Yubikey Logon – Hỗ trợ đăng nhập Windows với Yubikey

Vào tháng 8 năm ngoái, tôi đã viết bài “YubiKey + LastPass : Sự kết hợp hoàn hảo” .Từ lúc sử dụng Yubikey, tôi tự hỏi “Tại sao lại không dùng nó để đăng nhập được Windows nhỉ ?”. Dĩ nhiên, vào thời điểm đó thì không thể.

Cách đây vài tuần, Yubico đã gửi mail thông báo rằng họ đã phát triển ứng dụng Yubikey Logon để giúp người dùng sử dụng Yubikey đăng nhập vào Windows. Điều này có nghĩa là sau khi bạn nhập đúng mật khẩu đăng nhập Windows thư bình thường thì phải cắm thêm Yubikey vào cổng USB thì mới đăng nhập được, ngược lại thì phải…ngồi ngó !

Bạn có thể xem bài viết theo đường link ở đầu bài để hiểu sơ về Yubikey và những gì nó có thể làm được. Lần này, tôi sẽ giới thiệu “hôn sự” giữa Windows và Yubikey cũng như cách cài đặt và sử dụng.

– Tải về ứng dụng Yubikey Logon.

– Tải tiếp ứng dụng Yubikey Configuration Utility for Windows. Nếu bạn sử dụng các hệ điều hành khác thì tải về từ trang chủ của Yubikey.

– Quá trình cài đặt diễn ra, nó yêu cầu bạn cài đặt một số món, cứ đồng ý cho tới khi kết thúc.

YubiKey + Windows : Sự kết hợp hoàn hảo

YubiKey + Windows : Sự kết hợp hoàn hảo

– Sau khi cài đặt xong, bạn vào Start menu và chạy “Yubikey Logon Administration”.

YubiKey + Windows : Sự kết hợp hoàn hảo

– Cửa sổ hiện ra :

YubiKey + Windows : Sự kết hợp hoàn hảo

– Bạn chọn “Yes” để đồng ý kích hoạt Yubikey Logon. Hộp thoại sau sẽ hiện ra, bạn bấm OK và tiến hành khởi động lại máy.

YubiKey + Windows : Sự kết hợp hoàn hảo

– Sau khi khởi động xong [bạn vẫn đăng nhập Windows theo cách thông thường], bạn sẽ thấy hộp thoại sau đây tự động xuất hiện :

YubiKey + Windows : Sự kết hợp hoàn hảo

– Giờ bạn hãy cắm Yubikey vào cổng USB và tiến hành việc nhận dạng. Nếu mọi thứ đều ổn thì hộp thoại bên trên sẽ tự động biến mất. Tiếp theo bạn chạy ứng dụng “Yubikey Logon Administration” một lần nữa. Từ giao diện hiện ra, bạn chọn tài khoản cần cấu hình sử dụng Yubikey để đăng nhập ở tùy chọn “Select user to config” rồi bấm nút “Configure”.

YubiKey + Windows : Sự kết hợp hoàn hảo

– Nếu bạn thấy thông báo “Failed challenge-response” như hình bên trên thì có nghĩa là bạn cần phải cài đặt công cụ “Yubikey Configuration Utility” mà bạn tải về theo đường link ở đầu bài. Ở các Yubikey thế hệ mới được Yubico trang bị 2 “khe” (slot). Khe thứ nhất được lập trình sẵn để sử dụng phương thức chứng thực OTP. Khe thứ hai được để trống. Và muốn sử dụng Yubikey để đăng nhập Windows, bạn phải sử dụng công cụ “Yubikey Configuration Utility” để lập trình cho khe thứ hai này. Công cụ này cho phép bạn tùy biến tính năng của cái Yubikey và tùy ý cấu hình thêm nếu muốn. Phần cấu hình bên dưới tôi chỉ cấu hình cơ bản để có thể sử dụng nó để đăng nhập Windows nhưng một số tùy chọn là bắc buộc.

– Sau khi cài đặt, bạn chạy nó lên, sẽ thấy giao diện sau :

YubiKey + Windows : Sự kết hợp hoàn hảo

– Bấm Next, hộp thoại sau hiện ra :

YubiKey + Windows : Sự kết hợp hoàn hảo

– Bạn chọn “Create a challenge-response configuration (Yubikey 2.2 only)” như bên trên, bấm nút Next.

YubiKey + Windows : Sự kết hợp hoàn hảo

– Hộp thoại bên trên, bạn chọn “HMAC-SHA1 mode – variable input”, bấm Next.

YubiKey + Windows : Sự kết hợp hoàn hảo

– Chọn “Randomize” và bấm Next.

YubiKey + Windows : Sự kết hợp hoàn hảo

– Bấm Next.

YubiKey + Windows : Sự kết hợp hoàn hảo

– Bạn có thể chọn 1 trong 4 tùy chọn, tùy bạn tìm hiểu nhưng bài viết này tôi chọn cái đầu tiên cho lẹ 🙂 :

YubiKey + Windows : Sự kết hợp hoàn hảo

– Ở bước cuối này, bạn lưu ý là phải chọn giống như hình bên trên. Tức là chọn cài đặt cấu hình cho khe thứ 2 : “Write to configuration 2 (Yubikey 2 only)”, nếu bạn chọn cấu hình 1 thì cái Yubikey này sẽ không thể được dùng kèm với Lastpass hoặc các ứng dụng khác đâu. Khi chọn như hình bên trên, bạn bấm nút “Run”. Nếu mọi thứ đều ổn thì bạn sẽ thấy :

YubiKey + Windows : Sự kết hợp hoàn hảo

– Bấm nút Exit để thoát ứng dụng. Giờ bạn hãy chạy ứng dụng “Yubikey Logon Administration” một lần nữa và bấm nút “Configuration” thử xem, bạn sẽ nhận được thông báo sau :

YubiKey + Windows : Sự kết hợp hoàn hảo

– Bấm “Yes” để đồng ý sử dụng Yubikey làm công cụ đăng nhập Windows > Xong bạn rút Yubikey ra và khởi động lại máy tính. Tới màn hình đăng nhập, bạn sẽ thấy dòng chữ “Yubikey Logon enabled for user” :

YubiKey + Windows : Sự kết hợp hoàn hảo

– Giờ bạn hãy thử gõ mật khẩu đăng nhập như hồi xưa thử xem có được không ? Chắc chắn là không được nếu như bạn không cắm cái Yubikey vô cổng USB 🙂 . Có nghĩa là kể từ lúc này, bạn phải cắm cái Yubikey vào máy tính rồi mới đăng nhập vào Windows được, bất kỳ ai có được mật khẩu đăng nhập mà không có cái Yubikey thì họ không thể vào được Windows.

Tôi chỉ hy vọng là phương pháp “Lợi dụng StickyKey chiếm quyền truy cập hệ thống” mà tôi đã có lần giới thiệu sẽ không làm phá sản tính năng bảo mật với Yubikey theo một cách nào đó.

3 Comments
  1. AHX cho em hỏi là có cách nào khóa safemode được không? Dù đã đặt mật khẩu đăng nhập rồi nhưng người khác vẫn dùng safemode để vào nghịch máy em 🙁

  2. E có thắc mắc là có cái vụ dùng đoạn code sau để xử lý cái CMD ở bài Lợi dụng StickyKey chiếm quyền truy cập hệ thống của a.

    Vấn đề là lúc chưa bik pass thì chạy Run kỉu gì nhỉ. Chớ bik pass vào thì đơn giản rồi

    REG ADD “HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe” /v Debugger /t REG_SZ /d “C:windowssystem32cmd.exe”

    Read more: http://windowsz.net/f9/tip-windows-7-co-bi-vuot-bao-mat-ngay-ca-o-man-hinh-dang-nhap-37357.html#ixzz1xkTLoByy

  3. @hainc : có cách khóa hẳn SafeMode nhưng chỉ dành cho Windows XP. Các Windows khác vẫn làm được với sự hỗ trợ của một số phần mềm nhưng các phần mềm này không miễn phí 🙂

    @Boyplay : Hic, bài viết Lợi dụng StickyKey chiếm quyền truy cập hệ thống có thể được thực hiện trên bất kỳ máy tính nào mà không cần mật khẩu đăng nhập. Điều kiện thực hiện :
    – Windows có thể hiển thị được màn hình đăng nhập.
    – Đĩa CD cứu hộ Hiren’sBootCD v10.6

    E boot máy bằng đĩa Hiren’s Boot rồi tiến hành làm các công việc như bài viết đó hướng dẫn là OK.

Gửi phản hồi