Come utilizzare una YubiKey per accedere a Windows e macOS

Posted by By Francesco D'Accico 12 Min per Leggere 1 Maggio 2024
Computer Spy

Come usare la chiavetta YubiKey per aumentare la sicurezza dell’accesso al tuo computer macOS o Windows

Che tu abbia coinquilini fastidiosi o desideri semplicemente aggiungere un ulteriore livello di sicurezza, aggiungere un requisito YubiKey per accedere al tuo PC o laptop di casa può essere un ottimo modo per migliorare la tua sicurezza.

Ciò richiederà che la tua chiavetta YubiKey dovrà essere collegata ogni volta che accedi al tuo computer. Ciò è particolarmente utile se utilizzi una YubiKey anche per il tuo gestore di password o per i tuoi account online, poiché probabilmente la collegherai sempre per accedere.

Se stai cercando maggiore sicurezza o semplicemente pensi che avere un token hardware per accedere ai tuoi dispositivi, in questo articolo andremo a vedere come configurare l’accesso YubiKey su macOS e anche su Windows.

Le YubiKey hanno sono molto sicure, anche in un’epoca in cui le passkey stanno guadagnando terreno, ci sono ancora molti ottimi utilizzi per i token hardware. Soprattutto su Windows, avere un token USB per forzare l’accesso è un grande vantaggio.

Usare una YubiKey su macOS ha i suoi svantaggi, ma offre comunque sicurezza fisica e comfort su una piattaforma nota per essere altamente sicura. Fai solo attenzione a salvare i tuoi token di backup in ogni caso, altrimenti potresti non accedere più al tuo dispositivo.

Come utilizzare la tua YubiKey per accedere a Windows

Windows supporta l’accesso con YubiKey, ma anche in questo caso ci sono alcune cose da sapere e avvertenze di cui essere consapevoli. Sono supportate solo alcune YubiKey (nessun supporto biometrico qui) e potrai autenticarti solo con un account Windows locale.

Ci sono alcuni pro e contro nel collegare il tuo account Microsoft all’installazione di Windows e Microsoft ha sicuramente spinto gli utenti ad adottare account online negli ultimi anni. L’aggiunta della tua YubiKey non disabiliterà la possibilità di accedere semplicemente con altre misure biometriche, come Windows Hello.

Se hai già un account online, è relativamente semplice riconvertirlo in un account locale. Tuttavia, potresti perdere l’accesso ad alcune funzionalità. Se sul PC sono presenti altri account collegati ad account Microsoft, questi non dovrebbero essere interessati.

Prerequisiti

Avrai bisogno di questi preparati prima di iniziare il processo sul tuo PC:

  • Un PC Windows 10/11: Windows 7 potrebbe essere supportato, ma la documentazione non lo chiarisce
  • Una YubiKey compatibile (puoi verificare la compatibilità qui)
  • Un account amministratore sul tuo computer
  • Sui PC Windows ARM la chiavetta YubiKey non funziona
  • Avere un account Amministratore Locale

Configura l’accesso a Windows tramite YubiKey

Segui questi passaggi per stabilire l’accesso con la tua YubiKey:

  1. Verifica di non aver effettuato l’accesso con un account Microsoft.Screenshot di un riquadro delle impostazioni di Microsoft
  2. Prendi nota del tuo nome utente. È possibile modificare parzialmente il nome utente su Windows, quindi è importante prenderne nota correttamente. Aprire un prompt dei comandi premendo WIN+R e poi digita CMD e digita il comando whoami.
  3. La risposta che riceverai sarà nel formato DESKTOP-ABCDE\nomeutente. Il tuo nome utente è la prima parte.Screenshot dell'output whoami da Windows.
  4. Scarica e installa il programma di installazione di Yubico dal sito Web di Yubico. Molto probabilmente avrai bisogno della versione a 64 bit. Esegui il programma di installazione e mantieni le impostazioni predefinite.Screenshot della pagina di download del programma di installazione di Yubico.
  5. Una volta configurato, ti verrà richiesto di riavviare il computer. Assicurati di aver annotato il nome utente e la password del tuo account locale, quindi riavvia il computer.
  1. Una schermata di accesso ti chiederà di effettuare l’accesso a Yubico: accedi normalmente con il tuo nome utente e password.Accesso a Windows con Yubikey.
  2. Una volta effettuato l’accesso, aprire il menu Start e individuare Configurazione accesso.Configurazione del login
  3. Dovresti vedere questo menu di configurazione. Seleziona Configurazione avanzata.Screenshot della finestra di configurazione di Yubikey
  4. Nella schermata successiva, deseleziona Crea dispositivo di backup per ogni utente. Se hai più YubiKey, puoi comunque lasciarlo selezionato. In tal caso, ti verrà chiesto di eseguire il flashing di una YubiKey, quindi rimuoverla e flashare la seconda.Screenshot della finestra di configurazione del login Yubikey.
  5. Ti verrà chiesto di selezionare per quali utenti fornire la tua YubiKey. Ciò è utile se disponi di più account (ad esempio come amministratore di sistema per una macchina condivisa) e desideri fornire più chiavi contemporaneamente e seleziona solo il tuo nome utente.Screenshot della selezione dell'account utente nella finestra di configurazione di Yubikey.
  1. Ti verrà chiesto di inserire la tua YubiKey.Screenshot di una schermata Inserisci il tuo Yubikey.
  2. Una volta inserita e riconosciuta, vedrai una schermata di conferma con i dettagli sulla chiave. Premi continua.Programmazione Yubikey
  3. La tua YubiKey verrà flashata e poi ti verrà chiesto di rimuovere il dispositivo.yubico-lampeggiante
  4. Ti verrà fornito il codice di ripristino. È molto importante conservare queste informazioni in un posto sicuro a cui sarà possibile accedere senza dover accedere al PC. Una volta chiusa questa finestra, non potrai accedere nuovamente al codice di ripristino.Codice di ripristino Yubikey
  5. Dopo aver salvato la chiave, premi Avanti seguito da Fine.

Una volta terminato, premi WIN+L per bloccare il PC. Ti verrà presentata la stessa schermata di accesso che hai incontrato in precedenza. Dovrai inserire nome utente e password, ma questa volta ti verrà richiesto anche di inserire la tua YubiKey.

Se perdi la tua YubiKey, puoi utilizzare il codice di ripristino e l’opzione “Hai perso la tua YubiKey” nella schermata principale per recuperare il tuo account. Devi aver conservato la chiave generata in precedenza per riavere accesso al tuo computer.

Rimuovere l’accesso YubiKey da Windows

Questo è scarsamente documentato da Yubico. Per rimuovere una YubiKey dal tuo account, segui questi passaggi:

  1. Accedi a un account amministratore. Tieni presente che la rimozione dell’accesso YubiKey rimuoverà i requisiti per tutti gli utenti configurati.
  2. Disinstalla Yubico Login utilizzando la funzionalità di aggiunta/rimozione del programma integrata di Windows. Ti verrà chiesto di confermare, è necessario un riavvio dopo la disinstallazione del software, quindi puoi scegliere se riavviare adesso o più tardi.
  3. Premi Ok nella prima finestra di dialogo, quindi No nella seconda, indicando che prevedi di riavviare manualmente il computer in un secondo momento.Rimuovi-Yubico
  4. Una volta disinstallato, apri l’editor del registro aprendo il menu Start e cercando regedit.Menu di avvio di Regedit
  5. Nell’editor del registro, vai a HKEY_LOCAL_MACHINE\SOFTWARE\Yubico ed elimina l’intera chiave Yubico.Yubico-regedit
  6. Riavvia il tuo computer.

Una volta riavviato il PC e tornato alla schermata di accesso, dovresti vedere le normali opzioni di accesso di Windows.

Come utilizzare la tua YubiKey per accedere a macOS

macOS supporta anche l’accesso con YubiKey tramite il supporto per smart card PIV, ma presenta alcuni avvertimenti. Configurare una YubiKey PIV è relativamente semplice, ma sconsigliamo di utilizzarla per l’autenticazione esclusiva.

Probabilmente dovrai mantenere una password impostata, che potresti impostare una password lunga per usare in modo efficace come chiave di ripristino. Avrai la possibilità sulla schermata di accesso del tuo MAC di inserire la password o il PIN. Se hai abilitato il touchID, avrai anche questa opzione.

Accesso esclusivo

L’impostazione dell’autenticazione esclusiva su macOS per Apple Silicon richiede l’uso di smart card per sbloccare FileVault (crittografia del disco). Allo spegnimento, il disco del tuo Mac viene protetto con l’ultima smart card accessibile, il che significa che solo questa smart card potrà successivamente sbloccare il disco. Ciò significa che se perdessi la tua YubiKey con il Mac bloccato, sarebbe impossibile sbloccare il disco. Per questo motivo ti consigliamo di evitare l’accesso esclusivo tramite la tua YubiKey.

Configura l’accesso a macOS YubiKey

Per configurare l’autenticazione YubiKey sul tuo computer macOS, avrai bisogno di quanto segue:

  • Una smart card che supporta YubiKey controlla che sia supportata cliccando qui
  • Accesso amministratore su un computer macOS che esegue High Sierra o versioni successive
  • YubiKey Manager già installato sul tuo Mac

Segui questi passaggi per configurare l’autorizzazione YubiKey di base per il tuo computer macOS:

  1. Apri YubiKey Manager con la tua YubiKey inserita.Screenshot della pagina di destinazione del manager Yubikey.
  2. Apri Applicazioni e seleziona PIV.Yubikey-manager-2
  3. Seleziona Configura PIN.Yubikey-manager-3
  4. Seleziona Cambia PIN.Yubikey-manager-4
  5. Se hai precedentemente impostato un PIN PIV sulla tua YubiKey, inseriscilo qui. In caso contrario, seleziona Usa predefinito accanto alla casella del pin corrente e inserisci un nuovo pin a tua scelta.Yubikey-manager-5
  1. Una volta impostato il PIN, torna su Applicazioni -> PIV.
  2. Premi Configurazione per macOS nell’angolo in alto a destra della finestra.Screenshot del pulsante Configurazione per MacOS evidenziato nel gestore Yubikey.
  3. Quando viene richiesta la chiave di gestione, premere Usa predefinito.Yubikey-manager-6
  4. Quando ti viene richiesto il PIN, inserisci il PIN impostato al passaggio 5.Yubikey-manager-7
  5. Ti verrà quindi chiesto di rimuovere e reinserire la tua YubiKey. Una volta inserita la tua YubiKey, vedrai una notifica per l’abbinamento della SmartCard. Passa il mouse sopra questa notifica e seleziona Associa.Yubikey-manager-7
  6. Inserisci la password dell’amministratore quando richiesto.Yubikey-manager-8
  7. Quando richiesto, inserisci il PIN impostato al passaggio 5.Yubikey-manager-9
  8. Inserisci la password del portachiavi quando richiesto.Yubikey-manager-10
  9. La tua YubiKey ora dovrebbe essere configurata come smart card per macOS. Blocca lo schermo con CMD + CTRL + Q. Dovresti vedere un’opzione per inserire il PIN accanto al tuo normale TouchID.

Noterai che se rimuovi la tua YubiKey, il tuo Mac ripristina l’autenticazione della password predefinita. Ti consigliamo di trattare la normale password del tuo account come una chiave di ripristino: imposta una stringa casuale molto lunga e conservala in un posto sicuro con altre chiavi di ripristino. Ciò offre lo stesso processo di accesso fisico, fornendo allo stesso tempo un backup in caso di smarrimento della YubiKey. Ancora una volta, tieni presente che l’autenticazione Touch ID non è disabilitata dai requisiti della smart card, quindi funzionerà normalmente per sbloccare il tuo MacBook.

Rimuovi l’autenticazione YubiKey da macOS

Per disabilitare l’autenticazione YubiKey sul tuo MAC, dovrai rimuovere il requisito della smart card per il tuo utente. Per fare ciò, apri il terminale macOS ed esegui quanto segue, sostituendo <nome utente> con il tuo nome utente.

sc_auth unpair -u <nome utente>

Puoi quindi bloccare nuovamente il tuo MAC con CTRL+CMD+Q e dovresti vedere l’autenticazione tramite password (e facoltativamente Touch ID) come unico metodo di autenticazione disponibile. Non avrai più il metodo YubiKey impostato.

Un’altra opzione sarebbe quella di eliminare i tuoi certificati PIV dalla tua stessa YubiKey. Puoi farlo con il gestore YubiKey, sotto Applicazioni -> PIV -> Certificati, quindi premendo Elimina certificati nella scheda Autenticazione.

FONTE

Tags:
Francesco D'Accico
Visualizza altri post
Sono appassionato di tecnologia sin dalla tenera età, coltivo la mia passione con aggiornamenti quotidiani e non mi lascio scappare proprio nulla. Ho creato HowTechIsMade per condividere con voi le mie passioni ed aiutarvi ad avere un approccio più semplice con la tecnologia.