HOWTO: 使用安全密钥实现无密码登录 Windows
gOxiA 于20年9月份入手了一款安全密钥产品,是 Yubico 公司出品的 Yubikey 5 NFC,兼容 Windows、Android 和 iOS。之后为了方便在一些 Type-C 接口的设备上使用,还买了一个绿联的 AtoC 的转接头,如下图所示:
购买安全密钥的主要目的是体验无密码登录 Windows,在当时的 Windows 10 系统版本上是可以直接在 “账户 - 登录选项”下配置安全密钥登录的,但目前来看 Windows 设置下也仅提供了安全密钥 PIN和重置两个选项,那就只能通过 https://myprofile.microsoft.com/ (M365)或 https://account.microsoft.com(MSA)来为账号添加安全密钥,这意味着支持 MSA 和 M365 账号类型。
在开始为账号配置前我们需要对安全密钥做一些准备工作,首先是重置安全密钥,为此我们 Win+i 打开 Windows 设置,找到“账户 - 登录选项 - 安全密钥”,点击“管理按钮”,向导会提示插入安全密钥,并触摸安全密钥(即触摸一下安全密钥上的圆形金属,具体参考前面的照片)。
之后会看到两个配置选项:“安全密钥 PIN”,以及“重置安全密钥”。这里我们先选择后者,继续。
提示“重置安全密钥”确认时,点击“继续”。
向导会要求重新插入安全密钥,重新插入安全密钥后,向导会要求在10秒内来纳许触摸两次安全密钥,完成后即可看到重置成功的提示。
完成安全密钥重置后,就可以为其添加一个 PIN,只有在使用时输入正确的 PIN 才能调用安全密钥中的账户验证信息,为此我们重新进入安全密钥管理,选择更改安全密钥 PIN,这里可以输入一个简单的数字形式的密码,不要与常用密码相同哦!
现在我们就完成了安全密钥的准备工作,对于 M365 用户接下来访问“https://myprofile.microsoft.com”来添加安全密钥验证登录;如果你是 MSA 账号则访问 “https://account.microsoft.com/security” 的高级安全选项来添加,如下图所示:
本例则基于 M365 账号进行配置,具体步骤如下:
在“安全信息”页面点击“添加方法”,选择“安全密钥”,由于设置安全密钥需要做双因素验证,接下来向导会指引我们通过手机或验证器执行账号的验证。
安全密钥类型这里选择“USB 设备”,然后跟随向导继续,为此安全密钥验证输入一个备注名以便于识别,在执行安全密钥 PIN 的验证后向导便会将当前账户的验证信息写入到安全密钥,配置过程结束,具体步骤可参考下图:
现在我们可以在 Windows 登录时使用安全密钥进行验证了,此外我们还可以在使用 Outlook 等 M365 在线服务时通过安全密钥进行验证。
如果你在登录 Windows 时没有看到安全密钥的登录选项,可以修改 GPO 已启用这个策略,此配置位于“计算配置 - 管理模板 - 系统 -登录”下,“启用安全密钥登录”。不过通常企业 IT 管理员会统一部署无密码登录,以后有时间 gOxiA 再与大家分享。