configuration process, the following will be required;

• Primary and Backup Keys: Use a different YubiKey for each registration. If you are configuring backup keys, each user should have one YubiKey for the primary and a second one for the backup key.
• Recovery Code: A recovery code is a last-resort mechanism to authenticate a user if all YubiKeys have been lost. Recovery codes can be assigned to the users you specify; however, the recovery code is only usable if the username and password for the account are also available. The option to generate a recovery code is presented during the configuration process.

Step 1: In the Windows Start menu, select Yubico > Login Configuration.

Step 2: The User Account Control dialog appears. If you are running this from a non-Administrator account, you will be prompted for local administrator credentials. The Welcome page introduces the Yubico Login Configuration provisioning wizard:

Step 3: Click Next. The Default page of Yubico Windows Login Configuration appears.

Step 4: The configurable items are:

Slots: Select the slot where the challenge-response secret will be stored. All YubiKeys that have not been customized come pre-loaded with a credential in slot 1, so if you are using Yubico Login for Windows to configure YubiKeys that are already being used for logging into other accounts, do not overwrite slot 1.

Challenge/Response Secret: This item enables you to specify how the secret will be configured and where it will be stored. The options are:

• Use existing secret if configured – generate if not configured: The key’s existing secret will be used in the specified slot. If the device has no existing secret, the provisioning process will generate a new secret.
• Generate new, random secret, even if a secret is currently configured: A new secret will be generated and programmed to the slot, overwriting any previously configured secret.
• Manually input secret: For advanced users: During the provisioning process, the application will prompt you to input manually an HMAC-SHA1 secret (20 bytes – 40 characters hex-encoded).

Generate Recovery Code: For each user provisioned, a new recovery code will be generated. This recovery code enables the end-user to log in to the system if they have lost their YubiKey.
Note: If you select to save a recovery code while provisioning a user for a second key, any previous recovery code becomes invalid, and only the new recovery code will work.

Create Backup Device for Each User: Use this option to have the provisioning process register two keys for each user, a primary YubiKey and a backup YubiKey. If you do not want to provide recovery codes to your users, it is good practice to give each user a backup YubiKey. For more information, refer to the Primary and Backup Keys section above.

Step 5: Click Next, to select the user(s) to provision. The Select User Accounts page (If there are no local user accounts supported by Yubico Login for Windows, the list will be empty) appears.

Step 6: Select the user accounts to be provisioned during the current run of the Yubico Login for Windows by selecting the checkbox next to the username, and then click Next. The Configuring User page appears.

Step 7: The username shown in the Configuring User field shown above is the user for whom a YubiKey is currently being configured. As each username is displayed, the process prompts you to insert a YubiKey to register for that user.

Step 8: The Wait for Device page is shown while an inserted YubiKey is being detected and before it is registered for the user whose username is in the Configuring User field at the top of the page. If you have selected Create Backup Device for Each User in the Defaults page, the Configuring User field will also display which of the YubiKeys is being registered, Primary or Backup.

Step 9: If you have configured the provisioning process to use a manually specified secret, the field for the 40 hex-digit secrets is displayed. Enter the secret and click Next.

Step 10: The Programming Device page displays the progress of programming each YubiKey.  The Device Confirmation page shown below displays the details of the YubiKey detected by the provisioning process, including the device serial number (if available) and the configuration status of each One-Time Password (OTP) slot. If there are conflicts between what you have set as defaults and what is possible with the detected YubiKey, a warning symbol is displayed. If everything is good to go, a check mark will be shown. If the status line shows an error icon, the error is described, and instructions for fixing it are displayed on the screen.

Step 11: Once programming is complete for a user account, that account can no longer be accessed without the corresponding YubiKey. You are prompted to remove the YubiKey just configured, and the provisioning process automatically proceeds to the next user account/YubiKey combination.

Step 12: After all, the YubiKeys for the specified user account have been provisioned:

• If the Generate Recovery Code was selected on the Defaults page, the Recovery Code page is displayed.
• If Generate Recovery Code was not selected, the provisioning process would automatically continue to the next user account.
• The provisioning process moves to Finished after the last user account is done.

The recovery code is a long string. (To eliminate problems caused by the end-user mistaking the numeral 1 for lowercase letter L and 0 for the letter O, the recovery code is encoded in Base32, which treats alphanumeric characters that look similar as if they were the same.)

The Recovery Code page is displayed after all the YubiKeys for the specified user account has been configured.

Step 13: On the Recovery Code page, generate and set a recovery code for the selected user. Once this has been done, the Copy and Save buttons to the right of the recovery code field become available.

Step 14: Copy the recovery code and save it from being shared with the user and keep it in case the user loses it.

Note: Be sure to save the recovery code at this point in the process. Once you proceed to the next screen, it is not possible to retrieve the code.

Step 15: To move to the next user account from the Select Users page, click Next. When you have configured the last user, the provisioning process displays the Finished page.

Step 16: Give each user their recovery code. End-users should save their recovery code to a safe location accessible when they cannot log in.

YubiKey User Experience

When the local user account has been configured to require a YubiKey, the user is authenticated by the Yubico Credential Provider instead of the default Windows Credential Provider. The user is prompted to insert their YubiKey. Then the Yubico Login screen is presented. The user enters their username and password.

Note: It is not necessary to press the button on the YubiKey USB hardware to log in. In some instances, pressing the button causes the login to fail.

When the end-user logs in, they must insert the correct YubiKey into a USB port on their system. If the end-user enters their username and password without inserting the correct YubiKey, authentication will fail, and the user will be presented with an error message.

If an end user’s account is configured for Yubico Login for Windows, and if a recovery code was generated, and a user loses their YubiKey(s), they can use their recovery code to authenticate. The end-user unlocks their computer with their username, recovery code, and password.

Until a new YubiKey is configured, the end-user must enter the recovery code each time they log in.

If Yubico Login for Windows does not detect that a YubiKey has been inserted, it is likely due to the key not having OTP mode enabled, or you are not inserting a YubiKey, but instead a Security Key, which is not compatible with this application. Use the YubiKey Manager application to ensure that all the YubiKeys to be provisioned have the OTP interface enabled.

Important: Alternative sign-in methods supported by Windows will not be affected. You must, therefore, restrict additional local and remote login methods for the user accounts you are protecting with Yubico Login for Windows to ensure you have not left open any ‘back doors.’

If you try out YubiKey, let us know your experience in the comments section below.

Related posts

• Zeigen Sie Sicherheitsfragen und Antworten für das lokale Konto in Windows 10 an

• So installieren Sie Windows 11 und Windows 10 auf einem USB-Laufwerk (Windows To Go)

• 3 Möglichkeiten, Ihren Windows 10-PC von einem USB-Stick zu booten -

• Benutzeroption wechseln fehlt im Windows 10-Anmeldebildschirm

• Setzen Sie das Kennwort für das lokale Konto unter Windows 10 mithilfe des Installationsmediums zurück

• Prozessorfrequenzen stimmen nicht mit Windows 10 überein

• Verbinden Sie ein Android-Telefon über Bluetooth mit einem Windows 10-Laptop oder -PC -

• Aktivieren oder deaktivieren Sie die sichere Anmeldung in Windows 10

• Beste Bluetooth-Kopfhörer für Windows 10 PC

• So aktivieren und deaktivieren Sie den Energiesparmodus in Windows 10

• Beste externe Bluetooth-Adapter für Windows 10-Computer

• So konfigurieren Sie die Mauseinstellungen und -empfindlichkeit in Windows 10

• So ändern Sie Standard-Soundgeräte in Windows 10 (Wiedergabe und Aufnahme)

• So verwenden Sie das Windows-Mobilitätscenter in Windows 10 -

• Spielmodus in Windows 10: Testen der realen Leistung in modernen Spielen

• Das Windows 10-Nachtlicht: Was es tut und wie es verwendet wird -

• So erstellen Sie ein lokales Benutzerkonto unter Windows 10

• Die besten Fingerabdruckscanner für Windows 10

• So verbinden Sie einen Windows 10-PC über Bluetooth mit einem Windows 10 Mobile-Smartphone

• So verbinden Sie mein Android-Smartphone mit meinem Windows 10-PC