Исчерпано количество попыток ввода PIN-кода (по умолчанию имеется 10 попыток), после чего, идентификатор Рутокен Web блокируется. Работа с ключевым идентификатором Рутокен невозможна до разблокировки PIN-кода.
Для разблокировки PIN-кода потребуется PUK-код со скретч-карты, поставляющейся в комплекте с Рутокен Web.
После выполненных действий может возникнуть одно из следующих сообщений:
Если при выполнении указанных действий, вы видите сообщение «PIN-код пользователя успешно разблокирован«, можно проверить правильность ввода PIN-кода, воспользовавшись кнопкой «Изменить PIN-код».
Если после ввода PUK-кода со скретч-карты возникает ошибка «Введенный PIN-код неверен«, это означает, что PUK-код был изменен. Без знания PUK-кода разблокировать невозможно. Проверьте правильность указанного PUK-кода, возможно он был изменен вами ранее.
При необходимости проверки введенной информации можно снять флаг «Скрывать символы».
Если узнать текущий PUK-код не удастся, необходимо обратиться в организацию, предоставившую вам Рутокен Web.
Знание PIN-кодов необходимо для работы с устройством Рутокен.
Для каждого устройства Рутокен задано два PIN-кода:
PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам).
Если при работе с сторонним приложением запрашивается PIN-код устройства Рутокен, то вам надо ввести PIN-код Пользователя.
PIN-код Администратора используется для администрирования устройства и управления PIN-кодами.
PIN-код Администратора используется только в Панели управления Рутокен.
Правила хранения PIN-кодов:
Если вам не сообщили PIN-код Пользователя, вероятнее всего, он задан по умолчанию (12345678).
Если вы купили Рутокен в удостоверяющем центре — PIN-код Администратора вам должен сообщить сотрудник удостоверяющего центра.
Если Рутокен вам выдали на работе — PIN-код Администратора, скорее всего, знает системный администратор, IT-служба или HelpDesk.
Если Рутокен вам выдали в банке — PIN-код Администратора вам должен сообщить сотрудник банка.
Если вы приобрели Рутокен для личных целей, то на нем установлены PIN-коды по умолчанию.
Панель управления Рутокен предназначена для обслуживания устройств Рутокен в операционных системах семейства Microsoft Windows. В Панели управления Рутокен можно изменить и разблокировать PIN-коды.
Установить ее можно вместе с комплектом драйверов Рутокен для Windows. Актуальная версия комплекта драйверов доступна по ссылке:
Работа с PIN-кодом Пользователя
Что такое PIN-код Пользователя, для чего он используется и как его лучше хранить?
PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам).
PIN-код Пользователя необходимо хранить в безопасном месте. Главное чтобы ни у кого кроме пользователя не было доступа к нему.
Какой PIN-код Пользователя установлен по умолчанию?
PIN-код Пользователя по умолчанию — 12345678.
Как ввести PIN-код Пользователя в Панели управления Рутокен?
На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Пользователя.
Обычно задано 10 попыток неправильного ввода PIN-кода Пользователя.
Когда пользователь вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого пользователь вводит правильный PIN-код, то значение счетчика становится изначальным.
Допустимое количество неправильных попыток ввода PIN-кода указано в окне с ошибкой «Неудачная аутентификация» после слов «осталось попыток».
Если там указано значение «1», то после следующей неудачной попытке ввода PIN-кода он заблокируется.
После ввода неправильного PIN-кода Пользователя несколько раз устройство Рутокен блокируется. Разблокировать его может только Администратор устройства.
Что делать, если PIN-код Пользователя заблокирован?
Если пользователь несколько раз ввел неправильный PIN-код Пользователя, то он блокируется.
При попытке ввода уже заблокированного PIN-кода Пользователя в Панели управления Рутокен отобразится следующее сообщение:
Для того чтобы разблокировать PIN-код Пользователя необходимо обратиться к администратору устройства Рутокен.
Какой PIN-код лучше использовать? Как придумать безопасный PIN-код?
PIN-код не должен быть очень сложным, так как у него есть ограниченное количество попыток ввода.
Использовать PIN-код, который был задан по умолчанию — небезопасно. Рекомендуется его изменить. При этом стоит учитывать некоторые рекомендации:
Как в Панели управления Рутокен изменить PIN-код Пользователя?
Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?
Работа с PIN-кодом Администратора
Что такое PIN-код Администратора, для чего он используется и как его лучше хранить?
PIN-код Администратора используется в Панели управления Рутокен для администрирования устройства и управления PIN-кодами.
PIN-код Администратора необходимо хранить в безопасном месте. Главное чтобы ни у кого кроме администратора не было доступа к нему.
Какой PIN-код Администратора установлен по умолчанию?
PIN-код Администратора по умолчанию — 87654321.
Как ввести PIN-код Администратора в Панели управления Рутокен?
На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Администратора.
По умолчанию задано 10 попыток неправильного ввода PIN-кода Администратора.
Когда администратор вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого администратор вводит правильный PIN-код, то значение счетчика становится изначальным.
Допустимое количество неправильных попыток ввода PIN-кода указано в окне с ошибкой «Неудачная аутентификация» после слов «осталось попыток».
Если там указано значение «1», то после следующей неудачной попытки ввода PIN-кода он заблокируется.
После ввода неправильного PIN-кода Администратора несколько раз, он блокируется. В этом случае необходимо вернуть устройство Рутокен к заводским настройкам.
Что делать, если PIN-код Администратора заблокирован?
После ввода неправильного PIN-кода Администратора несколько раз он блокируется.
Если PIN-код Администратора заблокирован, то для того чтобы продолжить работу с устройством Рутокен, его необходимо вернуть к заводским настройкам, но при этом будут безвозвратно удалены все данные, хранящиеся на нем.
Как в Панели управления Рутокен изменить PIN-код Администратора?
Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?
Как разблокировать PIN-код Пользователя?
Как изменить PIN-код Пользователя?
Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?
Какие настройки необходимо выполнить, чтобы пользователь не смог задать слабый PIN-код?
Все PIN-коды по качеству делятся на три категории:
Можно выбрать политики, которые будут учитываться при оценке качества PIN-кода. Они выглядят следующим образом:
Чтобы пользователь не смог задать слабый PIN-код необходимо настроить политики для PIN-кодов. Это реализуется через групповые политики домена.
Для настройки политик для PIN-кодов существуют следующие ключи инсталлятора:
Параметр
Описание
Значение по умолчанию (строка символов)
DEFPIN
Задает политику вывода сообщения при использовании PIN- кода по умолчанию. Может принимать значения YES или NO. Если значение параметра YES, то при использовании PIN- кода, заданного по умолчанию, будет выводиться сообщение «Вы используете PIN-код по умолчанию для данного токена. Хотите поменять его сейчас?». Если значение параметра NO, то такое сообщение выводиться не будет
Задает политику использования символов UTF-8 в PIN-коде и может принимать значения ANSI или UTF8. Если значение параметра UTF8, то разрешается задавать PIN-код, включающий в себя символы UTF-8 (такая возможность существует только для Рутокен ЭЦП). Если значение параметра ANSI — запрещается
Задает минимальную длину PIN-кода в символах. Может принимать значения 1 –16
1
PPDEFAULTPIN
Задает политику использования PIN-кода по умолчанию. Может принимать значения 0 или 1. Если значение параметра 0, то разрешается использовать PIN-код по умолчанию; если 1 — запрещается
0
PPONESYMBOLPIN
Задает политику использования PIN-кода, состоящего из одного повторяющегося символа. Может принимать значения 0 или 1. Если значение параметра 0, то разрешается использовать PIN-код, состоящий из одного повторяющегося символа; если 1 — запрещается
Задает политику использования PIN-кода, состоящего только из цифр. Может принимать значения 0 или 1. Если значение параметра 0, то разрешается использовать PIN-код, состоящий только из цифр; если 1 — запрещается
Задает политику использования PIN-кода, состоящего только из букв. Может принимать значения 0 или 1. Если значение параметра 0, то разрешается использовать PIN-код, состоящий только из букв; если 1 — запрещается
Задает политику использования PIN-кода, совпадающего с предыдущим PIN-кодом. Может принимать значения 0 или 1. Если значение параметра 0, то разрешается использовать PIN-код, совпадающий с предыдущим PIN-кодом; если 1 — запрещается
Задает политику использования «слабого» PIN-кода. Может принимать значения 0, 1 или 2. Если значение параметра 0, то разрешается использовать «слабый» PIN-код; если 2 — запрещается. Если значение параметра равно 1, то при смене PIN-кода на «слабый» на экране отобразится предупреждающее сообщение
Задает политику использования «среднего» PIN-кода. Может принимать значения 0 или 1. Если значение параметра 0, то разрешается использовать «средний» PIN-код; если 1, то при смене PIN-кода на «средний» на экране отобразится предупреждающее сообщение
Задает вес политики длины PIN-кода в общей (интегральной) оценке PIN-кода с точки зрения надежности. Может принимать значения 0 – 100
Задает границу, разделяющую «слабые» и «средние» PIN- коды. Может принимать значения 0 – 100
Задает границу, разделяющую «средние» и «надежные» PIN- коды. Может принимать значения 0 – 100 и должен быть не меньше значения параметра PPBADPINBORDER
Чтобы установить (обновить) Панель управления Рутокен с определенными ключами введите команду:
(минимальную длину PIN-кода — 6 символов; запрещается использовать PIN-коды, состоящие только из цифр).
Для наглядности в Панели управления Рутокен реализована возможность настройки политик для PIN-кодов.
По умолчанию выбраны все политики, а пароль считается «слабым», если его длина равна одному символу.
Политики для PIN-кодов может изменить пользователь с правами администратора операционной системы или администратора домена.
Политики для PIN-кодов устанавливаются в Панели управления Рутокен для конкретного компьютера.
Для того чтобы выбрать политики, которые будут учитываться при оценке уровня безопасности PIN-кода:
Дополнительный раздел — Возврат устройства к заводским настройкам
Возврат устройства к заводским настройкам возможен только тогда, когда PIN-код Администратора заблокирован.
Сообщение о том, что PIN-код Администратора заблокирован:
Если пользователь исчерпал все попытки ввода PIN-кода Администратора, то существует возможность вернуть устройство к заводским настройкам. Для этого не надо знать PIN-код Администратора.
При возврате устройства Рутокен к заводским настройкам все данные на нем, в том числе ключи и сертификаты, будут удалены безвозвратно.
При возврате устройства Рутокен ЭЦП Flash к заводским настройкам Flash-память тоже очистится, а информация, сохраненная в ней будет удалена безвозвратно.
В процессе возврата устройства к заводским настройкам не следует отключать его от компьютера, так как это может привести к поломке устройства.
Для запуска процесса возврата устройства Рутокен к заводским настройкам:
В окне с предупреждением об удалении всех данных на устройстве Рутокен нажмите ОК.
В окне с сообщением об успешном форматировании устройства Рутокен нажмите ОК. В результате устройство вернется к заводским настройкам.
Указание имени устройства
Для указания имени устройства Рутокен в поле Имя токена укажите новое имя устройства.
Изменение политики смены PIN-кода Пользователя
В зависимости от выбранной при форматировании устройства Рутокен политики, PIN-код Пользователя может быть изменен:
Если вы установите переключатель в положение «Пользователь«, то сможете изменить PIN-код Пользователя только, если знаете его.
При установке переключателя в положение «Пользователь» становятся невозможны следующие операции:
Если вы установите переключатель в положение «Администратор«, то сможете изменить PIN-код Пользователя только, если знаете PIN-код Администратора.
При установке переключателя в положение «Администратор» становится невозможна операция смены PIN-кода Администратора при использовании Microsoft Base Smart Card Provider.
Если вы установите переключатель в положение «Пользователь и Администратор», то сможете изменить PIN-код Пользователя, если знаете или PIN-код Администратора, или PIN-код Пользователя.
Для изменения политики в секции PIN-код Пользователяможет менять установите переключатель в необходимое положение.
Указание нового PIN-кода Пользователя (Администратора)
Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?
Для того чтобы задать новый PIN-код Пользователя (Администратора), который будет доступен только после возврата устройства к заводским настройкам:
Указание минимальной длины PIN-кода Пользователя (Администратора)
Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
Для того чтобы задать минимальную длину PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Минимальная длина PIN-кода выберите необходимое значение.
Указание максимального количества попыток ввода PIN-кода Пользователя (Администратора)
Для повышения уровня безопасности следует изменить максимальное количество попыток ввода PIN-кода Пользователя (Администратора), заданное в Панели управления Рутокен по умолчанию.
Небольшое количество попыток (1-4) может привести к случайной блокировке PIN-кода, большое количество (более 5) — снизит уровень информационной безопасности.
Для того чтобы задать максимальное количество попыток ввода PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Попытки ввода PIN-кода выберите необходимое значение (рекомендуется выбрать значение — 5).
Заблокирован PIN пользователя. В прилагаемой инструкции сказано, что его можно разблокировать путем ввода PIN Администратора. PIN Администратора есть в выданном конверте, но он система выдает ошибку при его воде. Осталось всего две попытки для PIN-Администратора, правильность проверяли, регистр проверяли, в чем может быть ошибка. Что делать дальше?
#2 Ответ от Алексей Несененко 2013-01-28 11:01:35
Re: Изменение PIN-кода
PIN-код администратора указанный в конверте отличается от PIN-кода администратора по умолчанию (87654321)? Вы пробовали вводить PIN-код администратора до того, как токен был заблокирован? Если да, то он принимался системой без ошибок? Меняли ли Вы его после получения токена?
#3 Ответ от Наталья 2013-01-29 10:29:17
Re: Изменение PIN-кода
PIN-код администратора указанный в конверте отличается от PIN-кода администратора по умолчанию (87654321 )? Отличается Вы пробовали вводить PIN-код администратора до того, как токен был заблокирован? Нет Если да, то он принимался системой без ошибок? Меняли ли Вы его после получения токена? нет не меняли, но по моему, PIN-Администратора изменить нельзя,
#4 Ответ от Алексей Несененко 2013-01-29 10:43:17
Re: Изменение PIN-кода
PIN-код администратора меняется так же как и PIN-код пользователя, т.е. логин администратором, вводится текущий, нажимается кнопка изменить и дважды вводится новый.
В Вашей конкретной ситуации либо Вам дали не тот PIN-код администратора, либо уже у Вас его кто-то поменял. В любом случае без знания его Вы не сможете разблокировать PIN-код пользователя.
#5 Ответ от Наталья 2013-01-29 15:01:00
Re: Изменение PIN-кода
PIN-код администратора меняется так же как и PIN-код пользователя, т.е. логин администратором, вводится текущий, нажимается кнопка изменить и дважды вводится новый.
В Вашей конкретной ситуации либо Вам дали не тот PIN-код администратора, либо уже у Вас его кто-то поменял. В любом случае без знания его Вы не сможете разблокировать PIN-код пользователя.
Хорошо, рассмотрим самый плохой вариант- мы еще 2 раза вводим не тот пин администратора и он тоже блокируется. Что делать дальше?
#6 Ответ от Алексей Несененко 2013-01-29 15:07:12
Re: Изменение PIN-кода
Увы, в такой ситуации доступ к токену (информации на нем) будет полностью потерян.
Остается отформатировать Рутокен с потерей всей информации на нем и восстановить с резервной копии информацию. Если по какой-то причине резервная копия отсутствует, то необходимо получить новый сертификат в удостоверяющем центре.
#7 Ответ от Vintik 2017-07-10 08:22:26
Re: Изменение PIN-кода
Год 2017 но тема всплыла. Я правильно понимаю, что парольная политика у вас не поменялась?
Т.е. если пользователь сменил пароль и забыл его, но даже зная пароль администратора, его поменять нельзя и остаётся только отформатировать?
В дополнение если токен второй или третьей версии, то даже после введения неправильного PIN-кода администратора кнопка форматировать станет активной, что очень хорошо в каких то случаях.
=== Данная политика расспростарняется на всю линейку Рутокен или есть какие то отдельные ключи, где Администратор может вернуть пароль пользователю?
#8 Ответ от Алексей Несененко 2017-07-10 10:25:50
Re: Изменение PIN-кода
Да, при настройках «по умолчанию» всё так и есть Есть вариант как избежать такого неприятного сценария. Для этого перед использованием нужно отформатировать токен так чтобы PIN-код пользователя мог менять и Пользователь и Администратор. тогда Администратор токена сможет в случае «склероза» Пользователя сменить его PIN
#9 Ответ от Vintik 2017-07-10 10:38:13
Re: Изменение PIN-кода
Да, при настройках «по умолчанию» всё так и есть Есть вариант как избежать такого неприятного сценария. Для этого перед использованием нужно отформатировать токен так чтобы PIN-код пользователя мог менять и Пользователь и Администратор. тогда Администратор токена сможет в случае «склероза» Пользователя сменить его PIN
Я обычно так и форматирую, но почему то мне думалось, что если так выбрать, то всё равно зайдя как Администратор, пользователю поменять он не может.
Спасибо за уточнение. ==== Сейчас перепроверил и правда.
#10 Ответ от beerdemonj 2017-07-10 19:49:08
Re: Изменение PIN-кода
Увы, в такой ситуации доступ к токену (информации на нем) будет полностью потерян.
Остается отформатировать Рутокен с потерей всей информации на нем и восстановить с резервной копии информацию. Если по какой-то причине резервная копия отсутствует, то необходимо получить новый сертификат в удостоверяющем центре.
подскажите, пожалуйста, как форматировать токен если пин администратора заблокирован?
#11 Ответ от Vintik 2017-07-10 20:29:02
Re: Изменение PIN-кода
. подскажите, пожалуйста, как форматировать токен если пин администратора заблокирован?
Как уже отвечали ранее:
если токен второй или третьей версии, то даже после введения неправильного PIN-кода администратора кнопка форматировать станет активной, что очень хорошо в каких то случаях.
В памяти Rutoken хранятся ключевые пары и сертификаты ЭЦП, с помощью которых можно подписывать электронные документы, участвовать в торгах и получать доступ к функциям информационных систем. Любая операция выполняется при соблюдении двух условий. Первое — присутствие носителя в USB-разъеме, второе — введение правильного PIN-кода пользователя. В этой статье расскажем, как изменить пин-коды Рутокен по умолчанию, чтобы повысить надежность двухфакторной аутентификации.
Пин-коды Рутокен для пользователя и администратора
Владелец устройства вводит пароль для подтверждения каждого значимого действия. Например, для смены криптопровайдера через панель управления, входа в ЕГАИС или на портал Росреестра, регистрации онлайн-кассы в ИФНС или подачи заявки на участие в аукционе. Форма запроса появляется на разных этапах — от регистрации на интернет-площадках до смены настроек доступа.
Первый раз PIN-код используется еще на «старте» работы с носителем — после установки драйверов и запуска панели управления. Для выполнения дальнейших операций требуется выбрать сертификат из списка (если их несколько) и ввести пользовательский пин Рутокен по умолчанию.
Для разграничения прав используется две системные роли — Пользователя и Администратора. Пользователь может выполнять любые криптографические операции в десктопных приложениях и на онлайн-площадках. Администратор работает только с панелью управления, имея неограниченный доступ ко всем ее функциям. Пароль Администратора используется и для изменения настроек.
Если вы получили носитель ЭЦП в Удостоверяющем центре и вам не сообщили ПИН-коды, значит, для аутентификации используются стандартные комбинации цифр по умолчанию. Их легко запомнить — для Пользователя используется прямая последовательность цифр от 1 до 8 (12345678), для Администратора — обратная — от 8 до 1 (87654321).
Важно: перед введением пароля в панели управления необходимо выбрать нужную роль с помощью переключателя.
На всех площадках и во всех программах будет запрашиваться только пользовательский пароль — 12345678. Его необходимо вводить и при работе с панелью управления — для выбора сертификата и криптопровайдера, указания имени устройства, а также для смены ПИН-кода пользователя.
Стандартный пин Рутокен, 87654321, открывает доступ к функциям управления. Администратор может заблокировать и разблокировать пользовательский пароль, настроить кодирование в UTF-8, отформатировать устройство и определить политики безопасности токена.
Важно: при неверном введении пароля запускается обратный счетчик на 10 попыток. После последней ошибочной попытки ПИН блокируется. Если вводится правильный код, счетчик обнуляется.
Управление пин-кодами пользователя и администратора Рутокен
Стандартные комбинации цифр — 12345678 и 87654321 — можно найти в большинстве статей и инструкций по работе с Рутокен. «Заводские» пароли не обеспечивают защиты данных, поэтому их стоит использовать только на начальном этапе — для настройки и тестирования устройства. Для дальнейшей безопасной работы замените стандартные цифровые комбинации на более сложные буквенно-цифровые сочетания.
Права на смену пользовательского ПИН-кода имеет либо Пользователь, либо Администратор, либо Пользователь с Администратором. По умолчанию установлен первый вариант, но при форматировании можно выбрать любую политику.
Администратор Рутокен может не только сменить свой пин-код, но и установить определенные ограничения по выбору нового пользовательского пароля. С этой целью настраиваются политики качества, в числе которых:
Для смены изначальных политик качества перейдите в раздел «Настройки».
1. Задай вопрос нашему специалисту в конце статьи. 2. Получи подробную консультацию и полное описание нюансов! 3. Или найди уже готовый ответ в комментариях наших читателей.
Как придумать надежный пин для Рутокен и сменить пароль
Для каждого устройства Рутокен необходимо придумывать уникальную пару надежных пин-кодов. Комбинируйте буквы, цифры и символы, стараясь избегать распространенных «клише» вроде qwerty или 0000. Не используйте имена, фамилии, даты и названия, которые имеют к вам какое-либо отношение (например, имя жены или день рождения дочери). Длина пароля должна быть не менее 6 символов. Старайтесь придумать запоминаемую комбинацию, чтобы не допускать ошибок при вводе. Как изменить PIN:
В открывшемся окне выберите роль, а затем введите и подтвердите новый вариант. Нажмите «ОК».
Как снять блокировку пин-кода Rutoken
После 10 ошибочных попыток пин-код Rutoken блокируется. Администратор может снять блокировку с пользовательского пароля, нажав кнопку «Разблокировать» напротив соответствующей секции («вкладка «Администрирование»).
Блокировка администраторского PIN-кода снимается только путем сброса всех настроек при возврате к заводскому состоянию. Кликните «Форматировать» напротив секции «Инициализировать файловую систему…» («Администрирование»). Укажите имя носителя и новый пароль. Ограничьте количество символов и попыток ввода. Затем нажмите «Начать», а после завершения — «ОК». После форматирования все хранящиеся в памяти данные будут удалены.