Общая информация
Знание PIN-кодов необходимо для работы с устройством Рутокен.
Для каждого устройства Рутокен задано два PIN-кода:
- PIN-код Пользователя;
- PIN-код Администратора.
PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам).
Если при работе с сторонним приложением запрашивается PIN-код устройства Рутокен, то вам надо ввести PIN-код Пользователя.
PIN-код Администратора используется для администрирования устройства и управления PIN-кодами.
PIN-код Администратора используется только в Панели управления Рутокен.
Правила хранения PIN-кодов:
- Не храните в одном месте PIN-коды и Рутокен.
- Не передавайте PIN-коды другим людям (в том числе коллегам и администраторам).
- PIN-коды можно записать в надежном месте, главное чтобы ни у кого кроме вас не было доступа к ним.
Если вам не сообщили PIN-код Пользователя, вероятнее всего, он задан по умолчанию (12345678).
Если вы купили Рутокен в удостоверяющем центре — PIN-код Администратора вам должен сообщить сотрудник удостоверяющего центра.
Если Рутокен вам выдали на работе — PIN-код Администратора, скорее всего, знает системный администратор, IT-служба или HelpDesk.
Если Рутокен вам выдали в банке — PIN-код Администратора вам должен сообщить сотрудник банка.
Если вы приобрели Рутокен для личных целей, то на нем установлены PIN-коды по умолчанию.
Панель управления Рутокен предназначена для обслуживания устройств Рутокен в операционных системах семейства Microsoft Windows. В Панели управления Рутокен можно изменить и разблокировать PIN-коды.
Установить ее можно вместе с комплектом драйверов Рутокен для Windows. Актуальная версия комплекта драйверов доступна по ссылке:
https://www.rutoken.ru/support/download/drivers-for-windows/
Что такое PIN-код Пользователя, для чего он используется и как его лучше хранить?
PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам).
PIN-код Пользователя необходимо хранить в безопасном месте. Главное чтобы ни у кого кроме пользователя не было доступа к нему.
Какой PIN-код Пользователя установлен по умолчанию?
PIN-код Пользователя по умолчанию — 12345678.
Как ввести PIN-код Пользователя в Панели управления Рутокен?
На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Пользователя.
Обычно задано 10 попыток неправильного ввода PIN-кода Пользователя.
Когда пользователь вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого пользователь вводит правильный PIN-код, то значение счетчика становится изначальным.
Допустимое количество неправильных попыток ввода PIN-кода указано в окне с ошибкой «Неудачная аутентификация» после слов «осталось попыток».
Если там указано значение «1», то после следующей неудачной попытке ввода PIN-кода он заблокируется.
После ввода неправильного PIN-кода Пользователя несколько раз устройство Рутокен блокируется. Разблокировать его может только Администратор устройства.
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен.
- Нажмите Ввести PIN-код.
- Укажите PIN-код Пользователя и нажмите ОК.
- Если введен верный PIN-код Пользователя, то вместо кнопки Ввести PIN-код отобразится кнопка Выйти.
- Если введен неверный PIN-код, то на экране отобразится сообщение об этом. В поле осталось попыток будет указано максимальное количество попыток ввода неправильного PIN-кода.
- Нажмите ОК и повторите ввод PIN-кода.
Как посмотреть количество оставшихся попыток ввода неправильного PIN-кода Пользователя?
- Откройте Панель управления Рутокен.
- На вкладке Администрирование нажмите Информация.
- В окне Информация о Рутокен в строке Попыток ввода PIN-кода Пользователя отображается количество оставшихся попыток.
Что делать, если PIN-код Пользователя заблокирован?
Если пользователь несколько раз ввел неправильный PIN-код Пользователя, то он блокируется.
При попытке ввода уже заблокированного PIN-кода Пользователя в Панели управления Рутокен отобразится следующее сообщение:
Для того чтобы разблокировать PIN-код Пользователя необходимо обратиться к администратору устройства Рутокен.
Какой PIN-код лучше использовать? Как придумать безопасный PIN-код?
PIN-код не должен быть очень сложным, так как у него есть ограниченное количество попыток ввода.
Использовать PIN-код, который был задан по умолчанию — небезопасно. Рекомендуется его изменить. При этом стоит учитывать некоторые рекомендации:
- Необходимо составить PIN-код из 6-10 символов. Использование короткого PIN-кода (1-5 символов) заметно снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
- Лучше составить PIN-код из: цифр, латинских букв, пробелов и специальных символов (точек, запятых, восклицательных знаков и т.п).
- PIN-код будет надежнее, если вы составите его из смешанного набора цифровых и буквенных символов.
- PIN-код будет ненадежным, если вы при его составлении будете использовать общеупотребляемые слова и устойчивые словосочетания.
- Не стоит использовать наборы символов, представляющие собой комбинации клавиш, расположенных подряд на клавиатуре, такие как: qwerty, 123456789, wazwsx и т.п.
- Не стоит использовать персональные данные: имена и фамилии, адреса, номера паспортов, страховых свидетельств и т.п.
- Лучше всего использовать разные PIN-коды для разных устройств Рутокен.
Как в Панели управления Рутокен изменить PIN-код Пользователя?
Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен.
- Введите PIN-код Пользователя.
- В секции Управление PIN-кодами нажмите Изменить. Если эта кнопка не активна, то для изменения PIN-кода необходимо обратиться к администратору устройства Рутокен.
- В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является «слабым», если желтым — то «средним», а если зеленым — то «надежным».
- Нажмите ОК.
В результате PIN-код Пользователя изменится.
Работа с PIN-кодом Администратора
Что такое PIN-код Администратора, для чего он используется и как его лучше хранить?
PIN-код Администратора используется в Панели управления Рутокен для администрирования устройства и управления PIN-кодами.
PIN-код Администратора необходимо хранить в безопасном месте. Главное чтобы ни у кого кроме администратора не было доступа к нему.
Какой PIN-код Администратора установлен по умолчанию?
PIN-код Администратора по умолчанию — 87654321.
Как ввести PIN-код Администратора в Панели управления Рутокен?
На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Администратора.
По умолчанию задано 10 попыток неправильного ввода PIN-кода Администратора.
Когда администратор вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого администратор вводит правильный PIN-код, то значение счетчика становится изначальным.
Допустимое количество неправильных попыток ввода PIN-кода указано в окне с ошибкой «Неудачная аутентификация» после слов «осталось попыток».
Если там указано значение «1», то после следующей неудачной попытки ввода PIN-кода он заблокируется.
После ввода неправильного PIN-кода Администратора несколько раз, он блокируется. В этом случае необходимо вернуть устройство Рутокен к заводским настройкам.
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен.
- Нажмите Ввести PIN-код.
- Установите переключатель в положение Администратор.
- Укажите PIN-код Администратора и нажмите ОК.
- Если введен верный PIN-код Администратора, то вместо кнопки Ввести PIN-код отобразится кнопка Выйти.
- Если введен неверный PIN-код, то на экране отобразится сообщение об этом. В поле осталось попыток указано максимальное количество попыток ввода PIN-кода.
- Нажмите ОК и повторите ввод PIN-кода.
Как посмотреть количество оставшихся попыток ввода неправильного PIN-кода Администратора?
- Откройте Панель управления Рутокен.
- На вкладке Администрирование нажмите Информация.
- В окне Информация о Рутокен в строке Попыток ввода PIN-кода Администратора отображается количество оставшихся попыток.
Что делать, если PIN-код Администратора заблокирован?
После ввода неправильного PIN-кода Администратора несколько раз он блокируется.
Если PIN-код Администратора заблокирован, то для того чтобы продолжить работу с устройством Рутокен, его необходимо вернуть к заводским настройкам, но при этом будут безвозвратно удалены все данные, хранящиеся на нем.
Процесс возврата устройства к заводским настройкам описан в Дополнительном разделе — Возврат устройства к заводским настройкам.
Как в Панели управления Рутокен изменить PIN-код Администратора?
Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен.
- Введите PIN-код Администратора.
- В секции Управление PIN-кодами нажмите Изменить.
- В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является «слабым», если желтым — то «средним», а если зеленым — то «надежным».
- Нажмите ОК в результате PIN-код Администратора изменится.
Как разблокировать PIN-код Пользователя?
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен.
- Введите PIN-код Администратора.
- В секции Управление PIN-кодами нажмите Разблокировать. На экране отобразится сообщение о том, что PIN-код разблокирован.
- Нажмите ОК. В результате PIN-код Пользователя будет разблокирован.
Как изменить PIN-код Пользователя?
Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен.
- Введите PIN-код Администратора.
- В секции Управление PIN-кодами нажмите Изменить. Если эта кнопка не активна, то права на изменения PIN-кода Пользователя есть только у самого пользователя.
- В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является «слабым», если желтым — то «средним», а если зеленым — то «надежным».
- Нажмите ОК.
В результате PIN-код Пользователя изменится.
Какие настройки необходимо выполнить, чтобы пользователь не смог задать слабый PIN-код?
Все PIN-коды по качеству делятся на три категории:
- слабый;
- средний;
- надежный.
Можно выбрать политики, которые будут учитываться при оценке качества PIN-кода. Они выглядят следующим образом:
- Минимальная длина PIN-кода.
- Политика использования PIN-кода, заданного по умолчанию.
- Политика использования PIN-кода, состоящего из одного повторяющегося символа.
- Политика использования PIN-кода, состоящего только из цифр.
- Политика использования PIN-кода, состоящего только из букв.
- Политика использования PIN-кода, совпадающего с предыдущим PIN-кодом.
Чтобы пользователь не смог задать слабый PIN-код необходимо настроить политики для PIN-кодов. Это реализуется через групповые политики домена.
Для настройки политик для PIN-кодов существуют следующие ключи инсталлятора:
| Параметр | Описание | Значение по умолчанию (строка символов) |
|---|---|---|
| DEFPIN |
Задает политику вывода сообщения при использовании PIN- |
NO |
| PINENCODING |
Задает политику использования символов UTF-8 в PIN-коде и |
ANSI |
| PPMINPINLENGTH |
Задает минимальную длину PIN-кода в символах. Может |
1 |
| PPDEFAULTPIN | Задает политику использования PIN-кода по умолчанию. Может принимать значения 0 или 1. Если значение параметра 0, то разрешается использовать PIN-код по умолчанию; если 1 — запрещается | 0 |
| PPONESYMBOLPIN |
Задает политику использования PIN-кода, состоящего из |
0 |
| PPONLYNUMERALS |
Задает политику использования PIN-кода, состоящего только |
0 |
| PPONLYLETTERS |
Задает политику использования PIN-кода, состоящего только |
0 |
| PPCURRENTPIN |
Задает политику использования PIN-кода, совпадающего с |
0 |
| PPBADPINBEHAVIOR |
Задает политику использования «слабого» PIN-кода. Может |
0 |
| PPACCEPTABLEPINBEHAVIOR |
Задает политику использования «среднего» PIN-кода. Может |
0 |
| PPPINLENGTHWEIGHT |
Задает вес политики длины PIN-кода в общей (интегральной) |
73 |
| PPBADPINBORDER |
Задает границу, разделяющую «слабые» и «средние» PIN- |
0 |
| PPGOODPINBORDER |
Задает границу, разделяющую «средние» и «надежные» PIN- |
100 |
Чтобы установить (обновить) Панель управления Рутокен с определенными ключами введите команду:
<путь к файлу rtDrivers.exe>rt.Drivers.exe ключ инстраллятора = значение
Пример команды:
C:UsersuserDownloadsrtDrivers.exe PPMINPINLENGTH=6 PPONLYNUMERALS=1
(минимальную длину PIN-кода — 6 символов; запрещается использовать PIN-коды, состоящие только из цифр).
Для наглядности в Панели управления Рутокен реализована возможность настройки политик для PIN-кодов.
По умолчанию выбраны все политики, а пароль считается «слабым», если его длина равна одному символу.
Политики для PIN-кодов может изменить пользователь с правами администратора операционной системы или администратора домена.
Политики для PIN-кодов устанавливаются в Панели управления Рутокен для конкретного компьютера.
Для того чтобы выбрать политики, которые будут учитываться при оценке уровня безопасности PIN-кода:
- Запустите Панель управления Рутокен.
- Перейдите на вкладку Настройки.
- В секции Политики качества PIN-кода нажмите Настройка.
- В раскрывающемся списке Считать PIN-код «слабым» при длине меньше, чем выберите необходимое число (рекомендуемое число для выбора — 6).
- В секции Политики установите флажки рядом с названиями политик.
- Чтобы запретить возможность задания слабого PIN-кода, в раскрывающемся списке Если задан «слабый» PIN-код выберите значение «Запретить использование».
- Чтобы при задании среднего PIN-кода отображалось сообщение с предупреждением о том, что PIN-код не является безопасным, в раскрывающемся списке Если задан «средний» PIN-код выберите значение «Предупреждать».
- Для подтверждения изменений нажмите ОК.
- Для применения изменений и продолжения работы с политиками нажмите Применить.
- В окне с запросом на разрешение вносить изменения на компьютере нажмите Да.
Дополнительный раздел — Возврат устройства к заводским настройкам
Возврат устройства к заводским настройкам возможен только тогда, когда PIN-код Администратора заблокирован.
Сообщение о том, что PIN-код Администратора заблокирован:
Если пользователь исчерпал все попытки ввода PIN-кода Администратора, то существует возможность вернуть устройство к заводским настройкам. Для этого не надо знать PIN-код Администратора.
При возврате устройства Рутокен к заводским настройкам все данные на нем, в том числе ключи и сертификаты, будут удалены безвозвратно.
При возврате устройства Рутокен ЭЦП Flash к заводским настройкам Flash-память тоже очистится, а информация, сохраненная в ней будет удалена безвозвратно.
В процессе возврата устройства к заводским настройкам не следует отключать его от компьютера, так как это может привести к поломке устройства.
Для запуска процесса возврата устройства Рутокен к заводским настройкам:
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен. В секции Форматирование токена отобразится кнопка Форматировать.
- Нажмите Форматировать. Откроется окно Форматирование токена.
- Укажите имя устройства.
- Измените политику смены PIN-кода Пользователя.
- Укажите новый PIN-код Пользователя (Администратора).
- Укажите минимальную длину PIN-кода Пользователя (Администратора).
- Укажите максимальное количество попыток ввода PIN-кода Пользователя (Администратора).
- Нажмите Начать.
-
В окне с предупреждением об удалении всех данных на устройстве Рутокен нажмите ОК.
- Дождитесь окончания процесса форматирования.
-
В окне с сообщением об успешном форматировании устройства Рутокен нажмите ОК. В результате устройство вернется к заводским настройкам.
Указание имени устройства
Для указания имени устройства Рутокен в поле Имя токена укажите новое имя устройства.
Изменение политики смены PIN-кода Пользователя
В зависимости от выбранной при форматировании устройства Рутокен политики, PIN-код Пользователя может быть изменен:
- только пользователем (если установлен переключатель «Пользователь»);
- пользователем и администратором (если установлен переключатель «Пользователь и Администратор»);
- только администратором (если установлен переключатель «Администратор»).
Если вы установите переключатель в положение «Пользователь«, то сможете изменить PIN-код Пользователя только, если знаете его.
При установке переключателя в положение «Пользователь» становятся невозможны следующие операции:
- инициализация токена через PKCS#11 посредством C_InitToken()
- смена PIN-кода Администратора при использовании Microsoft Base Smart Card Crypto Provider
Если вы установите переключатель в положение «Администратор«, то сможете изменить PIN-код Пользователя только, если знаете PIN-код Администратора.
При установке переключателя в положение «Администратор» становится невозможна операция смены PIN-кода Администратора при использовании Microsoft Base Smart Card Provider.
Если вы установите переключатель в положение «Пользователь и Администратор», то сможете изменить PIN-код Пользователя, если знаете или PIN-код Администратора, или PIN-код Пользователя.
Для изменения политики в секции PIN-код Пользователя может менять установите переключатель в необходимое положение.
Указание нового PIN-кода Пользователя (Администратора)
Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?
Для того чтобы задать новый PIN-код Пользователя (Администратора), который будет доступен только после возврата устройства к заводским настройкам:
- В секции Пользователь (Администратор) снимите флажок Использовать PIN-код по умолчанию.
- В полях Новый PIN-код и Подтверждение введите новый PIN-код Пользователя (Администратора).
Секция для задания PIN-кода Пользователя:
Секция для задания PIN-кода Администратора:
Указание минимальной длины PIN-кода Пользователя (Администратора)
Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
Для того чтобы задать минимальную длину PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Минимальная длина PIN-кода выберите необходимое значение.
Указание максимального количества попыток ввода PIN-кода Пользователя (Администратора)
Для повышения уровня безопасности следует изменить максимальное количество попыток ввода PIN-кода Пользователя (Администратора), заданное в Панели управления Рутокен по умолчанию.
Небольшое количество попыток (1-4) может привести к случайной блокировке PIN-кода, большое количество (более 5) — снизит уровень информационной безопасности.
Для того чтобы задать максимальное количество попыток ввода PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Попытки ввода PIN-кода выберите необходимое значение (рекомендуется выбрать значение — 5). 
Из нашей статьи вы узнаете:
Для подписи юридически значимых документов, электронного документооборота в России преимущественно используют электронные ключи или токены. Они значительно надежней привычной пары «login-password» за счет наличия двухфакторной аутентификации, когда кроме PIN-кода (пина) необходим накопитель информации, которое может быть одно из следующих видов:
- USB-накопитель;
- брелок;
- смарт-карта.
Разновидности кодов доступа на подписи Рутокен
Для подписи документов ЭЦП надо знать два типа подобных кодов:
- пользовательский (при заводских параметрах на токене установлено число 12345678);
- администраторский (при заводских параметрах на токене установлено число 87654321).
PIN-код «Пользователя» обязателен для перехода непосредственно к электронной цифровой подписи и объектам, расположенным на вашем компьютере (пара ключей доступа, сертификат). Он понадобится для работы с рядом программного обеспечения от сторонних разработчиков.
PIN-код «Администратор» нужен для управления паролем «Пользователя» и внесения корректировок в настройки устройства. Его используют только внутри панели управления токена.
Как сохранить и обезопасить данные
Утеря ПИНа автоматически означает компрометацию электронной цифровой подписи и повышает риск использования ЭП злоумышленниками. Выходом здесь будет генерация новой ЭЦП, а предупредит проблемы соблюдение простейших правил безопасности:
- не держите в одном месте или рядом ЭЦП Рутокен и PIN-коды от него;
- не передавайте токен и пароль третьим лицам, включая системных администраторов, знакомых, членов семьи, коллег;
- пароли должны быть записаны и храниться в надежном недоступном для третьих лиц месте.
При выдаче Рутокена пароль Администратора или Пользователя могут не выдаваться. В этом случае они равны значениям по умолчанию (приведены выше).
Как изменить ПИН
Чаще всего при выдаче Рутокена на нем установлены стартовые версии паролей. Для снижения риска потери данных необходимо его перед началом использования заменить на новый. При задании обновленного пароля придерживайтесь следующих рекомендаций:
- длина должна составлять 6-10 символов (меньшее их число значительно увеличивает вероятность подбора, а большее потенциально ведет к росту числа ошибок при его введении);
- идеальным будет пароль, включающий в себя одновременно цифры, латинские буквы, специальные символы и пробелы (лучшим с точки зрения безопасности будет их перемешивание);
- откажитесь от использования в качестве обновленного ПИНа известных слов, устойчивых сочетаний;
- не используйте наборы символов, представляющих комбинации типа qwerty и другие, где элементы находятся на соседних кнопках;
- избегайте использования в качестве PIN-кода личных данных;
- на разных устройствах ЭЦП Рутокен должны быть разные пароли.
Как скорректировать ПИН Пользователя после получения ЭЦП Рутокен
Делать это необходимо сразу после получения для увеличения уровня безопасности, так как типовой пароль известен и одинаков для всех токенов. Изменить PIN-код Пользователя можно по следующему алгоритму:
- подключите ЭЦП Рутокен к вашему рабочему компьютеру;
- зайдите в «Панель управления Рутокен»;
- введите актуальный ПИН Пользователя;
- перейдите в раздел-секцию «Управление PIN-кодами»;
- нажмите активную кнопку «Изменить» (если она неактивна, то обратитесь к системному администратору вашего токена);
- в поле «Введите новый PIN-код» и «Подтвердите новый PIN-код» введите придуманный вами пароль доступа (для проверки его надежности вы увидите индикатор, который должен получить зеленый цвет);
- подтвердите изменения нажатием на кнопку ОК.
Как войти в Рутокен с помощью пин-кода
После подключения токена к ноутбуку либо компьютеру выполните следующие действия:
- откройте «Панель управления Рутокен»;
- нажмите один раз кнопку «Ввести PIN-код»;
- введите пользовательский пароль;
- нажмите кнопку ОК.
Если ПИН был введен корректно, то появится кнопка «Выйти». В противном случае на окне появится сообщение с указанием числа попыток до блокировки. Если произошла последняя, то на экране появится соответствующее сообщение.
Как разблокировать Рутокен после неправильных вводов PIN-кода Пользователя?
Выполните действия по следующему алгоритму:
- подключите к ноутбуку или ПК ваш Рутокен;
- зайдите в «Панель управления»;
- введите актуальный PIN-код Администратора;
- щелкните в разделе «Управление PIN-кодами» по кнопке «Разблокировать»;
- нажмите кнопку ОК на окне с сообщением о разблокировке.
Основные нюансы работы с PIN-кодами Администратора
Этот пароль служит для административного управления токеном, его кодами. Он должен находиться в надежном недоступном для третьих лиц месте (в идеале, знать его должен только администратор). По умолчанию он представляет собой число 87654321.
Рутокен имеет счетчик неверных попыток для ввода PIN-кода «Администраторы» (если не изменены заводские настройки, то значение равно 10). Оставшееся количество этих попыток указывается на экране после неверного ввода (автоматически сбрасывается на первоначальное значение при правильном вводе). Если их не осталось, то необходимо сбросить токен до изначальных заводских настроек, что приведет к потере всех хранящихся на токене данных.
Как скорректировать ПИН Администратора
Для изменения действующих настроек придерживайтесь следующего алгоритма:
- подключите Рутокен к вашему устройству;
- перейдите в раздел «Панель управления Рутокен»;
- введите актуальный пароль Администратора;
- перейдите в подраздел «Управление PIN-кодами»;
- кликните по кнопке «Изменить»;
- введите придуманный пароль в полях «Введите новый PIN-код», «Подтвердите новый PIN-код» (для контроля его сложности служит индикатор безопасности, который должен, в идеале, стать зеленым);
- подтвердите изменения, нажав кнопку «ОК».
Как вернуться к заводским настройкам Рутокен
Подобное возможно только при случае, когда пользователь 10 раз неправильно ввел пароль Администратора. Об этом сообщит информационное окно, а для последующего сброса не понадобится введение паролей. Перед выполнением подобной процедуры необходимо учитывать ряд моментов:
- после возврата к заводским настройкам все данные с токена, включая сертификаты и ключи, будут удалены;
- при возврате к заводским параметрам на ЭЦП Рутокен будут удалены все данные, сохраненные на карте памяти;
- во время возврата нельзя отключать токен из-за риска его повреждения, когда понадобится покупка нового.
Непосредственно возврат Рутокен к исходным настройкам идет следующим образом:
- подключите ваш токен к компьютеру;
- откройте «Панель управления Рутокен»;
- перейдите во вкладке «Форматирование токена»;
- нажмите кнопку «Форматировать»;
- укажите в окне под названием «Форматирование токена» ключевые параметры (они будут рассмотрены чуть ниже);
- нажмите кнопку «Начать»;
- подтвердите форматирование, нажав на кнопку ОК;
- дождитесь завершения процедуры;
- нажмите ОК для подтверждения завершения процесса.
Перед началом форматирования необходимо заполнить ряд установочных основных данных Рутокена, которые будут действовать после возврата к заводским стартовым настройкам:
- имя устройства;
- политика смены пароля Пользователя;
- установление нового пароля Администратора;
- указание минимальной и максимальной длины пароля Пользователя и Администратора;
- установление максимального числа попыток ввода пароля Пользователя и Администратора.
Изменение политики по смене пользовательского PIN-кода
Перед форматированием можно установить способы изменения пароля Пользователя. Здесь 3 варианта переключателей:
- «Пользователь»;
- «Пользователь и Администратор»;
- «Администратор».
Каждый из пунктов имеет ряд специфических ограничений. Например, при установке переключателя в позицию «Пользователь» можно изменить ПИН только после ввода прежнего варианта. Одновременно есть 2 важных ограничения:
- использование PKCS#11 возможно с помощью С_InitToken();
- изменение ПИНа Администратора возможно при использовании криптографического сервиса Microsoft Base Smart Card Crypto Provider.
При установке галочки напротив пункта «Администатор» вы сможете изменить PIN-код Пользователя только при введении администраторского пароля. Одновременно теряется возможность изменения ПИН Администратора с использованием встроенного сервиса Microsoft Base Smart Card Crypto Provider.
Если вы установите переключатель в положение «Пользователь и Администратор», то появится возможность изменить пользовательский PIN-код при знании любого из действующих.
Способы установки PIN-кода Администратора и Пользователя
Для выполнения действия предварительно снимите флажок с позиции «Использовать PIN-код по умолчанию» (иначе для доступа достаточно будет ввести 12345678 или 87654321). Затем в соответствующих полях введите новые значения. Также обратим внимание на возможность выбора минимальной и максимальной длины паролей. Оптимальным с точки зрения безопасности и удобства при использовании вариантом будет установка на уровне в 6 и 10 символов соответственно.
Способы защиты от указания слабого PIN-кода
Все виды паролей делят на 3 группы: надежные, средние и слабые. Для предотвращения использования последних и повышения общей безопасности достаточно настроить индивидуальную политику для задания PIN-кодов, которая будет действовать при их смене. Для этого в ЭЦП Рутокен есть несколько ключей инсталляторов (отдельно они будут рассмотрены чуть ниже):
- DEFPIN;
- PINENCODING;
- PPACCEPTBLEBEHAVIOR;
- PPMINPINLENGTH;
- PPDEFAULTPIN;
- PPONESYMBOLPIN;
- PPONLYNUBERALS;
- PPONLYLETERS;
- PPCURRENTPIN;
- PPBADPINBEHAVIOR;
- PPACCEPTABLEPINBEHAVIOR;
- PPPINLENGHTWEIGHT;
- PPBADPINBORDER;
- PPBOODPINBORDER.
DEFPIN (параметр, установленный в рамках базовых настроек, – NO) задает политику по выводу специального сообщения при сохранении установленного ранее по умолчанию ПИН с предложением его изменить.
PINENCODING (параметр, установленный в рамках базовых настроек, — ANSI) определяет политику в использовании любых символов кодировки UTF-8. Если значение установлено на значении UTF-8, то будет разрешено устанавливать PIN-код, где есть символы в этой кодировке (это доступно исключительно для ЭЦП Рутокен). Если будет установлено значение ANSI, то использовать символы кодировки UTF-8 запрещено.
PPACCEPTBLEBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность применения PIN-кода со «слабой» надежностью. При установлении параметра на уровне 0 это допускается, а на уровне два подобное запрещено. При значении 1 появляется предупреждающее окно, что требует дополнительного подтверждения для использования слабого по уровню защиты пароля.
PPACCEPTABLEPINBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования пароля со «средним» уровнем безопасности. При значении 0 это допускается, а если значение 1, то будет выведено соответствующее сообщение с предупреждением.
PPONLYNUBERALS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в пароле только цифр. Если значение 0, то это допустимо, а если 1, то запрещено.
PPONLYLETERS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в новом пароле для доступа исключительно букв. Если значение 0, то это допустимо, а если 1, то запрещено.
PPONESYMBOLPIN (параметр, установленный в рамках базовых настроек, – 0) политика определяет возможность указания PIN-кода, включающего только один повторяющийся символ. При установлении параметра в значение 0 это допустимо, а если 1, то запрещено.
PPCURRENTPIN (параметр, установленный в рамках базовых настроек, – 0) политика предусматривает возможность установки PIN-кода, который полностью совпадает с прежним. При значении 0 это допустимо, а если 1, то запрещено.
PPDEFAULTPIN (параметр, установленный в рамках базовых настроек, — 0) определяет возможность использования PIN-кода по умолчанию. При значении 0 это разрешено, а если 1, то запрещено.
DEFPIN (параметр, установленный в рамках базовых настроек, – NO) определяет вывод сообщения при применении заводского пароля. Если выбрано положение YES, то после ввода будет появляться на экране каждый раз окно с предупреждением: «Вы используете PIN-код по умолчанию для этого токена. Хотите его сейчас поменять?» Если выбрано положение NO, то окно не выводится.
PPMINPINLENGTH (параметр, установленный в рамках базовых настроек, — 1) определяет минимальное значение PIN-кода в символах и может составлять от 1 до 16.
PPBADPINBORDER (параметр, установленный в рамках базовых настроек, – 0) определяет границу, которая отделят «средние» пароли от «слабых». Может составлять от 0 до 100.
(параметр, установленный в рамках базовых настроек, – 100) политика определяет границу, которая отделяет «надежные» PIN-коды от «средних». Значение это обязательно должно оставаться выше PPBADPINBORDER.
PPPINLENGHTWEIGHT (параметр, установленный в рамках базовых настроек, – 73) значение определяет суммарное значение длины пароля в общей оценки его сложности. Может составлять от 0 до 100.
Как изменить политики
Для корректировки необходимо ввести команду следующего типа: <путь к папке, где расположен файл rtDrivers.exe>rtDrivers.exe конкретный ключ меняемой политики = новое значение. Например: C:UsersuserDownloadsRutokenrtDrivers.exe PPMINPINLENGTH=6 PPONLYNUMERALS=0 PPCURRENTPIN = 1. В данном примере мы устанавливаем минимальную длину нового пароля на уровне в 6 символов и одновременно при смене он должен отличаться от предыдущего, допускается использование пароля, состоящего из ряда цифр.
Вторым вариантом изменения конкретных политик будет использование Панели управления Рутокен. Здесь необходим пароль Администратора и понимание, что изменения касаются только конкретного компьютера. Для учета конкретных, которые понадобятся для оценки актуальной степени безопасности установленного, выполните следующие действия:
- откройте в настройках «Панель управления Рутокен»;
- зайдите во вкладку «Настройки»;
- перейдите теперь в секцию «Политики качества PIN-кода»;
- щелкните по кнопке «Настройка»;
- выберите в выпадающем списке «Считать PIN-код слабым при длине меньше, чем» нужно число (оптимальное на практике значение – 6);
- в секции «Политики» установите галочки напротив интересующих вас политик;
- установите параметр «Запретить использование» в перечне «Если задан слабый PIN-код» при желании не допустить использование последних;
- установите значение «Предупреждать» в списке «Если задан средний PIN-код» при желании информировать при попытке задать соответствующий пароль;
- подтвердите изменения нажатием на кнопку «ОК»;
- примените изменения нажатием кнопки «Применить»;
- разрешите корректировки на ноутбуке или компьютере нажатием кнопки «Да».
Как разблокировать PIN-код?
Для предотвращения возможности подбора в Рутоке предусмотрено ограничение на количество попыток неверного ввода пользовательского или администраторского пароля (по умолчанию показатель установлен на уровне в 10 и может быть изменен во время форматирования). По умолчанию действуют следующие правила:
- если блок на PIN-коде Пользователя, то восстановить возможность доступа поможет ввод пароля Администратора;
- если блок пине Администратора, то выходом становится только возврат к заводским первоначальным настройкам методом форматирования;
- если блок на PIN-коде защищенного раздела, то получить вновь к нему доступ поможет пароль Администратора;
- при отключении Рутокена от компьютера счетчик неверных попыток ввода не сбрасывается;
- при введении любого правильного кода счетчик по нему возвращается автоматически в исходное положение.
Работа с PIN-кодами через утилиту rtAdmin
Для упрощения администрирования устройства, смены меток, кодов, управлением разделами можно использовать специальную утилиту rtAdmin 2.0. Существуют версии для работы на компьютерах под управлением операционных систем Windows, Mac OS, Linux (соответствующую версию надо скачать с сайта разработчика токена). После установки ее можно запустить из командной строки, где в зависимости от вводимых параметров можно выполнить следующие действия:
- форматирование Рутокена;
- вывод или установка паролей Администратора или Пользователя;
- загрузка значений паролей из файлов либо их генерация;
- корректировка политики смены PIN-кодов;
- установка меток токена в разных кодировках;
- установление прав доступа.
Конкретные команды можно подать из командной строки, введя наименование исполняемого файла (rtadmin.exe) и набор нужных параметров.
Специфика работы с PIN-кодами смарт-карты Рутокен
В последнее время все более популярными стали смарт-карты Рутокен, которые по техническим возможностям схожи с традиционными USB-накопителями. Они имеют одинаковые функции, но для работы непосредственно с PIN-кодами есть несколько моментов. Речь в необходимости иметь при работе с компьютером считыватель для смарт-карт. Если же в планах использование мобильного устройства, то на последнем должен быть активирован NFC-модуль (последний по умолчанию есть во всех смартфонах за исключением моделей бюджетной категории).
По умолчанию подобные смарт-карты имеют стандартные PIN-коды для работы в режиме Пользователя и Администратора (12345678 и 87654321).
Как изменить пароль смарт-карты Рутокен с помощью компьютера
При использовании ноутбука или ПК под управлением Windows сначала понадобится загрузка и установка полного комплекта драйверов Рутокен, что можно сделать с помощью официального сайта разработчика либо УЦ, где вы оформили ЭЦП. Теперь подключите смарт-карту следующим образом:
- вставьте смарт-карту в считыватель (если последний контактный);
- приложите смарт-карту к считывателю (если последний бесконтактный);
- подключите считыватель к USB-разъему компьютера.
Если действия выполнены корректно, то загорится индикатор, а при последних он будет либо неактивен, либо начнет мигать (конкретное зависит от модели считывателя).
Для изменения пароля выполните следующие действия:
- откройте в настройках «Панель управления Рутокен»;
- выберите пункт «Подключенные Рутокен» в выпадающем списке смарт-карту;
- щелкните по кнопке «Ввести PIN-код»;
- переключитесь в положение «Администратор»;
- введите пароль Администратора;
- подтвердите действие нажатием на ОК;
- перейдите в раздел «Управление PIN-кодами»;
- щелкните по кнопке «Изменить»;
- поставьте переключатель в нужное положение в зависимости от вида вводимого пароля;
- введите дважды новый пароль;
- нажмите кнопку ОК.
Дополнительно через Панель управления вашего ЭЦП Рутокен можно узнать всю ключевую информацию о смарт-карте. Речь про идентификатор, прошивку, флаг состояния, суммарный объем доступной и свободной памяти, возможность работы по каналу ФКН и так далее.
Владельцы электронной подписи часто не могут вспомнить пароль от нее. Ситуация грустная, но не безвыходная. Как восстановить доступ к подписи — читайте в статье.
Пароль или пин-код электронной подписи (ЭП или ЭЦП) схож с пин-кодом банковской карты. Он защищает подпись от мошенников, его нужно запомнить или записать на листочек и хранить подальше от самой подписи. Но, в отличие от пин-кода карточки, пароль ЭП редко используют и часто забывают.
Возьмем экономиста Василия. Он получил электронную подпись, установил ее на компьютер, задал пароль, поставил галочку «Запомнить» — и все, больше никогда эту комбинацию не вводил. Но через полгода Василий переехал в другой кабинет и сел за новый компьютер. Попытался установить на него свою подпись, но не получилось — он забыл пароль электронной подписи, а листочек, на который записывал символы, потерял.
В своей беде Василий не одинок — многие владельцы ЭП не могут вспомнить или не знают, где взять пароль электронной подписи. В этой статье расскажем, что делать в подобной ситуации и когда нужно получать новую ЭП.
Что такое пароль и пин-код электронной подписи
На электронную подпись устанавливают один из типов защиты: пароль или пин-код. Разберемся, чем они отличаются.
Пароль от контейнера электронной подписи
Пароль используют для подписи, сохраненной в память компьютера. Он защищает контейнер ЭП — папку с файлами подписи: сертификатом, закрытым и открытым ключами.
Впервые с паролем владелец ЭП встречается, когда выпускает сертификат ЭП и записывает его в реестр компьютера или на обычную флешку (не токен). Придумать пароль нужно самостоятельно — при записи программа КриптоПро CSP покажет окошко, в которое нужно ввести комбинацию чисел, символов и латинских и русских букв.
Далее этот пароль будет запрашиваться при установке подписи на компьютер, ее копировании и при каждом использовании — подписании документов, работе на электронной торговой площадке или входе в сервисы. Если, конечно, не установить галочку «Запомнить пароль».
Пин-код от токена электронной подписи
Пин-код используется для электронной подписи, которая записана на носитель в виде usb-флешки — на токен. Пин защищает токен, поэтому, если мошенники украдут носитель ЭП, то самой подписью они воспользоваться не смогут.
Впервые владелец ЭП должен ввести пин-код при выпуске подписи — когда ее записывают на токен. Если носитель новый, то нужно ввести «заводское» стандартное значение, например, 12345678 для Рутокена. «Заводское» значение лучше сразу изменить на собственное, чтобы его не смогли подобрать злоумышленники.
После этого пин-код понадобится вводить, чтобы установить сертификат подписи на компьютер, использовать и копировать ЭП, работать с ней за новым компьютером. Чтобы не вводить комбинацию каждый раз, можно нажать галочку «Запомнить пароль». Главное в таком случае самим не забыть последовательность символов.
Как восстановить пароль электронной подписи
Если пароль и пин-код подписи не удается вспомнить, то восстановить его не получится. В этом не поможет даже удостоверяющий центр, выпустивший сертификат, — он не хранит пароли ЭП. Поэтому нужно пытаться вспомнить заветную комбинацию или подобрать ее.
Забыл пароль подписи
Пароль от контейнера ЭП можно вводить неограниченное количество раз. Поэтому можно спокойно подбирать к подписи все знакомые комбинации: важные даты или код из смс, которую при выпуске сертификата присылал удостоверяющий центр. Возможно, именно этот код случайно установили на контейнер в качестве защиты.
Если подобрать пароль не удается, то доступ к сертификату можно вернуть в некоторых случаях. Если раньше пароль сохраняли на компьютере — нажимали галочку «Запомнить», то иногда такой контейнер можно скопировать без ввода пароля. Попытайтесь скопировать папку со всеми файлами подписи на другое устройство или токен. Если в процессе у вас не спросят пароль, то можно продолжать работать с ЭП.
Если не получается ни скопировать подпись, ни вспомнить пароль ЭЦП, то остается только одно — получить новый сертификат ЭП. Для этого нужно отозвать старый в удостоверяющем центре и подать документы и заявку на выпуск нового. На контейнер новой подписи стоит установить пароль, который легко запомнить, но который не угадают мошенники.
Забыл пин-код токена
Восстановить забытый пин-код токена тоже невозможно. Именно из-за этого токен — надежный носитель ЭП: если его украдут мошенники, то пин-код защитит подпись от них.
Однако для владельца ЭП есть два способа, которые помогут подобрать нужную комбинацию.
Решение №1. Заводской пароль.
По умолчанию на новом токене установлен стандартный пин-код от производителя. Можно ввести его, чтобы вернуть доступ к сертификату ЭП. Для разных носителей подойдут разные значения:
- «Рутокен», eSmart, JaCarta и JaCarta LT— 12345678,
- если носитель eSmart, JaCarta или JaCarta LT получен у производителя, а не в Контуре — 1234567890,
- eToken — 1234567890, eToken,
- Jacarta SE — 1111111 для PKI-части и 0987654321 для ГОСТ части.
Если «заводская» комбинация к токену не подходит, значит ее сменили при записи сертификата. Тогда вернуть доступ к ЭП можно только одним способом — подобрать правильные символы.
Решение №2. Подбор пин-кода и права администратора
На то, чтобы подобрать пин-код к токену, есть десять попыток. После десятого неверного ввода символов заблокируется.
Иногда количество попыток ввода можно увеличить. Для этого нужно зайти на токен в качестве администратора и разблокировать пин-код:
- Перейти в панель управления токеном. Например, если используется носитель «Рутокен», то нужно перейти в Пуск — Панель управления — Панель управления «Рутокен» — вкладка «Администрирование».
- Ввести пин-код администратора. Стандартное значение устанавливает производитель: для «Рутокена» — 87654321, для Jacarta SE — 00000000 для PKI-части и 1234567890 для ГОСТ части. Если стандартное значение администратора не подошло, значит его сменили, и нужно вспоминать установленную комбинацию. На это есть десять попыток, потом токен окончательно заблокируется.
- Разблокировать пин-код токена. Для этого на вкладке «Администрирование» нажать «Разблокировать».
Также, если пин-код администратора известен, то можно сбросить попытки ввода другим способом — через КриптоПро CSP:
- Открыть КриптоПро CSP, перейти на вкладку «Оборудование» и нажать кнопку «Настроить типы носителей».
- Выбрать свой токен. Открыть его свойства и перейти в раздел «Информация».
- Разблокировать пин-код.
После разблокировки счетчик попыток ввода сбросится. Но даже тогда, пока правильную комбинацию к токену не введут, доступ будет закрыт и использовать подпись не получится.
Если вспомнить или изменить нужную комбинацию не удалось, придется получать новый сертификат подписи в УЦ: отозвать старый сертификат и получить новый. Токен можно использовать старый — можете отформатировать носитель, тогда старый пин-код и сертификат удалятся. Отметим, что отформатировать токены марок Рутокен, eToken, JaCarta LT можно без прав администратора. Но для форматирования носителя Jacarta SE нужно знать администраторский пин.
При записи подписи на новый токен советуем поменять стандартный пин-код носителя на собственный. Это, конечно, может привести к тому, что комбинация вновь потеряется. Но лучше получить новый сертификат, чем пострадать от мошенников, которые смогли взломать «заводское» значение на токене и подписали украденной ЭП важные документы.
Мы продолжаем рубрику, в которой отвечаем на часто задаваемые вопросы о работе устройств и ПО Рутокен. Важно помнить, что ключевые носители (USB-токены или смарт-карты) — это устройства для хранения ключей электронной подписи. Электронная подпись используется для электронного документооборота, взаимодействия с госорганами, обмена файлами и подписания транзакций в системах дистанционного банковского обслуживания. Физические лица ключевые носители применяют для пользования сервисами на портале Госуслуг, сдачи налоговой отчетности и других задач. Сегодня поговорим о неотъемлемом факторе защиты, которую обеспечивает ваш токен или смарт-карта – о PIN-кодах.
Для доступа к защищенным данным вам необходимо подключить к своему компьютеру ключевой носитель (USB-токен или смарт-карту) и ввести PIN-код. Владение устройством является первым фактором аутентификации, а знание PIN-кода — вторым. Более подробно о двухфакторной аутентификации мы писали в нашей статье «Зачем нужна двухфакторная аутентификация»
Общая информация о PIN-кодах
Знание PIN-кодов необходимо для работы с устройством Рутокен. Для каждого устройства Рутокен задано два PIN-кода:
- PIN-код Пользователя;
- PIN-код Администратора.
PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам). Если при работе со сторонним приложением запрашивается PIN-код устройства Рутокен, то вам надо ввести PIN-код Пользователя.
PIN-код Администратора используется для администрирования устройства и управления PIN-кодами только в Панели управления Рутокен.
Правила хранения PIN-кодов:
- Не храните PIN-коды и физическое устройство Рутокен в одном месте.
- Не передавайте PIN-коды другим людям (в том числе коллегам и администраторам).
- PIN-коды можно записать в надежном месте, главное, чтобы ни у кого, кроме вас, не было доступа к ним.
Если вам не сообщили PIN-код Пользователя, вероятнее всего, он задан по умолчанию (12345678).
Если вы купили ключевой носитель Рутокен в удостоверяющем центре, PIN-код Администратора вам должен сообщить сотрудник удостоверяющего центра.
Если устройство Рутокен вам выдали на работе — PIN-код Администратора, скорее всего, знает системный администратор, IT-служба или HelpDesk.
Если ключевой носитель вам выдали в банке — PIN-код Администратора вам должен сообщить сотрудник банка.
Если вы самостоятельно приобрели Рутокен для личных целей, то на нем установлены PIN-коды по умолчанию.
Панель управления Рутокен предназначена для обслуживания устройств Рутокен в операционных системах семейства Microsoft Windows. В Панели управления Рутокен можно изменить и разблокировать PIN-коды.
Работа с PIN-кодом Пользователя
Что такое PIN-код Пользователя, для чего он используется и как его лучше хранить?
PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам).
PIN-код Пользователя необходимо хранить в безопасном месте. Главное, чтобы ни у кого кроме Пользователя не было к нему доступа.
Как ввести PIN-код Пользователя в Панели управления Рутокен?
На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Пользователя.
Обычно задано 10 попыток неправильного ввода PIN-кода Пользователя.
Когда Пользователь вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого Пользователь вводит правильный PIN-код, то значение счетчика становится изначальным.
Допустимое количество неправильных попыток ввода PIN-кода указано в окне с ошибкой «Неудачная аутентификация» после слов «осталось попыток».
Если там указано значение «1», то после следующей неудачной попытки ввода PIN-кода он заблокируется.
После ввода неправильного PIN-кода Пользователя несколько раз устройство Рутокен блокируется. Разблокировать его может только Администратор устройства.
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен.
- Нажмите «Ввести PIN-код».
4. Укажите PIN-код Пользователя и нажмите ОК.
5. Если введен верный PIN-код Пользователя, то вместо кнопки Ввести PIN-код отобразится кнопка Выйти.
6. Если введен неверный PIN-код, то на экране отобразится сообщение об этом. В поле осталось попыток будет указано максимальное количество попыток ввода неправильного PIN-кода.
7. Нажмите ОК и повторите ввод PIN-кода.
Как посмотреть количество оставшихся попыток ввода неправильного PIN-кода Пользователя?
- Откройте Панель управления Рутокен.
- На вкладке Администрирование нажмите Информация.
- В окне Информация о Рутокен в строке Попыток ввода PIN-кода Пользователя отображается количество оставшихся попыток.
Что делать, если PIN-код Пользователя заблокирован?
Если пользователь несколько раз ввел неправильный PIN-код Пользователя, то он блокируется.
При попытке ввода уже заблокированного PIN-кода Пользователя в Панели управления Рутокен отобразится следующее сообщение:
Для того чтобы разблокировать PIN-код Пользователя необходимо обратиться к администратору устройства Рутокен.
Какой PIN-код лучше использовать? Как придумать безопасный PIN-код?
PIN-код не должен быть очень сложным, так как у него есть ограниченное количество попыток ввода.
Использовать PIN-код, который был задан по умолчанию — небезопасно. Рекомендуется его изменить. При этом стоит учитывать некоторые рекомендации:
- Необходимо составить PIN-код из 6-10 символов. Использование короткого PIN-кода (1-5 символов) заметно снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
- Лучше составить PIN-код из: цифр, латинских букв, пробелов и специальных символов (точек, запятых, восклицательных знаков и т.п).
- PIN-код будет надежнее, если вы составите его из смешанного набора цифровых и буквенных символов.
- PIN-код будет ненадежным, если вы при его составлении будете использовать общеупотребляемые слова и устойчивые словосочетания.
- Не стоит использовать наборы символов, представляющие собой комбинации клавиш, расположенных подряд на клавиатуре, такие как: qwerty, 123456789, wazwsx и т.п.
- Не стоит использовать персональные данные: имена и фамилии, адреса, номера паспортов, страховых свидетельств и т.п.
- Лучше всего использовать разные PIN-коды для разных устройств Рутокен.
Как в Панели управления Рутокен изменить PIN-код Пользователя?
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен.
- Введите PIN-код Пользователя.
- В секции Управление PIN-кодами нажмите Изменить. Если эта кнопка не активна, то для изменения PIN-кода необходимо обратиться к администратору устройства Рутокен.
5. В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является «слабым», если желтым — то «средним», а если зеленым — то «надежным».
6. Нажмите ОК. В результате PIN-код Пользователя изменится.
Работа с PIN-кодом Администратора
Что такое PIN-код Администратора, для чего он используется и как его лучше хранить?
PIN-код Администратора используется в Панели управления Рутокен для администрирования устройства и управления PIN-кодами.
PIN-код Администратора необходимо хранить в безопасном месте. Главное чтобы ни у кого кроме администратора не было доступа к нему.
Какой PIN-код Администратора установлен по умолчанию?
PIN-код Администратора по умолчанию — 87654321.
Как ввести PIN-код Администратора в Панели управления Рутокен?
На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Администратора.
По умолчанию задано 10 попыток неправильного ввода PIN-кода Администратора.
Когда администратор вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого администратор вводит правильный PIN-код, то значение счетчика становится изначальным.
Допустимое количество неправильных попыток ввода PIN-кода указано в окне с ошибкой «Неудачная аутентификация» после слов «осталось попыток». Если там указано значение «1», то после следующей неудачной попытки ввода PIN-кода он заблокируется.
После ввода неправильного PIN-кода Администратора несколько раз, он блокируется. В этом случае необходимо вернуть устройство Рутокен к заводским настройкам.
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен.
- Нажмите Ввести PIN-код.
4. Установите переключатель в положение Администратор.
5. Укажите PIN-код Администратора и нажмите ОК.
6. Если введен верный PIN-код Администратора, то вместо кнопки Ввести PIN-код отобразится кнопка Выйти.
7. Если введен неверный PIN-код, то на экране отобразится сообщение об этом. В поле осталось попыток указано максимальное количество попыток ввода PIN-кода.
8. Нажмите ОК и повторите ввод PIN-кода.
Как посмотреть количество оставшихся попыток ввода неправильного PIN-кода Администратора?
- Откройте Панель управления Рутокен.
- На вкладке Администрирование нажмите Информация.
- В окне Информация о Рутокен в строке Попыток ввода PIN-кода Администратора отображается количество оставшихся попыток.
Что делать, если PIN-код Администратора заблокирован?
После ввода неправильного PIN-кода Администратора несколько раз он блокируется
Если PIN-код Администратора заблокирован, то для того чтобы продолжить работу с устройством Рутокен, его необходимо вернуть к заводским настройкам, но при этом будут безвозвратно удалены все данные, хранящиеся на нем.
Как в Панели управления Рутокен изменить PIN-код Администратора?
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен.
- Введите PIN-код Администратора.
- В секции Управление PIN-кодами нажмите Изменить.
5. В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является «слабым», если желтым — то «средним», а если зеленым — то «надежным».
6. Нажмите ОК. В результате PIN-код Пользователя будет разблокирован.
Как Администратору разблокировать PIN-код Пользователя?
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен.
- Введите PIN-код Администратора.
- В секции Управление PIN-кодами нажмите Разблокировать. На экране отобразится сообщение о том, что PIN-код разблокирован.
5. В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является «слабым», если желтым — то «средним», а если зеленым — то «надежным».
6. Нажмите ОК. В результате PIN-код Пользователя будет разблокирован.
Какие настройки необходимо выполнить, чтобы пользователь не смог задать слабый PIN-код?
Все PIN-коды по качеству делятся на три категории:
- слабый;
- средний;
- надежный.
Можно выбрать политики, которые будут учитываться при оценке качества PIN-кода. Они выглядят следующим образом:
- Минимальная длина PIN-кода.
- Политика использования PIN-кода, заданного по умолчанию.
- Политика использования PIN-кода, состоящего из одного повторяющегося символа.
- Политика использования PIN-кода, состоящего только из цифр.
- Политика использования PIN-кода, состоящего только из букв.
- Политика использования PIN-кода, совпадающего с предыдущим PIN-кодом.
Чтобы пользователь не смог задать слабый PIN-код необходимо настроить политики для PIN-кодов. Это реализуется через групповые политики домена.
Для настройки политик для PIN-кодов существуют следующие ключи инсталлятора:
Чтобы установить (обновить) Панель управления Рутокен с определенными ключами введите команду:
<путь к файлу rtDrivers.exe>rt.Drivers.exe ключ инстраллятора = значение
Пример команды:
C:UsersuserDownloadsrtDrivers.exe PPMINPINLENGTH=6 PPONLYNUMERALS=1
(минимальную длину PIN-кода — 6 символов; запрещается использовать PIN-коды, состоящие только из цифр).
Для наглядности в Панели управления Рутокен реализована возможность настройки политик для PIN-кодов.
По умолчанию выбраны все политики, а пароль считается «слабым», если его длина равна одному символу.
Политики для PIN-кодов может изменить пользователь с правами администратора операционной системы или администратора домена.
Политики для PIN-кодов устанавливаются в Панели управления Рутокен для конкретного компьютера.
Для того чтобы выбрать политики, которые будут учитываться при оценке уровня безопасности PIN-кода:
- Запустите Панель управления Рутокен.
- Перейдите на вкладку Настройки.
- В секции Политики качества PIN-кода нажмите Настройка.
4. В раскрывающемся списке Считать PIN-код «слабым» при длине меньше, чем выберите необходимое число (рекомендуемое число для выбора — 6).
5. В секции Политики установите флажки рядом с названиями политик.
6. Чтобы запретить возможность задания слабого PIN-кода, в раскрывающемся списке Если задан «слабый» PIN-код выберите значение «Запретить использование».
7. Чтобы при задании среднего PIN-кода отображалось сообщение с предупреждением о том, что PIN-код не является безопасным, в раскрывающемся списке Если задан «средний» PIN-код выберите значение «Предупреждать».
8. Для подтверждения изменений нажмите ОК.
9. Для применения изменений и продолжения работы с политиками нажмите Применить.
10. В окне с запросом на разрешение вносить изменения на компьютере нажмите Да.
Возврат устройства к заводским настройкам
Возврат устройства к заводским настройкам возможен только тогда, когда PIN-код Администратора заблокирован.
Сообщение о том, что PIN-код Администратора заблокирован:
Если пользователь исчерпал все попытки ввода PIN-кода Администратора, то существует возможность вернуть устройство к заводским настройкам. Для этого не надо знать PIN-код Администратора.
При возврате устройства Рутокен к заводским настройкам все данные на нем, в том числе ключи и сертификаты, будут удалены безвозвратно.
При возврате устройства Рутокен ЭЦП Flash к заводским настройкам Flash-память тоже очистится, а информация, сохраненная в ней будет удалена безвозвратно.
В процессе возврата устройства к заводским настройкам не следует отключать его от компьютера, так как это может привести к поломке устройства.
Для запуска процесса возврата устройства Рутокен к заводским настройкам:
- Подключите устройство Рутокен к компьютеру.
- Запустите Панель управления Рутокен. В секции Форматирование токена отобразится кнопка Форматировать.
3. Нажмите Форматировать. Откроется окно Форматирование токена.
4. Укажите имя устройства.
5. Измените политику смены PIN-кода Пользователя.
6. Укажите новый PIN-код Пользователя (Администратора).
7. Укажите минимальную длину PIN-кода Пользователя (Администратора).
8. Укажите максимальное количество попыток ввода PIN-кода Пользователя (Администратора).
9. Нажмите Начать.
10. В окне с предупреждением об удалении всех данных на устройстве Рутокен нажмите ОК.
11. Дождитесь окончания процесса форматирования.
12. В окне с сообщением об успешном форматировании устройства Рутокен нажмите ОК. В результате устройство вернется к заводским настройкам.
Указание имени устройства
Для указания имени устройства Рутокен в поле Имя токена укажите новое имя устройства.
Изменение политики смены PIN-кода Пользователя
В зависимости от выбранной при форматировании устройства Рутокен политики, PIN-код Пользователя может быть изменен:
- только пользователем (если установлен переключатель «Пользователь»);
- пользователем и администратором (если установлен переключатель «Пользователь и Администратор»);
- только администратором (если установлен переключатель «Администратор»).
Если вы установите переключатель в положение «Пользователь», то сможете изменить PIN-код Пользователя только, если знаете его.
При установке переключателя в положение «Пользователь» становятся невозможны следующие операции:
инициализация токена через PKCS11 посредством C_InitToken()
смена PIN-кода Администратора при использовании Microsoft Base Smart Card Crypto Provider
Если вы установите переключатель в положение «Администратор», то сможете изменить PIN-код Пользователя только, если знаете PIN-код Администратора.
При установке переключателя в положение «Администратор» становится невозможна операция смены PIN-кода Администратора при использовании Microsoft Base Smart Card Provider.
Если вы установите переключатель в положение «Пользователь и Администратор», то сможете изменить PIN-код Пользователя, если знаете или PIN-код Администратора, или PIN-код Пользователя.
Для изменения политики в секции PIN-код Пользователя может менять установите переключатель в необходимое положение.
Указание нового PIN-кода Пользователя (Администратора)
Для того чтобы задать новый PIN-код Пользователя (Администратора), который будет доступен только после возврата устройства к заводским настройкам:
- В секции Пользователь (Администратор) снимите флажок Использовать PIN-код по умолчанию.
- В полях Новый PIN-код и Подтверждение введите новый PIN-код Пользователя (Администратора).
Указание минимальной длины PIN-кода Пользователя (Администратора)
Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
Для того чтобы задать минимальную длину PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Минимальная длина PIN-кода выберите необходимое значение.
Указание максимального количества попыток ввода PIN-кода Пользователя (Администратора)
Для повышения уровня безопасности следует изменить максимальное количество попыток ввода PIN-кода Пользователя (Администратора), заданное в Панели управления Рутокен по умолчанию.
Небольшое количество попыток (1-4) может привести к случайной блокировке PIN-кода, большое количество (более 5) — снизит уровень информационной безопасности.
Для того чтобы задать максимальное количество попыток ввода PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Попытки ввода PIN-кода выберите необходимое значение (рекомендуется выбрать значение — 5).