Токени, електронні ключі для доступу до важливої інформації, набувають все більшої популярності в Росії. Токен зараз – не тільки засіб для аутентифікації в операційній системі комп'ютера, але й зручний пристрій для зберігання та пред'явлення персональної інформації: ключів шифрування, сертифікатів, ліцензій, посвідчень. Токени надійніше стандартної пари “логін/пароль” за рахунок механізму двофакторної ідентифікації: тобто користувач не тільки повинен мати носій інформації (безпосередньо сам токен), але й знати PIN-код.
Основних форм-факторів, у яких випускаються токени, три: USB-токен, смарт-карта та брелок. Захист за допомогою PIN-коду найчастіше зустрічається в USB-токенах, хоча останні моделі USB-токенів випускаються з можливістю установки RFID-мітки та з рідкокристалічним дисплеєм для генерації одноразових паролів.
Зупинимося докладніше за принципами функціонування токенів з PIN-кодом. PIN-код - це спеціально заданий пароль, який розбиває процедуру автентифікації на два етапи: приєднання токена до комп'ютера та введення PIN-коду.
Найбільш популярні моделі токенів на сучасному електронному ринку Росії - Рутокен, eToken від компанії "Аладдін", та електронний ключ від компанії "Актив". Розглянемо найчастіші питання щодо PIN-кодів для токена на прикладі токенів цих виробників.
1. Який PIN-код використовується за замовчуванням?
У таблиці нижче наведено інформацію про PIN-коди за замовчуванням для токенів Рутокен та eToken. Стандартний пароль відрізняється для різних рівнів власників.
Власник | Користувач | Адміністратор |
Рутокен | 12345678 | 87654321 |
eToken |
1234567890 | Стандартний пароль адміністратора не встановлюється. Може бути встановлений через панель керування тільки для моделей eToken PRO, eToken NG-FLASH, eToken NG-OTP. |
JaCarta PKI | 11111111 | 00000000 |
JaCarta ГОСТ | Не заданий | 1234567890 |
JaCarta PKI/ГОСТ |
Для PKI-функціоналу: 11111111
При використанні JaCarta PKI з опцією "Зворотня сумісність" - PIN-код - 1234567890 Для ГОСТ-функціоналу: PIN-код не встановлено |
Для PKI-функціоналу: 00000000
При використанні JaCarta PKI з опцією "Зворотна сумісність" - PIN-код не встановлений Для ГОСТ-функціоналу: 1234567890 |
JaCarta PKI/ГОСТ/SE |
Для PKI-функціоналу: 11111111
Для ГОСТ-функціоналу: 0987654321 |
Для PKI-функціоналу: 00000000
Для ГОСТ-функціоналу: 1234567890 |
JaCarta PKI/BIO | 11111111 | 00000000 |
JaCarta PKI/Flash | 11111111 | 00000000 |
ESMART Token | 12345678 | 12345678 |
карта IDPrime | 0000 | 48 нулів |
JaCarta PRO/JaCarta LT | 1234567890 | 1234567890 |
2. Чи потрібно змінювати PIN-код за замовчуванням? Якщо так, то коли роботи з токеном?
3. Що робити, якщо PIN-коди на токені невідомі, а PIN-код за замовчуванням вже скинутий?
Єдиний вихід – повністю очистити (відформатувати) токен.
4. Що робити, якщо PIN-код користувача заблоковано?
Розблокувати PIN-код користувача можна за допомогою панелі керування токена. Для цього потрібно знати PIN-код адміністратора.
5. Що робити, якщо PIN-код адміністратора заблоковано?
Розблокувати PIN-код адміністратора неможливо. Єдиний вихід – повністю очистити (відформатувати) токен.
6. Яких заходів безпеки вжито виробниками для зниження ризику підбору пароля?
Основні пункти політики безпеки для PIN-кодів USB-токенів компаній "Аладдін" та "Актив" представлені в таблиці нижче. Проаналізувавши дані таблиці можна дійти невтішного висновку, що eToken імовірно матиме більш захищений пін код. Рутокен, хоч і дозволяє задавати пароль всього з одного символу, що небезпечно, за іншими параметрами не поступається продукту компанії "Аладдін".
Параметр | eToken | Рутокен |
Мінімальна довжина PIN-коду | 4 | 1 |
Склад PIN-коду |
Літери, цифри, спеціальні символи | Цифри, літери латинського алфавіту |
Більше або одно 7 | До 16 | |
Адміністрація безпеки PIN-коду |
Є | Є |
Є | Є |
Важливість збереження PIN-коду в секреті відома всім, хто використовує токени в особистих цілях, зберігає на ньому свою електронний підпис, довіряє електронного ключаінформацію як особистого характеру, а й деталі своїх бізнес-проектів. Токени компаній "Аладдін" і "Актив" мають попередньо встановлені захисними властивостямиі разом з певною часткою застереження, яка буде виявлена користувачем, знижують ризик підбору пароля до мінімуму.
Програмні продукти Рутокен та eToken представлені у різних конфігураціях та форм-факторах. Пропонований асортимент дозволить вам вибрати саме ту модель токена, яка найбільше відповідає вашим вимогам, будь то
Смарт-карти Rutoken (див. рис. 1) та Rutoken Lite (див. рис. 2) використовуються як носії ключової інформації. Детальнішу інформацію про даних носіях можна знайти на сайті компанії Актив - розробника російських засобів аутентифікації.
Рис. 1. Rutoken Рис. 2. Rutoken Lite
Стандартні pin-коди
12345678 - користувальницький пін-код на Rutoken та Rutoken Lite, встановлений виробником.
У разі виникнення вікна з проханням ввести pin-код (див. мал. 3), необхідно вказати значення 12345678 . Для зручності роботи слід відзначити галкою пункт Запам'ятати pin-код.
Рис. 1. Вікно введення пін-коду
Для носія Rutoken!Якщо стандартний PIN-код (12345678) був самостійно змінений за допомогою Панелі керування Рутокен, то в цьому вікні слід вказувати новий ПІН-код, призначений при зміні. Інформація про новий пін-код зберігається лише у абонента і не відома спецоператору зв'язку.
Як розблокувати PIN-код Rutoken?
Pin код блокується після 10 неправильних спроб введення.
Щоб розблокувати Rutoken або Rutoken Lite, слід:
1. Відкрити меню Пуск / Панель управління / Крипто Про CSP. Перейти на вкладку Обладнаннята натиснути на кнопку Налаштувати типи носіїв(Див. рис. 4).
Рис. 4. Налаштування обладнання в Крипто Про CSP
2. Вибрати Rutoken або Rutoken Lite та натиснути на кнопку Властивості(Див. Рис. 5).
Якщо у списку відсутні такі носії, слід оновити модуль підтримки. Для цього рекомендується скористатися сервісом Діагностика .
Рис. 5. Вибір смарт-картки
3. Перейти на вкладку Інформаціята натиснути кнопку Розблокувати PIN-код(Див. рис. 6).
Якщо вкладка Інформаціявідсутній, слід оновити модуль підтримки. Для цього рекомендується скористатися сервісом Діагностика .
Рис. 6. Розблокування Rutoken та Rutoken Lite
Кнопка Розблокувати PIN-кодбуде неактивною, якщо смарт-картка не заблокована. У цьому випадку буде відображено інформацію про кількість спроб введення пін-коду, що залишилася.
4. З'явиться повідомлення про успішне розблокування (див. мал. 7).
Рис. 7. Повідомлення про розблокування
Розблокувати PIN-код адміністратора без втрати даних неможливо.
Основних форм-факторів, у яких випускаються токени, три: USB-токен, смарт-карта та брелок. Захист за допомогою PIN-коду найчастіше зустрічається в USB-токенах, хоча останні моделі USB-токенів випускаються з можливістю установки RFID-мітки та з рідкокристалічним дисплеєм для генерації одноразових паролів.
Зупинимося докладніше за принципами функціонування токенів з PIN-кодом. PIN-код - це спеціально заданий пароль, який розбиває процедуру автентифікації на два етапи: приєднання токена до комп'ютера та введення PIN-коду.
Найбільш популярні моделі токенів на сучасному електронному ринку Росії - Рутокен, eToken від компанії "Аладдін", та електронний ключ від компанії "Актив". Розглянемо найчастіші питання щодо PIN-кодів для токена на прикладі токенів цих виробників.
1. Який PIN-код використовується за замовчуванням?
У таблиці нижче наведено інформацію про PIN-коди за замовчуванням для токенів Рутокен та eToken. Стандартний пароль відрізняється для різних рівнів власників.
Власник | Користувач | Адміністратор |
Рутокен | 12345678 | 87654321 |
eToken | 1234567890 | Стандартний пароль адміністратора не встановлюється. Може бути встановлений через панель керування тільки для моделей eToken PRO, eToken NG-FLASH, eToken NG-OTP. |
JaCarta PKI | 11111111 | 00000000 |
JaCarta ГОСТ | Не заданий | 1234567890 |
JaCarta PKI/ГОСТ | Для PKI-функціоналу: 11111111
При використанні JaCarta PKI з опцією "Зворотня сумісність" - PIN-код - 1234567890 Для ГОСТ-функціоналу: PIN-код не встановлено |
Для PKI-функціоналу: 00000000
При використанні JaCarta PKI з опцією "Зворотна сумісність" - PIN-код не встановлений Для ГОСТ-функціоналу: 1234567890 |
JaCarta PKI/BIO | 11111111 | 00000000 |
JaCarta PKI/Flash | 11111111 | 00000000 |
ESMART Token | 12345678 | 12345678 |
2. Чи потрібно змінювати PIN-код за замовчуванням? Якщо так, то коли роботи з токеном?
3. Що робити, якщо PIN-коди на токені невідомі, а PIN-код за замовчуванням вже скинутий?
Єдиний вихід – повністю очистити (відформатувати) токен.
4. Що робити, якщо PIN-код користувача заблоковано?
Розблокувати PIN-код користувача можна за допомогою панелі керування токена. Для цього потрібно знати PIN-код адміністратора.
5. Що робити, якщо PIN-код адміністратора заблоковано?
Розблокувати PIN-код адміністратора неможливо. Єдиний вихід – повністю очистити (відформатувати) токен.
6. Яких заходів безпеки вжито виробниками для зниження ризику підбору пароля?
Основні пункти політики безпеки для PIN-кодів USB-токенів компаній "Аладдін" та "Актив" представлені в таблиці нижче. Проаналізувавши дані таблиці можна дійти невтішного висновку, що eToken імовірно матиме більш захищений пін код. Рутокен, хоч і дозволяє задавати пароль всього з одного символу, що небезпечно, за іншими параметрами не поступається продукту компанії "Аладдін".
Параметр | eToken | Рутокен |
Мінімальна довжина PIN-коду | 4 | 1 |
Склад PIN-коду |
Літери, цифри, спеціальні символи | Цифри, літери латинського алфавіту |
Більше або одно 7 | До 16 | |
Адміністрація безпеки PIN-коду |
Є | Є |
Автоматичне блокування при перевищенні кількості спроб неправильного введення |
Є | Є |
Обнулення лічильника при першій успішній спробі введення PIN-коду |
Є | Є |
Важливість збереження PIN-коду в секреті відома всім, хто використовує токени в особистих цілях, зберігає на ньому свій електронний підпис, довіряє електронному ключу інформацію не тільки особистого характеру, а й деталі своїх бізнес-проектів. Токени компаній "Аладдін" і "Актив" володіють встановленими захисними властивостями і разом з певною часткою обережності, яка буде виявлена користувачем, знижують ризик підбору пароля до мінімуму.
Смарт-карти Рутокен та Рутокен Лайт використовуються як носії ключової інформації. Детальнішу інформацію про даних носіях можна знайти на сайті компанії Актив - розробника російських засобів аутентифікації.
РутокенРутокен Лайт
Стандартні pin-коди
12345678 — PIN-код користувача на Рутокен і Рутокен Лайт, встановлений виробником.
У разі виникнення вікна з проханням ввести PIN-код, необхідно вказати значення 12345678.
Для носія Рутокен, якщо стандартний PIN-код (12345678) був самостійно змінений за допомогою «Панелі керування Рутокен», то в цьому вікні слід вказувати новий PIN-код, призначений для зміни. Інформація про новий пін-код зберігається лише у абонента і не відома спецоператору зв'язку.
Як розблокувати PIN-код Рутокену?
PIN-код блокується після 10 неправильних спроб введення.
Розблокувати Рутокен або Рутокен Лайт можна 2 способами:
Як розблокувати PIN-код через Панель керування Рутокен
1. Відкрити меню «Пуск» > «Панель керування» > « Панель керування Рутокен». Перейти на вкладку «Адміністрування» та натиснути кнопку «Ввести PIN-код», вибрати пункт "Адміністратор", ввести стандартний PIN-к од - 87654321, натиснути ОК.
2. Після введення PIN-коду адміністратора стане доступна кнопка «Розблокувати», потрібно натиснути на неї, з'явиться повідомлення про успішне розблокування.
Як розблокувати PIN-код черезКрипто Про CSP
1. Відкрити меню "Пуск" > "Панель керування" > "Крипто Про CSP". Перейти на вкладку «Обладнання» та натиснути кнопку «Налаштувати типи носіїв».
2. Вибрати Rutoken або Rutoken Lite та натиснути кнопку «Властивості». Якщо у списку відсутні такі носії, слід оновити модуль підтримки. Для цього рекомендується скористатися сервісом Діагностики.
3. Перейдіть на вкладку «Інформація» та натисніть кнопку «Розблокувати PIN-код». Якщо вкладка «Інформація» відсутня, слід оновити модуль підтримки. Для цього рекомендується скористатися сервісом Діагностики.
Якщо смарт-картка не заблокована, кнопка «Розблокувати PIN-код» буде неактивною. У цьому випадку буде відображено інформацію про кількість спроб введення пін-коду, що залишилася.
4. З'явиться повідомлення про успішне розблокування.
Розблокувати PIN-код адміністратора без втрати даних неможливо.