Стандартный пин-код для токена. Особенности работы.

Одним из основных отличий USB-токена от простого флеш-накопителя является обязательность использования пин-кода для доступа к электронной подписи. Причём при нескольких неудачных попытках ввода этого пин-кода USB-токен блокируется.

Именно поэтому первое знакомство пользователя с USB-токеном нередко заканчивается блокировкой последнего. Пользователи, не знакомые с особенностями функционирования токенов, порою даже не замечают появившуюся в окне ввода пин-кода предупреждающую надпись о количестве оставшихся попыток ввода.

Программа КриптоПро CSP предоставляет три попытки ввода пин-кода за сеанс. Полное же количество попыток ввода, забитое в Рутокене по умолчанию, — 10. То есть обычно это количество исчерпывается за несколько сеансов работы.

Что нужно знать о пин-кодах Рутокена

Предприятием-изготовителем в Рутокены вшиваются стандартные (заводские) пин-коды:

• 12345678 — для пользователя;
• 87654321 — для администратора.

При создании цифровой подписи удостоверяющие центры пин-код пользователя, как правило, не меняют. Он может быть изменён потом пользователем или администратором (это зависит от настроек конкретного Рутокена).

Пин-код администратора некоторые удостоверяющие центры изменяют, причём выясняется это нередко, только после обращения пользователя в техподдержку удостоверяющего центра.

В появившемся при этом диалоговом окне (см. рис. ниже) можно увидеть, кто имеет право изменить пин-код пользователя, а также оставшееся и допустимое количество попыток неудачного ввода пин-кода. На заблокированном Рутокене количество оставшихся попыток будет равно нулю.

Если Рутокен заблокировался

В появившемся при этом диалоге необходимо установить переключатель в положение «Администратор» (см. рис. ниже), ввести пин-код администратора и щёлкнуть по кнопке «ОК».

Если после ввода пин-кода появилось сообщение об ошибке (см. рис. ниже), можно попробовать ввести пин-код ещё раз. Но если попытка опять окажется неудачной, значит надо звонить в службу техподдержки той компании, которая продала Вам Рутокен — возможно они изменили пин-код администратора.

Кроме того, после успешного ввода пин-кода станет активной кнопка «Разблокировать» в группе «Управление PIN-кодами» (см. рис. ниже).

При нажатии на кнопку «Разблокировать» счётчик неудачных попыток ввода пин-кода будет сброшен в исходное состояние, и Рутокен разблокируется. На экран при этом будет выведено соответствующее сообщение.

Снятие блокировки с помощью КриптоПро CSP

В появившемся окне «Управление ключевыми носителями» необходимо выбрать в списке нужный тип носителя и нажать кнопку «Свойства» (см. рис. ниже).

В окне свойств носителя необходимо перейти на вкладку «Информация» и щёлкнуть по кнопке «Разблокировать PIN-код» (см. рис. ниже). При этом программа попросит ввести пин-код администратора и, если пин-код будет введён правильно, разблокирует Рутокен.

Если снять блокировку не удалось

Если разблокировать Рутокен специально предназначенными для этого средствами не удалось (по причине отсутствия информации о пин-коде администратора), то снять блокировку с него можно только путём форматирования.

Поскольку при форматировании с Рутокена с него будут удалены все электронные подписи, производить форматирование Рутокена имеет смысл только в том случае, если у системного администратора имеются копии этих подписей. В противном случае подписи всё равно придётся заказывать в удостоверяющем центре, и сотрудники центра сами вернут Рутокен в рабочее состояние.

Я всегда стараюсь делать копии всех полученных в удостоверяющем центре подписей. Ведь пользователи могут не только довести до блокировки ключевой контейнер, но и сжечь, сломать или потерять съёмный носитель.

Перед началом процесса форматирования на экран будет выведено предупреждение.

Затем пользователю будет предоставлена возможность ознакомиться и изменить, если это надо, настройки Рутокена. Пин-коды по умолчанию — 12345678 и 87654321.

После щелчка по кнопке «Начать» начнётся процесс форматирования токена (см. рис. ниже). По завершению процесса будет выведено соответствующее сообщение.

Общая информация

Знание PIN-кодов необходимо для работы с устройством Рутокен.

Для каждого устройства Рутокен задано два PIN-кода:

• PIN-код Пользователя;
• PIN-код Администратора.

PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам).

Если при работе с сторонним приложением запрашивается PIN-код устройства Рутокен, то вам надо ввести PIN-код Пользователя.

PIN-код Администратора используется для администрирования устройства и управления PIN-кодами.

PIN-код Администратора используется только в Панели управления Рутокен.

Правила хранения PIN-кодов:

• Не храните в одном месте PIN-коды и Рутокен.
• Не передавайте PIN-коды другим людям (в том числе коллегам и администраторам).
• PIN-коды можно записать в надежном месте, главное чтобы ни у кого кроме вас не было доступа к ним.

Если вам не сообщили PIN-код Пользователя, вероятнее всего, он задан по умолчанию (12345678).

Если вы купили Рутокен в удостоверяющем центре — PIN-код Администратора вам должен сообщить сотрудник удостоверяющего центра.

Если Рутокен вам выдали на работе — PIN-код Администратора, скорее всего, знает системный администратор, IT-служба или HelpDesk.

Если Рутокен вам выдали в банке — PIN-код Администратора вам должен сообщить сотрудник банка.

Если вы приобрели Рутокен для личных целей, то на нем установлены PIN-коды по умолчанию.

Панель управления Рутокен предназначена для обслуживания устройств Рутокен в операционных системах семейства Microsoft Windows. В Панели управления Рутокен можно изменить и разблокировать PIN-коды.

Установить ее можно вместе с комплектом драйверов Рутокен для Windows. Актуальная версия комплекта драйверов доступна по ссылке:

Что такое PIN-код Пользователя, для чего он используется и как его лучше хранить?

PIN-код Пользователя необходимо хранить в безопасном месте. Главное чтобы ни у кого кроме пользователя не было доступа к нему.

Какой PIN-код Пользователя установлен по умолчанию?

PIN-код Пользователя по умолчанию 12345678.

Как ввести PIN-код Пользователя в Панели управления Рутокен?

На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Пользователя.

Обычно задано 10 попыток неправильного ввода PIN-кода Пользователя.

Когда пользователь вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого пользователь вводит правильный PIN-код, то значение счетчика становится изначальным.

Допустимое количество неправильных попыток ввода PIN-кода указано в окне с ошибкой “Неудачная аутентификация” после слов “осталось попыток”.

Если там указано значение “1”, то после следующей неудачной попытке ввода PIN-кода он заблокируется.

После ввода неправильного PIN-кода Пользователя несколько раз устройство Рутокен блокируется. Разблокировать его может только Администратор устройства.

• Подключите устройство Рутокен к компьютеру.
• Запустите Панель управления Рутокен.
• Нажмите Ввести PIN-код.
• Укажите PIN-код Пользователя и нажмите ОК.
• Если введен верный PIN-код Пользователя, то вместо кнопки Ввести PIN-код отобразится кнопка Выйти.
• Если введен неверный PIN-код, то на экране отобразится сообщение об этом. В поле осталось попыток будет указано максимальное количество попыток ввода неправильного PIN-кода.
• Нажмите ОК и повторите ввод PIN-кода.

Как посмотреть количество оставшихся попыток ввода неправильного PIN-кода Пользователя?

• Откройте Панель управления Рутокен.
• На вкладке Администрирование нажмите Информация.
• В окне Информация о Рутокен в строке Попыток ввода PIN-кода Пользователя отображается количество оставшихся попыток.

Что делать, если PIN-код Пользователя заблокирован?

Если пользователь несколько раз ввел неправильный PIN-код Пользователя, то он блокируется.

При попытке ввода уже заблокированного PIN-кода Пользователя в Панели управления Рутокен отобразится следующее сообщение:

Для того чтобы разблокировать PIN-код Пользователя необходимо обратиться к администратору устройства Рутокен.

Какой PIN-код лучше использовать? Как придумать безопасный PIN-код?

PIN-код не должен быть очень сложным, так как у него есть ограниченное количество попыток ввода.

Использовать PIN-код, который был задан по умолчанию — небезопасно. Рекомендуется его изменить. При этом стоит учитывать некоторые рекомендации:

• Необходимо составить PIN-код из 6-10 символов. Использование короткого PIN-кода (1-5 символов) заметно снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
• Лучше составить PIN-код из: цифр, латинских букв, пробелов и специальных символов (точек, запятых, восклицательных знаков и т.п).
• PIN-код будет надежнее, если вы составите его из смешанного набора цифровых и буквенных символов.
• PIN-код будет ненадежным, если вы при его составлении будете использовать общеупотребляемые слова и устойчивые словосочетания.
• Не стоит использовать наборы символов, представляющие собой комбинации клавиш, расположенных подряд на клавиатуре, такие как: qwerty, 123456789, wazwsx и т.п.
• Не стоит использовать персональные данные: имена и фамилии, адреса, номера паспортов, страховых свидетельств и т.п.
• Лучше всего использовать разные PIN-коды для разных устройств Рутокен.

Как в Панели управления Рутокен изменить PIN-код Пользователя?

Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?

• Подключите устройство Рутокен к компьютеру.
• Запустите Панель управления Рутокен.
• Введите PIN-код Пользователя.
• В секции Управление PIN-кодами нажмите Изменить. Если эта кнопка не активна, то для изменения PIN-кода необходимо обратиться к администратору устройства Рутокен.
• В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является “слабым”, если желтым  — то “средним”, а если зеленым  — то “надежным”.
• Нажмите ОК.В результате PIN-код Пользователя изменится.

Работа с PIN-кодом Администратора

PIN-код Администратора используется в Панели управления Рутокен для администрирования устройства и управления PIN-кодами.

PIN-код Администратора необходимо хранить в безопасном месте. Главное чтобы ни у кого кроме администратора не было доступа к нему.

Какой PIN-код Администратора установлен по умолчанию?

PIN-код Администратора по умолчанию 87654321.

Как ввести PIN-код Администратора в Панели управления Рутокен?

На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Администратора.

По умолчанию задано 10 попыток неправильного ввода PIN-кода Администратора.

Когда администратор вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого администратор вводит правильный PIN-код, то значение счетчика становится изначальным.

Если там указано значение “1”, то после следующей неудачной попытки ввода PIN-кода он заблокируется.

После ввода неправильного PIN-кода Администратора несколько раз, он блокируется. В этом случае необходимо вернуть устройство Рутокен к заводским настройкам.

• Подключите устройство Рутокен к компьютеру.
• Запустите Панель управления Рутокен.
• Нажмите Ввести PIN-код.
• Установите переключатель в положение Администратор.
• Укажите PIN-код Администратора и нажмите ОК.
• Если введен верный PIN-код Администратора, то вместо кнопки Ввести PIN-код отобразится кнопка Выйти.
• Если введен неверный PIN-код, то на экране отобразится сообщение об этом. В поле осталось попыток указано максимальное количество попыток ввода PIN-кода.
• Нажмите ОК и повторите ввод PIN-кода.

Как посмотреть количество оставшихся попыток ввода неправильного PIN-кода Администратора?

• Откройте Панель управления Рутокен.
• На вкладке Администрирование нажмите Информация.
• В окне Информация о Рутокен в строке Попыток ввода PIN-кода Администратора отображается количество оставшихся попыток.

Что делать, если PIN-код Администратора заблокирован?

После ввода неправильного PIN-кода Администратора несколько раз он блокируется.

Если PIN-код Администратора заблокирован, то для того чтобы продолжить работу с устройством Рутокен, его необходимо вернуть к заводским настройкам, но при этом будут безвозвратно удалены все данные, хранящиеся на нем.

Процесс возврата устройства к заводским настройкам описан в Дополнительном разделе — Возврат устройства к заводским настройкам.

Как в Панели управления Рутокен изменить PIN-код Администратора?

• Подключите устройство Рутокен к компьютеру.
• Запустите Панель управления Рутокен.
• Введите PIN-код Администратора.
• В секции Управление PIN-кодами нажмите Изменить.
• В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является “слабым”, если желтым  — то “средним”, а если зеленым  — то “надежным”.
• Нажмите ОК в результате PIN-код Администратора изменится.

Как разблокировать PIN-код Пользователя?

• Подключите устройство Рутокен к компьютеру.
• Запустите Панель управления Рутокен.
• Введите PIN-код Администратора.
• В секции Управление PIN-кодами нажмите Разблокировать. На экране отобразится сообщение о том, что PIN-код разблокирован.
• Нажмите ОК. В результате PIN-код Пользователя будет разблокирован.

Как изменить PIN-код Пользователя?

• Подключите устройство Рутокен к компьютеру.
• Запустите Панель управления Рутокен.
• Введите PIN-код Администратора.
• В секции Управление PIN-кодами нажмите Изменить. Если эта кнопка не активна, то права на изменения PIN-кода Пользователя есть только у самого пользователя.
• В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является “слабым”, если желтым  — то “средним”, а если зеленым  — то “надежным”.
• Нажмите ОК.В результате PIN-код Пользователя изменится.

Какие настройки необходимо выполнить, чтобы пользователь не смог задать слабый PIN-код?

Все PIN-коды по качеству делятся на три категории:

• слабый;
• средний;
• надежный.

Можно выбрать политики, которые будут учитываться при оценке качества PIN-кода. Они выглядят следующим образом:

• Минимальная длина PIN-кода.
• Политика использования PIN-кода, заданного по умолчанию.
• Политика использования PIN-кода, состоящего из одного повторяющегося символа.
• Политика использования PIN-кода, состоящего только из цифр.
• Политика использования PIN-кода, состоящего только из букв.
• Политика использования PIN-кода, совпадающего с предыдущим PIN-кодом.

Чтобы пользователь не смог задать слабый PIN-код необходимо настроить политики для PIN-кодов. Это реализуется через групповые политики домена.

Для настройки политик для PIN-кодов существуют следующие ключи инсталлятора:

Чтобы установить (обновить) Панель управления Рутокен с определенными ключами введите команду:

(минимальную длину PIN-кода — 6 символов; запрещается использовать PIN-коды, состоящие только из цифр).

Для наглядности в Панели управления Рутокен реализована возможность настройки политик для PIN-кодов.

По умолчанию выбраны все политики, а пароль считается “слабым”, если его длина равна одному символу.

Политики для PIN-кодов может изменить пользователь с правами администратора операционной системы или администратора домена.

Политики для PIN-кодов устанавливаются в Панели управления Рутокен для конкретного компьютера.

Для того чтобы выбрать политики, которые будут учитываться при оценке уровня безопасности PIN-кода:

• Запустите Панель управления Рутокен.
• Перейдите на вкладку Настройки.
• В секции Политики качества PIN-кода нажмите Настройка.
• В раскрывающемся списке Считать PIN-код “слабым” при длине меньше, чем выберите необходимое число (рекомендуемое число для выбора — 6).
• В секции Политики установите флажки рядом с названиями политик.
• Чтобы запретить возможность задания слабого PIN-кода, в раскрывающемся списке Если задан “слабый” PIN-код выберите значение “Запретить использование”.
• Чтобы при задании среднего PIN-кода отображалось сообщение с предупреждением о том, что PIN-код не является безопасным, в раскрывающемся списке Если задан “средний” PIN-код выберите значение “Предупреждать”.
• Для подтверждения изменений нажмите ОК.
• Для применения изменений и продолжения работы с политиками нажмите Применить.
• В окне с запросом на разрешение вносить изменения на компьютере нажмите Да.

Дополнительный раздел — Возврат устройства к заводским настройкам

Возврат устройства к заводским настройкам возможен только тогда, когда PIN-код Администратора заблокирован.

Сообщение о том, что PIN-код Администратора заблокирован:

Если пользователь исчерпал все попытки ввода PIN-кода Администратора, то существует возможность вернуть устройство к заводским настройкам. Для этого не надо знать PIN-код Администратора.

При возврате устройства Рутокен к заводским настройкам все данные на нем, в том числе ключи и сертификаты, будут удалены безвозвратно.

При возврате устройства Рутокен ЭЦП Flash к заводским настройкам Flash-память тоже очистится, а информация, сохраненная в ней будет удалена безвозвратно.

В процессе возврата устройства к заводским настройкам не следует отключать его от компьютера, так как это может привести к поломке устройства.

Для запуска процесса возврата устройства Рутокен к заводским настройкам:

• Подключите устройство Рутокен к компьютеру.
• Запустите Панель управления Рутокен. В секции Форматирование токена отобразится кнопка Форматировать.
• Нажмите Форматировать. Откроется окно Форматирование токена.
• Укажите имя устройства.
• Измените политику смены PIN-кода Пользователя.
• Укажите новый PIN-код Пользователя (Администратора).
• Укажите минимальную длину PIN-кода Пользователя (Администратора).
• Укажите максимальное количество попыток ввода PIN-кода Пользователя (Администратора).
• Нажмите Начать.
• В окне с предупреждением об удалении всех данных на устройстве Рутокен нажмите ОК.
• Дождитесь окончания процесса форматирования.
• В окне с сообщением об успешном форматировании устройства Рутокен нажмите ОК. В результате устройство вернется к заводским настройкам.

Указание имени устройства

Для указания имени устройства Рутокен в поле Имя токена укажите новое имя устройства.

Изменение политики смены PIN-кода Пользователя

В зависимости от выбранной при форматировании устройства Рутокен политики, PIN-код Пользователя может быть изменен:

• только пользователем (если установлен переключатель “Пользователь”);
• пользователем и администратором (если установлен переключатель “Пользователь и Администратор”);
• только администратором (если установлен переключатель “Администратор”).

Если вы установите переключатель в положение “Пользователь”, то сможете изменить PIN-код Пользователя только, если знаете его.

При установке переключателя в положение “Пользователь” становятся невозможны следующие операции:

• инициализация токена через PKCS#11 посредством C_InitToken()
• смена PIN-кода Администратора при использовании Microsoft Base Smart Card Crypto Provider

Если вы установите переключатель в положение “Администратор”, то сможете изменить PIN-код Пользователя только, если знаете PIN-код Администратора.

При установке переключателя в положение “Администратор” становится невозможна операция смены PIN-кода Администратора при использовании Microsoft Base Smart Card Provider.

Если вы установите переключатель в положение “Пользователь и Администратор”, то сможете изменить PIN-код Пользователя, если знаете или PIN-код Администратора, или PIN-код Пользователя.

Для изменения политики в секции PIN-код Пользователя может менять установите переключатель в необходимое положение.

Указание нового PIN-кода Пользователя (Администратора)

Для того чтобы задать новый PIN-код Пользователя (Администратора), который будет доступен только после возврата устройства к заводским настройкам:

• В секции Пользователь (Администратор) снимите флажок Использовать PIN-код по умолчанию.
• В полях Новый PIN-код и Подтверждение введите новый PIN-код Пользователя (Администратора).Секция для задания PIN-кода Пользователя:Секция для задания PIN-кода Администратора:

Указание минимальной длины PIN-кода Пользователя (Администратора)

Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.

Для того чтобы задать минимальную длину PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Минимальная длина PIN-кода выберите необходимое значение.

Указание максимального количества попыток ввода PIN-кода Пользователя (Администратора)

Для повышения уровня безопасности следует изменить максимальное количество попыток ввода PIN-кода Пользователя (Администратора), заданное в Панели управления Рутокен по умолчанию.

Небольшое количество попыток (1-4) может привести к случайной блокировке PIN-кода, большое количество (более 5) — снизит уровень информационной безопасности.

Для того чтобы задать максимальное количество попыток ввода PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Попытки ввода PIN-кода выберите необходимое значение (рекомендуется выбрать значение — 5).

Стандартные пароли или пин-коды на Рутокен, JaCarta, eToken устанавливаются на заводе-изготовителе. Дополнительным кодом можно защитить сам контейнер электронной подписи. Он задаётся при генерации или копировании ключа. СКЗИ, например, , будет запрашивать ввод при каждом обращении к ЭП.

Заводские пин-коды на носителях можно изменить.

Что делать, если пароль на токене неизвестен, а ПИН-код по умолчанию был сброшен?

Придётся отформатировать, при этом все данные потеряются.

Что делать, если ПИН владельца заблокирован?

Разблокировка возможна. Делается это через панель управления, для этого необходимо знать код администратора.

ПИН-код администратора заблокирован, как быть?

Восстановление невозможно, придётся очистить (отформатировать).

Из нашей статьи вы узнаете:

Пин-код — это одно из средств защиты носителей электронной подписи от несанкционированного доступа. В то же время компания-изготовитель («Аладдин Р.Д.») устанавливает стандартные пин-коды JaCarta, что обеспечивает возможность всегда к ним вернуться.

Пин-коды носителей JaCarta

В большинстве носителей пароль JaCarta есть как для администратора, так и для пользователя, и они разные. Для удобства и быстрого поиска мы подготовили соответствующую таблицу.

Вопрос-ответ про пароли для JaCarta

Разблокировать пин-код администратора JaCarta невозможно. В этом случае единственный выход — форматирование (инициализация) носителя, которую также можно выполнить в «Едином клиенте JaCarta». Носитель при этом будет сброшен к заводским установкам, а все данные с него будут удалены.

Можно ли изменить пин-код на JaCarta?

В JaCarta пин-код по умолчанию можно сменить на собственный. Сделать это можно также в «Едином клиенте JaCarta», перейдя на соответствующую вкладку. Например, если нужно сменить пин-код ГОСТ JaCarta, нужно перейти на вкладку «ГОСТ» и нажать «Сменить пин-код администратора».

Если же нужно сменить пин-код пользователя JaCarta, а не администратора, в режим администрирования переходить не нужно. Просто нажмите «Сменить пин-код» напротив «ГОСТ» или «PKI».

Как вернуть запрос пароля (пин-кода) при подписании ЭЦП в КриптоПро?

Как вернуть запрос пароля (пин-кода) при подписании ЭЦП в КриптоПро?

В данной статье рассмотрим ситуацию когда нужно восстановить запрос пин-кода (пароля) при подписании документов используя ЭЦП и криптопровайдера CSP КриптоПро.

У наших клиентов часто возникает вопрос “Как вернуть запрос пароля при подписании документов с помощью ЭЦП через КриптоПро?”. В этой статье рассмотрим несколько вариантов как вернуть подписание с запросом пин-кода (пароля).

Обычно окно с запросом пин-кода (пароля) перестает появляться в двух случаях:

• При вводе пароля Вы поставили галочку запомнить пароль
• Вы используете стандартный пин-код (пароль)

Если вы используете стандартный Пин-код (пароль) по умолчанию, например “12345678” для Рутокена Lite” то КриптоПро будет подставлять его при подписании автоматически.

Основные стандартные пароли (пин-коды) по умолчанию для Rutoken, eToken, eSmart, JaCarta, JaCarta LT, Jacarta SE можете найти в нашей статье

Если Вам всё таки нужно использовать стандартный пин-код (пароль) то в конце статьи мы расскажем как это сделать.

Описание тестового стенда

• ОС Windows 10 x64
• CSP КриптоПро 5.0.12417 КС1

План работ. Краткое описание действий

• Рассмотрим вариант восстановления запроса Пин-кода при использовании нестандартного пароля
  На всякий случай меняем пароль по умолчаниюУдаляем сохранённые пароли
• На всякий случай меняем пароль по умолчанию
• Удаляем сохранённые пароли
• Рассмотрим вариант включения запроса стандартного Пин-кода (пин-код по умолчанию)
  Редактируем групповые политики GPOПрименяем групповые политики
• Редактируем групповые политики GPO
• Применяем групповые политики

Восстановить запрос НЕстандартного пин-кода Рутокена S/Lite/ЭЦП 2. 0 и JaCarta SE/LT

Для начала убедимся что установлен пин-код отличный от стандартного (по умолчанию). Например для Рутокена Lite это “12345678”

Меняем пароль по умолчанию у Рутокена S/Lite/ЭЦП 2. 0, JaCarta SE/LT

Рассмотрим два варианта ключей (Рутокен и JaCart) так как у них разный способ смены пин-кода.

Смена пин-кода Для Рутокена S/Lite/ЭЦП 2

• Нажимаем на «Ввести PIN-код» и вводим установленный пин-код.
  Замена Пин-кода в Панели управления Рутокена
• Далее в разделе «Управление PIN-кодами» нажимаем «Изменить», и вводим новый пин-код.

Смена пин-кода для JaCarta SE/LT

• В открывшемся окне нажимаем на кнопку «Переключиться в режим пользователя».
• На против нужного вида приложения нажимаем “Сменить PIN-код”PKIГОСТ «Сменить PIN-код»
• В открывшемся окне вводим «Текущий PIN-код пользователя», затем «Новый PIN-код пользователя» и подтвердив нажимаем «Выполнить».

Восстановить запрос стандартного пин-кода Рутокена S/Lite/ЭЦП 2. 0 и JaCarta SE/LT

• Открываем утилиту cmd.exe (командная строка) с правами Администратора
• В “Редакторе локальной групповой политики” переводим в состояние “Включена” следующие политики
  Конфигурация компьютера – Административные шаблоны – Классические административные шаблоны – КРИПТО-ПРО – КриптоПро CSP – Запретить использование сохраненных паролей.Конфигурация компьютера – Административные шаблоны – Классические административные шаблоны – КРИПТО-ПРО – КриптоПро CSP – Требовать пароль контейнера/носителя для каждой операции.
  GPO КриптоПро CSP – Запретить использование сохраненных паролей
• Конфигурация компьютера – Административные шаблоны – Классические административные шаблоны – КРИПТО-ПРО – КриптоПро CSP – Запретить использование сохраненных паролей.
• Конфигурация компьютера – Административные шаблоны – Классические административные шаблоны – КРИПТО-ПРО – КриптоПро CSP – Требовать пароль контейнера/носителя для каждой операции.
  GPO КриптоПро CSP – Запретить использование сохраненных паролей
• В открытой командной строке инициируем обновление локальной групповой политики. Используем командуgpudate /force Обновление локальной групповой политики
• После успешного обновления политик при подписании документов через КриптоПро будет запрашиваться пароль, даже стандартный.

ОСНОВНЫЕ ПОНЯТИЯ

Ключевой носитель (Электронный идентификатор) — это компактное устройство в виде USB-брелка, которое служит для авторизации пользователя в сети или на локальном компьютере, защиты электронной переписки, безопасного удаленного доступа к информационным ресурсам, а также надежного хранения персональных данных.

USB-флеш-накопитель (сленг. флешка, флэшка , флеш-драйв) — запоминающее устройство, использующее в качестве носителя флеш-память, и подключаемое к компьютеру или иному считывающему устройству по интерфейсу USB.

ПИН (англ. Personal Identification Number — персональный идентификационный номер) — аналог пароля

Защищенный носитель — это компактное устройство, предназначенное для безопасного хранения электронной подписи. Представляет собой устройство в виде USB-флешки с защищенной паролем картой памяти, на которой хранится информация для создания электронной подписи. Обеспечивает двухфакторную аутентификацию пользователя: для работы необходимо вставить токен в USB-разъем компьютера и ввести пароль.

Если в качестве ключевого носителя используется защищенный носитель, то следует указать стандартный pin-код ознакомившись со списком ниже в зависимости от того какой носитель используется:

Носители Rutoken S/Lite/ЭЦП 2

• 12345678 – пользователь
• 87654321 – администратор

Носитель eToken

Стандартный пин-код для PKI-части:

Стандартный пин-код для ГОСТ части:

• Администратора 1234567890;
• Пользователя 0987654321.

Если в качестве ключевого носителя используется USB-флеш-накопитель или реестр, то данный пароль (PIN-код) был установлен пользователем при формировании либо копировании контейнера, в этом случае следую выполнить следующие шаги:

1. Попытаться вспомнить пароль. Если он был установлен иным лицом, необходимо обратиться к нему для уточнения пароля. Количество попыток ввода пароля, которое указывается в окне «Осталось попыток ввода пароля», на самом деле не соответствует действительности. После окончания попыток можно пробовать подбирать снова.

2. Если восстановить пароль предложенным выше способом не удалось / не представляется возможным, необходимо обратиться в удостоверяющий центр для выпуска нового ключа.

Отдел технической поддержки

Основных форм-факторов, в которых выпускаются токены, три: USB-токен, смарт-карта и брелок. Защита при помощи PIN-кода чаще всего встречается в USB-токенах, хотя последние модели USB-токенов выпускаются с возможностью установки RFID-метки и с жидкокристаллическим дисплеем для генерации одноразовых паролей.

Остановимся подробнее на принципах функционирования токенов с PIN-кодом. PIN-код – это специально заданный пароль, который разбивает процедуру аутентификации на два этапа: присоединение токена к компьютеру и ввод собственно PIN-кода.

Наиболее популярные модели токенов на современном электронном рынке России – Рутокен, eToken от компании “Аладдин”, и электронный ключ от компании “Актив”. Рассмотрим наиболее часто задаваемые вопросы касательно PIN-кодов для токена на примере токенов этих производителей.

1. Какой PIN-код используется по умолчанию?

В таблице ниже представлены информация о PIN-кодах по умолчанию для токенов Рутокен и eToken. Пароль по умолчанию отличается для разных уровней владельцев.

2. Надо ли изменять PIN-код по умолчанию? Если да, то в какой момент работы с токеном?

PIN-код по умолчанию настоятельно рекомендуется изменить сразу после старта работы с токеном.

3. Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен?

Единственный выход — полностью очистить (отформатировать) токен.

4. Что делать, если PIN-код пользователя заблокирован?

Разблокировать PIN-код пользователя можно через панель управления токена. Для выполнения этой операции необходимо знать PIN-код администратора.

5. Что делать, если PIN-код администратора заблокирован?

Разблокировать PIN-код администратора невозможно. Единственный выход — полностью очистить (отформатировать) токен.

6. Какие меры безопасности предприняты производителями для снижения риска подбора пароля?

Основные пункты политики безопасности для PIN-кодов USB-токенов компаний “Аладдин” и “Актив” представлены в таблице ниже. Проанализировав данные таблицы можно сделать вывод, что eToken предположительно будет иметь более защищенный пин код. Рутокен, хоть и позволяет задавать пароль всего из одного символа, что небезопасно, по остальным параметрам не уступает продукту компании “Аладдин”.

Важность сохранения PIN-кода в секрете известна всем тем, кто использует токены в личных целях, хранит на нем свою электронную подпись, доверяет электронному ключу информацию не только личного характера, но и детали своих бизнес-проектов. Токены компаний “Аладдин” и “Актив” обладают предустановленными защитными свойствами и вместе с определенной долей предосторожности, которая будет проявлена пользователем, снижают риск подбора пароля до минимума.

Программные продукты Рутокен и eToken представлены в интернет-магазине Cryptostore.ru в различных конфигурациях и форм-факторах. Предлагаемый ассортимент позволит вам выбрать именно ту модель токена, которая наиболее отвечает вашим требованиям, будь то токен в виде USB-брелока или электронный ключ, дополненный флэш-картой для хранения ваших данных.