Enlaces rápidos

Ya sea que tengas compañeros de cuarto molestos o simplemente quieras una capa adicional de seguridad, agregar un requisito de YubiKey para iniciar sesión en tu PC o portátil de casa puede ser una excelente manera de mejorar tu seguridad. Esto requerirá que tu YubiKey esté conectada cada vez que inicies sesión en tu computadora. Esto es especialmente útil si también estás usando una YubiKey para tu administrador de contraseñas o cuentas en línea, ya que es probable que la conectes de todos modos. Ya sea que estés buscando seguridad adicional o simplemente pienses que tener un token de hardware para iniciar sesión en tus dispositivos es genial, aquí te mostramos cómo configurar el inicio de sesión con YubiKey en macOS y Windows.

Cómo utilizar tu YubiKey para iniciar sesión en Windows

Windows permite iniciar sesión con YubiKey, pero nuevamente hay algunas cosas que debe saber y advertencias que debe tener en cuenta. Solo se admiten algunas YubiKeys (no se admiten datos biométricos en este caso) y solo podrá autenticarse en una cuentalocalde Windows. Vincular su cuenta de Microsoft a su instalación de Windows tiene algunas ventajas y desventajas, y Microsoft ciertamente ha estadopresionando a los usuarios para que adopten cuentas en líneadurante los últimos años. Agregar su YubiKey no deshabilitará la capacidad de iniciar sesión simplemente con otras medidas biométricas, como Windows Hello.

Si ya tienes una cuenta en línea, es relativamente fácil convertirlanuevamente en una cuenta local. Sin embargo, es posible que pierdas el acceso a algunas funciones al hacer esto. Si tienes otras cuentas en la PC que están vinculadas a cuentas de Microsoft, estas no deberían verse afectadas.

Imagen de una Yubikey
Relacionado
Aquí tienes cinco fantásticos usos para tu YubiKey

¿Está pensando en mejorar su seguridad con una YubiKey? Aquí le mostramos cómo aprovecharla al máximo.

Otras advertencias

También debes tener en cuenta que el inicio de sesión de Yubico (el software que usaremos) solo está disponible en máquinas x86, por lo que no hay soporte para Windows en ARM. A menos que quieras intentar crear tú mismo el inicio de sesión de Yubico desde la fuente. Sin embargo, es de esperar que este parámetro cambie en el futuro. Además, las cuentas administradas por Entra o Active Directory no funcionarán aquí, así que no intentes esto en una computadora de la escuela o del trabajo sin hablar primero con un administrador.

Otra advertencia a tener en cuenta es que el inicio de sesión de escritorio remoto no funcionará con una YubiKey, por lo que no recomendamos hacerlo si accede regularmentea su PC de forma remota.

Prerrequisitos

Necesitarás tener estos elementos preparados antes de comenzar el proceso en tu PC:

  • Una PC con Windows 10/11: es posible que Windows 7 sea compatible, pero la documentación no lo aclara
  • Una YubiKey compatible: puedes comprobar la compatibilidadaquí
  • Una cuenta de administrador en su computadora

Configurar el inicio de sesión de Windows a través de YubiKey

Siga estos pasos para establecer el inicio de sesión con su YubiKey:

  1. Verifique que no haya iniciado sesión con una cuenta Microsoft.
    Captura de pantalla de un panel de configuración de Microsoft
  2. Tome nota de su nombre de usuario. Es posible cambiar parcialmente su nombre de usuario en Windows, por lo que es importante tomar nota de esto correctamente. Abra un símbolo del sistema presionandoWIN+Ry lo siguiente:
    whoami
  3. La respuesta que recibirás tendrá el formato ESCRITORIO-ABCDE\nombre de usuario. Tu nombre de usuario es la primera parte. En la captura de pantalla que aparece a continuación, mi nombre de usuario eselliot.
    Captura de pantalla de la salida de whoami desde Windows.
  4. Descargue e instale el instalador de Yubico desdeel sitio web de Yubico. Lo más probable es que necesite la versión de 64 bits. Ejecute el instalador y mantenga la configuración predeterminada.
    Captura de pantalla de la página de descarga del instalador de Yubico.
    Fuente: Yubico
  5. Una vez realizada la configuración, se le solicitará que reinicie su computadora.Asegúrese de haber anotado el nombre de usuario y la contraseña de su cuenta localy luego reinicie su computadora.
  6. Una pantalla de inicio de sesión le solicitará que inicie sesión en Yubico: inicie sesión con su nombre de usuario y contraseña como de costumbre.
    Iniciar sesión en Windows con una Yubikey.
    Fuente: Yubico
  7. Una vez que haya iniciado sesión, abra el menú de inicio y busqueConfiguración de inicio de sesión.
    Configuración de inicio de sesión
  8. Deberías ver este menú de configuración. SeleccionaConfiguración avanzada.
    Captura de pantalla de la ventana de configuración de Yubikey
  9. En la siguiente pantalla, desmarca la opciónCrear dispositivo de respaldo para cada usuario. Sin embargo, si tienes varias YubiKeys, puedes dejar esta opción marcada. Si ese es el caso, se te pedirá que actualices una YubiKey, luego la elimines y actualices la segunda.
    Captura de pantalla de la ventana de configuración de inicio de sesión de Yubikey.
  10. Se le solicitará que seleccione a qué usuarios desea aprovisionar su YubiKey. Esto es útil si tiene varias cuentas (por ejemplo, como administrador de sistemas para una máquina compartida) y desea aprovisionar varias claves a la vez. Para nuestros fines, marque solo su nombre de usuario.
    Captura de pantalla de la cuenta de usuario seleccionada en la ventana de configuración de Yubikey.
  11. Se le pedirá que inserte su YubiKey.
    Captura de pantalla de una pantalla Inserta tu Yubikey.
  12. Una vez insertada y reconocida, verás una pantalla de confirmación con detalles sobre la clave. Pulsa continuar.
    Programación de Yubikey
  13. Se flasheará tu YubiKey y luego se te pedirá que retires tu dispositivo.
    yubico-parpadeando
  14. Recibirás tu código de recuperación. Es muy importante que guardes esta información en un lugar seguro al que puedas acceder sin necesidad de acceder a tu PC. Una vez que hayas cerrado esta ventana, no podrás volver a acceder a tu código de recuperación.
    Código de recuperación de Yubikey
  15. Una vez que haya guardado su clave, presioneSiguientey luegoFinalizar.

Una vez que hayas terminado, presionaWIN+Lpara bloquear tu PC. Aparecerá la misma pantalla de inicio de sesión que encontraste anteriormente. Deberás ingresar tu nombre de usuario y contraseña, pero esta vez también se te solicitará que insertes tu YubiKey. Si pierdes tu YubiKey, puedes usar tu código de recuperación y la opción "Perdí tu YubiKey" en la pantalla de inicio para recuperar tu cuenta.

Eliminar el inicio de sesión de YubiKey de Windows

Yubico no ha documentado bien este tema, por lo que le agradeceré aeste hilo de Redditpor aclararlo. Para eliminar una YubiKey de su cuenta, siga estos pasos:

  1. Inicie sesión en una cuenta de administrador. Tenga en cuenta que si elimina el inicio de sesión con YubiKey, se eliminará el requisito para todos los usuarios configurados.
  2. Desinstale Yubico Login mediante la función de agregar o quitar programas incorporada de Windows. Se le solicitará que confirme que es necesario reiniciar el sistema después de desinstalar el software, de modo que puede elegir si desea reiniciar ahora o más tarde. PresioneAceptaren el primer cuadro de diálogo y luegoNoen el segundo, lo que indica que planea reiniciar manualmente su computadora más tarde.
    Quitar-Yubico
  3. Una vez desinstalado, abra el editor de registro abriendo el menú Inicio y buscandoregedit.
    Menú de inicio de Regedit
  4. En el editor de registro, vaya aHKEY_LOCAL_MACHINE\SOFTWARE\Yubicoy elimine toda la claveYubico.
    gobernado por Yubico
  5. Reinicie su computadora.

Una vez que su PC se haya reiniciado y regrese a la pantalla de inicio de sesión, debería ver las opciones normales de inicio de sesión de Windows.

Cómo usar tu YubiKey para iniciar sesión en macOS

macOS también permite iniciar sesión con tu YubiKey gracias a la compatibilidad con tarjetas inteligentes PIV, pero esto conlleva algunas advertencias. Configurar una YubiKey PIV es relativamente fácil, pero no recomendamos usarla para la autenticación exclusiva. Es probable que debas mantener una contraseña configurada, que podrías configurar con una contraseña muy larga y usarla de manera efectiva como una clave de recuperación.

En la pantalla de inicio de sesión de tu Mac tendrás la opción de ingresar tu contraseña o PIN. Si tienes habilitado TouchID, también tendrás esa opción.

Acceso exclusivo

Para configurar la autenticación exclusiva en macOS para Apple Silicon, es necesario usar tarjetas inteligentes para desbloquear FileVault (cifrado de disco). Cuando se apaga el Mac, el disco de la computadora se protege con la última tarjeta inteligente a la que se tiene acceso, lo que significa que solo esta tarjeta inteligente puede desbloquear el disco posteriormente. Esto significa que, si pierde su YubiKey con la Mac bloqueada, será imposible desbloquear el disco. Por este motivo, le recomendamos que evite el acceso exclusivo a través de su YubiKey.

Personalización de PIV/PUK

El acceso a su Mac a través de YubiKey depende de PIV, o verificación de identidad personal. Esta es una tecnología compatible con la mayoría de las YubiKeys y se puede utilizar para una variedad de tipos de autenticación. PIV viene con algunas configuraciones para controlar el acceso a sus API. Estas configuraciones se explican bienaquíy su cambio se detalla en la documentación de Yubico. No cubriremos cómo cambiar su PUK y clave de administración aquí, pero cambiaremos su PIN. Esto restringe el acceso a las API de PIV en su YubiKey. Si no tiene un caso de uso específico para cambiar estos valores, siga las instrucciones a continuación tal como están. Cambiar los otros valores normalmente no será necesario.

Configurar el acceso a YubiKey en macOS

Para configurar la autenticación YubiKey en su máquina macOS, necesitará lo siguiente:

  • Una tarjeta inteligente compatible con YubiKey: consulte la compatibilidadaquí
  • Acceso de administrador en una máquina macOS que ejecuta High Sierra o posterior
  • YubiKey Managerya está instalado en tu Mac

Siga estos pasos para configurar la autorización básica de YubiKey para su máquina macOS:

  1. AbraYubiKey Managercon su YubiKey insertada.
    Captura de pantalla de la página de inicio del administrador de Yubikey.
  2. AbraAplicacionesy seleccionePIV.
    Yubikey-gerente-2
  3. SeleccioneConfigurar pines.
    Yubikey-gerente-3
  4. SeleccioneCambiar pines.
    Yubikey-gerente-4
  5. Si ya ha configurado un PIN PIV en su YubiKey, introdúzcalo aquí. Si no lo ha hecho, marque la casillaUsar predeterminadojunto al PIN actual e ingrese un nuevo PIN de su elección.
    Yubikey-gerente-5
  6. Una vez establecido un PIN, regrese aAplicaciones > PIV.
  7. PresioneConfiguración para macOSen la esquina superior derecha de la ventana.
    Captura de pantalla del botón Configuración para MacOS resaltado en el administrador de Yubikey.
  8. Cuando se le solicite la clave de administración, presioneUsar predeterminado.
    Yubikey-gerente-6
  9. Cuando se le solicite su PIN, ingrese el PIN que configuró en el Paso 5.
    Yubikey-gerente-7
  10. Luego se te pedirá que retires y vuelvas a insertar tu YubiKey. Una vez que hayas insertado tu YubiKey, verás una notificación deEmparejamiento de tarjeta inteligente. Pasa el cursor sobre esta notificación y seleccionaEmparejar.
    Yubikey-gerente-7
  11. Ingrese su contraseña de administrador cuando se le solicite.
    Yubikey-gerente-8
  12. Ingrese el PIN establecido en el paso 5 cuando se le solicite.
    Yubikey-gerente-9
  13. Ingrese la contraseña de su llavero cuando se le solicite.
    Yubikey-gerente-10
  14. Ahora, tu YubiKey debería estar configurada como una tarjeta inteligente para macOS. Bloquea la pantalla conCMD + CTRL + Q.Deberías ver una opción paraingresar PINjunto con tu TouchID normal.

Notarás que si eliminas tu YubiKey, tu Mac vuelve a la autenticación con contraseña predeterminada. Te recomendamos que trates tu contraseña de cuenta habitual como una clave de recuperación: establece una cadena aleatoria muy larga y guárdala en un lugar seguro con otras claves de recuperación. Esto permite el mismo proceso de inicio de sesión físico, a la vez que proporciona una copia de seguridad en caso de que pierdas tu YubiKey. Nuevamente, ten en cuenta que la autenticación Touch ID no está deshabilitada por el requisito de la tarjeta inteligente, por lo que funcionará como siempre para desbloquear tu MacBook.

Eliminar la autenticación YubiKey de macOS

Para desactivar la autenticación con YubiKey en tu Mac, tendrás que eliminar el requisito de la tarjeta inteligente para tu usuario. Para ello, abre la Terminal de macOS y ejecuta lo siguiente, reemplazando <username> por el nombre de usuario correspondiente.

sc_auth unpair -u <nombre de usuario>

Luego puedes bloquear tu Mac nuevamente conCTRL+CMD+Qy deberías ver la autenticación de contraseña (y opcionalmente Touch ID) como el único método de autenticación disponible.

Otra opción sería eliminar los certificados PIV desde la propia YubiKey. Puede hacerlo con el administrador de YubiKey, enAplicaciones > PIV > Certificadosy, a continuación, pulsandoEliminar certificadosen la pestañaAutenticación .

Este es solo un gran uso para YubiKeys

Las YubiKeys han demostrado su valor con creces en la última década y cada vez son más útiles. Incluso en una época en la que las claves de acceso están ganando terreno, todavía haymuchos usos excelentespara los tokens de hardware. En Windows en particular, tener un token USB para forzar el inicio de sesión es una gran ventaja. El uso de una YubiKey en macOS tiene sus desventajas, pero aún ofrece seguridad física y comodidad en una plataforma que se sabe que es altamente segura. ¡Solo tenga cuidado de guardar sus tokens de respaldo en cualquier caso!