问题:是否可以在与 Microsoft 无密码帐户绑定的 Windows 11 登录上绕过 Windows Hello(Pin)?为什么?想要强制使用硬件安全密钥进行身份验证。
- 我在 Windows 11 配置文件中有一个无密码 Microsoft 帐户
- 想要绕过 Windows Hello(PIN)并使用硬件安全密钥进行身份验证
- https://www.yubico.com/products/computer-login-tools/
- 据 Yubico 称...“YubiKey 不能与您的计算机上的 Microsoft 帐户一起使用”。
答案1
正如你已经注意到的,
Yubico Login for Windows 不支持以下任何功能:
- Active Directory (AD) 管理帐户
- Azure Active Directory (AAD) 管理帐户
Microsoft Accounts (MSA)
您将需要使用本地帐户。
答案2
(该帖子已经几个月没有更新了,但我在谷歌搜索相关问题时发现过不止一次,所以这里有一个解决方案。希望它能对某人有所帮助。)
如果您的计算机已加入 AzureAD(可能也适用于混合加入,但我只在加入 AzureAD 的计算机上尝试过),则您不需要 Yubico Login for Windows 来获得 MS 无密码帐户。
我已在 Windows 11 计算机和 Windows 10 VM 上执行此操作(VirtualBox 允许 SecurityKey 直通,Hyper-V 不允许)。
在 Azure AD 中启用 FIDO 密钥的 MS 说明:
- https://learn.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key
- 确保您选择“所有用户”,或者您的账户包含在其中一个允许的组中
有关将安全密钥添加到您的 MS 帐户的 MS 说明:
- https://support.microsoft.com/en-us/account-billing/set-up-a-security-key-as-your-verification-method-2911cacd-efa5-4593-ae22-e09ae14c6698
- 虽然没有说明,但此步骤会将您的 AzureAD/MS 凭据添加到您的密钥中
完成这些步骤后,重新启动系统以应用 AzureAD 更改。(根据我有限的经验,您可能需要等待 10-15 分钟才能应用更改。)
这一步可能是必要的,也可能不是,但我从来没有尝试过没有这一步:
- 重启后,进入开始>设置>帐户>登录选项>安全密钥,点击[管理]。
- 系统会要求您插入密钥并输入 PIN。关闭加载的窗口(从此界面重置密钥或 PIN 可能会删除密钥中的凭据)。
--
注销以进行测试。您应该会收到标准的密码/PIN 提示,但插入密钥(和/或选择更多选项并选择 USB 图标作为安全密钥)时,它会要求您输入 PIN。第一次执行此操作后,默认登录方法将是安全密钥。
我发现需要 Windows 密钥的唯一方法是:
https://swjm.blog/three-ways-of-enforcing-security-key-sign-in-on-windows-10-windows-11-4f0f27227372
它说3 种方法,但实际上只是用 3 种不同的方式做同一件事 - 禁用除安全密钥和智能卡之外的所有 Windows 凭据提供程序。
重要注意事项:
- 虽然您可以将多个用户帐户添加到一个密钥,但 Windows 登录只会识别添加到该密钥的最后一个凭据。
- 如果您禁用除安全密钥和智能卡之外的所有凭据提供程序,请确保在丢失密钥时有办法重新启用它们。我的机器由 Intune 管理,因此我可以推送 PowerShell 脚本来重新启用其他提供程序,但我不知道如果密钥丢失,没有 MDM 您会怎么做。
- 如果您禁用除安全密钥和智能卡之外的所有凭据提供程序,则以标准用户身份登录时将无法使用以管理员身份运行。我尝试使用 StandardKey 登录,然后尝试使用 AdminKey 提供管理员凭据,但 Windows 无法识别新密钥具有不同的凭据。(我仅在 Windows 10 Pro 中尝试过此操作 - Windows 11 可能能够识别新的凭据。)
答案3
底线:可以绕过 Windows Hello PIN 并强制使用与 Windows 配置文件上的 Microsoft 帐户关联的任何硬件安全密钥。无需软件或特殊配置。
最重要的部分是:
- 将 HW 安全密钥链接到 MS 无密码账户
- 使用此账户登录
- 手动移除 Win hello 密码并重启电脑
- 然后系统会提示你输入硬件密钥
- Windows 将要求您必须重置 hello 密码
- 只需忽略此问题,无需使用 hello pin 即可完成登录
- 无需软件、特殊配置、凭证管理更改等
- 虽然不是一个完美的解决方案,但通过强制使用硬件密钥并消除可能破解登录密码的潜在漏洞,它可以完美地工作
注意事项:
- 必须删除 Windows 密码
- 每次后续登录时点击“设置我的密码”
- 然后点击“使用安全密钥登录”,然后
- 最后点击“取消”
这将强制使用与您的 Microsoft 帐户绑定的任何硬件安全密钥。