Come molti di voi sapranno, Windows Hello è una soluzione che usa il riconoscimento facciale, l'impronta digitale o un PIN per accedere al proprio dispositivo con Windows 10. Windows Hello è anche comodo per sbloccare facilmente il pc quando vi allontanate dalla vostra postazione e ritornate a lavorare.
In Windows 10 Home, Pro oppure Enterprise a partire dalla Anniversary Edition (versione 1607) è possibile utilizzare anche delle Security Keys per poter sbloccare il proprio PC.
In questa guida vi mostrerò come abilitare una chiave Yubikey 4 in Windows Hello. La versione di Windows 10 che utilizzerò è la 1809 (October 2018 Update).
Per maggiori informazioni sulle Yubikey potete visitare il sito ufficiale https://www.yubico.com/
ATTENZIONE: come evidenziato alla pagina https://support.yubico.com/support/solutions/articles/15000006472#enableCCID NON sono suppoortate le Yubikey 5
Dopo aver acquistato la vostra chiave Yubikey aprite il Microsoft Store e cercate l’applicazione Yubikey for Windows Hello. Scaricate ed installate l’applicazione.
Figura 2: Applicazione Yubikey per Windows Hello
Lanciate l’applicazione Yubikey for Windows Hello e seguite il wizard per registrare la vostra chiave. I passaggi sono veramente semplici e sono descritti nelle immagini sotto:
Figura 3:Lancio dell'applicazione Yubikey for Windows Hello
Figura 4: Richiesta di inserimento della Yubikey
Figura 5: Scelta di un nome identificativo per la vostra Yubikey
Figura 6: Richiesta di autenticazione per confermare la propria identità
Figura 7: Configurazione dell'app Yubikey for Windows Hello completata
È anche possibile aggiungere diverse chiavi allo stesso account utente. Nel caso ne possediate diverse, cliccate su Register per ricominciare la procedura di registrazione della nuova chiave.
Figura 8: É possibile registrare diverse chiavi Yubikey con lo stesso account
A questo punto vedrete che nella schermata di login di Windows 10 sarà disponibile un’ulteriore opzione per l’autenticazione (Companion Device). In realtà la Yubikey non può essere utilizzata per il login, ma solo per sbloccare il PC. Infatti, se cercherete di usare la Yubikey dopo un riavvio o dopo un logoff riceverete il messaggio di errore mostrato nella figura 10.
Figura 9: Tra le opzioni di login c'è anche la possibilità di utilizzare un Companion Device
Figura 10: La chiave Yubikey non può essere utilizzata per il login, ma solo per sbloccare il pc
Verifica del funzionamento della Yubikey
Se bloccate il PC o se dovesse partire lo screen saver, per potervi loggare vi basterà inserire la Yubikey nella porta USB per poter effettuare l’autenticazione. Non sarà necessario digitare la password o il PIN.
Figura 11: Inserendo la Yubikey a PC bloccato sarà possibile effettuare lo sblocco e l'accesso
Utilizzo della Yubikey nei sistemi operativi Windows 10 Pro e Windows 10 Enterprise
Se utilizzate Windows 10 Pro oppure Enterprise sarà necessario modificare una policy per utilizzare la Yubikey. Aprite la Local Group Policy e da Computer Configuration > Administrative Templates > Windows Components > Microsoft Secondary Authentication Factor mettete su Enabled la voce Allow Companion Device For Secondary Authentication, come mostrato in figura 12:
Figura 12: Abilitazione della policy locale in Window s10 Pro ed Enterprise per permettere l'utilizzo della Yubikey
L’applicazione YubiKey for Windows Hello è anche disponibile nel Microsoft Store for Business e in Microsoft Intune e può essere utilizzata facilmente anche in ambiente enterprise.
Se volete utilizzare la Yubikey per loggarvi a Windows (o a Mac) , la Yubico mette a disposizione anche applicazioni specifiche https://www.yubico.com/products/services-software/download/computer-logon-tools/
Link utili
Per approfondimenti e per un eventuale troubleshooting vi rimando al link https://support.yubico.com/support/solutions/articles/15000006472-using-your-yubikey-4-or-neo-with-the-windows-hello-app
Conclusioni
La Yubikey per Windows Hello è decisamente un’opzione interessante per agevolare gli utenti e per permettere di sbloccare facilmente la propria postazione. Stiamo andando sempre di più verso soluzioni passwordless, che permetteranno di innalzare il livello di sicurezza di accesso alle applicazioni e ai sistemi operativi.
Vi ricordo inoltre che la Yubikey è utilizzabile anche come secondo fattore di autenticazione (multi-factor authentication MFA) per tantissimi servizi, tra cui Gmail, Facebook, Dropbox, Twitter, Joomla!, Wordpress, LastPass, Keepass e moltissimi altri! Trovate il catalogo completo alla pagina https://www.yubico.com/works-with-yubikey/catalog/
Nic