Смарт-карты пользуются большой популярностью уже много лет как надежное средство для идентификации, аутентификации и авторизации на предприятиях или в учебных заведениях. Они бывают разных формфакторов: от SIM-карты на телефоне до пластиковой карты. Но если использовать смарт-карту в виде кредитки, то понадобится специальный считыватель, то есть дополнительное оборудование.

Разработчикам, которым нужен только доступ к аккаунту macOS, это неудобно, поэтому для IT-предприятий это лишние приобретения. И они будут необязательны, если вы просто приобретете ключи безопасности YubiKey, поддерживающие режим смарт-карты..

Рассмотрим, как работают YubiKey в режиме смарт-карты на MacOS и как их настроить.

План статьи:

Совместимые с macOS ключи безопасности

Некоторые серии ключей YubiKey имеют функцию смарт-карты PIV (personal identity verification) и поддерживают протокол CCID (integrated circuit card interface device). То есть могут идентифицировать личность и не требуют дополнительного считывающего оборудования, достаточно USB или lightning. Больше информации представлено в статье: “Режим смарт-карты Yubikey без дополнительного оборудования”.

В таблице ниже представлены серии ключей, работающих в режиме смарт-карты, с разными формфакторами.

Требования к подключению YubiKey PIV

Примечание. Пользователям с процессорами Apple Silicon рекомендуем сразу ознакомиться с этим разделом.

Настройка YubiKey PIV

Стандартные настройки

YubiKey PIV имеет стандартные настройки:

  • PIN-код: 123456 (разрешено 6-8 символов, macOS требует только цифры).
  • PUK: 12345678 (разрешено 6-8 символов).
  • Ключ управления: 010203040506070801020304050607080102030405060708.

Если у вас возникнет необходимость сбросить настройки к стандартным, воспользуйтесь Менеджером YubiKey:

  • Подключите ключ безопасности YubiKey к компьютеру.
  • Откройте приложение Менеджер YubiKey.
  • Найдите вкладку «Программы».
  • Выберите «PIV».
  • Нажмите кнопку «Сброс PIV».

Как установить новый PIN-код, PUK и ключ управления

  • Вставьте ключ YubiKey.
  • Войдите в программу Менеджер YubiKey и перейдите по ссылкам «Программы» -> «PIV».
  • Выберите функцию «Настройка PIN-кодов».
  • Нажмите кнопку «Изменить PIN-код».
    • Введите текущий код, установленный изготовителем или выберите функцию «По предварительной опции».
    • Введите новый PIN-код — это 6-8 цифр, так как macOS не принимает другие символы для кода.
    • Подтвердите новый PIN-код и запомните его или сохраните в надежном месте.
  • Нажмите кнопку «Изменить PIN-код смарт-карт».

Таким же образом можно изменить и PUK (или ключ управления), выбрав в разделе «Настроить PIN-код» функцию «Изменить PUK» (или «Изменить ключ управления»).

Настройка YubiKey для входа в аккаунт

  • Откройте в приложении Менеджер YubiKey страницу «Программы» и выберите раздел «PIV».
  • Нажмите на ссылку «Настройки для macOS».
  • Далее, если вы изменяли стандартный PIN-код, PUK или ключ управления, введите его по запросу сервера и нажмите кнопку «ОК».
  • Извлеките ключ YubiKey и подключите его к порту USB.
  • Когда появится запрос «Создание со смарт-картой macOS», нажмите кнопку «Пара». Если этот запрос не появится, перейдите к разделу «Устранение неполадок» и попробуйте устранить проблему.
  • Затем введите пароль от учетной записи и снова нажмите кнопку «Пара».
  • Далее в открывшемся окне “Соединение смарт-карт” введите свой настроенный PIN-код и нажмите «ОК».
  • Затем по запросу системы введите пароль от учетной записи и нажмите кнопку «ОК».

Попробуйте проверить конфигурацию, нажав Ctrl+Command+Q – эта команда заблокирует компьютер. Теперь попробуйте разблокировать его с помощью ключа YubiKey — вставьте ключ безопасности и введите PIN-код.

Как сбросить настройки и отключить YubiKey

Иногда может потребоваться удаление YubiKey с компьютера. Следуйте инструкциям ниже, чтобы не заблокировать вход в систему.

В первую очередь нужно удалить системное требование по применению смарт-карты, если она была настроена. Потому что если сначала удалить YubiKey, то доступ к системе будет заблокирован. Затем можно удалить все сертификаты, установленные при использовании YubiKey на устройстве macOS, или только те сертификаты, которые требуются для входа.

Как удалить системное требование на применение смарт-карты в macOs

Удалить один ключ или смарт-карту YubiKey

  • Откройте терминал и введите запрос:sc_auth list [username]где вместо [username]нужно добавить имя пользователя.
  • Скопируйте хэш, соответствующий вашему пользователю.
  • Запустите команду: sc_auth unpair -h [hash]

Удалить все ключи или смарт-карты, принадлежащие одному пользователю

  • Откройте терминал.
  • Введите запрос: sc_auth unpair -u [username]

Удалить все ключи или смарт-карты пользователя, который сейчас вошел в систему

  • Откройте терминал.
  • Введите запрос: sc_auth unpair -u $(whoami)

Отключить интерфейс для создания пары в macOS

Если вы не хотите, чтобы система macOS предлагала вам подключить ключ YubiKey к вашей системной записи вовремя, когда вы авторизуетесь в различных приложениях и сервисах с помощью аппаратного устройства, то примените следующие настройки:

  • Откройте терминал.
  • Введите запрос: sc_auth pairing_ui -s disable

Если вы хотите возвратить предыдущие настройки, примените команду: sc_auth pairing_ui -s enable

Как удалить сертификаты с YubiKey

Удаление всех сертификатов

Удаление всех сертификатов приводит к сбросу первоначальных настроек. Так что действия будут соответствующие:

  • В интерфейсе менеджера YubiKey найдите вкладку: «Программы».
  • Выберите «PIV».
  • Нажмите кнопку «Сброс PIV».

Удалить только сертификаты, предназначенные для входа в macOS

  • В программе Менеджер YubiKey нажмите «Программы» – > «PIV».
  • Затем нажмите кнопку «Настроить сертификаты».
  • На вкладке «Аутентификация» нажмите «Удалить».
  • Подтвердите действие, нажав Да.
  • Если вы хотите ввести PIN-код, введите PIN-код и нажмите кнопку «OK». При вводе ключа управления введите его и нажмите «OK».
  • Теперь перейдите на вкладку «Управление ключами» и повторите те же действия.

Устранение возможных неисправностей и другие вопросы

Не появляется подсказка “Создание пары со смарт-картой macOS”

Если при настройке входа в аккаунт macOS подсказка «Создание со смарт-картой macOS» не появляется, интерфейс создания пары может быть отключен. Попытайтесь выполнить следующие шаги для устранения этой неисправности:

  • Откройте терминал.
  • Введите команду: sc_auth pairing_ui -s enable
  • Проверьте состояние пользователя, запустив: sc_auth pairing_ui -s status
  • Интерфейс должен быть включен, поэтому попробуйте повторно настроить ваш YubiKey.

Если предыдущие шаги не привели к нужному результату, попробуйте другие варианты:

  • Запустите команду: sc_auth pairing_ui -f
  • Если этот шаг тоже не поможет, введите в терминал: sc_auth identities, чтобы проверить, обнаруживает ли ваша система спаренные смарт-карты.
  • Если обнаруживает, то вы должны получить что-то похожее на такой ответ:
SmartCard:com.apple.pivtoken:2D2248DE2F337A1F99C34BE4DCF44B61 Unpaired identities: A205691C39CBE2FF81F72070C8FEE6B27DF4E527 Certificate For PIV Authentication (Yubico PIV Authentication)

 

  • У цьому разі ви можете замінити хеш (тобто цей рядок з прикладу: A205691C39CBE2FF81F72070C8FEE6B27DF4E527)на строку, отвечающую за вывод индикаторов: sudo sc_auth pair -h <hash > -u $(whoami)
  • Если вы не получили ответ на запрос sc_auth pairing_ui -f, придется сбросить приложение смарт-карты на YubiKey. Для этого введите в терминале команду: ykman piv reset.
  • Когда вы получите соответствующий запрос от системы, нажмите Y, затем Enter,чтобы подтвердить его.

Нужна смарт-карта YubiKey

Пользователи с процессорами Apple Silicon должны быть осторожны и внимательны при настройке аутентификации с помощью YubiKey, так как есть риск блокировки системы. Это происходит потому, что в отличие от процессоров Intel, Mac Apple Silicon требует смарт-карты для разблокировки FileVault – это полноценное встроенное решение для дискового шифрования. В этом сценарии для разблокировки системы подойдет только последняя используемая смарт-карта. Это может привести к тому, что запасной ключ не будет действовать и требование применения смарт-карты может привести к блокировке, если выполнить ее неправильно. Поэтому перед внесением изменений в конфигурацию сначала следует тщательно ознакомиться с инструкциями от Apple (инструкция 1, инструкция 2).

Несколько ключей YubiKey и компьютеров macOS

  • Вы можете использовать одну смарт-карту для нескольких компьютеров. Для этого вставьте ключ к каждому из macOS и пройдите шаги, описанные в разделе настройка YubiKey.
  • Вы также можете подключить несколько ключей к одному macOS. Для этого пройдите процедуру настройки с каждым ключом безопасности YubiKey. Теперь вы сможете использовать любой из этих ключей для входа в одну учетную запись системы. Вход выполняется по PIN-коду. Вы можете по желанию установить одинаковый PIN-код для всех ключей или наоборот, использовать разные коды.

Примечание. Один ключ можно связать только с одной определенной учетной записью пользователя.

Утерянный или украденный YubiKey

  • Если вы настраивали смарт-карту для входа без пароля по инструкции Apple, найдите в ней раздел “Отключить аутентификацию только по смарт-карте” и воспользуйтесь ею, чтобы отключить требование системы.
  • Если вы не настраивали предыдущей функции, то сможете войти в систему с помощью пароля (или запасного ключа), после чего сбросить настройки и отсоединить YubiKey согласно инструкции, описанной выше.

Мы рассмотрели способы настройки YubiKey на macOS. Напоминаем о необходимости иметь запасные ключи от ваших учетных записей на всякий случай. Они необязательно должны быть одного и того же формфактора, чтобы вы могли их подключить. Главное — чтобы они были совместимы с вашим устройством и имели соответствующие протоколы. Чтобы легко и быстро подобрать для себя основной или дополнительный ключ YubiKey, переходите по ссылке или жмите на кнопку ниже.

Похожие материалы в Базе Знаний

OTP-пароли на YubiKey – как это работает

OTP-пароли на YubiKey – как это работает

OTP-пароли – это одноразовые пароли (происхождение OTP от англ. one time password), которые используются для одного сеанса аутентификации. Их действие обычно ограничено временем. Вы могли получать такие коды на телефон или почту при попытке зайти в онлайн-банкинг или...

Как защититься от фишинга с помощью YubiKey на Binance

Как защититься от фишинга с помощью YubiKey на Binance

Binance — одна из самых крупных и популярных бирж криптовалюты в мире. С ее помощью можно отслеживать движения рынка криптовалюты, инвестировать в цифровые активы и проводить торговые операции в режиме реального времени. Конечно, для того чтобы эффективно пользоваться...

Аутентификатор Yubico — инструкция по использованию

Аутентификатор Yubico — инструкция по использованию

Эта инструкция создана для того, чтобы помочь вам настроить ключи YubiKey в любых сервисах, предлагающих подключение двухфакторной аутентификации с помощью генерирующих коды программ-аутентификаторов.