Windows 10'da Yerel Hesap için YubiKey Güvenli Oturum Açma'yı yapılandırın ve kullanın

Kullanıcılar , Windows 10'da bir (Windows 10)Yerel hesaba giriş yapmak için İsveçli Yubico şirketi tarafından üretilen donanım güvenlik anahtarlarını kullanabilir . Şirket geçtiğimiz günlerde Yubico Login for Windows uygulamasının(Login for Windows application) ilk kararlı sürümünü yayınladı . Bu gönderide , Windows 10 PC'lerde kullanım için YubiKey'i(YubiKey) nasıl kuracağınızı ve yapılandıracağınızı göstereceğiz.

YubiKey , tek seferlik parolaları, açık anahtarlı şifrelemeyi ve kimlik doğrulamayı ve FIDO Alliance tarafından geliştirilen (FIDO Alliance)Evrensel 2. Faktör (U2F)(Universal 2nd Factor (U2F)) ve FIDO2 protokollerini destekleyen bir donanım doğrulama cihazıdır . Kullanıcıların, tek kullanımlık şifreler vererek veya cihaz tarafından oluşturulan FIDO tabanlı bir genel/özel anahtar çifti kullanarak hesaplarına güvenli bir şekilde giriş yapmalarını sağlar. YubiKey , tek seferlik şifreleri desteklemeyen sitelerde kullanılmak üzere statik şifrelerin saklanmasına da izin verir. Facebook , çalışanların kimlik bilgileri için YubiKey'i(YubiKey) kullanır ve Google bunu hem çalışanlar hem de kullanıcılar için destekler. Bazı parola yöneticileri YubiKey'i(YubiKey) destekler .Yubico ayrıca , YubiKey'e(YubiKey) benzer bir cihaz olan Güvenlik Anahtarını(Security Key) da üretmektedir , ancak genel anahtar kimlik doğrulamasına odaklanmıştır.

YubiKey, kullanıcıların özel anahtarları dış dünyaya ifşa etmeden mesajları imzalamasına, şifrelemesine ve şifresini çözmesine olanak tanır. Bu özellik daha önce yalnızca Mac ve Linux kullanıcıları için mevcuttu.

To configure/set up YubiKey on Windows 10, you’ll need the following:

  1. Bir YubiKey USB donanımı.
  2. Windows için Yubico Giriş yazılımı.
  3. YubiKey Yöneticisi yazılımı.

Hepsi yubico.com'da (yubico.com)Ürün(Product) sekmesi altında mevcuttur . Ayrıca, YubiKey uygulamasının (YubiKey)Azure Active Directory ( AAD ) veya Active Directory (AD) tarafından yönetilen yerel Windows hesaplarının yanı sıra Microsoft Hesaplarını desteklemediğini de unutmamalısınız .

YubiKey donanım doğrulama cihazı

Yubico Login for Windows yazılımını kurmadan önce , yerel hesap için Windows kullanıcı adınızı ve şifrenizi not edin . Yazılımı yükleyen kişi , hesabı için Windows kullanıcı adı ve parolasına sahip olmalıdır. Bunlar olmadan hiçbir şey yapılandırılamaz ve hesaba erişilemez. Windows kimlik bilgisi sağlayıcısının varsayılan davranışı, son oturum açmanızı hatırlamaktır, böylece kullanıcı adını yazmanız gerekmez.

Bu nedenle birçok kişi kullanıcı adını hatırlamayabilir. Ancak, aracı yükledikten ve yeniden başlattıktan sonra, yeni Yubico kimlik bilgisi sağlayıcısı yüklenir, böylece hem yöneticiler hem de son kullanıcılar kullanıcı adını gerçekten yazmalıdır. Bu nedenlerden dolayı, yalnızca yönetici değil, aynı zamanda hesabı Windows için (Windows)Yubico Login aracılığıyla yapılandırılacak olan herkes, yönetici aracı yüklemeden ve yapılandırmalar sona ermeden ÖNCE yerel hesapları için Windows kullanıcı adını ve parolasını kullanarak oturum(Windows) açıp açamayacaklarını kontrol etmelidir. -kullanıcıların hesapları.

Ayrıca şunu da unutmamak gerekir ki, Windows için Yubico Login yapılandırıldıktan sonra şunlar vardır:

  • Windows Parola İpucu Yok
  • Şifreleri sıfırlamanın yolu yok
  • Remember Previous User/Login işlevi yok .

Ayrıca, Windows otomatik oturum açma, (Windows)Windows için Yubico Oturum Açma(Yubico Login) ile uyumlu değildir . Hesabı otomatik oturum açma için ayarlanmış bir kullanıcı, Windows(Windows) için Yubico Oturum Açma(Yubico Login) yapılandırması yürürlüğe girdiğinde artık orijinal parolasını hatırlamıyorsa , hesaba artık erişilemez. Bu sorunu(Address) önceden şu şekilde ele alın:

  • Otomatik oturum açmayı devre dışı bırakmadan önce kullanıcıların yeni parolalar belirlemesini sağlamak.
  • Hesaplarını yapılandırmak için Windows için Yubico (Windows)Login'i(Login) kullanmadan önce tüm kullanıcıların kullanıcı adları ve yeni parolalarıyla hesaplarına erişebileceklerini doğrulamasını sağlayın .

Yazılımı yüklemek için yönetici izinleri gereklidir.

YubiKey Kurulumu

İlk olarak, kullanıcı adınızı doğrulayın. Yubico Login for Windows'u(Windows) yükledikten ve yeniden başlattıktan sonra, oturum açmak için parolanıza ek olarak bunu da girmeniz gerekecektir. Bunu yapmak için Başlat menüsünden (Start)Komut İstemi(Command Prompt) veya PowerShell'i(PowerShell) açın ve aşağıdaki komutu çalıştırın.

whoami

(Take)Jdoe kullanıcı adı olduğu  DESKTOP-1JJQRDF\jdoe biçiminde olması gereken çıktının tamamını not alın  .

  1. (Download)Yubico(Yubico Login) Login for Windows yazılımını buradan(here) indirin .
  2. İndirmeye çift tıklayarak yükleyiciyi çalıştırın.
  3. Son kullanıcı lisans sözleşmesini kabul edin.
  4. Kurulum sihirbazında hedef klasör konumunu belirtin veya varsayılan konumu kabul edin.
  5. Yazılımın yüklendiği makineyi yeniden başlatın. Yeniden başlatmanın ardından, Yubico kimlik bilgisi sağlayıcısı, YubiKey'i isteyen oturum açma ekranını sunar(YubiKey) .

YubiKey henüz sağlanmadığı için, kullanıcıyı değiştirmeli ve yalnızca yerel Windows hesabınızın parolasını değil , (YubiKey)aynı(Windows) zamanda o hesap için kullanıcı adınızı da girmelisiniz. Gerekirse, Microsoft Hesabını Yerel Hesap olarak değiştirmeniz gerekebilir .

Oturum açtıktan sonra, yeşil simge ile “Login Configuration” öğesini arayın. (Aslında Windows(Windows) için Yubico Login etiketli öğe , uygulama değil, yalnızca yükleyicidir.)

YubiKey Yapılandırması

Yazılımı yapılandırmak için yönetici(Administrator) izinleri gereklidir. Yubico Login for Windows
için yalnızca desteklenen hesaplar yapılandırılabilir . Yapılandırma sihirbazını başlatırsanız ve aradığınız hesap görüntülenmezse, desteklenmez ve bu nedenle yapılandırma için kullanılamaz.

Yapılandırma işlemi sırasında aşağıdakiler gerekli olacaktır;

  • Birincil ve Yedek Anahtarlar(Primary and Backup Keys) : Her kayıt için farklı bir YubiKey kullanın. (YubiKey)Yedek anahtarları yapılandırıyorsanız, her kullanıcının birincil anahtar için bir YubiKey ve yedek anahtar için ikinci bir YubiKey'i olmalıdır.
  • Kurtarma Kodu(Recovery Code) : Kurtarma kodu, tüm YubiKey'ler kaybolduğunda bir kullanıcının kimliğini doğrulamak için son başvurulacak bir mekanizmadır. Kurtarma(Recovery) kodları belirttiğiniz kullanıcılara atanabilir; ancak, kurtarma kodu yalnızca hesabın kullanıcı adı ve parolası da mevcutsa kullanılabilir. Bir kurtarma kodu oluşturma seçeneği, yapılandırma işlemi sırasında sunulur.

Adım 1: Windows Başlat(Start) menüsünde Yubico > Oturum Açma Yapılandırması(Login Configuration) öğesini seçin .

Adım 2: Kullanıcı Hesabı Denetimi(User Account Control) iletişim kutusu görünür. Bunu Yönetici olmayan bir hesaptan çalıştırıyorsanız, yerel yönetici kimlik bilgileri istenir. Hoş Geldiniz sayfası, Yubico Oturum Açma Yapılandırması(Yubico Login Configuration) sağlama sihirbazını tanıtır:

YubiKey donanım doğrulama cihazı

Adım 3: İleri'ye(Next) tıklayın . Yubico Windows Oturum Açma Yapılandırmasının(Yubico Windows Login Configuration) Varsayılan sayfası(Default) görünür .

Adım 4: Yapılandırılabilir öğeler şunlardır:

Yuvalar(Slots) : Meydan okuma-yanıt sırrının saklanacağı yuvayı seçin. Özelleştirilmemiş tüm YubiKey'ler, yuva 1'de bir kimlik bilgisi ile önceden yüklenmiş olarak gelir, bu nedenle, diğer hesaplarda oturum açmak için halihazırda kullanılan YubiKey'leri yapılandırmak için Windows için (Windows)Yubico Login kullanıyorsanız, yuva 1'in üzerine yazmayın.(Yubico Login)

Challenge/Response Secret : Bu öğe, sırrın nasıl yapılandırılacağını ve nerede saklanacağını belirlemenizi sağlar. Seçenekler şunlardır:

  • Yapılandırılmışsa mevcut sırrı kullan – yapılandırılmamışsa oluştur(Use existing secret if configured – generate if not configured) : Anahtarın mevcut sırrı, belirtilen yuvada kullanılacaktır. Aygıtın mevcut bir sırrı yoksa, sağlama işlemi yeni bir sır oluşturacaktır.
  • Şu anda bir sır yapılandırılmış olsa bile yeni, rastgele bir sır oluştur(Generate new, random secret, even if a secret is currently configured) : Yeni bir sır oluşturulacak ve yuvaya programlanarak önceden yapılandırılmış herhangi bir sırrın üzerine yazılacaktır.
  • Gizli anahtarı manuel(Manually input secret) olarak girin :  İleri düzey kullanıcılar için(For advanced users) : Sağlama işlemi sırasında uygulama sizden bir HMAC-SHA1 sırrını (20 bayt – 40 karakter onaltılık kodlu) manuel olarak girmenizi ister.

Kurtarma Kodu Oluştur(Generate Recovery Code) : Sağlanan her kullanıcı için yeni bir kurtarma kodu oluşturulur. Bu kurtarma kodu, son kullanıcının YubiKey'lerini kaybetmeleri durumunda sistemde oturum açmasını sağlar.
Not: Bir kullanıcıya ikinci bir anahtar sağlarken bir kurtarma kodu kaydetmeyi seçerseniz, önceki kurtarma kodları geçersiz olur ve yalnızca yeni kurtarma kodu çalışır.

Her Kullanıcı için Yedekleme Aygıtı Oluştur : Sağlama işleminin her kullanıcı için iki anahtar, bir birincil (Create Backup Device for Each User)YubiKey ve bir yedek YubiKey kaydetmesini sağlamak için bu seçeneği kullanın . Kullanıcılarınıza kurtarma kodları sağlamak istemiyorsanız, her kullanıcıya bir yedek YubiKey vermek iyi bir uygulamadır . Daha fazla bilgi için yukarıdaki Birincil(Primary) ve Yedek Anahtarlar(Backup Keys)  bölümüne bakın.

Adım 5: Sağlanacak kullanıcı(lar)ı seçmek için İleri'ye tıklayın. (Next)Kullanıcı Hesaplarını Seç(Select User Accounts) sayfası ( Windows için Yubico Login tarafından desteklenen yerel kullanıcı hesapları yoksa liste boş olacaktır) görünür.

Adım 6: Kullanıcı adının yanındaki onay kutusunu seçerek Windows için Yubico Login'in(Yubico Login) mevcut çalışması sırasında sağlanacak kullanıcı hesaplarını seçin ve ardından İleri(Next) öğesine tıklayın . Kullanıcıyı Yapılandırma(Configuring User) sayfası görünür.

Adım 7: Yukarıda gösterilen Kullanıcıyı Yapılandırma(Configuring User) alanında gösterilen kullanıcı adı, kendisi için bir YubiKey yapılandırılmakta olan kullanıcıdır. Her kullanıcı adı görüntülendiğinde, işlem sizden o kullanıcıya kaydolmak için bir YubiKey eklemenizi ister.

Adım 8: Yerleştirilen bir YubiKey algılanırken ve sayfanın üst kısmındaki Kullanıcıyı Yapılandırma alanında kullanıcı adı olan kullanıcı için kaydedilmeden önce (Configuring User)Aygıtı Bekle sayfası gösterilir. (Wait for Device)Varsayılanlar(Defaults) sayfasında Her Kullanıcı için Yedekleme Aygıtı Oluştur'u seçtiyseniz, Kullanıcıyı Yapılandırma(Create Backup Device for Each User) alanı ayrıca(Configuring User) YubiKey'lerden hangisinin(YubiKeys) kaydedildiğini, Birincil(Primary) veya Yedek'i(Backup) görüntüler .

Adım 9: Sağlama sürecini manuel olarak belirtilen bir gizli diziyi kullanacak şekilde yapılandırdıysanız, 40 onaltılı basamaklı parola alanı görüntülenir. Sırrı girin ve İleri'yi tıklayın(Next) .

Adım 10: Programlama Cihazı(Programming Device) sayfası, her bir YubiKey'in(YubiKey) programlanmasının ilerlemesini görüntüler . Aşağıda gösterilen Aygıt Onayı(Device Confirmation) sayfası , aygıt seri numarası (varsa) ve her Bir Tek Kullanımlık Parola(One-Time Password) ( OTP ) yuvasının yapılandırma durumu dahil, sağlama işlemi tarafından algılanan YubiKey'in ayrıntılarını görüntüler. (YubiKey)Varsayılan olarak ayarladıklarınız ile tespit edilen YubiKey(YubiKey) ile mümkün olan arasında çelişkiler varsa , bir uyarı sembolü görüntülenir. Her şey yolundaysa, bir onay işareti gösterilecektir. Durum satırında bir hata simgesi gösteriliyorsa, hata açıklanır ve düzeltme talimatları ekranda görüntülenir.

Adım 11: Bir kullanıcı hesabı için programlama tamamlandıktan sonra, ilgili YubiKey(YubiKey) olmadan o hesaba artık erişilemez . Az önce yapılandırılan YubiKey'i(YubiKey) kaldırmanız istenir ve sağlama işlemi otomatik olarak bir sonraki kullanıcı hesabı/ YubiKey kombinasyonuna geçer.

Adım 12: Sonuçta , belirtilen kullanıcı hesabı için YubiKey'ler sağlandı :(YubiKeys)

  • Varsayılanlar sayfasında Kurtarma Kodu Oluştur(Generate Recovery Code)  seçilmişse , Kurtarma (Defaults)Kodu(Recovery Code) sayfası görüntülenir.
  • Kurtarma  Kodu Oluştur(Generate Recovery Code)  seçilmediyse, sağlama işlemi otomatik olarak sonraki kullanıcı hesabına devam eder.
  • Son kullanıcı hesabı tamamlandıktan(Finished)  sonra sağlama işlemi Bitti'ye taşınır  .

Kurtarma kodu uzun bir dizedir. (Son kullanıcının 1 rakamını küçük harf L ve 0 rakamını O harfi ile karıştırmasından kaynaklanan sorunları ortadan kaldırmak için, kurtarma kodu, benzer görünen alfanümerik karakterleri aynıymış gibi değerlendiren Base32'de kodlanmıştır.)(Base32)

Belirtilen kullanıcı hesabı için tüm YubiKey'ler yapılandırıldıktan sonra Kurtarma (YubiKeys)Kodu(Recovery Code) sayfası görüntülenir .

Adım 13: Kurtarma Kodu(Recovery Code) sayfasında, seçilen kullanıcı için bir kurtarma kodu oluşturun ve ayarlayın. Bu yapıldıktan sonra , kurtarma kodu alanının sağındaki Kopyala(Copy)  ve  Kaydet düğmeleri kullanılabilir hale gelir.(Save)

Adım 14: Kurtarma kodunu kopyalayın ve kullanıcıyla paylaşılmak üzere kaydedin ve kullanıcının kaybetmesi durumunda saklayın.

Not(Note) : İşlemin bu noktasında kurtarma kodunu kaydettiğinizden emin olun. Bir sonraki ekrana geçtiğinizde, kodu almanız mümkün değildir.

Adım 15: Kullanıcıları Seç(Select Users) sayfasından sonraki kullanıcı hesabına geçmek için İleri'ye(Next) tıklayın . Son kullanıcıyı yapılandırdığınızda, sağlama işlemi Bitti(Finished) sayfasını görüntüler.

Adım 16: Her kullanıcıya kurtarma kodunu verin. Son kullanıcılar, oturum açamadıklarında kurtarma kodlarını erişebilecekleri güvenli bir konuma kaydetmelidir.

YubiKey Kullanıcı Deneyimi

Yerel kullanıcı hesabı bir YubiKey gerektirecek şekilde yapılandırıldığında , kullanıcının kimliği varsayılan Windows Kimlik Bilgisi Sağlayıcısı yerine Yubico Kimlik Bilgisi Sağlayıcısı(Yubico Credential Provider) tarafından doğrulanır . Kullanıcıdan YubiKey'lerini(YubiKey) eklemesi istenir . Ardından Yubico Giriş(Yubico Login) ekranı sunulur. Kullanıcı kullanıcı adını ve şifresini girer.

Not : Oturum açmak için (Note)YubiKey USB donanımı üzerindeki düğmeye basmak gerekli değildir . Bazı durumlarda düğmeye basmak oturum açmanın başarısız olmasına neden olur.

Son kullanıcı oturum açtığında, sistemlerindeki bir USB bağlantı noktasına doğru YubiKey'i takmaları(YubiKey) gerekir . Son kullanıcı kullanıcı adını ve parolasını doğru YubiKey girmeden girerse(YubiKey) , kimlik doğrulama başarısız olur ve kullanıcıya bir hata mesajı gösterilir.

Bir son kullanıcının hesabı Windows için (Windows)Yubico Login için yapılandırılmışsa ve bir kurtarma kodu oluşturulmuşsa ve bir kullanıcı YubiKey(ler)ini kaybederse, kimlik doğrulaması için kurtarma kodunu kullanabilirler. Son kullanıcı, kullanıcı adı, kurtarma kodu ve parolasıyla bilgisayarının kilidini açar.

Yeni bir YubiKey yapılandırılana kadar, son kullanıcı her oturum açtığında kurtarma kodunu girmelidir.

Yubico Login(Yubico Login) for Windows , bir YubiKey'in(YubiKey) takıldığını algılamıyorsa, bunun nedeni anahtarın OTP modunun etkinleştirilmemiş olması veya bir YubiKey değil, bu uygulamayla uyumlu olmayan bir Güvenlik Anahtarı eklemeniz olabilir. (Security Key)Sağlanacak tüm YubiKey'lerin (YubiKeys)OTP arabiriminin etkinleştirildiğinden emin olmak için YubiKey Manager  uygulamasını kullanın .

Önemli : (Important)Windows tarafından desteklenen alternatif oturum açma yöntemleri etkilenmeyecektir. Bu nedenle, herhangi bir 'arka kapı' açık bırakmadığınızdan emin olmak için Windows için (Windows)Yubico Login ile koruduğunuz kullanıcı hesapları için ek yerel ve uzak oturum açma yöntemlerini kısıtlamanız gerekir.(Yubico Login)

YubiKey'i denerseniz, aşağıdaki yorumlar bölümünde deneyiminizi bize bildirin.(If you try out YubiKey, let us know your experience in the comments section below.)



Nisanur Ünal

About the author

Mobil sektörde 10 yılı aşkın deneyime sahip bir telefon mühendisiyim ve akıllı telefonları onarma ve yükseltme konusunda uzmanım. İşim, telefon donanım yazılımının geliştirilmesini ve bakımını, Apple cihazları için görüntü geliştirmeyi ve Firefox OS projelerinde çalışmayı içeriyordu. Yazılım geliştirme, donanım mühendisliği, görüntü işleme ve Firefox OS geliştirmedeki becerilerim sayesinde, karmaşık sorunları alıp herhangi bir cihazda çalışan basit çözümlere dönüştürme yeteneğine sahibim.


Related posts