Содержание
- Pin-код Rutoken и Rutoken Lite. Как разблокировать носитель
- Как разблокировать PIN-код Рутокен?
- Программное обеспечение
- PIN-код для токенов: пароль с особыми правилами
- Как использовать персональный пароль
- Как узнать ранее введенный пароль
- Что делать, если забыл пароль и сертификат не устанавливался
- Можно ли как-то восстановить пароль от ЭЦП?
- Как получит новый сертификат
- Как изменить пароль по пин-коду администратора
USB-токен (или USB-ключ) – это не только средство для аутентификации в компьютерной ОС, а так же и удобное устройство для хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений.
В настоящий момент токены получили очень широкое распространение. USB-ключи куда более надежнее стандартной пары “логин/пароль” за счет механизма двухфакторной аутентификации, так как владелец ключа должен иметь сам ключ (токен), но и знать PIN-код (пароль) от него.
Самые популярные модели USB-токенов используемых в России – Рутокен, eToken от компании “Аладдин”, а так же JaCarta. Давайте рассмотрим наиболее часто задаваемые вопросы и ситуации касательно PIN-кодов для токенов используемых в России.
Вопрос: Какой PIN-код используется по умолчанию?
Ответ: Информацию о PIN-кодах по умолчанию для токенов Рутокен и eToken и JaCarta вы можете найти в специально подготовленной мною таблице ниже:
Модель токенов |
PIN-коды Пользователя |
PIN-коды Администратора |
|
Рутокен |
12345678 |
87654321 |
|
eToken |
1234567890 |
По умолчанию пароль администратора не установлен. Пароль может быть установлен через панель управления |
|
JaCarta PKI |
11111111 При использовании JaCarta PKI с опцией |
00000000 При использовании JaCarta PKI с опцией |
|
JaCarta ГОСТ |
Не задан |
1234567890 |
|
JaCarta PKI/ГОСТ |
Для PKI-функционала: 11111111 При использовании JaCarta PKI с опцией Для ГОСТ-функционала: PIN-код не задан |
Для PKI-функционала: 00000000 При использовании JaCarta PKI с опцией Для ГОСТ-функционала: 1234567890 |
|
JaCarta PKI/ГОСТ/SE (Обычно |
Для PKI-функционала: 11111111 Для ГОСТ-функционала: 0987654321 |
Для PKI-функционала: 00000000 Для ГОСТ-функционала: 1234567890 |
|
JaCarta PKI/BIO |
11111111 |
00000000 |
|
JaCarta PKI/Flash |
11111111 |
00000000 |
|
ESMART Token |
12345678 |
12345678 |
Вопрос: Нужно ли изменять PIN-код по умолчанию? Если да, то в какой момент работы с токеном?
Ответ: PIN-код по умолчанию рекомендуется изменить сразу после начала работы с usb-токеном.
Вопрос: Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен?
Ответ: Единственный выход — полностью отформатировать токен (это приведет к уничтожению информации на нем).
Вопрос: Что делать, если PIN-код пользователя заблокирован?
Ответ: Разблокировать PIN-код пользователя можно через оснастку управления токеном. Для разблокировки необходимо знать PIN-код администратора.
Вопрос: Что делать, если PIN-код администратора заблокирован?
Ответ: Разблокировать PIN-код администратора невозможно. Единственный выход — полностью отформатировать токен (это приведет к уничтожению информации на нем).
Надеюсь этой статьей я помог ответить на интересующие вопросы по USB-токенам, а так же сформировал отличную онлайн-шпаргалку по всем самым популярным токенам, которые используются в России.
На сегодня это всё о чем я хотел рассказать. Всем удачи и до новых встреч!
Pin-код Rutoken и Rutoken Lite. Как разблокировать носитель
Смарт-карты Рутокен и Рутокен Лайт используются как носители ключевой информации. Подробные сведения о данных носителях можно найти на сайте компании Актив — разработчика российских средств аутентификации.
Рутокен Рутокен Лайт
Стандартные pin-коды
12345678 — пользовательский PIN-код на Рутокен и Рутокен Лайт, установленный производителем.
При возникновении окна c просьбой ввести PIN-код, необходимо указать значение 12345678.
Для носителя Рутокен, если стандартный PIN-код (12345678) был самостоятельно изменен с помощью «Панели управления Рутокен», то в данном окне следует указывать новый PIN-код, назначенный при смене. Информация о новом пин-коде хранится только у абoнента и не известна спецоператору связи.
Как разблокировать PIN-код Рутокен?
PIN-код блокируется после 10 неверных попыток ввода.
Разблокировать Рутокен или Рутокен Лайт можно 2 способами:
- Через Панель управления Рутокен
- Через Крипто Про CSP
Как разблокировать PIN-код через Панель управления Рутокен
1. Открыть меню «Пуск» > «Панель управления» > «Панель управления Рутокен». Перейти на вкладку «Администрирование» и нажать на кнопку «Ввести PIN-код», выбрать пункт «Администриратор», ввести стандартный PIN-код — 87654321, нажать ОК.
2. После ввода PIN-кода администратора станет доступна кнопка «Разблокировать», нужно нажать на неё, появится сообщение об успешной разблокировке.
Как разблокировать pin-код через Крипто Про CSP
1. Открыть меню «Пуск» > «Панель управления» > «Крипто Про CSP». Перейти на вкладку «Оборудование» и нажать на кнопку «Настроить типы носителей».
2. Выбрать Rutoken или Rutoken Lite и нажать на кнопку «Свойства». Если в списке отсутствуют такие носители, то следует обновить модуль поддержки. Для этого рекомендуется воспользоваться сервисом Диагностики.
3. Перейти на вкладку «Информация» и нажать кнопку «Разблокировать PIN-код». Если вкладка «Информация» отсутствует, то следует обновить модуль поддержки. Для этого рекомендуется воспользоваться сервисом Диагностики.
Кнопка «Разблокировать PIN-код» будет неактивна, если смарт-карта не заблокирована. В этом случае будет отображена информация об оставшемся количестве попыток ввода пин-кода.
4. Появится сообщение об успешной разблокировке.
Разблокировать pin-код администратора без потери данных невозможно.
Программное обеспечение
Электронные ключи eToken – персональное средство аутентификации и защищённого хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронной цифровой подписью (ЭЦП). Модельный ряд eToken представлен USB-ключами, смарт-картами, комбинированными устройствами и автономными генераторами одноразовых паролей (OTP).
- Аппаратная поддержка работы с цифровыми сертификатами и электронно-цифровой подписью (ЭЦП);
- Универсальное устройство: применяется в любых приложениях, использующих технологии смарт-карт или PKI (Public Key Infrastructure);
- Сертифицированное решение: электронные ключи eToken одобрены ФСТЭК России и ФСБ России и могут применяться в рамках российского законодательства.
Описание eToken
Электронные ключи eToken компании Аладдин представляют собой компактные устройства, предназначенные для обеспечения информационной безопасности корпоративных заказчиков и частных пользователей. Решения eToken могут быть выполнены в виде смарт-карты или USB-ключа. Подобно Вашему компьютеру устройства eToken содержат процессор и модули памяти, функционируют под управлением своей операционной системы, выполняют необходимые прикладные программы и хранят Вашу информацию.
Электронные ключи eToken базируются на высокозащищенной платформе, разработанной для производства смарт-карт — области, в которой традиционно предъявляют повышенные требования к информационной безопасности. Поэтому ключи eToken фактически являются миниатюрным компьютером, обеспечивающим безопасное хранение Ваших персональных данных и надежно защищенным от несанкционированного вмешательства.
Модельный ряд электронных ключей eToken разработан таким образом, чтобы удовлетворить потребности большинства пользователей и Ваши индивидуальные запросы. Линейка USB-ключей и смарт-карт eToken включает в себя устройства, выполняющие базовые функции безопасности, а также комбинированные продукты, сочетающие в себе возможности нескольких устройств.
Модельный ряд eToken
- eToken PRO (Java)
Новое поколение USB-ключей и смарт-карт eToken, построенное на базе Java-карты с увеличенным объемом защищенной памяти для хранения пользовательских данных (72 Кб) и возможностью расширения функционала за счет загрузки дополнительных приложений (Java-апплетов). Выпускается в виде USB-ключа и смарт-карты. - eToken ГОСТ
Персональное средство формирования ЭЦП с неизвлекаемым закрытым ключом, предназначенное разработчикам систем дистанционного банковского обслуживания, электронных торгов, сдачи налоговой отчетности для встраивания в клиентскую часть, а также разработчикам СКЗИ для обеспечения надёжной защиты закрытых ключей и аппаратной реализации ЭЦП. Находится на сертификационных испытаниях в ФСБ России как средство криптографической защиты информации. - КриптоПро eToken CSP
Персональное средство формирования электронной цифровой подписи (ЭЦП) для юридически значимого электронного документооборота, государственных услуг и защиты персональных данных. Совместная разработка лидеров российского рынка информационной безопасности – компаний Крипто-Про и Аладдин. - eToken NG-FLASH (Java)
Комбинированный USB-ключ с дополнительным модулем Flash-памяти объёмом до 16 Гб для использования в системах информационной безопасности, сочетающий возможности смарт-карты и защищённого хранилища данных. - eToken NG-OTP (Java)
Комбинированный USB-ключ с генератором одноразовых паролей. Обладает всем функционалом электронных ключей eToken PRO (Java) для использования в PKI-системах и автономным режимом работы без подключения к компьютеру. Может быть использован в мобильных телефонах, смартфонах, а также обычных компьютерах, на которых отсутствуют или недоступны USB-порты (например, при работе в интернет-кафе или чужом офисе). - eToken PASS
Автономный генератор одноразовых паролей. Устройство не требует подключения к компьютеру и установки дополнительного программного обеспечения и может использоваться в любых операционных системах, а также при доступе к защищенным ресурсам с мобильных устройств и терминалов, не имеющих USB-разъема или устройства чтения смарт-карт. - eToken PRO Anywhere
USB-ключ, предоставляющий возможность безопасного доступа к Web-ресурсам с любого компьютера без предварительной установки программного обеспечения. - Сертифицированные электронные ключи eToken
Сертифицированы модели: eToken PRO, eToken PRO (Java), eToken PRO Anywhere, eToken NG-FLASH, eToken NG-FLASH (Java), eToken NG-OTP, eToken NG-OTP (Java), eToken GT. Электронные ключи eToken сертифицированы ФСТЭК России для использования в автоматизированных системах, обрабатывающих конфиденциальную информацию, и могут использоваться в ИСПДн до 1 класса включительно и для создания автоматизированных информационных систем до класса защищенности 1Г включительно. eToken является рекомендуемым носителем ключевой информации для сертифицированных СКЗИ (КриптоПро CSP, Крипто-КОМ, Домен-К, Верба-OW и др.).
* При заказе сертифицированных ключей или смарт-карт eToken необходимо указать номер сертификата ФСТЭК.
Для заказа ключей eToken с имплантированной RFID меткой или логотипом Вашей компании на корпусе ключа свяжитесь с нами.
PIN-код для токенов: пароль с особыми правилами
Токены, электронные ключи для доступа к важной информации, приобретают всю большую популярность в России. Токен сейчас – не только средство для аутентификации в операционной системе компьютера, но и удобное устройство для хранения и предъявления персональной информации: ключей шифрования, сертификатов, лицензий, удостоверений. Токены надежнее стандартной пары “логин/пароль” за счет механизма двухфакторной идентификации: то есть пользователь не только должен иметь в наличии носитель информации (непосредственно сам токен), но и знать PIN-код.
Основных форм-факторов, в которых выпускаются токены, три: USB-токен, смарт-карта и брелок. Защита при помощи PIN-кода чаще всего встречается в USB-токенах, хотя последние модели USB-токенов выпускаются с возможностью установки RFID-метки и с жидкокристаллическим дисплеем для генерации одноразовых паролей.
Остановимся подробнее на принципах функционирования токенов с PIN-кодом. PIN-код — это специально заданный пароль, который разбивает процедуру аутентификации на два этапа: присоединение токена к компьютеру и ввод собственно PIN-кода.
Наиболее популярные модели токенов на современном электронном рынке России – Рутокен, eToken от компании “Аладдин”, и электронный ключ от компании “Актив”. Рассмотрим наиболее часто задаваемые вопросы касательно PIN-кодов для токена на примере токенов этих производителей.
1. Какой PIN-код используется по умолчанию?
В таблице ниже представлены информация о PIN-кодах по умолчанию для токенов Рутокен и eToken. Пароль по умолчанию отличается для разных уровней владельцев.
| Владелец | Пользователь | Администратор |
| Рутокен | 12345678 | 87654321 |
| eToken | 1234567890 | По умолчанию пароль администратора не устанавливается. Может быть установлен через панель управления только для моделей eToken PRO, eToken NG- FLASH, eToken NG-OTP. |
| JaCarta PKI | 11111111 При использовании JaCarta PKI с опцией «Обратная совместимость» — PIN-код — 1234567890 | 00000000 При использовании JaCarta PKI с опцией «Обратная совместимость» — PIN-код не установлен |
| JaCarta ГОСТ | Не задан | 1234567890 |
| JaCarta PKI/ГОСТ | Для PKI-функционала: 11111111 При использовании JaCarta PKI с опцией «Обратная совместимость» — PIN-код — 1234567890 Для ГОСТ-функционала: PIN-код не задан | Для PKI-функционала: 00000000 При использовании JaCarta PKI с опцией «Обратная совместимость» — PIN-код не установлен Для ГОСТ-функционала: 1234567890 |
| JaCarta PKI/ГОСТ/SE | Для PKI-функционала: 11111111 Для ГОСТ-функционала: 0987654321 | Для PKI-функционала: 00000000 Для ГОСТ-функционала: 1234567890 |
| JaCarta PKI/BIO | 11111111 | 00000000 |
| JaCarta PKI/Flash | 11111111 | 00000000 |
| ESMART Token | 12345678 | 12345678 |
| карта IDPrime | 0000 | 48 нулей |
| JaCarta PRO/JaCarta LT | 1234567890 | 1234567890 |
2. Надо ли изменять PIN-код по умолчанию? Если да, то в какой момент работы с токеном?
PIN-код по умолчанию настоятельно рекомендуется изменить сразу после старта работы с токеном.
3. Что делать, если PIN-коды на токене неизвестны, а PIN-код по умолчанию уже сброшен?
Единственный выход — полностью очистить (отформатировать) токен.
4. Что делать, если PIN-код пользователя заблокирован?
Разблокировать PIN-код пользователя можно через панель управления токена. Для выполнения этой операции необходимо знать PIN-код администратора.
5. Что делать, если PIN-код администратора заблокирован?
Разблокировать PIN-код администратора невозможно. Единственный выход — полностью очистить (отформатировать) токен.
6. Какие меры безопасности предприняты производителями для снижения риска подбора пароля?
Основные пункты политики безопасности для PIN-кодов USB-токенов компаний “Аладдин” и “Актив” представлены в таблице ниже. Проанализировав данные таблицы можно сделать вывод, что eToken предположительно будет иметь более защищенный пин код. Рутокен, хоть и позволяет задавать пароль всего из одного символа, что небезопасно, по остальным параметрам не уступает продукту компании “Аладдин”.
| Параметр | eToken | Рутокен |
| Минимальная длина PIN-кода | 4 | 1 |
| Состав PIN-кода | Буквы, цифры, специальные символы | Цифры, буквы латинского алфавита |
| Рекомендуемая длина PIN-кода | Больше или равно 7 | До 16 |
| Администрирование безопасности PIN-кода | Есть | Есть |
| Защита от атак с использованием методов полного перебора и подбора по словарю | Есть | Есть |
| Значение по умолчанию счетчика неправильного ввода | 15 | 15 |
| Возможность менять значение счетчика неправильного ввода | Есть | Есть |
| Автоматическая блокировка при превышении количества попыток неправильного ввода | Есть | Есть |
| Обнуление счетчика при первой успешной попытке ввода PIN-кода | Есть | Есть |
Важность сохранения PIN-кода в секрете известна всем тем, кто использует токены в личных целях, хранит на нем свою электронную подпись, доверяет электронному ключу информацию не только личного характера, но и детали своих бизнес-проектов. Токены компаний “Аладдин” и “Актив” обладают предустановленными защитными свойствами и вместе с определенной долей предосторожности, которая будет проявлена пользователем, снижают риск подбора пароля до минимума.
Программные продукты Рутокен и eToken представлены в интернет-магазине Cryptostore.ru в различных конфигурациях и форм-факторах. Предлагаемый ассортимент позволит вам выбрать именно ту модель токена, которая наиболее отвечает вашим требованиям, будь то токен в виде USB-брелока или электронный ключ, дополненный флэш-картой для хранения ваших данных.
При установке ключа ЭЦП в операционную систему в первый раз необходимо ввести персональный пароль доступа. С его помощью открывается доступ к содержимому рутокена и программа (а именно — КриптоПро CSP) получает возможность с ним взаимодействовать. В будущем повторно этот PIN-код не запрашивается при использовании на том же ПК. А что делать, если код доступа был забыт или утерян? Как восстановить пароль ЭЦП?
Как использовать персональный пароль
В большинстве удостоверяющих центров при выдаче USB-токенов на них устанавливают стандартный код доступа (он присваивается автоматически):
- для рутокенов — это 12345678;
- для eToken — 1234567890;
- для смарт-карт (JaCarta) — 11111111.
Именно их и потребуется вводить при первом подключении носителя ключа сертификата к ПК и при последующей его установки в среду операционной системы. Естественно, пользователь на свое усмотрение в будущем может заменить пароль на любой другой с помощью КриптоПро CSP актуальной версии.
В некоторых же удостоверяющих центрах пароль ЭЦП по умолчанию устанавливают иной или вовсе генерируют случайный набор чисел. Его обязательно сообщают владельцу электронной подписи при выдаче токена.
Внимание! Крайне важно сохранить данный код доступа, но при этом его не следует сообщать третьим лицам, так как они впоследствии смогут установить ключ сертификата на любой другой ПК и использовать ЭЦП без ведома его владельца.
При использовании токена на определенном компьютере пароль вводится только один раз. Далее он автоматически запоминается устройством (добавляется к установленному контейнеру), поэтому повторно его вводить уже не потребуется. Но если будет произведена переустановка ОС или замечено определенное оборудование в ПК, то установку придется выполнять повторно, для генерации ключа снова потребуется один раз ввести пароль.
Мнение эксперта Михаил Житняков Ведущий специалист по программному обеспечению Важное замечание: в некоторых удостоверяющих центрах пароль от ЭЦП по умолчанию устанавливают свой собственный. Следует у представителя УЦ уточнять эту информацию. К примеру, ранее так делали в «Контур» для всех рутокенов версии 2.0, позже — стали применять стандартные.
Как узнать ранее введенный пароль
Как узнать пароль ЭЦП, если ключ сертификата уже установлен в операционную систему? Для этого понадобится установленная и активированная программа КриптоПро CSP версии 3.6 или выше.
Выполняется это следующим образом:
- Зайти в директорию, куда была установлена программа КриптоПро CSP. Если путь установки не менялся, то основная папка приложения будет расположена в «Program Files» на диске, где установлена Windows.
- В папке с установленной программой необходимо найти файл с названием «csptest» — именно с помощью данной утилиты можно посмотреть пароль, закрепленный за установленным в систему сертификатом.
- Запустить утилиту, в открывшемся окне ввести cd «C:Program FilesCrypto ProCSP» (обязательно соблюдать регистр и пунктуацию).
- Ввести команду csptest -keyset -enum_cont -fqcn -verifycontext. Она выведет список всех установленных в систему контейнеров ЭЦП (если на ПК используется только одна подпись, то в списке будет единственный пункт).
- Ввести команду csptest -passwd -showsaved -container «<xxxxxxxx>». Вместо xxxxxxxx необходимо указать наименование контейнера, по которому пароль и нужно получить (с соблюдением синтаксиса и регистра). После нажатия клавиши Enter будет выведена информация о введенном при установке ключе пароля и иная сервисная информация.
Важно! Этот метод работает только в том случае, если пользователь забыл какой пароль на ЭЦП использовался при его установке, но сам сертификат при этом уже был инсталлирован в операционную систему. Сам рутокен при этом не понадобится. А вот сбросить PIN-код по умолчанию таким образом не получится. Кстати, для выполнения данной процедры не обязательно иметь лицензированный КриптоПро. Достаточно просто установить данную программу без ввода лицензионного ключа.
Утилиту csptest можно скачать отдельно, она распространяется бесплатно в форме bat-файла. Однако полноценно работать она будет только при установленных КриптоПро CSP (так как использует их исполнительные файлы).
Что делать, если забыл пароль и сертификат не устанавливался
Если же сертификат в ОС не установлен или выполнялась переустановка Windows, но пароль для доступа к ЭП утерян, то следует попробовать воспользоваться вышеуказанными паролями по умолчанию. Если же и этот вариант не сработает, то воспользоваться своей электронной подписью пользователь уже не сможет. Ему потребуется повторно обращаться в удостоверяющий центр и регистрировать новый ЭЦП. То же самое следует выполнять, если носитель ключа сертификата был механически разрушен.
Можно ли как-то восстановить пароль от ЭЦП?
Мнение эксперта Михаил Житняков Ведущий специалист по программному обеспечению Нет, такой возможности не предусмотрено. Это сделано для того, чтобы минимизировать риск компрометации электронной подписи третьими лицами. Даже если они завладеют самим токеном, то восстановить пароль к ЭЦП или сбросить его к «заводскому» у них не получится, так как такая возможность не предусмотрена даже на аппаратном уровне устройства. Сделать это можно только с помщью КриптоПро CSP и только с того компьютера, где ранее был установлен сертификат ЭЦП.
Как получит новый сертификат
Что делать если забыл пароль от ЭЦП и восстановить его невозможно? Повторно обращаться в удостоверяющий центр и выпускать новый сертификат. При этом ранее выданная подпись, независимо от срока её действия, будет аннулирована, при попытке подписать ею документ или пройти проверку подлинности ключа ничего не получится, так как на шлюзе Минкомсвязи ЭЦП будет считаться как недействительной. Соответственно, подписанные ею файлы не будут иметь юридическую силу.
Справка: для выпуска новой ЭЦП можно использовать ранее выданный рутокен, покупать новый не обязательно.
Потребуется предоставить в удостоверяющий центр базовый набор документов:
- паспорт;
- ИНН;
- СНИЛС;
- выписка из реестра ФНС (только для предпринимателей).
Далее — все стандартно. Нужно будет оплатить стоимость выпуска нового сертификата, изготавливают его в течение 2 — 4 дней. После его получения можно его использовать для авторизации на сайтах портала Госуслуг.
Как изменить пароль по пин-коду администратора
Именно на USB-рутокенах предусмотрена возможность разблокировки и «обнуления» пароля с панели администратора КриптоПро CSP. Только после того, как будет установлен стандартный пароль ЭЦП потребуется также переустановить сертификаты, установленные в среду ОС.
Итак, разблокировка выполняется следующим образом:
- запустить КриптоПро CSP из панели управления;
- выбрать «Ввести PIN-код» (в закладке «Администрирование»);
- выбрать «Администратор» и ввести код 87654321;
- нажать «Ок», в появившемся окне — «Разблокировать».
После — будет установлен стандартный PIN-код. Но это сработает лишь в том случае, если PIN-код администратора не менялся с момента получения USB-рутокена. В некоторых удостоверяющих центрах данный PIN-код ставят другой — следует у них же и уточнять эту информацию. После разблокировки рутокена его стандартный пароль будет 12345678. Его же можно будет использовать для установки нового сертификата в Windows.
Эта процедура не позволит узнать какой пароль на ЭЦП по умолчанию использовался ранее, но дает возможность установить новый. Естественно, в дальнейшем его рекомендуется изменить.
Итого, как поменять пароль на ЭЦП если забыл? Если стандартные, используемые по умолчанию, не подходят, то изменить код удастся только на рутокенах, но только при наличии PIN-кода администратора. В остальных случаях узнать ранее введенный PIN-код можно только при установленном в ОС сертификате ЭЦП. В других ситуациях — токен будет заблокирован и восстановить его не получится, потребуется перевыпуск сертификата.