概要
YubiKeyは、USBポートに差し込んで認証を行えるハードウェアセキュリティキーです。
Windows10 Pro 64bit へログインする際、ユーザ名+パスワードに加えて、アカウントに関連付けたYubiKey Edgeが挿入されていなければログイン成功しないようにします。
2015/10/03時点でサポートOSにWindows10 Proは含まれていませんが、試してみたところとりあえず機能しました。
FIDO U2Fのみ対応のYubiKey Security Keyでは機能しません。
詳細は公式ドキュメントを参照してください。
https://www.yubico.com/applications/computer-login/windows/windows-login/
また、YubiKeyを紛失・破壊したり、設定を間違えたりするとWindowsにログインできなくなる可能性があります。
当方は責任を負えませんので自己責任でお願いします。
YubiKey Edge の設定
YubiKey パーソナライゼーションツールを利用してWindowsログインで使用するHMAC-SHA1を設定する必要があります。
https://www.yubico.com/support/downloads/ から YubiKey Personalization Tools (with graphic interface) をダウンロードしてインストールします。
YubiKey Personalization Tools を起動します。
YubiKeyが挿入されている場合、ウィンドウ右でファームウェアバージョンやシリアルナンバーを確認することができます。
Challenge-Response から HMAC-SHA1 を押します。
Generate を押して Secret Key を生成し、Configuration Slot を選んで、Write Configration で書き込みます。
Slotは、このYubiKeyではSlot 1のみ使用中(Programming status: Slot 1 configured)だったので、Slot 2 を選択しました。
Results に「YubiKey has been successfully configured」が表示されていれば成功です。
2段階認証にするWindows10での設定
公式サイトの「HOW TO ENABLE YUBIKEY WINDOWS LOGIN」の下にあるYubiKey Logon installation file(yubico-windows-auth.exe)をダウンロードしてインストールします。
https://www.yubico.com/applications/computer-login/windows/windows-login/
YubiKey Logon Administration を実行します。
YubiKey Logonを有効にするか聞かれるので、はいを押します。
OK を押します。
この段階ではまだリブートしない方が無難でしょう。
YubiKey Logon Administration のメイン画面が表示されます。
Select user to configure で、YubiKey を関連付けるユーザを選択し、Configureを押します。
「Successfully configured YubiKey Logon」が表示されれば成功です。
Press to test configuration の Test を押ます。
「Correct response!」が表示されれば成功です。
最後にYubiKey Logon が有効になっているか確認しておきましょう。
YubiKey Logon enabled(ボタンの文言がDisableになっている状態)になっていれば有効になっています。
Windows10でYubiKey を使ってログインする
Windows10 を再起動します。
画面左下に、今まで使っていたユーザ名と「パスワード」が表示されるようになりました。
ユーザ名の方からログインしようとすると、パスワードだけではログインできません。
エラーメッセージがまともにでていないですが、正式対応の際には修正されるかもしれません。
「パスワード」と押してみます。
すると画面中央に「YubiKey Logon enabled for user.」が表示されます。
YubiKeyを挿入してある状態でパスワードを入力するとログインできるはずです。
YubiKeyが挿入されていない場合、パスワードが合っていてもログインすることはできません。
