Hướng dẫn cài đặt Khóa bảo mật Yubico Yubikey Login máy tính Windows

Hướng dẫn cài đặt Khóa bảo mật Yubico Yubikey Login máy tính Windows

Máy tính Windows của người dùng có thể chứa rất nhiều dữ liệu cá nhân, tài khoản ngân hàng, đến thông tin nhạy cảm của công ty, tất cả đều có nguy cơ bị tấn công và cũng là mục tiêu vô cùng hấp dẫn cho hacker. Chính vì vậy, việc trang bị giải pháp bảo mật mạnh mẽ là vô cùng cần thiết và Khóa bảo mật YubiKey chính là giải pháp tối ưu dành cho bạn. Bài viết này sẽ hướng dẫn người dùng cách cài đặt khóa bảo mật Yubico Yubikey cho máy tính Windows

 

Các dòng khóa bảo mật Yubico YubiKey tương thích

Giới thiệu

Trước khi cài đặt phần mềm Yubico Login for Windows, bạn hãy ghi nhớ tên người dùng và mật khẩu Windows máy tính của bạn cho tài khoản cục bộ (local account). Bạn sẽ cần thông tin này sau khi khởi động lại máy tính, nếu không bạn sẽ không thể truy cập vào máy tính của mình. 

 

Ứng dụng Yubico Login for Windows bổ sung tính năng xác thực hai yếu tố bằng khóa bảo mật YubiKey cho tài khoản Windows. Sử dụng khóa bảo mật YubiKey cho Windows dựa trên cơ chế thách thức - phản hồi (Challenge-Response), yêu cầu người dùng cung cấp cả mật khẩu đăng nhập tài khoản và xác thực vật lý YubiKey để truy cập máy tính. Bạn cần xem dòng khóa bảo mật Yubico YubiKey tương thích ở trên để xác định các mẫu khóa có thể được sử dụng.

 

YubiKey có thể được sử dụng để cấu hình đăng nhập vào tài khoản cục bộ trên hệ thống đang chạy Windows 10 hoặc Windows 11 đã được cập nhật. Yubico Login cho Windows chỉ tương thích với các máy sử dụng kiến trúc x86 và không tương thích với các máy sử dụng Windows trên nền tảng ARM (ARM32, ARM64).

 

Lưu ý: Các tài khoản cục bộ sẽ không thể truy cập qua Windows Remote Desktop (RDP), nhưng vẫn có thể truy cập thông qua các phần mềm truy cập từ xa khác như VNC hoặc SSH. Các phần mềm này có thể bỏ qua yếu tố xác thực thứ hai vì chúng không tích hợp với hệ thống xác thực của Windows.

 

Yubico Login cho Windows không hỗ trợ các trường hợp sau:

  • Tài khoản được quản lý bởi Active Directory (AD)

  • Tài khoản được quản lý bởi Entra ID (trước đây là Azure Active Directory (AAD))

  • Tài khoản Microsoft (MSA)

Tuy nhiên, bạn vẫn có thể cài đặt và thiết lập Yubico Login for Windows cho một tài khoản cục bộ trên một máy tính Windows có cả các loại tài khoản khác. Yubico Login for Windows sẽ không ảnh hưởng đến các tài khoản đó. Phần mềm này chỉ thêm một cách thức đăng nhập mới, hoạt động cùng lúc với các cách đăng nhập khác mà bạn đã thiết lập cho tài khoản của mình, đó là thêm một bước xác thực nữa bằng khóa bảo mật vật lý YubiKey khi bạn đăng nhập vào tài khoản đã cài đặt phần mềm này.

Tương tự, Yubico Login for Windows không can thiệp vào đăng nhập mạng thông qua NT LAN Manager (NTLM). Do đó, Phần mềm Yubico Login for Windows sẽ không ảnh hưởng đến cách thức xác thực này. Nghĩa là, bạn vẫn có thể truy cập các file chia sẻ trên mạng cục bộ bình thường mà không cần dùng đến chiếc khóa YubiKey.

 Yubico Login for Windows không hỗ trợ tính năng “Run as a different user”  (Tính năng "Chạy với tư cách người dùng khác" cho phép bạn đăng nhập vào máy tính bằng tài khoản cục bộ khác mà không cần thoát khỏi tài khoản hiện tại), đây là chủ đích của nhà phát triển phần mềm để đảm bảo tính bảo mật của hệ thống. Để đăng nhập bằng một tài khoản khác trên máy tính đã cài đặt Yubico Login for Windows, bạn cần:

 

  1. Thoát khỏi tài khoản hiện tại: Đăng xuất hoàn toàn khỏi tài khoản đang sử dụng.

  2. Đăng nhập lại: Sử dụng tên người dùng và mật khẩu của tài khoản mới bạn muốn truy cập. Hệ thống sẽ yêu cầu bạn cắm khóa YubiKey tương ứng với tài khoản đó để xác thực.

 

Hướng dẫn này cung cấp các nội dung:

  • Cấu hình YubiKeys để hoạt động với Yubico Login for Windows

  • Những khuyến nghị khi cài đặt và sử dụng YubiKey trên Windows, ví dụ như thiết lập hai Khóa bảo mật YubiKey, một chính và một dự phòng cho mỗi tài khoản.

  • Quản lý mã khôi phục

  • Hướng dẫn về cách tránh các vấn đề thường gặp

  • Hướng dẫn sử dụng hệ thống chi tiết cho người dùng sau khi cài đặt YubiKey

 

Lưu ý để đảm bảo an toàn người dùng cần:

  • Kích hoạt FDE: Mã hóa toàn bộ ổ cứng để bảo vệ dữ liệu ngay cả khi máy tính bị mất hoặc bị đánh cắp.

  • Sử dụng Yubico YubiKey: YubiKey cung cấp một lớp bảo mật bổ sung cho quá trình đăng nhập.

  • Tránh khởi động máy tính ở chế độ an toàn trừ khi thực sự cần thiết.

 

Đối tượng hướng dẫn

Hướng dẫn này sẽ phù hợp hơn với người dùng quen thuộc với việc quản lý máy tính Windows, ví dụ hai trường hợp:

  • Người dùng cá nhân cài đặt Yubico Login cho Windows để cấu hình tài khoản của riêng mình để đăng nhập bằng YubiKey.

  • Quản trị viên, chẳng hạn như chuyên gia CNTT, cài đặt Yubico Login cho Windows để cấu hình đăng nhập bằng YubiKey cho một nhóm người dùng cuối.

Tham khảo phần Trải nghiệm Người dùng ở cuối tài liệu này để biết mô tả về những gì người dùng cuối có thể mong đợi sau khi tài khoản của họ đã được cấu hình yêu cầu YubiKey.

 

Yêu cầu đối với máy tính Windows muốn cài đặt khóa bảo mật Yubikey 

  • Đối với mỗi người dùng (cả quản trị viên và người dùng cuối), ít nhất một (tốt nhất là hai) trong số các YubiKey được liệt kê trong phần thiết bị Yubico YubiKey tương thích ở trên.

  • Hệ thống đang chạy một trong các hệ điều hành sau, được cập nhật đầy đủ và trong chính sách được hỗ trợ bởi Microsoft: Windows 10 và Windows 11

 

Trước khi cài đặt

Để cài đặt phần mềm bảo mật Yubico Login for Windows, người dùng phải cung cấp thông tin đăng nhập chính xác vào Windows. Thường thì khi bạn đăng nhập vào máy tính, Windows sẽ tự động nhớ tên đăng nhập của lần đăng nhập gần nhất để lần sau chỉ cần nhập mật khẩu. Tuy nhiên, khi cài đặt phần mềm Yubico Login for Windows, hệ thống yêu cầu người dùng phải nhập lại cả tên đăng nhập và mật khẩu. Vì vậy, trước khi cài đặt, hãy chắc chắn rằng bạn vẫn còn nhớ chính xác tên đăng nhập và mật khẩu hiện tại của mình.

 

Vì khi Yubico Login for Windows được cấu hình sẽ:

  • Không có gợi ý mật khẩu Windows

  • Không có cách nào để thiết lập lại mật khẩu

  • Không có chức năng Ghi nhớ người dùng/Đăng nhập trước đó

Người dùng có thể sử dụng cùng một Khóa bảo mật YubiKey cho nhiều tài khoản khác nhau, cả trên cùng một máy tính hoặc trên nhiều máy tính khác nhau. Ví dụ, nếu bạn là quản trị viên, bạn có thể dùng một chiếc YubiKey để quản lý tất cả các tài khoản nhân viên.

 

Hướng dẫn tải và cài đặt Yubico Login for Windows

Lưu ý: Cần có quyền quản trị viên để cài đặt Yubico Login for Windows

 

Bước 1: Xác minh tên và quyền của người dùng

  • Vào Start, chọn Control Panel

 

  • Chọn User Accounts

 

  • Chọn Manage User Accounts

 

 

  • Xác định người dùng nào có quyền admin và ghi chú lại tên người dùng và mật khẩu tương ứng

 

Bước 2: Tải xuống phần mềm Yubico Login for Windows tại đây

 

 

Bước 3: Thực hiện cài đặt bằng cách double click vào file đã tải xuống và chọn Next

 

 

Bước 4: Chọn chấp nhận điều khoản sử dụng và chọn Next

 

 

Bước 5: Chọn thư mục mà bạn muốn lưu hoặc chấp nhận vị trí mặc định mà hệ thống gợi ý và chọn Next, tiếp tục chọn Install

 

 
 

 

 

Tiếp tục chọn Finish

 

 

 

Bước 6: Khởi động lại máy tính đã cài đặt phần mềm. Sau khi khởi động lại, nhà cung cấp thông tin xác thực Yubico sẽ hiển thị màn hình đăng nhập yêu cầu bạn sử dụng YubiKey.

 

 

Bước 7: Nhập mật khẩu cho tài khoản Windows cục bộ và tên người dùng, thông tin này đã được ghi chú ở bước 1. Nếu cần, bạn có thể chuyển đổi Tài khoản Microsoft thành Tài khoản cục bộ

 

 

Bước 8: Sau khi đã đăng nhập, bạn hãy tìm kiếm “Login Configuration” với biểu tượng màu xanh lá cây như hình ảnh bên dưới để xác định cài đặt thành công.(Mục có tên Yubico Login for Windows là file cài đặt, không phải là ứng dụng.)

 

 

Cấu hình Yubico Login for Windows và thiết lập tài khoản dùng khóa bảo mật YubiKey

 

Chỉ tài khoản có quyền admin mới có thể thao tác định cấu hình Yubico Login for Windows. Nếu bạn mở trình hướng dẫn cấu hình mà không tìm thấy tài khoản, điều này đồng nghĩa tài khoản đó không được hỗ trợ và không thể cấu hình.

 

Bước 1: Click vào menu Start của Windows, chọn Login Configuration

 

 

Bước 2: Hộp thoại User Account Control xuất hiện. Nếu bạn đang sử dụng tài khoản cấu hình không phải là quản trị viên, bạn sẽ được yêu cầu nhập thông tin đăng nhập thông tin quản trị viên cục bộ. Cửa sổ Welcome page introduces the Yubico Login Configuration xuất hiện như dưới đây:

 

 

Bước 3: Chọn Next. Trang cài đặt mặc định của Yubico Windows Login Configuration sẽ xuất hiện như ảnh chụp màn hình bên dưới

 

 

Bước 4: Các mục bạn có thể cấu hình

Slots: Chọn vị trí (slot) nơi giao thức xác thực bí mật sẽ được lưu trữ. Tất cả các YubiKey chưa được cấu hình đều có một thông tin xác thực được điền sẵn ở vị trí slot 1, vì vậy nếu bạn đang sử dụng Yubico Login cho Windows để cấu hình YubiKey đã được dùng để đăng nhập vào các tài khoản khác, đừng ghi đè lên slot 1.

Challenge/Response Secret: Cho phép bạn chỉ định cách giao thức xác thực bí mật sẽ được cấu hình và nơi nó sẽ được lưu trữ. Các tùy chọn bao gồm:

  • Use existing secret if configured - generate if not configured: Sử dụng giao thức xác thực bí mật hiện có của khóa trong Slot chỉ định. Nếu thiết bị không có giao thức xác thực bí mật hiện có, quá trình cấu hình sẽ tạo giao thức xác thực bí mật mới.

  • Generate new, random secret, even if a secret is currently configured: Tạo mới một giao thức xác thực bí mật và lập trình vào Slot, ghi đè lên giao thức xác thực bí mật đã cấu hình trước đó.

  • Manually input secret: Dành cho người dùng nâng cao: Trong quá trình cấu hình, ứng dụng sẽ yêu cầu bạn nhập thủ công một mã bí mật HMAC-SHA1 (20 bytes - 40 ký tự mã hóa hex).

Generate Recovery Code (Tạo mã khôi phục): Đối với mỗi người dùng được cấu hình, một mã khôi phục mới sẽ được tạo. Mã khôi phục này cho phép người dùng cuối đăng nhập vào hệ thống nếu họ làm mất YubiKey của mình. Để biết thêm thông tin, tham khảo phần mô tả về Mã khôi phục ở trên. Lưu ý: Nếu bạn chọn lưu mã khôi phục khi cấu hình người dùng cho khóa thứ hai, mọi mã khôi phục trước đó sẽ trở nên vô hiệu và chỉ mã khôi phục mới có thể sử dụng.

Create Backup Device for Each User (Tạo thiết bị dự phòng cho mỗi người dùng): Sử dụng tùy chọn này để cấu hình hai khóa cho mỗi người dùng, bao gồm một YubiKey chính và một YubiKey dự phòng.

 

Bước 5: Cửa sổ cấu hình sẽ liệt kê các tài khoản cục bộ có sẵn để lựa chọn, chọn tài khoản muốn cài đặt rồi click vào Next. Lưu ý, tài khoản người dùng có dấu (*) bên cạnh là tài khoản đã đăng ký YubiKey và được bật Yubico Login for Windows.

 

Lưu ý: 

  • Người dùng có thể chọn nhiều tài khoản cục bộ có sẵn để đăng ký khóa bảo mật và cũng cho phép đăng ký một hoặc nhiều khóa cho mỗi tài khoản. 

  • Quá trình cấu hình có thể được thực hiện bao nhiêu lần tùy ý. Bạn cũng có thể thêm YubiKey bổ sung cho những người dùng đã được cấu hình với Yubico Login cho Windows.

  • Nếu không có tài khoản người dùng cục bộ được Yubico Login cho Windows hỗ trợ, danh sách sẽ trống.

Bước 6: Phần mềm xuất hiện cấu hình người dùng (Configuring User) yêu cầu bạn cắm khóa bảo mật YubiKey vào máy tính. Tên người dùng (tài khoản) đã được chọn để cấu hình như nêu trên sẽ xuất hiện trong quá trình yêu cầu bạn cắm YubiKey để xác thực đăng ký cho người dùng đó.

 

 

Khi bạn cắm YubiKey vào máy tính và bắt đầu quá trình thiết lập, máy tính sẽ kiểm tra xem YubiKey có hoạt động tốt không và sẽ liên kết nó với tài khoản của bạn. Nếu bạn đã chọn có một YubiKey dự phòng, máy tính sẽ hỏi bạn muốn đăng ký YubiKey nào trước.

 

Sau khi quá trình cài đặt hoàn tất, máy tính sẽ hiển thị một màn hình cho bạn biết số seri của YubiKey và các cài đặt của nó. Nếu mọi thứ đều ổn, sẽ có một dấu tick xanh. Nhưng nếu YubiKey của bạn bị lỗi, máy tính sẽ hiển thị một dấu chấm than đỏ và cho bạn biết lỗi là gì và cách khắc phục.

 

 

Lưu ý: Giả sử bạn đã chọn tùy chọn nhập mật khẩu bí mật thủ công. Khi đó, bạn có thể tự tạo một mật khẩu gồm 40 ký tự (ví dụ: 1234567890abcdef1234567890abcdef). Sau đó, bạn sẽ nhập chuỗi ký tự này vào ô trống trên màn hình và nhấn "Tiếp theo"

 

 

Bước 7: Sau khi hoàn tất thiết lập YubiKey cho một tài khoản người dùng, tài khoản đó sẽ không thể truy cập vào máy tính mà không có YubiKey tương ứng. Bạn sẽ được yêu cầu rút YubiKey vừa được cấu hình ra và quá trình thiết lập sẽ được tiếp tục chuyển sang thiết lập cho các tài khoản người dùng/YubiKey tiếp theo.

 

 

Lưu ý sau khi hoàn tất thiết lập YubiKey cho tài khoản người dùng được chọn:

  • Nếu chọn Generate Recovery Code (tạo mã khôi phục) mặc định, màn hình sẽ chuyển sang bước thiết lập Mã khôi phục (Xem ở bước 8).

  • Nếu không chọn Generate Recovery Code (tạo mã khôi phục), quá trình thiết lập sẽ tự động tiếp tục đến tài khoản người dùng tiếp theo cho đến khi tài khoản người dùng cuối cùng được thực hiện

Bước 8: Generate Recovery Code (tạo mã khôi phục) cho người dùng đã chọn. 

Khi bạn thiết lập các tham số cho quy trình cấu hình như đã mô tả ở trên, bạn có thể quyết định xem có tạo mã khôi phục cho người dùng YubiKey hay không. Mã khôi phục là một chuỗi dài. (Để tránh nhầm lẫn giữa số 1 và chữ cái L hoặc giữa số 0 và chữ cái O, mã khôi phục được mã hóa bằng cách đặc biệt, giúp các ký tự tương tự không bị nhầm lẫn.). 

Trên trang Mã khôi phục, hãy tạo và thiết lập một mã khôi phục cho người dùng đã chọn. Khi việc này hoàn tất, các nút Sao Chép và Lưu bên cạnh trường mã khôi phục sẽ khả dụng, như được hiển thị trong ảnh chụp màn hình dưới đây:

 

Lưu ý: 

  • Đừng quên sao chép mã khôi phục và lưu chúng lại, vì khi chuyển sang màn hình tiếp theo bạn không thể khôi phục lại mã này.

  • Nếu cài đặt cho nhiều tài khoản người dùng, bạn cần cung cấp mã khôi phục để người dùng cuối nên lưu mã khôi phục của mình ở một nơi an toàn mà có thể truy cập khi không thể đăng nhập.

Bước 9: Khi bạn đã cấu hình xong người dùng cuối cùng, quá trình thiết lập sẽ hiển thị trang Finished

 

 

Như vậy, các bước thiết lập khóa YubiKey cho Windows đã hoàn tất. Người dùng phải thực hiện xác thực trên màn hình Yubico Loin thay vì hệ thống xác thực mặc định của Windows. Người dùng bắt buộc phải cắm YubiKey vào máy tính, đăng nhập tên và mật khẩu để truy cập vào máy tính (các bước cắm YubiKey và nhập tài khoản không bắt buộc thứ tực thực hiện). Nếu không cung cấp đầy đủ cả ba yếu tố (YubiKey, tên đăng nhập và mật khẩu), màn hình sẽ hiển thị thông báo lỗi và người dùng không hoàn tất bước đăng nhập.

 

Trải nghiệm người dùng

Khi tài khoản người dùng cục bộ đã được cấu hình yêu cầu YubiKey, màn hình Yubico Login sẽ hiển thị khi người dùng thực hiện đăng nhập. Người dùng cần thực hiện đủ các thao tác: nhập tên đăng nhập, mật khẩu, cắm YubiKey. 

 

 

Lưu ý: Không cần chạm trên thân YubiKey để đăng nhập, trong một số trường hợp, việc chạm có thể khiến việc đăng nhập thất bại.

Khi đăng nhập, bạn phải cắm đúng YubiKey tương ứng với tài khoản đã được thiết lập vào máy tính. Nếu người dùng đã nhập đúng tên đăng nhập và mật khẩu nhưng không cắm đúng YubiKey, quá trình xác thực sẽ thất bại và thông báo lỗi sẽ xuất hiện như trong ảnh dưới đây:

 

 

Với tài khoản đã tạo mã khôi phục trong quá trình thiết lập, người dùng có thể sử dụng mã khôi phục để xác thực khi bỏ quên hoặc mất YubiKey. Bạn sẽ mở khóa máy tính bằng tên đăng nhập, mã khôi phục và mật khẩu như hiển thị trong ảnh dưới đây:

 

 

Khi chưa tìm thấy Khóa bảo mật YubiKey tương ứng tài khoản hoặc chưa thực hiện thiết lập cấu hình YubiKey khác thay thế/ bổ sung, người dùng phải nhập mã khôi phục cho mỗi lần đăng nhập.

Lưu ý: Việc thay đổi mật khẩu đăng nhập vẫn được thực hiện giống như với Windows Credential Provider mặc định.

 

Một số lời khuyên khi sử dụng Khóa bảo mật YubiKey login máy tính Windows

  • Luôn rút YubiKey khỏi máy tính khi không sử dụng.

  • Bảo quản YubiKey cẩn thận, tránh xảy ra trường hợp bỏ quên, thất lạc, mất mát

  • Đặt mã PIN cho YubiKey để tăng cường bảo mật.

  • Luôn có thêm 1 khóa YubiKey dự phòng

 

Câu hỏi thường gặp

  • Những dòng YubiKey nào tương thích trong việc sử dụng login máy tính Windows

    • Các YubiKey tương thích với Windows:

  • Máy tính Window cần có hệ điều hành nào để thiết lập xác thực bằng khóa YubiKey

    • Các hệ điều hành có thể thiết lập xác thực bằng khóa YubiKey

      • Windows 10

      • Windows 11

  • Làm gì nếu bị mất YubiKey?

    • Khi mất YubiKey người dùng có thể đăng nhập tài khoản trên máy tính Windows bằng khóa YubiKey dự phòng hoặc thông qua Mã khôi phục đã được tạo ở bước thiết lập. Vì vậy, để an toàn bạn nên tạo mã khôi phục (Recovery Coderecovery key) khi thiết lập YubiKey và sử dụng thêm khóa dự phòng cho tài khoản của mình.

 

Đang xem: Hướng dẫn cài đặt Khóa bảo mật Yubico Yubikey Login máy tính Windows

0 sản phẩm
0₫
Xem chi tiết
0 sản phẩm
0₫
Đóng