Как изменить пароль от эцп ключа

Для подписи юридически значимых документов, электронного документооборота в России преимущественно используют электронные ключи или токены. Они значительно надежней привычной пары «login-password» за счет наличия двухфакторной аутентификации, когда кроме PIN-кода (пина) необходим накопитель информации, которое может быть одно из следующих видов:

• USB-накопитель;
• брелок;
• смарт-карта.

Разновидности кодов доступа на подписи Рутокен

Для подписи документов ЭЦП надо знать два типа подобных кодов:

• пользовательский (при заводских параметрах на токене установлено число 12345678);
• администраторский (при заводских параметрах на токене установлено число 87654321).

PIN-код «Пользователя» обязателен для перехода непосредственно к электронной цифровой подписи и объектам, расположенным на вашем компьютере (пара ключей доступа, сертификат). Он понадобится для работы с рядом программного обеспечения от сторонних разработчиков.

PIN-код «Администратор» нужен для управления паролем «Пользователя» и внесения корректировок в настройки устройства. Его используют только внутри панели управления токена.

Как сохранить и обезопасить данные

Утеря ПИНа автоматически означает компрометацию электронной цифровой подписи и повышает риск использования ЭП злоумышленниками. Выходом здесь будет генерация новой ЭЦП, а предупредит проблемы соблюдение простейших правил безопасности:

• не держите в одном месте или рядом ЭЦП Рутокен и PIN-коды от него;
• не передавайте токен и пароль третьим лицам, включая системных администраторов, знакомых, членов семьи, коллег;
• пароли должны быть записаны и храниться в надежном недоступном для третьих лиц месте.

При выдаче Рутокена пароль Администратора или Пользователя могут не выдаваться. В этом случае они равны значениям по умолчанию (приведены выше).

Как изменить ПИН

Чаще всего при выдаче Рутокена на нем установлены стартовые версии паролей. Для снижения риска потери данных необходимо его перед началом использования заменить на новый. При задании обновленного пароля придерживайтесь следующих рекомендаций:

• длина должна составлять 6-10 символов (меньшее их число значительно увеличивает вероятность подбора, а большее потенциально ведет к росту числа ошибок при его введении);
• идеальным будет пароль, включающий в себя одновременно цифры, латинские буквы, специальные символы и пробелы (лучшим с точки зрения безопасности будет их перемешивание);
• откажитесь от использования в качестве обновленного ПИНа известных слов, устойчивых сочетаний;
• не используйте наборы символов, представляющих комбинации типа qwerty и другие, где элементы находятся на соседних кнопках;
• избегайте использования в качестве PIN-кода личных данных;
• на разных устройствах ЭЦП Рутокен должны быть разные пароли.

Как скорректировать ПИН Пользователя после получения ЭЦП Рутокен

Делать это необходимо сразу после получения для увеличения уровня безопасности, так как типовой пароль известен и одинаков для всех токенов. Изменить PIN-код Пользователя можно по следующему алгоритму:

• подключите ЭЦП Рутокен к вашему рабочему компьютеру;
• зайдите в «Панель управления Рутокен»;
• введите актуальный ПИН Пользователя;
• перейдите в раздел-секцию «Управление PIN-кодами»;
• нажмите активную кнопку «Изменить» (если она неактивна, то обратитесь к системному администратору вашего токена);
• в поле «Введите новый PIN-код» и «Подтвердите новый PIN-код» введите придуманный вами пароль доступа (для проверки его надежности вы увидите индикатор, который должен получить зеленый цвет);
• подтвердите изменения нажатием на кнопку ОК.

Как войти в Рутокен с помощью пин-кода

После подключения токена к ноутбуку либо компьютеру выполните следующие действия:

• откройте «Панель управления Рутокен»;
• нажмите один раз кнопку «Ввести PIN-код»;
• введите пользовательский пароль;
• нажмите кнопку ОК.

Если ПИН был введен корректно, то появится кнопка «Выйти». В противном случае на окне появится сообщение с указанием числа попыток до блокировки. Если произошла последняя, то на экране появится соответствующее сообщение.

Как разблокировать Рутокен после неправильных вводов PIN-кода Пользователя?

Выполните действия по следующему алгоритму:

• подключите к ноутбуку или ПК ваш Рутокен;
• зайдите в «Панель управления»;
• введите актуальный PIN-код Администратора;
• щелкните в разделе «Управление PIN-кодами» по кнопке «Разблокировать»;
• нажмите кнопку ОК на окне с сообщением о разблокировке.

Основные нюансы работы с PIN-кодами Администратора

Этот пароль служит для административного управления токеном, его кодами. Он должен находиться в надежном недоступном для третьих лиц месте (в идеале, знать его должен только администратор). По умолчанию он представляет собой число 87654321.

Рутокен имеет счетчик неверных попыток для ввода PIN-кода «Администраторы» (если не изменены заводские настройки, то значение равно 10). Оставшееся количество этих попыток указывается на экране после неверного ввода (автоматически сбрасывается на первоначальное значение при правильном вводе). Если их не осталось, то необходимо сбросить токен до изначальных заводских настроек, что приведет к потере всех хранящихся на токене данных.

Как скорректировать ПИН Администратора

Для изменения действующих настроек придерживайтесь следующего алгоритма:

• подключите Рутокен к вашему устройству;
• перейдите в раздел «Панель управления Рутокен»;
• введите актуальный пароль Администратора;
• перейдите в подраздел «Управление PIN-кодами»;
• кликните по кнопке «Изменить»;
• введите придуманный пароль в полях «Введите новый PIN-код», «Подтвердите новый PIN-код» (для контроля его сложности служит индикатор безопасности, который должен, в идеале, стать зеленым);
• подтвердите изменения, нажав кнопку «ОК».

Как вернуться к заводским настройкам Рутокен

Подобное возможно только при случае, когда пользователь 10 раз неправильно ввел пароль Администратора. Об этом сообщит информационное окно, а для последующего сброса не понадобится введение паролей. Перед выполнением подобной процедуры необходимо учитывать ряд моментов:

• после возврата к заводским настройкам все данные с токена, включая сертификаты и ключи, будут удалены;
• при возврате к заводским параметрам на ЭЦП Рутокен будут удалены все данные, сохраненные на карте памяти;
• во время возврата нельзя отключать токен из-за риска его повреждения, когда понадобится покупка нового.

Непосредственно возврат Рутокен к исходным настройкам идет следующим образом:

• подключите ваш токен к компьютеру;
• откройте «Панель управления Рутокен»;
• перейдите во вкладке «Форматирование токена»;
• нажмите кнопку «Форматировать»;
• укажите в окне под названием «Форматирование токена» ключевые параметры (они будут рассмотрены чуть ниже);
• нажмите кнопку «Начать»;
• подтвердите форматирование, нажав на кнопку ОК;
• дождитесь завершения процедуры;
• нажмите ОК для подтверждения завершения процесса.

Перед началом форматирования необходимо заполнить ряд установочных основных данных Рутокена, которые будут действовать после возврата к заводским стартовым настройкам:

• имя устройства;
• политика смены пароля Пользователя;
• установление нового пароля Администратора;
• указание минимальной и максимальной длины пароля Пользователя и Администратора;
• установление максимального числа попыток ввода пароля Пользователя и Администратора.

Изменение политики по смене пользовательского PIN-кода

Перед форматированием можно установить способы изменения пароля Пользователя. Здесь 3 варианта переключателей:

• «Пользователь»;
• «Пользователь и Администратор»;
• «Администратор».

Каждый из пунктов имеет ряд специфических ограничений. Например, при установке переключателя в позицию «Пользователь» можно изменить ПИН только после ввода прежнего варианта. Одновременно есть 2 важных ограничения:

• использование PKCS#11 возможно с помощью С_InitToken();
• изменение ПИНа Администратора возможно при использовании криптографического сервиса Microsoft Base Smart Card Crypto Provider.

При установке галочки напротив пункта «Администатор» вы сможете изменить PIN-код Пользователя только при введении администраторского пароля. Одновременно теряется возможность изменения ПИН Администратора с использованием встроенного сервиса Microsoft Base Smart Card Crypto Provider.

Если вы установите переключатель в положение «Пользователь и Администратор», то появится возможность изменить пользовательский PIN-код при знании любого из действующих.

Способы установки PIN-кода Администратора и Пользователя

Для выполнения действия предварительно снимите флажок с позиции «Использовать PIN-код по умолчанию» (иначе для доступа достаточно будет ввести 12345678 или 87654321). Затем в соответствующих полях введите новые значения. Также обратим внимание на возможность выбора минимальной и максимальной длины паролей. Оптимальным с точки зрения безопасности и удобства при использовании вариантом будет установка на уровне в 6 и 10 символов соответственно.

Способы защиты от указания слабого PIN-кода

Все виды паролей делят на 3 группы: надежные, средние и слабые. Для предотвращения использования последних и повышения общей безопасности достаточно настроить индивидуальную политику для задания PIN-кодов, которая будет действовать при их смене. Для этого в ЭЦП Рутокен есть несколько ключей инсталляторов (отдельно они будут рассмотрены чуть ниже):

• DEFPIN;
• PINENCODING;
• PPACCEPTBLEBEHAVIOR;
• PPMINPINLENGTH;
• PPDEFAULTPIN;
• PPONESYMBOLPIN;
• PPONLYNUBERALS;
• PPONLYLETERS;
• PPCURRENTPIN;
• PPBADPINBEHAVIOR;
• PPACCEPTABLEPINBEHAVIOR;
• PPPINLENGHTWEIGHT;
• PPBADPINBORDER;
• PPBOODPINBORDER.

DEFPIN (параметр, установленный в рамках базовых настроек, – NO) задает политику по выводу специального сообщения при сохранении установленного ранее по умолчанию ПИН с предложением его изменить.

PINENCODING (параметр, установленный в рамках базовых настроек, — ANSI) определяет политику в использовании любых символов кодировки UTF-8. Если значение установлено на значении UTF-8, то будет разрешено устанавливать PIN-код, где есть символы в этой кодировке (это доступно исключительно для ЭЦП Рутокен). Если будет установлено значение ANSI, то использовать символы кодировки UTF-8 запрещено.

PPACCEPTBLEBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность применения PIN-кода со «слабой» надежностью. При установлении параметра на уровне 0 это допускается, а на уровне два подобное запрещено. При значении 1 появляется предупреждающее окно, что требует дополнительного подтверждения для использования слабого по уровню защиты пароля.

PPACCEPTABLEPINBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования пароля со «средним» уровнем безопасности. При значении 0 это допускается, а если значение 1, то будет выведено соответствующее сообщение с предупреждением.

PPONLYNUBERALS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в пароле только цифр. Если значение 0, то это допустимо, а если 1, то запрещено.

PPONLYLETERS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в новом пароле для доступа исключительно букв. Если значение 0, то это допустимо, а если 1, то запрещено.

PPONESYMBOLPIN (параметр, установленный в рамках базовых настроек, – 0) политика определяет возможность указания PIN-кода, включающего только один повторяющийся символ. При установлении параметра в значение 0 это допустимо, а если 1, то запрещено.

PPCURRENTPIN (параметр, установленный в рамках базовых настроек, – 0) политика предусматривает возможность установки PIN-кода, который полностью совпадает с прежним. При значении 0 это допустимо, а если 1, то запрещено.

PPDEFAULTPIN (параметр, установленный в рамках базовых настроек, — 0) определяет возможность использования PIN-кода по умолчанию. При значении 0 это разрешено, а если 1, то запрещено.

DEFPIN (параметр, установленный в рамках базовых настроек, – NO) определяет вывод сообщения при применении заводского пароля. Если выбрано положение YES, то после ввода будет появляться на экране каждый раз окно с предупреждением: «Вы используете PIN-код по умолчанию для этого токена. Хотите его сейчас поменять?» Если выбрано положение NO, то окно не выводится.

PPMINPINLENGTH (параметр, установленный в рамках базовых настроек, — 1) определяет минимальное значение PIN-кода в символах и может составлять от 1 до 16.

PPBADPINBORDER (параметр, установленный в рамках базовых настроек, – 0) определяет границу, которая отделят «средние» пароли от «слабых». Может составлять от 0 до 100.

(параметр, установленный в рамках базовых настроек, – 100) политика определяет границу, которая отделяет «надежные» PIN-коды от «средних». Значение это обязательно должно оставаться выше PPBADPINBORDER.

PPPINLENGHTWEIGHT (параметр, установленный в рамках базовых настроек, – 73) значение определяет суммарное значение длины пароля в общей оценки его сложности. Может составлять от 0 до 100.

Как изменить политики

Для корректировки необходимо ввести команду следующего типа: <путь к папке, где расположен файл rtDrivers.exe>rtDrivers.exe конкретный ключ меняемой политики = новое значение. Например: C:UsersuserDownloadsRutokenrtDrivers.exe PPMINPINLENGTH=6 PPONLYNUMERALS=0 PPCURRENTPIN = 1. В данном примере мы устанавливаем минимальную длину нового пароля на уровне в 6 символов и одновременно при смене он должен отличаться от предыдущего, допускается использование пароля, состоящего из ряда цифр.

Вторым вариантом изменения конкретных политик будет использование Панели управления Рутокен. Здесь необходим пароль Администратора и понимание, что изменения касаются только конкретного компьютера. Для учета конкретных, которые понадобятся для оценки актуальной степени безопасности установленного, выполните следующие действия:

• откройте в настройках «Панель управления Рутокен»;
• зайдите во вкладку «Настройки»;
• перейдите теперь в секцию «Политики качества PIN-кода»;
• щелкните по кнопке «Настройка»;
• выберите в выпадающем списке «Считать PIN-код слабым при длине меньше, чем» нужно число (оптимальное на практике значение – 6);
• в секции «Политики» установите галочки напротив интересующих вас политик;
• установите параметр «Запретить использование» в перечне «Если задан слабый PIN-код» при желании не допустить использование последних;
• установите значение «Предупреждать» в списке «Если задан средний PIN-код» при желании информировать при попытке задать соответствующий пароль;
• подтвердите изменения нажатием на кнопку «ОК»;
• примените изменения нажатием кнопки «Применить»;
• разрешите корректировки на ноутбуке или компьютере нажатием кнопки «Да».

Как разблокировать PIN-код?

Для предотвращения возможности подбора в Рутоке предусмотрено ограничение на количество попыток неверного ввода пользовательского или администраторского пароля (по умолчанию показатель установлен на уровне в 10 и может быть изменен во время форматирования). По умолчанию действуют следующие правила:

• если блок на PIN-коде Пользователя, то восстановить возможность доступа поможет ввод пароля Администратора;
• если блок пине Администратора, то выходом становится только возврат к заводским первоначальным настройкам методом форматирования;
• если блок на PIN-коде защищенного раздела, то получить вновь к нему доступ поможет пароль Администратора;
• при отключении Рутокена от компьютера счетчик неверных попыток ввода не сбрасывается;
• при введении любого правильного кода счетчик по нему возвращается автоматически в исходное положение.

Работа с PIN-кодами через утилиту rtAdmin

Для упрощения администрирования устройства, смены меток, кодов, управлением разделами можно использовать специальную утилиту rtAdmin 2.0. Существуют версии для работы на компьютерах под управлением операционных систем Windows, Mac OS, Linux (соответствующую версию надо скачать с сайта разработчика токена). После установки ее можно запустить из командной строки, где в зависимости от вводимых параметров можно выполнить следующие действия:

• форматирование Рутокена;
• вывод или установка паролей Администратора или Пользователя;
• загрузка значений паролей из файлов либо их генерация;
• корректировка политики смены PIN-кодов;
• установка меток токена в разных кодировках;
• установление прав доступа.

Конкретные команды можно подать из командной строки, введя наименование исполняемого файла (rtadmin.exe) и набор нужных параметров.

Специфика работы с PIN-кодами смарт-карты Рутокен

В последнее время все более популярными стали смарт-карты Рутокен, которые по техническим возможностям схожи с традиционными USB-накопителями. Они имеют одинаковые функции, но для работы непосредственно с PIN-кодами есть несколько моментов. Речь в необходимости иметь при работе с компьютером считыватель для смарт-карт. Если же в планах использование мобильного устройства, то на последнем должен быть активирован NFC-модуль (последний по умолчанию есть во всех смартфонах за исключением моделей бюджетной категории).

По умолчанию подобные смарт-карты имеют стандартные PIN-коды для работы в режиме Пользователя и Администратора (12345678 и 87654321).

Как изменить пароль смарт-карты Рутокен с помощью компьютера

При использовании ноутбука или ПК под управлением Windows сначала понадобится загрузка и установка полного комплекта драйверов Рутокен, что можно сделать с помощью официального сайта разработчика либо УЦ, где вы оформили ЭЦП. Теперь подключите смарт-карту следующим образом:

• вставьте смарт-карту в считыватель (если последний контактный);
• приложите смарт-карту к считывателю (если последний бесконтактный);
• подключите считыватель к USB-разъему компьютера.

Если действия выполнены корректно, то загорится индикатор, а при последних он будет либо неактивен, либо начнет мигать (конкретное зависит от модели считывателя).

Для изменения пароля выполните следующие действия:

• откройте в настройках «Панель управления Рутокен»;
• выберите пункт «Подключенные Рутокен» в выпадающем списке смарт-карту;
• щелкните по кнопке «Ввести PIN-код»;
• переключитесь в положение «Администратор»;
• введите пароль Администратора;
• подтвердите действие нажатием на ОК;
• перейдите в раздел «Управление PIN-кодами»;
• щелкните по кнопке «Изменить»;
• поставьте переключатель в нужное положение в зависимости от вида вводимого пароля;
• введите дважды новый пароль;
• нажмите кнопку ОК.

Дополнительно через Панель управления вашего ЭЦП Рутокен можно узнать всю ключевую информацию о смарт-карте. Речь про идентификатор, прошивку, флаг состояния, суммарный объем доступной и свободной памяти, возможность работы по каналу ФКН и так далее.

Современная система налогообложения «nalog.ru» включает в себя возможность сдачи отчетностей через интернет как для малых, средних, крупных компаний, так и для индивидуальных предпринимателей.

Поэтому электронной цифровой подписью (ЭЦП) владеют практически все налогоплательщики.  В этой статье мы подробно рассмотрим виды электронных подписей, инструкцию по их восстановлению и способы изменения пароля.

Виды защиты электронной подписи, отличия пин-кода от пароля

На все электронные подписи устанавливается один тип защиты: пароль или пин-код. Первый вариант применяется для ЭП, сохранённой в памяти компьютера.

Он помогает защитить контейнер электронной подписи (папку с файлами), а именно – сертификат, а также закрытые и открытые ключи.

Впервые владелец сталкивается с паролем при выпуске ЭП, затем сохраняет его в реестр ПК или на обычную флешку. Он должен его самостоятельно придумать и указать в специальном окошке.

Важно! Многие удостоверяющие центры устанавливают на электронную подпись стандартный пароль, его в дальнейшем можно будет поменять. Их формирование происходит автоматическим методом выдачи уже известных комбинаций.

После чего данный пароль запрашивается при подписи документов, во время работы с электронной торговой площадкой или входа на сервис. Однако, можно сохранить пароль в системе, и выполнять вход автоматически.

Вторым видом защиты является пин-код, который записывается на usb-носитель (токен). Он помогает надежно защитить информационные данные от мошенников.

При записи ЭП на токен владелец первый раз вводит пин-код. Если необходимо войти на новый носитель, то потребуется ввести стандартное значение (так, например, для Рутокена 12345678).

После чего каждый раз, при использовании ЭП, нужно будет его вводить, но можно применить функцию сохранения пароля.

Что делать, если не получается использовать электронную подпись из-за пароля или пин-кода

Если пин-код или пароль владелец ЭЦП по какой-либо причине забыл, то его не получится восстановить.

В такой ситуации вам не помогут даже в удостоверяющем центре, где занимаются выпуском сертификатов, так как они не хранят пароли ЭП. Поэтому попытайтесь вспомнить или подобрать заветную комбинацию.

Инструкция по восстановлению пароля и пин-кода электронной подписи

Пользователи лично формируют пароль к сертификату. Поэтому в случае его потери, потребуется самостоятельно восстанавливать комбинацию. Для этого необходимо следовать определенной инструкции:

1. Поищите файл или документ с сохраненными или записанными символами. В будущем лучше всего сохранять данные в доступном месте с хорошей защитой. Так, например, их можно хранить в сейфе, специальной программе на смартфоне или особой папке на компьютере.
2. Если пользователь забыл или ему негде посмотреть пароль, то нужно попробовать подобрать комбинацию символов. Для ввода доступно неограниченное количество попыток, поэтому пробуйте и подбирайте из наиболее подходящих вариантов.
3. Выполните копирование файлов с ЭЦП. Однако такой способ поможет далеко не всегда. Если у вас стоит автоматическое заполнение пароля при установке сертификата, то попробуйте скопировать контейнер ЭП без его ввода. Для этого нужно перенести данные на другой съемный носитель. В случае если в момент копирования система не запрашивает код, то работать с электронной подписью получится и на другом ПК.

Если вы не смогли восстановить пароль самостоятельно, тогда стоит отозвать действующий и выпустить новый сертификат ЭЦП. Для этого подайте заявку в удостоверяющем центре, где вам сгенерируют новый ключ.

Внимание! При окончательной потере пароля, вы не сможете его восстановить! Поэтому необходимо записать секретную комбинацию в бумажном или другом надежном варианте.

Несмотря на то, что восстановить пин-код невозможно так же, как и обычный пароль ЭП, существуют способы, по которым вы сможете подобрать нужную комбинацию для токена.

Для начала попробуйте воспользоваться заводским пин-кодом (12345678), который устанавливается по умолчанию. Появление ошибки на дисплее указывает на то, что комбинация была изменена пользователем.

Если заводская комбинация не помогла, можно воспользоваться правами администратора. Для этого следуйте инструкции:

1. Войдите в панель управления носителя-токена (раздел «Администрирование»).
2. Кликните по блоку «Администратор», затем введите пароль (87654321).
3. Если код не подходит к хранилищу, тогда стоит попытаться подобрать значение, для этого дается 10 попыток.
4. Перейдите в раздел «Администрирование», затем кликните по «Разблокировать».
5. Сбросьте количество попытки ввода программой КриптоПро. Для этого откройте папку с файлом «Оборудование» и настройте тип носителя.
6. Выберите нужный токен, кликните по свойствам и откройте «Информацию». После чего потребуется разблокировать код.
7. Сбросьте настройки и опять попробуйте ввести подходящую комбинацию.

Если и таким образом доступ получить не удалось, стоит обратиться в удостоверяющий центр для получения нового ключа. Вам потребуется отозвать действующий ЭП и заполнить заявку на оформление нового сертификата.

Проверка заводских паролей

На все новые токены по умолчанию устанавливаются стандартные пароли. Можно воспользоваться им для получения доступа к сертификату электронной подписи. Для разных носителей подходят различные значения:

• JaCarta LT и JaCarta, eSmart, «Рутокен» комбинация – 12345678;
• eToken имеют стандартный пароль – 1234567890;
• на Jacarta SE установлен следующий код – 1111111 для PKI-части, а также 0987654321 для ГОСТ-части.

Пошаговая инструкция по подбору пин-кода

Если вы ввели стандартный пароль к токену, но он оказался неверным, это означает что вы изменили его во время записи сертификата. В таком случае доступ к ЭП можно получить только путем подбора возможных комбинаций.

На подбор пин-кода к любому токену предоставляется 10 попыток. После того как вы 10 раз введете неверную комбинацию символов, сертификат будет заблокирован.

В таком случае вы можете попробовать увеличить количество попыток, путем их сброса. Для этого необходимо войти в токен как администратор и выполнить разблокировку пин-кода:

1. Войдите в панель управления, затем «Рутокен» и во вкладку «Администрирование».
2. Введите одну из стандартных комбинаций: для Рутокена – 87654321, для Jacarta SE — 00000000 для PKI-части и 1234567890 для ГОСТ части. Если введенный пин-код неправильный, значит комбинация была изменена на личную.
3. Разблокируйте пин-код на токене. Нажмите на вкладку «Администрирование и кликните по «Разблокировать».

Следуя указанной инструкции, вы сможете сбросить количество попыток и попробовать подобрать комбинацию пароля. В случае если вспомнить пин-код не получится тогда, потребуется создать новый ключ.

Восстановление с помощью КриптоПРО

Если вы не знаете где взять пин-код администратора, тогда можно воспользоваться специальной программой КриптоПро CSP. Для этого выполните следующее:

1. Откройте утилиту, найдите вкладку «Оборудования» и кликните по «Настроить типы носителей».
2. Выберете свой токен, затем перейдите в раздел «Информации».
3. Разблокируйте пин-код.

После выполнения этих действий счетчик попыток сбрасывается. Однако если вы не узнаете правильную комбинацию, то не сможете получить доступ к ЭЦП.

В таком случае вам потребуется получить новый сертификат для электронной подписи. Можно брать старый токен, но для этого его необходимо отформатировать.

Как поменять пароль электронной подписи

Для того чтобы поменять пароль в ЭЦП войдите в «Главное меню», затем «Администрирование». Кликните по «Сертификаты» и пункту «Установленные сертификаты».

Найдите нужный и нажмите на него правой кнопкой мыши, выберете «Смена секретного ключа». После чего в открывшемся окне укажите папку в которой содержатся секретные ключи.

Затем потребуется ввести старый код и дважды указать новый пароль к выбранному секретному ключу. Если вы делали все правильно, то появится уведомление о том, что пароль успешно изменен.

Работа с ЭЦП требует установление определённой защиты. Поэтому первичной установке в систему требуется ввести первоначальный пароль к сертификату электронной подписи. Он является персональным.

Пароль к рутокену и программе необходим для получения доступа. Потом, если установить настройки, его повторно вводить не надо.

Что такое пароль к сертификату ЭП

ЭЦП хранится на USB-носителе, который разбит на части, при этом место, где храниться программа и ключ, имеют защиту. Защита устанавливается с помощью специального персонального пароля.

Таким образом, пароль к сертификату ЭЦП представляет собой набор символом, который необходимо ввести, чтобы получить доступ к самой подписи. Также он открывает путь к программе работы с ЭЦП, например, КриптоПро CSP.

Данный пароль является обязательным при первичном установлении сертификата на компьютере. В дальнейшем можно настроить так, чтобы запрос не производился. Но это только доступно в отношении одного компьютера. При установке на другой ввести пароль заново придётся.

Большинство удостоверяющих центров устанавливают стандартные пароли, которые в дальнейшем каждый владелец подписи сможет сменить на личный. Они формируются автоматически и представляют заранее известный набор цифр. Удобно тем, что его можно узнать, если вдруг забудешь.

Некоторые удостоверяющие центры предпочитают генерировать случайный набор чисел. Либо могут использовать свой пароль.

Правила использования персонального пароля

Пароль обеспечивает доступ к имеющейся электронной подписи. Если им всё-таким завладели злоумышленники, при этом имея доступ к носителю с ЭЦП, они могут получить доступ к банковским счетам фирмы, а также к личным кабинетам различных государственных ведомств, через которые они могут, к примеру, оформить продажу компании.

Поэтому, первым делом после того, как произошло получение нового сертификата, необходимо уточнить — какой пин-код установлен на ключевом носителе.

Если это стандартный заводской код, то крайне желательно его сменить на новый. Кроме пин-кода пользователя целесообразно сразу менять и пин-код администратора.

Но если новый код по какой-либо причине будет утерян либо забыт, произвести процедуру сброса уже не удастся — необходимо будет выпускать новую ЭЦП и приобретать новый ключевой носитель.

При создании нового пароля нужно учитывать следующее:

• Его длина должна быть не меньше 6 символов;
• Желательно использовать не только цифры, но и буквы в разных регистрах. А также специальные символы;
• Не должны использоваться стандартные и легко вычисляемые комбинации символов;
• При смене пароля новый должен отличаться от старого как минимум по 4 знакам;
• Нельзя никому его сообщать, а также не хранить его в легко доступных местах.
• Желательно менять его каждые 6 месяцев.

Как узнать ранее введенный пароль?

Если пользователь забыл пароль, который был введен при добавлении сертификата в систему, он может узнать его при помощи программы «csptest».

Для этого необходимо сделать по шагам следующие действия:

• На данном компьютере должен быть установлен пакет «Крипто Про» версии не меньше 3.6. Первым делом нужно открыть каталог с установленной программой, который обычно располагается в системной папке «Program Files».
• В указанной папке должен располагаться программный файл, который имеет имя «csptest». Нужно запустить его.
• Откроется окно программы, в которое нужно ввести специальную команду cd «C:/Program Files/Crypto ProCSP». При вводе команды нужно соблюдать регистр и вводить все указанные символы.
• Следующим этапом после исполнения первой команды вводится новая: csptest -keyset -enum_cont -fqcn –verifycontext. На экране отобразятся имена всех контейнеров с ключами, которые в данный момент находятся в системе. Необходимо найти среди них требуемый контейнер и записать его имя с точностью до каждого символа.
• Дальше в то же окно необходимо набрать команду csptest -passwd -showsaved -container «контейнер» Где «контейнер» – это имя контейнера, которое было установлено на предшествующем шаге.

Программа отобразит сервисную информацию, среди которой будет и пин код для контейнера криптопро.

Что делать если забыл пароль

Если пользователь забыл пароль от носителя либо сертификата, то вариантов действия где взять пин-код у него несколько:

1. Если забыл пароль от контейнера ключа:
   1. Попытаться его вспомнить. Если сертификат устанавливался сторонним специалистом, обратиться к нему для уточнения информации.
   2. Использовать программу «csptest» из стандартного пакета «Крипто Про», которая позволяет просмотреть установленный пароль на контейнер.
   3. Проверить наличие копии данного сертификата, которая не защищена паролем. В этом случае можно будет установить вторую копию ЭЦП, но уже без парольной защиты.
2. Если забыт пароль от защищенного носителя, то действий как восстановить пароль ЭЦП несколько:
   1. Попытаться использовать один из стандартных пин-кодов, которые устанавливаются на заводе.
   2. Обратиться к представителю удостоверяющего центра — возможно, пин-код был изменен перед передачей носителя заказчику.
   3. Использовать панель управления «Крипто Про» для того, чтобы сбросить текущий пин-код носителя до стандартного (можно использовать только в том случае, когда не менялся администраторский пин-код).

Если копии данного сертификата не существует, а сбросить пин-код на носитель не представляется возможным, то необходимо обращаться в удостоверяющий центр для оформления новой ЭЦП.

Как узнать пин код криптопро csp

В данном случае необходимо понять, какой именно пин-код запрашивает система. Это может быть как пароль от контейнера ключа, уже установленный на компьютер, так и пин-код непосредственно от ключевого носителя.

Если необходимо узнать пароль от ключевого контейнера, какой уже присутствует в системе, то нужно воспользоваться программой «csptest», которая входит в стандартную поставку системы «Крипто Про».

Если же необходим пин-код от носителя, то его узнать никак нельзя. В лучшем случае пароль можно сбросить до заводского при помощи панели управления «Крипто Про».

Но и этот шаг сработает только тогда, когда не менялся административный пин-код на носителе. Если он также был изменен и неизвестен, то произвести его восстановление стандартными средствами невозможно.

На саму панель управления криптопро пароль по умолчанию не устанавливается.

Стандартные пароли и пинкоды

Для каждого типа ключевых носителей существуют свои стандартные пин-коды, которые присваиваются еще на заводе. Чаще всего удостоверяющие центры не меняют их, оставляя такое решение на усмотрение конечного пользователя.

Чаще всего данные пароли вводятся при первом подключении ключевых носителей к компьютеру и установки сертификата в систему. Далее, пользователь в любое время может сменить стандартный пин-код на свой собственный, используя актуальную версию панели управления «Крипто Про».

В некоторых удостоверяющих центрах сразу устанавливают свой пароль на носитель, обычно создавая его при помощи генератора случайных чисел.

Новый пин-код передают владельцу при выдаче токена на руки. В этом случае очень важно не потерять его и не сообщать посторонним лицам.

Смена пароля по пин-коду администратора

На клюxевых носителях USB-формата присутствует возможность произвести сброс пароля доступа к токену при использовании панели управления системы «Крипто Про».

Однако после того, как пароль будет сброшен, необходимо будет произвести переустановку всех сертификатов, которые находятся на данном носителе.

Для разблокировки необходимо выполнить следующие шаги:

• Перейти по меню «Пуск» > «Панель управления» > «КриптоПро CSP»
• Перейти на вкладку «Администрирование» где выбрать «Ввести PIN-код»
• Там выбрать пункт «Администратор» и указать пароль 87654321
• Дальше нажать «ОК» и затем выбрать пункт «Разблокировать».

После этого к рутокену будет применен стандартный пин-код. Однако данная последовательность действий сработает только в том случае, если административный пин-код на нем не изменялся.

Однако некоторые удостоверяющие центры в целях защиты данных меняют этот код перед передачей носителя клиенту. Поэтому, необходимо предварительно уточнять эту информацию.

Указанная процедура не ответит на вопрос о том, какой пин-код в настоящее время установлен на носителе. Она даст возможность обнулить его до стандартного и затем сменить на свой.

При установке ключа ЭЦП в операционную систему в первый раз необходимо ввести персональный пароль доступа. С его помощью открывается доступ к содержимому рутокена и программа (а именно – КриптоПро CSP) получает возможность с ним взаимодействовать. В будущем повторно этот PIN-код не запрашивается при использовании на том же ПК. А что делать, если код доступа был забыт или утерян? Как восстановить пароль ЭЦП?

Правила использования персонального пароля

В большинстве удостоверяющих центров при выдаче USB-токенов на них устанавливают стандартный код доступа (он присваивается автоматически).

• для рутокенов – это 12345678;
• для eToken – 1234567890;
• для смарт-карт (JaCarta) – 11111111.

Именно их и потребуется вводить при первом подключении носителя ключа сертификата к ПК и при последующей его установки в среду операционной системы. Естественно, пользователь на свое усмотрение в будущем может заменить пароль на любой другой с помощью КриптоПро CSP актуальной версии.

В некоторых же удостоверяющих центрах пароль ЭЦП по умолчанию устанавливают иной или вовсе генерируют случайный набор чисел. Его обязательно сообщают владельцу электронной подписи при выдаче токена. Крайне важно сохранить данный код доступа, но при этом его не следует сообщать третьим лицам, так как они впоследствии смогут установить ключ сертификата на любой другой ПК и использовать ЭЦП без ведома его владельца.

При использовании токена на определенном компьютере пароль вводится только один раз. Далее он автоматически запоминается устройством (добавляется к установленному контейнеру), поэтому повторно его вводить уже не потребуется. Но если будет произведена переустановка ОС или замечено определенное оборудование в ПК, то установку придется выполнять повторно, для генерации ключа снова потребуется один раз ввести пароль.

Как узнать ранее введенный пароль?

Если пароль забыт и сертификат не устанавливался

Если же сертификат в ОС не установлен или выполнялась переустановка Windows, но пароль для доступа к ЭП утерян, то следует попробовать воспользоваться вышеуказанными паролями по умолчанию. Если же и этот вариант не сработает, то воспользоваться своей электронной подписью пользователь уже не сможет. Ему потребуется повторно обращаться в удостоверяющий центр и регистрировать новый ЭЦП. То же самое следует выполнять, если носитель ключа сертификата был механически разрушен.

Получение нового сертификата

Что делать если забыл пароль от ЭЦП и восстановить его невозможно? Повторно обращаться в удостоверяющий центр и выпускать новый сертификат. При этом ранее выданная подпись, независимо от срока её действия, будет аннулирована, при попытке подписать ею документ или пройти проверку подлинности ключа ничего не получится, так как на шлюзе Минкомсвязи ЭЦП будет считаться как недействительной. Соответственно, подписанные ею файлы не будут иметь юридическую силу.

Для выпуска новой ЭЦП можно использовать ранее выданный рутокен, покупать новый не обязательно.

Потребуется предоставить в удостоверяющий центр базовый набор документов:

• паспорт;
• ИНН;
• СНИЛС;
• выписка из реестра ФНС (только для предпринимателей).

Далее – все стандартно. Нужно будет оплатить стоимость выпуска нового сертификата, изготавливают его в течение 2 – 4 дней. После его получения можно его использовать для авторизации на сайтах портала Госуслуг.

Смена пароля по пин-коду администратора

Именно на USB-рутокенах предусмотрена возможность разблокировки и «обнуления» пароля с панели администратора КриптоПро CSP. Только после того, как будет установлен стандартный пароль ЭЦП потребуется также переустановить сертификаты, установленные в среду ОС.

Итак, разблокировка выполняется следующим образом:

• запустить КриптоПро CSP из панели управления;
• выбрать «Ввести PIN-код» (в закладке «Администрирование»);
• выбрать «Администратор» и ввести код 87654321;
• нажать «Ок», в появившемся окне – «Разблокировать».

После – будет установлен стандартный PIN-код. Но это сработает лишь в том случае, если PIN-код администратора не менялся с момента получения USB-рутокена. В некоторых удостоверяющих центрах данный PIN-код ставят другой – следует у них же и уточнять эту информацию. После разблокировки рутокена его стандартный пароль будет 12345678. Его же можно будет использовать для установки нового сертификата в Windows.

Эта процедура не позволит узнать какой пароль на ЭЦП по умолчанию использовался ранее, но дает возможность установить новый. Естественно, в дальнейшем его рекомендуется изменить.

Итого, как поменять пароль на ЭЦП если забыл? Если стандартные, используемые по умолчанию, не подходят, то изменить код удастся только на рутокенах, но только при наличии PIN-кода администратора. В остальных случаях узнать ранее введенный PIN-код можно только при установленном в ОС сертификате ЭЦП. В других ситуациях – токен будет заблокирован и восстановить его не получится, потребуется перевыпуск сертификата.

Федеральный закон от 06.04.2011 г. под номером 63 «Об электронной подписи» определяет область использования ЭЦП и утверждает юридическую силу каждого из вида ЭП. Согласно законопроекту квалифицированная подпись должна сопровождаться сертификатом, защищенным паролем и сохраненном на специальном носителе. Если пароль от сертификата забыт или утерян, его можно восстановить. А для большей безопасности стандартный пароль рекомендуется заменить на пользовательский.

Как узнать пароль от сертификата ЭЦП

Установка сертификата электронной подписи на персональном компьютере возможна через браузеры Internet Explorer, Mozilla Firefox, Opera, Chrome и Яндекс-Браузер. Сначала к компьютеру подключается полученный ключевой носитель Рутокен или JaCarta. Перейти по электронному адресу: https://i.kontur-ca.ru

Далее в открывшееся окно необходимо ввести номер телефона, указанный в заявлении на выдачу КЭП:

В течение нескольких секунд на телефон придет СМС с кодом, который и является паролем от сертификата. Его вводят в соответствующее окно:

Полученный пароль действителен только в течение 5 минут после получения, поэтому если имеется опоздание с вводом — нужно обносить ссылку и повторить весь процесс заново. Если пароль не пришел в течение нескольких минут — можно запросить его повторно.

Далее откроется список заявок на разные сертификаты. Пользователь нажимает на кнопку «Выпустить» напротив необходимого сертификата.

Если все данные верны, то нужно поставить галочку напротив «Я подтверждаю свое согласие на выпуск сертификата». При обнаружении ошибки в данных необходимо обратиться в техническую поддержку удостоверяющего центра, выпустившего сертификат. Иногда на этом этапе возникает ошибка с просьбой о перенастройке ПК. Если это произошло, то необходимо перейти на страницу настройки и повторить все шаги с начала.

Стандартный код от ЭП

Разработчики придумали ряд стандартных заводских кодов, которые могут использовать все пользователи в качестве пин-кода от защищенного носителя. Для ЭН Rutoken Lite/S/ЭЦП версии 2.0. это:

• Для администратора: 87654321;
• Для клиента: 12345678.

Носитель eToken использует стандартный код пользователя 1234567890. Устройство eSmart/JaCarta LT и JaCarta работает с кодом 12345678, а JaCarta SE (применяется для работы с ЕГАИС) использует несколько кодов:

• Для администратора: 00000000;
• Для клиента: 11111111.

Для части, отвечающей за ГОСТ, этот токен требует иных паролей для администратора и пользователя соответственно: 1234567890 и 0987654321.

Замена кода электронной подписи

Для надежности и большей защиты информации лучше не пользоваться кодами по умолчанию, а сменить их на персональные. Для замены пароля на Rutoken Lite/S/ЭЦП версии 2.0. нужно:

• Зайти в меню, выбрать «Панель управления» и «Управление рутокеном»;
• Нажать «Ввести пин-код» (вводится стандартный код);
• В открывшейся вкладке управления нажать «Изменить» и ввести новый пароль.

Для носителя JaCarta Se/LT процедура немного иная:

• В клиенте JaCarta нужно переключиться в режим пользователя;

• Нажать напротив выбранного раздела «Сменить пин-код»;

• Ввести текущий и новый пароль, после чего нажать «Выполнить».

Пароль администратора меняется соответствующим образом. Если все сделано правильно, то появится сообщение об успешном изменении информации.

Процедура восстановления пароля

При работе с токеном пароль на ПК устанавливается только один раз. Пин рутокен запоминает автоматически, и в дальнейшем его введение не требуется. Однако при переустановке ОС или в случае замены части оборудования ПК необходима повторная установка ЭП и введение кода.

Где взять пароль для доступа к сертификату электронной подписи, зависит от особенностей системы. Если ключ ЭС встроен в ОС, то можно воспользоваться установленной активированной программой КриптоПро CSP версии 3.6 и выше. Первый шаг в восстановлении пароля — открытие директории, в которую установлена КриптоПро. Если пусть остался неизменным, то папка с приложением находится в разделе каталога Program Files на диске с ОС. Затем нужно найти файл csptest, который и позволит узнать пароль от закрепленного сертификата. После запуска утилиты в новом окне вводится команда: Program FilesCrypto ProCSP -keyset -enum_cont -fqcn –verifycontext.

В окне будут показаны все установленные контейнеры ЭЦП. Затем пользователь вводит команду: csptest -passwd -showsaved -container с указанием кода контейнера, пароль от которого требуется. После подтверждения ввода выводится информация о ключе.

Если пароль был изменен и утерян, а ключ не был встроен в ОС, то пользователь не сможет больше работать с данной электронной подписью. Необходимо заново обращаться в УЦ для остановки действия данной подписи и подачи заявления на изготовление нового реквизита. Отсутствие возможности восстановления пароля понижает риск компрометации сторонними лицами ЭЦП. Даже если токен был украден или утерян — изменить пароль ЭЦП через заводские настройки или обращение в УЦ не получится.

Восстановление кодового слова

Процедура восстановления кодового слова более простая. Для смены необходимо обратиться в удостоверяющий центр, оформивший сертификат ЭЦП с паспортом. Клиент пишет заявление на замену кодового слова, где указывает новое. При заполнении анкеты нужно обратить внимание на точность написания, количество заглавных букв и цифр.

Средства аутентификации ЭЦП

Информационную безопасность электронной подписи обеспечивают специальные средства аутентификации — токены или USB-ключи. В России популярностью пользуются два токена с подключением: JaCarta и Рутокен.

JaCarta SE/LT

К устройствам этой системы идентификации относятся смарт-карты, USB-токены и блоки безопасности для создания и проверки ЭЦП, шифрования передаваемой информации и безопасного хранения базы данных. JaCarta — это российский продукт, созданный компанией «Аладдин Р. Д.». Используется токен в системе электронного документооборота, на электронных торговых площадках и в системе дистанционного банковского обслуживания, на таможне, для сдачи отчетности в ФНС, ПФ и т.д.

Устройство можно применять и для хранения контейнеров СКЗИ, сертификатов, паролей и лицензий. Последняя разработка компании — USB-ключ JaCarta PKI/ГОСТ/SE. Токен обеспечивает высокоточную двухфазную проверки подлинности ЭП в информационной системе узкой направленности. Данный токен имеет 2 функции:

• Используется как средство электронной подписи и для доступа к защищенной информации специализированных систем;
• Применяется как защищенное хранилище ключей и ключевых контейнеров.

USB-токен имеет все сертификаты безопасности ФСБ России и ФСТЭК.

JaCarta U2F — это токен, оснащенный механической кнопкой и функцией поддержки аутентификации FIDO U2F. В нем предусмотрена возможность использования одного токена для получения доступа к разным социальным и специализированным ресурсам. Этот токен также получил сертификаты ФСБ и ФСТЭК РФ, и такие международные сертификаты безопасности, как Common Criteria EAL 5+.

Рутокен S Lite/ЭЦП 2.0

Продукт Рутокен выпускается российской компанией «Актив», которая также имеет патент на изобретение. От JaCarta визуально отличается корпусом красного цвета. Предназначено устройство для использования ключа электронной подписи и ключа проверки ЭЦП. В разработке токена была задействована база криптографических алгоритмов ЭП.

Рутокен ЭЦП 2.0 нужен для обеспечения сохранности ключей электронной подписи во встроенной защищенной памяти, и не имеет возможности их экспортировки. Применяют USB-ключ в электронном документообороте и в дистанционном банковском обслуживании. Рутокены — это первые средства аутентификации пользователя, прошедшие сертификацию ФСБ на соответствие:

• ГОСТу Р 34.10-2012 по формированию и проверке электронной подписи;
• ГОСТу 34.11-2012 по алгоритму и процедуре вычисления функции хэширования;
• VKO ГОСТу Р 34.10-2012 по алгоритму создания сессионного ключа.

Рутокен S создан для обеспечения двухфазной аутентификации пользователей, безопасного хранения ключей шифрования и т.д. В носитель встроена и надежно защищена память для хранения кодов доступа, ключей и иной конфиденциальной информации. Используется эта модель для корпоративных сетей государственных корпораций, т.к. встроенные криптографические алгоритмы обеспечивают полное соответствие ИС требованиям регуляторов.

Модель токена ЭЦП Bluetooth сохраняет сертификат подписи, и способна заверять электронные документы на мобильных устройствах (требуемая ОС IOS/Android). USB-ключ совмещает функции токена ЭЦП и возможность применения его на смартфонах и планшетах через Bluetooth.

Высокая надежность криптографической защиты информации и алгоритмы работы токенов не позволяют восстановить утраченный пароль. Если пользователь сменил пин-код и забыл его, не прописав в ОС, то нужно приобрести другую электронную подпись. При смене кодовой информации рекомендуется записать новый пин в надежное место.