YubiKey - "tấm lá chắn" cho máy tính Windows của bạn
YubiKey là thiết bị phần cứng xác thực hai yếu tố (2FA), hoạt động như một lớp bảo mật bổ sung cho tài khoản máy tính Windows của bạn. Thay vì chỉ dựa vào mật khẩu, YubiKey yêu cầu bạn xác thực danh tính bằng cách cắm thiết bị vào cổng USB hoặc kết nối NFC. Điều này giúp ngăn chặn hiệu quả các cuộc tấn công phishing, đánh cắp mật khẩu, đảm bảo chỉ có chủ tài khoản mới có thể truy cập và sử dụng dữ liệu của mình.
Sử dụng YubiKey trên máy tính Windows mang lại nhiều lợi ích vượt trội:
Bảo vệ dữ liệu cá nhân: Yubico YubiKey là thiết bị vật lý xác thực hai yếu tố giúp ngăn chặn kẻ gian truy cập và đánh cắp thông tin nhạy cảm như mật khẩu, số tài khoản ngân hàng, hình ảnh cá nhân.
Ngăn chặn các cuộc tấn công: Yubico YubiKey tăng cường bảo mật máy tính Windows giúp bảo vệ máy tính, hạn chế các loại virus, phần mềm độc hại, Ransomware có thể làm hỏng hệ thống, mã hóa dữ liệu hoặc chiếm quyền điều khiển máy tính Windows của bạn.
Đảm bảo hoạt động ổn định: Yubico YubiKey sẽ góp phần đảm bảo máy tính chạy trơn tru, không bị gián đoạn bởi các hoạt động độc hại.
Bảo vệ thông tin doanh nghiệp: Đối với các tổ chức, bảo mật Windows bằng thiết bị YubiKey là yếu tố quan trọng để bảo vệ thông tin kinh doanh, ngăn chặn các cuộc tấn công có thể gây thiệt hại về tài chính và danh tiếng.
Một số khuyến nghị thực tiễn
Để bảo mật tài khoản tốt nhất, bạn cần xóa tất cả các cách đăng nhập khác (ngoài tên đăng nhập và mật khẩu) trước khi cài đặt Yubico Login for Windows. Phần mềm này sẽ thêm một lớp bảo mật mới vào tài khoản của bạn, nhưng không ảnh hưởng đến các cách đăng nhập khác mà hệ thống đang dùng. Phần mềm Yubico Login for Windows chỉ tập trung vào việc bảo mật các tài khoản cục bộ và nó hoạt động độc lập với các loại tài khoản khác như MSA, AD, AAD.
Sử dụng phương thức xác thực hai yếu tố với YubiKey người dùng sẽ phải thực hiện một thao tác bổ sung là cắm và chạm vào YubiKey mỗi khi đăng nhập. Mặc dù điều này giúp tăng cường bảo mật, nhưng nó cũng có thể làm cho quá trình đăng nhập trở nên phức tạp hơn một chút. Vì vậy, trước khi cấu hình hệ thống, bạn nên cân nhắc xem liệu việc tăng cường bảo mật có xứng đáng với sự bất tiện mà người dùng phải chịu hay không.
Cần lập phương án dự phòng để xử lý trường hợp người dùng cuối làm mất YubiKey, giúp họ khôi phục quyền truy cập vào tài khoản:
Cấu hình ít nhất một YubiKey chính và một YubiKey dự phòng cho mỗi người dùng cuối.
Nếu người dùng làm mất cả hai YubiKey, một YubiKey mới có thể được thêm vào bởi tài khoản quản trị viên cục bộ.
Nếu không có tài khoản quản trị viên cục bộ và cả hai YubiKey bị mất, cách duy nhất để khôi phục là sử dụng mã khôi phục.
Đảm bảo rằng mỗi tài khoản có một mã khôi phục được cấu hình sẵn.
Kiểm tra và đảm bảo rằng tên người dùng và mật khẩu cho mỗi tài khoản đều chính xác và có sẵn trước khi sử dụng Yubico Login cho Windows để cấu hình các tài khoản.
Khi muốn ngừng sử dụng YubiKey để đăng nhập vào máy tính, đòi hỏi bạn phải thực hiện thủ công xóa bỏ thông tin của YubiKey trong đăng ký hệ thống mà không có cách nào tự động thực hiện việc này được.
Một vài sự cố thường gặp
Máy tính không nhận ra YubiKey
Nếu máy tính không nhận ra YubiKey của bạn, có thể là do YubiKey chưa được cài đặt đúng hoặc bạn đang dùng một loại khóa khác không tương thích. Vui lòng kiểm tra lại cài đặt của YubiKey bằng phần mềm YubiKey Manager.
Tự động đăng nhập máy tính bằng các phương thức khác mà không cần Yubikey
Mặc dù đã thiết lập YubiKey để tăng cường bảo mật, bạn vẫn có thể đăng nhập bằng cách khác. Thông thường, sau khi đã cài đặt YubiKey để bảo vệ tài khoản, bạn bắt buộc phải dùng YubiKey để đăng nhập. Tuy nhiên, trên Windows, vẫn còn một số cách đăng nhập khác như:
Windows Hello: Dùng vân tay, khuôn mặt hoặc mã PIN để đăng nhập.
Mật khẩu hình: Vẽ một hình trên màn hình để đăng nhập.
Điều này có nghĩa, nếu ai đó biết cách sử dụng các phương thức đăng nhập trên, họ vẫn có thể truy cập vào tài khoản của bạn mà không cần YubiKey.
Để đảm bảo an toàn tuyệt đối cho tài khoản của mình, sau khi đã cài đặt YubiKey, bạn nên vô hiệu hóa tất cả các phương thức đăng nhập khác trên Windows.
Có những trường hợp YubiKey không hoạt động như mong muốn:
Tên người dùng trùng với tên máy tính: Nếu bạn đặt tên người dùng và tên máy tính giống nhau, thì dù có cài đặt YubiKey để tăng cường bảo mật đi nữa, YubiKey cũng sẽ không yêu cầu xác thực khi đăng nhập. Điều này có nghĩa, người khác vẫn có thể đăng nhập vào tài khoản của bạn mà không cần YubiKey.
Tên người dùng là "local" (hoặc từ tương đương trong các ngôn ngữ khác): Nếu tên người dùng của bạn là "local" (hay "lokal" trong tiếng Đức,...) thì YubiKey cũng sẽ không hoạt động như bình thường.
Vì vậy, để đảm bảo tính bảo mật của tài khoản, bạn nên tránh đặt tên người dùng trùng với tên máy tính hoặc sử dụng các từ như "local".
Xảy ra lỗi sử dụng Yubikey khi máy tính được cài đặt sẵn một cấu hình đặc biệt
Khi bạn đã cài đặt sẵn một cấu hình bảo mật nhất định cho YubiKey, cụ thể là HMAC-SHA-1 với một chuỗi ký tự đặc biệt được sử dụng để xác thực YubiKey (đây là một thuật toán bảo mật phức tạp được sử dụng để mã hóa dữ liệu, bạn không cần hiểu quá kỹ về thuật toán này, chỉ cần biết rằng nó liên quan đến việc cấu hình YubiKey), thì đôi khi YubiKey có thể không hoạt động đúng khi bạn cố gắng kết nối nó với máy tính. Để khắc phục vấn đề này, bạn cần kiểm tra lại cài đặt của YubiKey:
Kiểm tra lại bằng phần mềm YubiKey Manager: Đây là phần mềm chuyên dụng để quản lý YubiKey, bạn có thể dùng phần mềm này để kiểm tra xem cài đặt của YubiKey có đúng không.
Kiểm tra lại bằng phần mềm Yubico Login for Windows: Bạn cũng có thể sử dụng chính phần mềm Yubico Login for Windows để cấu hình lại YubiKey.
Nếu bạn đã bật tính năng "yêu cầu chạm" cho YubiKey, bạn sẽ phải chạm vào YubiKey hai lần mỗi khi bạn đăng nhập để xác thực.
Sau khi cài đặt Yubico Login for Windows và khởi động lại máy tính, bạn phải biết tên người dùng/mật khẩu của mình nhưng không cần YubiKey cho đến khi nó được cấu hình.
Lưu ý:
Số sê-ri của YubiKey có thể hiển thị sai: Đôi khi, bạn mới cài đặt YubiKey, số sê-ri hiển thị trên máy tính có thể không chính xác. Tuy nhiên, điều này không ảnh hưởng đến việc sử dụng YubiKey.
Không thay đổi nội dung các Slot sau khi cấu hình YubiKey cho Yubico Login for Windows: Nếu YubiKey Manager hoặc một phần mềm cấu hình YubiKey khác được sử dụng để chuyển đổi nội dung của Slot 1 và Slot 2 sau khi một YubiKey đã được cấu hình cho Yubico Login for Windows, YubiKey sẽ không hoạt động với Yubico Login for Windows.
YubiKey cấu hình lại sẽ bị coi là khóa mới: Nếu bạn thay đổi cài đặt của YubiKey sau khi đã cấu hình, máy tính sẽ coi đó là một chiếc YubiKey mới và bạn sẽ phải cấu hình lại.
Tuân thủ các hướng dẫn của nhà sản xuất Yubico: Để sử dụng YubiKey một cách hiệu quả, bạn nên tuân thủ các hướng dẫn của nhà sản xuất và không tự ý thay đổi cấu hình của YubiKey.
Xem thêm: Hướng dẫn cài đặt khóa bảo mật Yubikey cho máy tính Windows