通过 Windows Hello 帐户强制使用硬件安全密钥

通过 Windows Hello 帐户强制使用硬件安全密钥

问题:是否可以在与 Microsoft 无密码帐户绑定的 Windows 11 登录上绕过 Windows Hello(Pin)?为什么?想要强制使用硬件安全密钥进行身份验证。

  • 我在 Windows 11 配置文件中有一个无密码 Microsoft 帐户
  • 想要绕过 Windows Hello(PIN)并使用硬件安全密钥进行身份验证
  • https://www.yubico.com/products/computer-login-tools/
  • 据 Yubico 称...“YubiKey 不能与您的计算机上的 Microsoft 帐户一起使用”。

答案1

正如你已经注意到的,

Yubico Login for Windows 不支持以下任何功能:

  • Active Directory (AD) 管理帐户
  • Azure Active Directory (AAD) 管理帐户
  • Microsoft Accounts (MSA)

您将需要使用本地帐户。

来源:Yubico 登录 Windows 配置指南

答案2

(该帖子已经几个月没有更新了,但我在谷歌搜索相关问题时发现过不止一次,所以这里有一个解决方案。希望它能对某人有所帮助。)

如果您的计算机已加入 AzureAD(可能也适用于混合加入,但我只在加入 AzureAD 的计算机上尝试过),则您不需要 Yubico Login for Windows 来获得 MS 无密码帐户。

我已在 Windows 11 计算机和 Windows 10 VM 上执行此操作(VirtualBox 允许 SecurityKey 直通,Hyper-V 不允许)。

在 Azure AD 中启用 FIDO 密钥的 MS 说明:

有关将安全密钥添加到您的 MS 帐户的 MS 说明:

完成这些步骤后,重新启动系统以应用 AzureAD 更改。(根据我有限的经验,您可能需要等待 10-15 分钟才能应用更改。)

这一步可能是必要的,也可能不是,但我从来没有尝试过没有这一步:

  • 重启后,进入开始>设置>帐户>登录选项>安全密钥,点击[管理]。
  • 系统会要求您插入密钥并输入 PIN。关闭加载的窗口(从此界面重置密钥或 PIN 可能会删除密钥中的凭据)。

--

注销以进行测试。您应该会收到标准的密码/PIN 提示,但插入密钥(和/或选择更多选项并选择 USB 图标作为安全密钥)时,它会要求您输入 PIN。第一次执行此操作后,默认登录方法将是安全密钥。

我发现需要 Windows 密钥的唯一方法是:
https://swjm.blog/three-ways-of-enforcing-security-key-sign-in-on-windows-10-windows-11-4f0f27227372
3 种方法,但实际上只是用 3 种不同的方式做同一件事 - 禁用除安全密钥和智能卡之外的所有 Windows 凭据提供程序。

重要注意事项:

  • 虽然您可以将多个用户帐户添加到一个密钥,但 Windows 登录只会识别添加到该密钥的最后一个凭据。
  • 如果您禁用除安全密钥和智能卡之外的所有凭据提供程序,请确保在丢失密钥时有办法重新启用它们。我的机器由 Intune 管理,因此我可以推送 PowerShell 脚本来重新启用其他提供程序,但我不知道如果密钥丢失,没有 MDM 您会怎么做。
  • 如果您禁用除安全密钥和智能卡之外的所有凭据提供程序,则以标准用户身份登录时将无法使用以管理员身份运行。我尝试使用 StandardKey 登录,然后尝试使用 AdminKey 提供管理员凭据,但 Windows 无法识别新密钥具有不同的凭据。(我仅在 Windows 10 Pro 中尝试过此操作 - Windows 11 可能能够识别新的凭据。

答案3

底线:可以绕过 Windows Hello PIN 并强制使用与 Windows 配置文件上的 Microsoft 帐户关联的任何硬件安全密钥。无需软件或特殊配置。

最重要的部分是:

  1. 将 HW 安全密钥链接到 MS 无密码账户
  2. 使用此账户登录
  3. 手动移除 Win hello 密码并重启电脑
  4. 然后系统会提示你输入硬件密钥
  5. Windows 将要求您必须重置 hello 密码
  6. 只需忽略此问题,无需使用 hello pin 即可完成登录
  7. 无需软件、特殊配置、凭证管理更改等
  8. 虽然不是一个完美的解决方案,但通过强制使用硬件密钥并消除可能破解登录密码的潜在漏洞,它可以完美地工作

注意事项:

  • 必须删除 Windows 密码
  • 每次后续登录时点击“设置我的密码”
  • 然后点击“使用安全密钥登录”,然后
  • 最后点击“取消”

这将强制使用与您的 Microsoft 帐户绑定的任何硬件安全密钥。

以供参考

相关内容