Konfigurasi & gunakan YubiKey Secure Login untuk Akun Lokal di Windows 10

Pengguna dapat menggunakan kunci keamanan perangkat keras, yang diproduksi oleh perusahaan Swedia Yubico untuk masuk ke akun Lokal di Windows 10 . Perusahaan baru-baru ini merilis versi stabil pertama dari aplikasi Yubico Login untuk Windows(Login for Windows application) . Dalam posting ini, kami akan menunjukkan cara menginstal dan mengkonfigurasi YubiKey untuk digunakan pada PC Windows 10.

YubiKey adalah perangkat otentikasi perangkat keras yang mendukung kata sandi satu kali, enkripsi dan otentikasi kunci publik, serta protokol Universal 2nd Factor (U2F) dan FIDO2 yang dikembangkan oleh FIDO Alliance . Ini memungkinkan pengguna untuk masuk dengan aman ke akun mereka dengan mengeluarkan kata sandi satu kali atau menggunakan pasangan kunci publik/pribadi berbasis FIDO yang dihasilkan oleh perangkat. YubiKey juga memungkinkan untuk menyimpan kata sandi statis untuk digunakan di situs yang tidak mendukung kata sandi satu kali. Facebook menggunakan YubiKey untuk kredensial karyawan, dan Google mendukungnya untuk karyawan dan pengguna. Beberapa pengelola kata sandi mendukung YubiKey .Yubico juga memproduksi Kunci Keamanan(Security Key) , perangkat yang mirip dengan YubiKey , tetapi berfokus pada otentikasi kunci publik.

YubiKey memungkinkan pengguna untuk menandatangani, mengenkripsi, dan mendekripsi pesan tanpa memaparkan kunci pribadi ke dunia luar. Fitur ini sebelumnya hanya tersedia untuk pengguna Mac & Linux .

To configure/set up YubiKey on Windows 10, you’ll need the following:

  1. Perangkat keras USB YubiKey.
  2. Perangkat lunak Yubico Login untuk Windows.
  3. Perangkat lunak YubiKey Manager.

Semuanya tersedia di yubico.com di bawah tab Produk(Product) mereka . Juga, Anda harus mencatat bahwa aplikasi YubiKey tidak mendukung akun Windows lokal yang dikelola oleh Azure Active Directory ( AAD ) atau Active Directory (AD) serta Akun Microsoft .

(YubiKey)Perangkat otentikasi perangkat keras YubiKey

Sebelum menginstal perangkat lunak Yubico Login untuk Windows , catat nama pengguna dan kata sandi Windows Anda untuk akun lokal. Orang yang menginstal perangkat lunak harus memiliki nama pengguna dan kata sandi Windows untuk akun mereka. Tanpa ini, tidak ada yang dapat dikonfigurasi, dan akun tidak dapat diakses. Perilaku default penyedia kredensial Windows adalah mengingat login terakhir Anda, jadi Anda tidak perlu mengetikkan nama pengguna.

Karena alasan ini, banyak orang mungkin tidak mengingat nama pengguna. Namun, setelah Anda menginstal alat dan mem-boot ulang, penyedia kredensial Yubico yang baru dimuat, sehingga admin dan pengguna akhir benar-benar harus mengetikkan nama pengguna. Untuk alasan ini, tidak hanya admin tetapi juga semua orang yang akunnya akan dikonfigurasi melalui Yubico Login untuk Windows harus memeriksa untuk memastikan bahwa mereka dapat masuk menggunakan nama pengguna dan kata sandi Windows untuk akun lokal mereka SEBELUM admin menginstal alat dan mengonfigurasi akhir -akun pengguna.

Penting juga untuk dicatat bahwa, setelah Yubico Login untuk Windows dikonfigurasi, ada:

  • Tidak Ada Petunjuk Kata Sandi Windows
  • Tidak ada cara untuk mengatur ulang kata sandi
  • Tidak Remember Previous User/Login .

Selain itu, login otomatis Windows tidak kompatibel dengan (Windows)Yubico Login untuk Windows . Jika pengguna yang akunnya diatur untuk login otomatis tidak lagi mengingat kata sandi aslinya saat konfigurasi Yubico Login(Yubico Login) untuk Windows mulai berlaku, akun tersebut tidak dapat lagi diakses. Atasi(Address) masalah ini terlebih dahulu dengan:

  • Meminta pengguna menetapkan kata sandi baru sebelum menonaktifkan login otomatis.
  • Minta semua pengguna memverifikasi bahwa mereka dapat mengakses akun mereka dengan nama pengguna dan kata sandi baru mereka sebelum Anda menggunakan Yubico Login untuk Windows untuk mengonfigurasi akun mereka.

Izin administrator diperlukan untuk menginstal perangkat lunak.

Instalasi YubiKey

Pertama, verifikasi nama pengguna Anda. Setelah Anda menginstal Yubico Login untuk Windows dan reboot, Anda harus memasukkan ini sebagai tambahan kata sandi Anda untuk masuk. Untuk melakukan ini, buka Command Prompt atau PowerShell dari menu Start dan jalankan perintah di bawah ini

whoami

Catat(Take) output lengkapnya, yang harus dalam bentuk DESKTOP-1JJQRDF\jdoe , di mana  jdoe  adalah nama pengguna.

  1. Unduh(Download) perangkat lunak Yubico Login untuk Windows dari sini(here) .
  2. Jalankan penginstal dengan mengklik dua kali pada unduhan.
  3. Terima perjanjian lisensi pengguna akhir.
  4. Di panduan penginstalan, tentukan lokasi folder tujuan atau terima lokasi default.
  5. Nyalakan ulang mesin tempat perangkat lunak telah diinstal. Setelah restart, penyedia kredensial Yubico menampilkan layar login yang meminta YubiKey .

Karena YubiKey belum disediakan, Anda harus mengganti pengguna dan memasukkan tidak hanya kata sandi untuk akun Windows lokal Anda , tetapi juga nama pengguna Anda untuk akun tersebut. Jika perlu, Anda mungkin harus mengubah Akun Microsoft menjadi Akun Lokal .

Setelah Anda masuk, cari "Konfigurasi Masuk" dengan ikon hijau. (Item yang sebenarnya berlabel Yubico Login untuk Windows hanyalah penginstal, bukan aplikasi.)

Konfigurasi YubiKey

Izin administrator(Administrator) diperlukan untuk mengkonfigurasi perangkat lunak.
Hanya akun yang didukung yang dapat dikonfigurasi untuk Yubico Login untuk Windows . Jika Anda meluncurkan wizard konfigurasi, dan akun yang Anda cari tidak ditampilkan, itu tidak didukung dan oleh karena itu tidak tersedia untuk konfigurasi.

Selama proses konfigurasi, berikut ini akan diperlukan;

  • Kunci Utama dan Cadangan(Primary and Backup Keys) : Gunakan YubiKey yang berbeda untuk setiap pendaftaran. Jika Anda mengonfigurasi kunci cadangan, setiap pengguna harus memiliki satu YubiKey untuk yang utama dan yang kedua untuk kunci cadangan.
  • Kode Pemulihan(Recovery Code) : Kode pemulihan adalah mekanisme upaya terakhir untuk mengautentikasi pengguna jika semua YubiKeys telah hilang. Kode pemulihan(Recovery) dapat ditetapkan ke pengguna yang Anda tentukan; namun, kode pemulihan hanya dapat digunakan jika nama pengguna dan sandi untuk akun juga tersedia. Pilihan untuk menghasilkan kode pemulihan disajikan selama proses konfigurasi.

Langkah 1: Di menu Start Windows , pilih Yubico > Login Configuration .

Langkah 2: Dialog Kontrol Akun Pengguna muncul. (User Account Control)Jika Anda menjalankan ini dari akun non-Administrator, Anda akan dimintai kredensial administrator lokal. Halaman Selamat Datang memperkenalkan wizard penyediaan Konfigurasi Login Yubico :(Yubico Login Configuration)

Perangkat otentikasi perangkat keras YubiKey

Langkah 3: Klik Berikutnya(Next) . Halaman Default Konfigurasi Login Windows Yubico(Yubico Windows Login Configuration) muncul .

Langkah 4: Item yang dapat dikonfigurasi adalah:

Slots : Pilih slot tempat rahasia challenge-respons akan disimpan. Semua YubiKey yang belum disesuaikan telah dimuat sebelumnya dengan kredensial di slot 1, jadi jika Anda menggunakan Yubico Login untuk Windows untuk mengonfigurasi YubiKey yang sudah digunakan untuk masuk ke akun lain, jangan menimpa slot 1.

Challenge/Response Secret : Item ini memungkinkan Anda menentukan bagaimana rahasia akan dikonfigurasi dan di mana akan disimpan. Pilihannya adalah:

  • Gunakan rahasia yang ada jika dikonfigurasi – hasilkan jika tidak dikonfigurasi(Use existing secret if configured – generate if not configured) : Rahasia kunci yang ada akan digunakan di slot yang ditentukan. Jika perangkat tidak memiliki rahasia yang ada, proses penyediaan akan menghasilkan rahasia baru.
  • Hasilkan rahasia acak baru, bahkan jika rahasia saat ini dikonfigurasi(Generate new, random secret, even if a secret is currently configured) : Rahasia baru akan dibuat dan diprogram ke slot, menimpa rahasia yang dikonfigurasi sebelumnya.
  • Masukkan rahasia secara manual(Manually input secret)Untuk pengguna tingkat lanjut(For advanced users) : Selama proses penyediaan, aplikasi akan meminta Anda untuk memasukkan rahasia HMAC-SHA1 secara manual (20 byte – 40 karakter dikodekan hex).

Hasilkan Kode Pemulihan(Generate Recovery Code) : Untuk setiap pengguna yang disediakan, kode pemulihan baru akan dibuat. Kode pemulihan ini memungkinkan pengguna akhir untuk masuk ke sistem jika mereka kehilangan YubiKey.
Catatan: Jika Anda memilih untuk menyimpan kode pemulihan saat menyediakan pengguna untuk kunci kedua, kode pemulihan sebelumnya menjadi tidak valid, dan hanya kode pemulihan baru yang akan berfungsi.

Buat Perangkat Cadangan untuk Setiap Pengguna(Create Backup Device for Each User) : Gunakan opsi ini agar proses penyediaan mendaftarkan dua kunci untuk setiap pengguna, YubiKey utama dan (YubiKey)YubiKey cadangan . Jika Anda tidak ingin memberikan kode pemulihan kepada pengguna Anda, sebaiknya berikan YubiKey cadangan kepada setiap pengguna . Untuk informasi selengkapnya, lihat bagian Kunci Utama(Primary) dan Cadangan(Backup Keys)  di atas.

Langkah 5: Klik Berikutnya(Next) , untuk memilih pengguna yang akan disediakan. Halaman Pilih Akun Pengguna(Select User Accounts) (Jika tidak ada akun pengguna lokal yang didukung oleh Yubico Login untuk Windows , daftar akan kosong) muncul.

Langkah 6: Pilih akun pengguna yang akan disediakan selama menjalankan Yubico Login untuk Windows saat ini dengan memilih kotak centang di sebelah nama pengguna, lalu klik Berikutnya(Next) . Halaman Konfigurasi Pengguna(Configuring User) muncul.

Langkah 7: Nama pengguna yang ditampilkan di bidang Konfigurasi Pengguna(Configuring User) yang ditunjukkan di atas adalah pengguna yang sedang dikonfigurasi YubiKey. Saat setiap nama pengguna ditampilkan, proses meminta Anda memasukkan YubiKey untuk mendaftar pengguna tersebut.

Langkah 8: Halaman Tunggu Perangkat(Wait for Device) ditampilkan saat YubiKey yang dimasukkan terdeteksi dan sebelum didaftarkan untuk pengguna yang nama penggunanya ada di bidang Konfigurasi Pengguna(Configuring User) di bagian atas halaman. Jika Anda telah memilih Buat Perangkat Cadangan untuk Setiap Pengguna(Create Backup Device for Each User) di halaman Default(Defaults) , bidang Konfigurasi Pengguna(Configuring User) juga akan menampilkan YubiKeys mana yang sedang didaftarkan, Utama(Primary) atau Cadangan(Backup) .

Langkah 9: Jika Anda telah mengonfigurasi proses penyediaan untuk menggunakan rahasia yang ditentukan secara manual, bidang untuk rahasia 40 digit hex akan ditampilkan. Masukkan rahasia dan klik Berikutnya(Next) .

Langkah 10: Halaman Perangkat Pemrograman(Programming Device) menampilkan kemajuan pemrograman setiap YubiKey . Halaman Konfirmasi Perangkat(Device Confirmation) yang ditunjukkan di bawah ini menampilkan detail YubiKey yang terdeteksi oleh proses penyediaan, termasuk nomor seri perangkat (jika tersedia) dan status konfigurasi setiap slot Kata Sandi Satu Kali(One-Time Password) ( OTP ). Jika ada konflik antara apa yang telah Anda tetapkan sebagai default dan apa yang mungkin terjadi dengan YubiKey yang terdeteksi , simbol peringatan akan ditampilkan. Jika semuanya baik-baik saja, tanda centang akan ditampilkan. Jika baris status menunjukkan ikon kesalahan, kesalahan dijelaskan, dan petunjuk untuk memperbaikinya ditampilkan di layar.

Langkah 11: Setelah pemrograman selesai untuk akun pengguna, akun tersebut tidak dapat lagi diakses tanpa YubiKey yang sesuai . Anda diminta untuk menghapus YubiKey yang baru saja dikonfigurasi, dan proses penyediaan secara otomatis berlanjut ke kombinasi akun pengguna/ YubiKey berikutnya(YubiKey) .

Langkah 12: Bagaimanapun, YubiKeys untuk akun pengguna yang ditentukan telah disediakan:

  • Jika Hasilkan Kode Pemulihan(Generate Recovery Code)  dipilih pada halaman Default(Defaults) , halaman Kode Pemulihan(Recovery Code) akan ditampilkan.
  • Jika  Generate Recovery Code  tidak dipilih, proses penyediaan akan secara otomatis melanjutkan ke akun pengguna berikutnya.
  • Proses penyediaan pindah ke  Selesai(Finished)  setelah akun pengguna terakhir selesai.

Kode pemulihan adalah string yang panjang. (Untuk menghilangkan masalah yang disebabkan oleh pengguna akhir yang salah mengira angka 1 untuk huruf kecil L dan 0 untuk huruf O, kode pemulihan dikodekan dalam Base32 , yang memperlakukan karakter alfanumerik yang terlihat mirip seolah-olah sama.)

Halaman Kode Pemulihan(Recovery Code) ditampilkan setelah semua YubiKeys untuk akun pengguna yang ditentukan telah dikonfigurasi.

Langkah 13: Pada halaman Kode Pemulihan(Recovery Code) , buat dan atur kode pemulihan untuk pengguna yang dipilih. Setelah ini selesai, tombol Salin(Copy)  dan  Simpan(Save) di sebelah kanan bidang kode pemulihan akan tersedia.

Langkah 14: Salin kode pemulihan dan simpan agar tidak dibagikan dengan pengguna dan simpan jika pengguna kehilangannya.

Catatan(Note) : Pastikan untuk menyimpan kode pemulihan pada saat ini dalam proses. Setelah Anda melanjutkan ke layar berikutnya, kode tidak dapat diambil.

Langkah 15: Untuk pindah ke akun pengguna berikutnya dari halaman Pilih Pengguna(Select Users) , klik Berikutnya(Next) . Ketika Anda telah mengonfigurasi pengguna terakhir, proses penyediaan menampilkan halaman Selesai(Finished) .

Langkah 16: Berikan setiap pengguna kode pemulihan mereka. Pengguna akhir harus menyimpan kode pemulihan mereka ke lokasi aman yang dapat diakses saat mereka tidak dapat masuk.

Pengalaman Pengguna YubiKey

Ketika akun pengguna lokal telah dikonfigurasi untuk memerlukan YubiKey , pengguna diautentikasi oleh Penyedia Kredensial Yubico alih-alih Penyedia (Yubico Credential Provider)Kredensial Windows default . Pengguna diminta untuk memasukkan YubiKey mereka . Kemudian muncul layar Yubico Login . Pengguna memasukkan nama pengguna dan kata sandi mereka.

Catatan(Note) : Tidak perlu menekan tombol pada perangkat keras USB YubiKey(YubiKey USB) untuk masuk. Dalam beberapa kasus, menekan tombol menyebabkan proses masuk gagal.

Saat pengguna akhir masuk, mereka harus memasukkan YubiKey yang benar ke port USB di sistem mereka. Jika pengguna akhir memasukkan nama pengguna dan kata sandi mereka tanpa memasukkan YubiKey yang benar , otentikasi akan gagal, dan pengguna akan disajikan dengan pesan kesalahan.

Jika akun pengguna akhir dikonfigurasi untuk Yubico Login untuk Windows , dan jika kode pemulihan dibuat, dan pengguna kehilangan YubiKey, mereka dapat menggunakan kode pemulihan untuk mengautentikasi. Pengguna akhir membuka kunci komputer mereka dengan nama pengguna, kode pemulihan, dan kata sandi mereka.

Sampai YubiKey baru dikonfigurasi, pengguna akhir harus memasukkan kode pemulihan setiap kali mereka masuk.

Jika Yubico Login untuk Windows tidak mendeteksi bahwa YubiKey telah dimasukkan, kemungkinan karena kunci tidak mengaktifkan mode OTP , atau Anda tidak memasukkan YubiKey , melainkan Kunci Keamanan(Security Key) , yang tidak kompatibel dengan aplikasi ini. Gunakan aplikasi YubiKey Manager  untuk memastikan bahwa semua YubiKey(YubiKeys) yang akan disediakan memiliki antarmuka OTP yang diaktifkan.

Penting(Important) : Metode masuk alternatif yang didukung oleh Windows tidak akan terpengaruh. Oleh karena itu, Anda harus membatasi metode login lokal dan jarak jauh tambahan untuk akun pengguna yang Anda lindungi dengan Yubico Login untuk Windows untuk memastikan Anda tidak membiarkan 'pintu belakang' terbuka.

Jika Anda mencoba YubiKey, beri tahu kami pengalaman Anda di bagian komentar di bawah.(If you try out YubiKey, let us know your experience in the comments section below.)



Syahrini Widiastuti

About the author

Saya seorang insinyur telepon dengan pengalaman lebih dari 10 tahun di industri seluler, dan saya berspesialisasi dalam memperbaiki dan meningkatkan ponsel cerdas. Pekerjaan saya termasuk mengembangkan dan memelihara firmware telepon, mengembangkan gambar untuk perangkat Apple, dan mengerjakan proyek Firefox OS. Dengan keahlian saya dalam pengembangan perangkat lunak, rekayasa perangkat keras, pemrosesan gambar, dan pengembangan Firefox OS, saya memiliki kemampuan untuk menangani masalah kompleks dan mengubahnya menjadi solusi sederhana yang dapat digunakan di perangkat apa pun.


Related posts