Як зареєструвати запасний ключ

В Yubico завжди рекомендують мати більше одного YubiKey. Таким чином, один ключ можна використовувати як первинний, а інший – як запасний. Зверніть увагу, що з міркувань безпеки мікропрограма наших продуктів не дозволяє читати збережені секрети, тобто неможливо «клонувати» або «дублювати» YubiKey. Загалом, процес створення резервної копії передбачає ручну реєстрацію запасного ключа в усіх службах, у яких зареєстровано перший. Є кілька способів зареєструвати запасний ключ/резервну копію, і процес залежить від того, чи підтримує служба протоколи безпеки Yubico OTP і FIDO або протокол OATH-TOTP.   

Щоб дізнатися, які протоколи безпеки підтримують служби, якими ви користуєтеся, перегляньте наш каталог «Працює з YubiKey» . 

Для будь-яких служб, які використовують протоколи безпеки Yubico OTP або FIDO , вам потрібно просто зареєструвати другий ключ так само, як ви зареєстрували перший. Тож ви можете дотримуватися тих самих інструкцій із налаштування, які наведено в нашому каталозі Works with YubiKey. 

Важливо зазначити, що ключі жодним чином не пов’язані між собою. Натомість обидва ключі потрібно зареєструвати окремо в обліковому записі, і тоді кожен з них можна використовувати для автентифікації. 

Якщо служба використовує протокол OATH-TOTP , тобто ви використовуєте програму Yubico Authenticator для генерації кодів для входу, тоді процес дещо відрізняється. 

При реєстрації свого першого YubiKey вам буде надано секрет від сервісу у вигляді QR-коду: 

• Збережіть цей QR-код! Це буде важливо для створення запасного ключа для цього конкретного облікового запису в майбутньому.  Рекомендуємо сфотографувати QR-код і зберегти його в безпечному місці.
• Потім ви відскануєте QR-код за допомогою програми Yubico Authenticator, а потім відскануєте свій YubiKey, щоб зв’язати їх.
• Далі, щоб створити запасний ключ для цього облікового запису, вам потрібно буде відсканувати той самий QR-код, згенерований під час початкової реєстрації, а потім відсканувати свій запасний ключ YubiKey. Тепер будь-який ключ можна використовувати для автентифікації.

Зауважте, що якщо ви не зберегли QR-код, створений уперше, і хочете створити запасний ключ для цього конкретного облікового запису, вам потрібно буде видалити свій первинний ключ з облікового запису та перезапустити процес реєстрації знову. Цього разу обов’язково збережіть згенерований QR-код! У цій статті описано, як використовувати YubiKey із кодами автентифікатора, і вона може бути корисною.   

Для служб, які використовують Challenge-Response, або якщо ви використовуєте функцію статичного пароля YubiKey, процес резервного копіювання подібний до OATH-TOTP, оскільки ви програмуєте ті самі облікові дані у свої резервні ключі YubiKey. Для більшості конфігурацій ви повинні мати можливість використовувати меню Програми > OTP у YubiKey Manager, щоб зробити це.

Зауважте, що для Challenge-Response вам потрібно буде мати резервну копію секрету, який було запрограмовано у вашому основному YubiKey, щоб запрограмувати ті самі облікові дані в інших YubiKey. Якщо у вас його немає, вам потрібно буде повторно налаштувати свій основний YubiKey за допомогою служби (служб), з якою ви використовуєте Challenge-Response, обов’язково зберігши копію секретного ключа під час цього процесу.

Для статичних паролів вам, імовірно, не знадобиться резервна копія оригінальних облікових даних, але ви зможете використовувати вихідні дані YubiKey (статичний пароль, який він «набирає»), щоб запрограмувати ваш резервний ключ(і). Однак, якщо ви запрограмували статичний пароль, який містить більше 38 символів, використовуючи меню «Статичний пароль» > «Додатково» в інструменті персоналізації YubiKey , вам знадобиться копія параметрів облікових даних статичного пароля (публічний ідентифікатор, закритий ідентифікатор і секретний ключ). щоб запрограмувати його на інший ключ (вам також знадобиться скористатися інструментом персоналізації). Подібно до Challenge-Response, якщо у вас немає цих параметрів, вам потрібно буде повторно налаштувати свій основний YubiKey і служби, з якими ви використовуєте його статичний пароль, зберігаючи копію нових параметрів, якщо ваш новий статичний пароль також перевищує 38 символів і був запрограмовано за допомогою меню Статичний пароль > Додатково .