Вхід у macOS з YubiKey + ВІДЕО

Зміст

• Вступ
• PIN
• PUK
• Management key
• Слоти для сертифікатів
• Термін дії сертифіката
• Вимоги
• Персоналізація програми YubiKey PIV
  • Setting a new PIN
  • Setting a new PUK
  • Setting a new Management Key
• Підготовка вашого YubiKey для входу в обліковий запис macOS
• Підключення YubiKey до облікового запису macOS

---

Вступ

У 2016 році Apple додала нативну підтримку входу в macOS за допомогою PIV smart cards, починаючи з macOS Sierra (10.12).
PIV smart cards з’явилися близько 2000 року, коли уряд США прийняв Common Access Card (CAC) — ідентифікаційне посвідчення з цифровою ідентичністю, збереженою на смарткартці.

Хоча PIV smart cards зазвичай мають форм-фактор пластикової картки та потребують зчитувача, YubiKey реалізує специфікацію PIV через внутрішній модуль PIV (PIV application) у прошивці пристрою, і може підключатися напряму до USB-порту без потреби у картрідері.

Ця стаття пояснює, як налаштувати PIV application у YubiKey для безпечного входу у macOS.
Якщо хочеш детальніше зрозуміти функції та налаштування PIV, переглянь повну документацію.
Нижче подано базову інформацію.

---

PIN

За замовчуванням у кожній PIV application встановлено PIN 123456.
Його можна змінити у macOS, Windows, через Yubico Authenticator, YubiKey Manager (CLI) або інші інструменти для PIV.

• PIN може містити 6–8 символів (букви та цифри).
• macOS підтримує лише числові PIN-и. Якщо PIN містить інші символи — він не працюватиме для входу в обліковий запис macOS.
• Цей PIN дуже важливий — його потрібно запам’ятати, оскільки він вводиться кожного разу при вході.
• PIN перевіряється безпосередньо на YubiKey і однаковий для будь-якого пристрою, куди його підключено.

---

PUK

За замовчуванням PUK = 12345678.
PUK може містити 6–8 символів. Його також потрібно змінити після першого налаштування.

Якщо ввести неправильний PIN тричі підряд, PIV application буде заблоковано.
Щоб розблокувати — потрібно ввести PUK.
Тому рекомендується задати випадковий унікальний PUK і зберегти його у безпечному місці.

Якщо втратити PUK і PIN буде заблоковано — єдиний спосіб відновити роботу PIV — це повне скидання PIV application, що видалить усі сертифікати і відновить PIN, PUK та Management key до стандартних значень.

---

Management key

За замовчуванням встановлено Management key:
010203040506070801020304050607080102030405060708

Management key використовується для виконання адміністративних дій у PIV application, таких як генерація ключів чи імпорт сертифікатів.
Цей ключ значно складніший за PIN і PUK, оскільки у корпоративних сценаріях його застосовують адміністратори для розгортання сертифікатів користувачам.

Для приватного користувача Yubico дозволяє зашифрувати Management key за допомогою PIN, щоб під час виконання адміністративних дій потрібно було вводити лише PIN (опція “Protect with PIN”).

---

Слоти для сертифікатів

YubiKey має 25 certificate slots у PIV application.
Для налаштування входу у macOS важливі лише два:

• 9a (authentication): використовується для автентифікації користувача — тобто для входу в обліковий запис. Сертифікат може бути самопідписаний через Yubico Authenticator.
• 9d (key management): використовується для шифрування. macOS вимагає окремий сертифікат для шифрування ключа зв’язки (keychain). Без нього з’являтимуться повторні запити на пароль keychain.

---

Термін дії сертифіката

При створенні самопідписаних сертифікатів можна задати будь-яку дату закінчення дії.
macOS не перевіряє термін дії чи відкликання сертифіката — лише відповідність приватного ключа.

Тому навіть після завершення терміну дії сертифікат продовжить працювати для входу.

За замовчуванням у Yubico Authenticator термін дії — 1 рік, але його можна продовжити.

---

Вимоги

• macOS 13 Ventura або новіша (підтримувана Apple)
• Адміністративний обліковий запис
• Yubico Authenticator

---

Персоналізація програми YubiKey PIV

Типові налаштування за замовчуванням:

• PIN: 123456
• PUK: 12345678
• Management key: 010203040506070801020304050607080102030405060708

Якщо ти забув PIN і хочеш скинути модуль PIV — скористайся офіційною інструкцією.
PIN для PIV та FIDO незалежні (їх можна зробити однаковими для зручності).

---

Встановлення нового PIN-коду

1. Відкрий Yubico Authenticator → Certificates
2. Натисни Change PIN
3. Введи дані:
   • Current PIN: якщо PIN не змінювався, програма підставить 123456 автоматично
   • New PIN: 6–8 цифр (без літер та символів)
   • Confirm PIN: повтори новий PIN
4. Натисни Save

Поточний PIN-код: якщо PIN-код за замовчуванням не змінювався, програма має заповнити PIN-код за замовчуванням.

Новий PIN-код: використовуйте 6-8-значне число для нового PIN-коду та запишіть його для подальшого використання. Не використовуйте літери чи інші символи у своєму PIN-коді під час налаштування входу в macOS. macOS не приймає нецифрові символи.

Підтвердити PIN-код: підтвердіть PIN-код, введений у попередньому полі.

---

Встановлення нового PUK-коду

1. Відкрий Yubico Authenticator → Certificates
2. Натисни Change PUK
3. Введи дані:
   • Current PUK: зазвичай 12345678
   • New PUK: нове 6–8-значне число
   • Confirm PUK: підтвердь новий PUK
4. Натисни Save

Поточний PUK: Якщо стандартний PUK не було змінено, програма повинна заповнити стандартний PUK.

Новий PUK: Використовуйте 6-8-значне число для нового PUK-коду та запишіть його для подальшого використання.

Підтвердіть PUK: Підтвердьте PUK, введений у попередньому полі.

---

Встановлення нового Management key

1. Відкрий Yubico Authenticator → Certificates
2. Натисни Management key
3. Введи дані:
   • Current management key: зазвичай стандартний ключ
   • New management key: введи новий 48-символьний ключ або натисни “refresh” для створення випадкового
   • Protect with PIN: рекомендовано ввімкнути, щоб замість 48 символів вводити PIN
4. Натисни Save

Поточний ключ керування: якщо ключ керування за замовчуванням не було змінено, програма повинна заповнити ключ керування за замовчуванням самостійно.

Новий ключ керування: введіть новий 48-символьний ключ керування або натисніть кнопку «Оновити», щоб створити випадковий ключ керування.

Захистити PIN-кодом: виберіть цей параметр, якщо ви бажаєте, щоб ключ керування був зашифрований за допомогою PIN-коду. Коли в майбутньому буде запропоновано ключ керування, PIN-код можна буде ввести замість 48-символьного ключа керування. Оскільки ключ керування необхідно ввести під час налаштування входу до облікового запису YubiKey для macOS, наполегливо рекомендується використовувати цей параметр.

---

Підготовка вашого YubiKey для входу в обліковий запис macOS

1. Відкрий Yubico Authenticator → Certificates
2. Оберіть 9a Authentication
3. Натисни Generate Key, щоб згенерувати новий самопідписаний сертифікат
4. Заповніть поле  «Тема» , вказавши CN=[Ваша назва], наприклад CN=loginMacOS,  або будь-яке інше відмінне ім’я, яке вам подобається, за умови, що ім’я відповідає специфікації RFC 4514.
5. Натисни Save → переконайся, що в слоті 9a є сертифікат
6. Перейди до 9d Key Management
7. Натисни Generate Key
8. Заповніть поле «Тема», вказавши CN=encryption або будь-яке інше відмінне ім’я, яке вам подобається, за умови, що ім’я відповідає специфікації RFC 4514.
9. Натисніть «Зберегти»
10. Переконайся, що сертифікат з’явився в слоті 9d

Примітка. За замовчуванням термін дії встановлено на 1 рік з моменту створення сертифіката. Якщо ви хочете продовжити термін дії, натисніть на дату закінчення терміну дії та змініть її, перш ніж продовжити.

---

Підключення YubiKey до облікового запису macOS

1. Від’єднай YubiKey та підключи знову.
2. У правому верхньому куті з’явиться повідомлення про сполучення.
   Якщо ні — звернись до статті YubiKey for macOS login: Advanced topics, розділ Manually pairing a smart card.
3. Натисни сповіщення → Pair
4. Введи пароль користувача (повинен мати права адміністратора) → Pair
5. Введи PIN від YubiKey, створений раніше → OK
6. Введи пароль keychain (зазвичай збігається з паролем користувача) → OK

Тепер можна входити за допомогою YubiKey.
Перевір: натисни Control + Command + Q, і замість пароля система попросить PIN.
Якщо вийняти YubiKey — запит повернеться до звичайного пароля.

Якщо виникли труднощі або хочеш глибше розібратись — дивись статтю Вхід у macOS з YubiKey: розширені теми.

---

Примітка щодо YubiKey Bio Multi-protocol Edition

Цей ключ підтримує відбиток пальця замість PIN для криптографічних операцій, але лише якщо використовується клієнтське ПЗ або middleware.

• Yubico реалізувала підтримку цього режиму у Yubico Minidriver 4.6.1, який доступний лише для Windows.
• Без middleware користувачі можуть користуватись PIV application, але тільки з PIN — без біометрії.
• Тобто функціонал PIV працює, але без зручності відбитка пальця.