три раза неправильный пин код эцп
Решение всех проблем, связанных с паролем от ЭЦП: что делать, если забыл ПИН-код
При установке ключа ЭЦП в операционную систему в первый раз необходимо ввести персональный пароль доступа. С его помощью открывается доступ к содержимому рутокена и программа (а именно — КриптоПро CSP) получает возможность с ним взаимодействовать. В будущем повторно этот PIN-код не запрашивается при использовании на том же ПК. А что делать, если код доступа был забыт или утерян? Как восстановить пароль ЭЦП?
Как использовать персональный пароль
В большинстве удостоверяющих центров при выдаче USB-токенов на них устанавливают стандартный код доступа (он присваивается автоматически):
Именно их и потребуется вводить при первом подключении носителя ключа сертификата к ПК и при последующей его установки в среду операционной системы. Естественно, пользователь на свое усмотрение в будущем может заменить пароль на любой другой с помощью КриптоПро CSP актуальной версии.
В некоторых же удостоверяющих центрах пароль ЭЦП по умолчанию устанавливают иной или вовсе генерируют случайный набор чисел. Его обязательно сообщают владельцу электронной подписи при выдаче токена.
Внимание! Крайне важно сохранить данный код доступа, но при этом его не следует сообщать третьим лицам, так как они впоследствии смогут установить ключ сертификата на любой другой ПК и использовать ЭЦП без ведома его владельца.
При использовании токена на определенном компьютере пароль вводится только один раз. Далее он автоматически запоминается устройством (добавляется к установленному контейнеру), поэтому повторно его вводить уже не потребуется. Но если будет произведена переустановка ОС или замечено определенное оборудование в ПК, то установку придется выполнять повторно, для генерации ключа снова потребуется один раз ввести пароль.
Как узнать ранее введенный пароль
Как узнать пароль ЭЦП, если ключ сертификата уже установлен в операционную систему? Для этого понадобится установленная и активированная программа КриптоПро CSP версии 3.6 или выше.
Выполняется это следующим образом:
Важно! Этот метод работает только в том случае, если пользователь забыл какой пароль на ЭЦП использовался при его установке, но сам сертификат при этом уже был инсталлирован в операционную систему. Сам рутокен при этом не понадобится. А вот сбросить PIN-код по умолчанию таким образом не получится. Кстати, для выполнения данной процедры не обязательно иметь лицензированный КриптоПро. Достаточно просто установить данную программу без ввода лицензионного ключа.
Утилиту csptest можно скачать отдельно, она распространяется бесплатно в форме bat-файла. Однако полноценно работать она будет только при установленных КриптоПро CSP (так как использует их исполнительные файлы).
Что делать, если забыл пароль и сертификат не устанавливался
Если же сертификат в ОС не установлен или выполнялась переустановка Windows, но пароль для доступа к ЭП утерян, то следует попробовать воспользоваться вышеуказанными паролями по умолчанию. Если же и этот вариант не сработает, то воспользоваться своей электронной подписью пользователь уже не сможет. Ему потребуется повторно обращаться в удостоверяющий центр и регистрировать новый ЭЦП. То же самое следует выполнять, если носитель ключа сертификата был механически разрушен.
Что делать, если забыл пароль к сертификату электронной подписи?
Пароль или пин-код электронной подписи (ЭП или ЭЦП) схож с пин-кодом банковской карты. Он защищает подпись от мошенников, его нужно запомнить или записать на листочек и хранить подальше от самой подписи. Но, в отличие от пин-кода карточки, пароль ЭП редко используют и часто забывают.
Возьмем экономиста Василия. Он получил электронную подпись, установил ее на компьютер, задал пароль, поставил галочку «Запомнить» — и все, больше никогда эту комбинацию не вводил. Но через полгода Василий переехал в другой кабинет и сел за новый компьютер. Попытался установить на него свою подпись, но не получилось — он забыл пароль электронной подписи, а листочек, на который записывал символы, потерял.
В своей беде Василий не одинок — многие владельцы ЭП не могут вспомнить или не знают, где взять пароль электронной подписи. В этой статье расскажем, что делать в подобной ситуации и когда нужно получать новую ЭП.
Что такое пароль и пин-код электронной подписи
На электронную подпись устанавливают один из типов защиты: пароль или пин-код. Разберемся, чем они отличаются.
Пароль от контейнера электронной подписи
Пароль используют для подписи, сохраненной в память компьютера. Он защищает контейнер ЭП — папку с файлами подписи: сертификатом, закрытым и открытым ключами.
Впервые с паролем владелец ЭП встречается, когда выпускает сертификат ЭП и записывает его в реестр компьютера или на обычную флешку (не токен). Придумать пароль нужно самостоятельно — при записи программа КриптоПро CSP покажет окошко, в которое нужно ввести комбинацию чисел, символов и латинских и русских букв.
Далее этот пароль будет запрашиваться при установке подписи на компьютер, ее копировании и при каждом использовании — подписании документов, работе на электронной торговой площадке или входе в сервисы. Если, конечно, не установить галочку «Запомнить пароль».
Пин-код от токена электронной подписи
Пин-код используется для электронной подписи, которая записана на носитель в виде usb-флешки — на токен. Пин защищает токен, поэтому, если мошенники украдут носитель ЭП, то самой подписью они воспользоваться не смогут.
Впервые владелец ЭП должен ввести пин-код при выпуске подписи — когда ее записывают на токен. Если носитель новый, то нужно ввести «заводское» стандартное значение, например, 12345678 для Рутокена. «Заводское» значение лучше сразу изменить на собственное, чтобы его не смогли подобрать злоумышленники.
После этого пин-код понадобится вводить, чтобы установить сертификат подписи на компьютер, использовать и копировать ЭП, работать с ней за новым компьютером. Чтобы не вводить комбинацию каждый раз, можно нажать галочку «Запомнить пароль». Главное в таком случае самим не забыть последовательность символов.
Как восстановить пароль электронной подписи
Если пароль и пин-код подписи не удается вспомнить, то восстановить его не получится. В этом не поможет даже удостоверяющий центр, выпустивший сертификат, — он не хранит пароли ЭП. Поэтому нужно пытаться вспомнить заветную комбинацию или подобрать ее.
Забыл пароль подписи
Пароль от контейнера ЭП можно вводить неограниченное количество раз. Поэтому можно спокойно подбирать к подписи все знакомые комбинации: важные даты или код из смс, которую при выпуске сертификата присылал удостоверяющий центр. Возможно, именно этот код случайно установили на контейнер в качестве защиты.
Если подобрать пароль не удается, то доступ к сертификату можно вернуть в некоторых случаях. Если раньше пароль сохраняли на компьютере — нажимали галочку «Запомнить», то иногда такой контейнер можно скопировать без ввода пароля. Попытайтесь скопировать папку со всеми файлами подписи на другое устройство или токен. Если в процессе у вас не спросят пароль, то можно продолжать работать с ЭП.
Если не получается ни скопировать подпись, ни вспомнить пароль ЭЦП, то остается только одно — получить новый сертификат ЭП. Для этого нужно отозвать старый в удостоверяющем центре и подать документы и заявку на выпуск нового. На контейнер новой подписи стоит установить пароль, который легко запомнить, но который не угадают мошенники.
Забыл пин-код токена
Восстановить забытый пин-код токена тоже невозможно. Именно из-за этого токен — надежный носитель ЭП: если его украдут мошенники, то пин-код защитит подпись от них.
Однако для владельца ЭП есть два способа, которые помогут подобрать нужную комбинацию.
Решение №1. Заводской пароль.
По умолчанию на новом токене установлен стандартный пин-код от производителя. Можно ввести его, чтобы вернуть доступ к сертификату ЭП. Для разных носителей подойдут разные значения:
Если «заводская» комбинация к токену не подходит, значит ее сменили при записи сертификата. Тогда вернуть доступ к ЭП можно только одним способом — подобрать правильные символы.
Решение №2. Подбор пин-кода и права администратора
На то, чтобы подобрать пин-код к токену, есть десять попыток. После десятого неверного ввода символов заблокируется.
Иногда количество попыток ввода можно увеличить. Для этого нужно зайти на токен в качестве администратора и разблокировать пин-код:
Также, если пин-код администратора известен, то можно сбросить попытки ввода другим способом — через КриптоПро CSP:
После разблокировки счетчик попыток ввода сбросится. Но даже тогда, пока правильную комбинацию к токену не введут, доступ будет закрыт и использовать подпись не получится.
Если вспомнить или изменить нужную комбинацию не удалось, придется получать новый сертификат подписи в УЦ: отозвать старый сертификат и получить новый. Токен можно использовать старый — можете отформатировать носитель, тогда старый пин-код и сертификат удалятся. Отметим, что отформатировать токены марок Рутокен, eToken, JaCarta LT можно без прав администратора. Но для форматирования носителя Jacarta SE нужно знать администраторский пин.
При записи подписи на новый токен советуем поменять стандартный пин-код носителя на собственный. Это, конечно, может привести к тому, что комбинация вновь потеряется. Но лучше получить новый сертификат, чем пострадать от мошенников, которые смогли взломать «заводское» значение на токене и подписали украденной ЭП важные документы.
Как восстановить доступ к сертификату ЭП при потере пароля
Поскольку ЭЦП является ключевым моментом при подписании документов в рамках ЭДО и имеет большое правовое и финансовое значение, для нее необходима надежная защита. При внедрении ЭЦП в делопроизводство было решено применять защиту паролем и пин-кодом, аналогичным тому, которые используются для защиты банковских кредитных и дебетовых карт. Проверенный годами способ помогает с желаемой степенью надежности обеспечить защиту ЭЦП от посягательств мошенников. Но есть и обратная сторона медали. Пользователь может забыть свой пин-код. И если он не найдет у себя соответствующую запись, то не сможет воспользоваться ЭЦП в нужный момент. Как можно восстановить забытый пароль?
Стандартная ситуация
На самом деле забыть пин-код от ЭЦП гораздо проще, чем пароль от кредитной карты. Дело в том, что карточкой мы пользуемся ежедневно, а пин-код ЭЦП применяем гораздо реже. К примеру, мы вводим пин-код при установке ЭЦП на ПЭВМ, а в следующий раз он может нам понадобиться через несколько месяцев, если мы будем работать на другом компьютере. Мало кто может запомнить код, который использовал один раз полгода назад. Далеко не все надежно хранят записанные пароли. Поэтому потеря пин-кода является стандартной проблемой, и путь ее решения также для всех одинаковый.
Подробнее о пароле
Сразу отметим, что у ЭЦП могут быть два вида защиты: пин-код (как у банковской карты) и пароль (как у учетной записи на сайте того же банка, который выдал кредитную или дебетовую карту).
Продолжая аналогию с банковскими продуктами, рассмотрим особенности пароля. Пароль используется владельцем ЭЦП для внесения сертификата подписи на свой персональный компьютер или на любой обычный переносной диск памяти (флешку, например). Пароль пользователь придумывает сам, стараясь задать достаточно сложный набор из цифр, знаков и букв (как латинского, так и русского алфавита). Тот же пароль пользователь будет вводить при каждом сеансе работы с ЭЦП. Кажется, забыть его будет сложно. Но у браузеров компьютера имеется удобная опция – запоминание паролей. Если ею воспользоваться однажды, то во все последующие сеансы работы с ЭЦП ее владельцу можно будет не вводить пароль, что может спровоцировать его забывание.
Пин-код
Пин-код защищает не только ЦП, но и ее основной физический носитель – токен, выполненный в виде ЮСБ-флешки. Посторонние лица, даже завладев токеном, не смогут воспользоваться ЭЦП, также как не смогли бы снять деньги с чужой банковской карты, не зная ее пин-кода.
Пин-код применяется владельцем ЭЦП сразу после ее выпуска в процессе записи на токен. Токен – стандартное электронной устройство, которое изначально имеет заводской восьмизначный пин-код в виде ряда чисел от 1 до 8 по порядку. Понятно, что такой пин-код использовать небезопасно, поэтому после получения нового токена код нужно сменить.
Далее, как и при использовании пароля, пин-код будет необходим при каждой операции с ЭЦП. И так же, как и в случае с паролем, браузер предложить запомнить код. Чтобы не забыть его, нужно хранить резервную запись на электронном или бумажном носителе (но не держать ее вместе с токеном!).
Если пароль забыт и потерян
Если держатель ЭЦП воспользовался опцией запоминания пароля (пин-кода) и благополучно забыл его, а запись на бумажном носителе потерял или не делал вовсе, то при смене компьютера или при его ремонте после неисправности он уже не сможет использовать ЭЦП. При этом проще восстановить доступ к банковской карте, чем сменить или восстановить забытый код сертификата электронной подписи. Дело в том, что пин-код или пароль не сможет восстановить даже выпустивший ЭЦП удостоверяющий центр. Хорошей новостью будет старинной изречение о том, что безвыходных ситуаций не бывает. Ведь пароль можно вспомнить или подобрать.
Восстанавливаем пароль подписи
Начнем с того, что ограничений на количество неправильных попыток ввода пароля нет, поэтому пароль можно будет подобрать. Проще подбирать пароли, в которых содержится какая-либо значимая для владельца информация (памятные даты, пароли от других сервисов, номера автомобилей, телефонов, кабинетов и т. п.). Можно также поднять СМС переписку с УЦ, который изначально присылает код активации, который также мог быть использован в качестве пароля.
Если пользователь задал пароль по всем правилам безопасности, использовав сложную и бессмысленную комбинацию букв, цифр и знаков, то подобрать забытый пароль, как правило, практически невозможно. В этом случае можно попытаться перенести со старого компьютера на новый всю папку контейнера, которая помимо сертификата ЭЦП может содержать и запомненный пароль. Иногда такой трюк срабатывает и ЭЦП продолжает применяться на новом компьютере без ввода забытого пароля.
Последнее, что можно сделать, если пароль вспомнить не получилось, а фокус с переносом папки не удался, это обратиться в УЦ за новым сертификатом, предварительно отозвав старый. Данный процесс аналогичен получению ЭЦП впервые и занимает определенное время. Поэтому при получении нового сертификата, помня о неприятном опыте, стоит сохранить пароль в надежном месте, а также принять решение о целесообразности его запоминания браузером компьютера. При этом не стоит забывать о безопасности и задавать слишком простой пароль, ведь его сможет подобрать не только пользователь, но и мошенник.
Что делать с забытым пин-кодом токена
Невозможность восстановления пин-кода токена является гарантией его надежности. Очень важно, чтобы, даже завладев устройством, злоумышленники не могли бы использовать ЭЦП. Так что при потере заветной комбинации УЦ не сможет оказать помощь забывчивому владельцу ЭЦП. Остается полагаться только на свои силы и знания и попытаться решить вопрос одним из двух предлагаемых ниже способом.
1. Используем заводские настройки
Можно использовать то обстоятельство, что изначально на новые токены устанавливают стандартные заводские коды, которые, в зависимости от производителя, могут быть следующими:
Следует отметить, что использовать заводские настройки получается далеко не всегда. Поэтому целесообразно заранее вооружиться еще одним способом.
2. Метод подбора
В отличие от пароля, пин-код нельзя подбирать больше чем за 10 попыток. На десятой неверной попытке доступ к токену будет заблокирован. Но при этом есть способ получить возможность дополнительных попыток. Для этого пользователю понадобятся права администратора компьютера. Алгоритм действий будет следующим:
Шаг 1
Открыть панель управления устройством (токеном). Для большинства моделей это можно сделать через меню «Пуск», в котором выбираем кнопку панели управления токеном и открываем раздел администрирования. Важно учесть, что если при создании подписи не применялся пароль администратора, тогда его восстановить невозможно.
Панель eToken
Панель Рутокен
Шаг 2
В открывшейся ячейке вводим код администратора. В зависимости от производителя устройства эти коды будут следующими:
Возможно, что пользователь заменил эти стандартные коды на другие. В этом случае их можно ввести, использовав при этом не более десяти попыток. При десятикратном неверном вводе доступ к токену будет заблокирован.
Шаг 3
Если код администратора подошел, то остается только нажать на клавишу разблокировки пин-кода токена и продолжить подбор пин-кода.
КриптоПро в помощь!
Если пользователю известен код администратора, то «обнулить» количество ввода пробных попыток пин-кода токена можно другим способом, использовав КриптоПроCSP, после входа в который в опции «Оборудование» выбираем команду «Настройка типов носителей». Из предложенных вариантов выбираем тип своего токена и открываем его свойства. После этого входим в раздел информации, где успешно снимаем блокировку пин-кода. Далее продолжаем подбор пин-кода токена.
В обоих случаях мы получаем лишь возможность продолжить подбор пин-кода. И если подобрать его не удается, то, как и в случае с навечно забытым паролем, придется обращаться в УЦ за новым сертификатом ЭЦП. Старый сертификат также потребуется отозвать, но при том можно повторно использовать токен, предварительно отформатировав его.
Если ЭЦП записывается на новое устройство, то не стоит забывать о том, что по умолчанию на нем будут стоять заводские настройки. Несмотря на возможность повторной потери пин-кода, заводской код все же лучше сменить на собственный, более надежный. При этом настоятельно рекомендуется сохранить пин-код, чтобы вновь не сталкиваться проблемой его восстановления.
Как восстановить пароль ЭЦП: пошаговая инструкция
Что делать, если забыл пароль от ЭПЦ:
Отличие пароля электронной подписи от ПИН-кода токена
Электронная цифровая подпись (ЭЦП) имеет несколько уровней защиты информации (ст. 5 63-ФЗ от 06.04.2011). Один из них — это пароль ЭПЦ, по умолчанию его устанавливают разработчики ключа. Вот основные значения для ряда носителей:
Стандартные коды доступа присваиваются автоматически во многих аккредитованных удостоверяющих центрах. Но эта опция доступна только для токенов, то есть для ключей на USB-носителях. После установки ЭП на компьютер специалисты сбрасывают заводские настройки и задают пользовательский пароль. Это необходимо для усиления защиты и предотвращения компрометации электронного ключа внешними пользователями. Пользовательская защита USB-токена — это и есть ПИН-код.
В памяти компьютера сохраняют другие сведения — пароль от сертификата ЭПЦ для налоговой, для ПФР, для закупок в ЕИС. Защита необходима для сертификата, открытого и закрытого ключей, то есть для всех файлов, связанных с ЭП. Пользователь задает защитную комбинацию (цифры, строчные и заглавные буквы латинского алфавита) при генерации сертификата на обычном съемном носителе. В этом и есть основное отличие от ПИН-кода, который формируют для специальных флеш-токенов.
Компьютер просит подтвердить защиту при любой операции, связанной с электронной подписью: инсталляции, копировании или переносе на другой ПК, непосредственно подписании документации. Практически каждый пользователь включает функцию «Запомнить пароль». Это облегчает работу — нет необходимости запоминать и каждый раз вводить комбинацию. Но в этом и заключается главный подвох. Многие забывают, куда продублировали защитный код и при необходимости затрудняются его воспроизвести. А такая необходимость возникает, если специалист использует подпись на другом компьютере. Или же на его ПК переустанавливают операционную систему, и вся информация автоматически стирается.
Вам пригодятся эти материалы КонсультантПлюс:
Чтобы прочитать, понадобится доступ в систему: ПОЛУЧИТЬ .
Как восстановить пароль электронной подписи
Пользователь сам задает защитный код. Если он потеряет комбинацию, придется его восстанавливать. Вот инструкция, как восстановить пароль ЭПЦ вручную:
Не получилось восстановить вручную? Тогда отзывайте действующий и выпускайте новый сертификат ЭП. Обращайтесь в удостоверяющий центр, подавайте заявку и генерируйте новый ключ. Других вариантов нет.
Варианты, как восстановить пароль от ЭПЦ в налоговой или Пенсионном фонде, те же:
Звонить в удостоверяющий центр или ТОФК не имеет смысла, они не знают пользовательскую защиту и не помогут ее восстановить или обновить.
ЭЦП функционирует только в том случае, если на ПК установлена программа криптозащиты. Если вы пользуйтесь КриптоПро CSP(речь идет о ПО версии 3.6 и выше) и уже установили ключ сертификата электронной подписи в операционную систему, попробуйте проверить защитный код в криптопрограмме. Инструкция, как узнать пароль ЭПЦ через Крипто-Про (строго соблюдайте регистры и пунктуацию):
Способы восстановления ПИН-кода токена
Восстановить забытый ПИН невозможно, равно как и обычный пароль электронной подписи. Но есть способы подобрать необходимую комбинацию для токена.
В первую очередь попробуйте ввести заводской ПИН-код ЭПЦ, по умолчанию для Рутокена — это 12345678. Если система выдает ошибку, это значит, что ПИН-код заменили при записи сертификата ключа ЭП.
Если с заводской комбинацией не получилось, есть другой вариант — подбор ПИН-кода через администрирование. Предлагаем инструкцию, как узнать пароль от сертификата ЭПЦ через права администратора:
Шаг 1. Нам понадобится панель управления носителем-токеном. Находим раздел «Администрирование».
Шаг 2. Выбираем блок «Администратор». Вводим заводской ПИН-код для администратора: 87654321 (пример для Рутокенов).
Шаг 3. Если код не подходит (сменили при установке), пытаемся подобрать значение. Количество попыток ограничено: их всего 10. После 10-й попытки — автоматическая блокировка.
Шаг 4. Проводим разблокировку: раздел «Администрирование», затем действие «Разблокировать».
Шаг 5. По аналогии пробуем сбросить количество попыток ввода через КриптоПро. Открываем в папке КриптоПро файл «Оборудование» и настраиваем типы носителей.
Шаг 6. Выбираем необходимый токен, изучаем свойства (нажать правой кнопкой мыши) и открываем «Информацию». Теперь разблокируем код.
Шаг 7. Сбрасываем. Опять пробуем подобрать комбинацию.
Но если вы все же не вспомните и не подберете ПИН-код, не теряйте время и сразу же обращайтесь в ТОФК или удостоверяющий центр за новым ключом. Отзовите действующую электронную подпись и заполните заявку на новый сертификат. Не покупайте новый носитель: достаточно отформатировать старый и записать ключ на него. Поменяйте кодировку при установке. Новый код сохраните в защищенном, но доступном для вас месте.
В 2009 году закончила бакалавриат экономического факультета ЮФУ по специальности экономическая теория. В 2011 — магистратуру по направлению «Экономическая теория», защитила магистерскую диссертацию.
PIN-коды ЭЦП Рутокенов
Для подписи юридически значимых документов, электронного документооборота в России преимущественно используют электронные ключи или токены. Они значительно надежней привычной пары «login-password» за счет наличия двухфакторной аутентификации, когда кроме PIN-кода (пина) необходим накопитель информации, которое может быть одно из следующих видов:
Разновидности кодов доступа на подписи Рутокен
Для подписи документов ЭЦП надо знать два типа подобных кодов:
PIN-код «Пользователя» обязателен для перехода непосредственно к электронной цифровой подписи и объектам, расположенным на вашем компьютере (пара ключей доступа, сертификат). Он понадобится для работы с рядом программного обеспечения от сторонних разработчиков.
PIN-код «Администратор» нужен для управления паролем «Пользователя» и внесения корректировок в настройки устройства. Его используют только внутри панели управления токена.
Как сохранить и обезопасить данные
Утеря ПИНа автоматически означает компрометацию электронной цифровой подписи и повышает риск использования ЭП злоумышленниками. Выходом здесь будет генерация новой ЭЦП, а предупредит проблемы соблюдение простейших правил безопасности:
При выдаче Рутокена пароль Администратора или Пользователя могут не выдаваться. В этом случае они равны значениям по умолчанию (приведены выше).
Как изменить ПИН
Чаще всего при выдаче Рутокена на нем установлены стартовые версии паролей. Для снижения риска потери данных необходимо его перед началом использования заменить на новый. При задании обновленного пароля придерживайтесь следующих рекомендаций:
Как скорректировать ПИН Пользователя после получения ЭЦП Рутокен
Делать это необходимо сразу после получения для увеличения уровня безопасности, так как типовой пароль известен и одинаков для всех токенов. Изменить PIN-код Пользователя можно по следующему алгоритму:
Как войти в Рутокен с помощью пин-кода
После подключения токена к ноутбуку либо компьютеру выполните следующие действия:
Если ПИН был введен корректно, то появится кнопка «Выйти». В противном случае на окне появится сообщение с указанием числа попыток до блокировки. Если произошла последняя, то на экране появится соответствующее сообщение.
Как разблокировать Рутокен после неправильных вводов PIN-кода Пользователя?
Выполните действия по следующему алгоритму:
Основные нюансы работы с PIN-кодами Администратора
Этот пароль служит для административного управления токеном, его кодами. Он должен находиться в надежном недоступном для третьих лиц месте (в идеале, знать его должен только администратор). По умолчанию он представляет собой число 87654321.
Рутокен имеет счетчик неверных попыток для ввода PIN-кода «Администраторы» (если не изменены заводские настройки, то значение равно 10). Оставшееся количество этих попыток указывается на экране после неверного ввода (автоматически сбрасывается на первоначальное значение при правильном вводе). Если их не осталось, то необходимо сбросить токен до изначальных заводских настроек, что приведет к потере всех хранящихся на токене данных.
Как скорректировать ПИН Администратора
Для изменения действующих настроек придерживайтесь следующего алгоритма:
Как вернуться к заводским настройкам Рутокен
Подобное возможно только при случае, когда пользователь 10 раз неправильно ввел пароль Администратора. Об этом сообщит информационное окно, а для последующего сброса не понадобится введение паролей. Перед выполнением подобной процедуры необходимо учитывать ряд моментов:
Непосредственно возврат Рутокен к исходным настройкам идет следующим образом:
Перед началом форматирования необходимо заполнить ряд установочных основных данных Рутокена, которые будут действовать после возврата к заводским стартовым настройкам:
Изменение политики по смене пользовательского PIN-кода
Перед форматированием можно установить способы изменения пароля Пользователя. Здесь 3 варианта переключателей:
Каждый из пунктов имеет ряд специфических ограничений. Например, при установке переключателя в позицию «Пользователь» можно изменить ПИН только после ввода прежнего варианта. Одновременно есть 2 важных ограничения:
При установке галочки напротив пункта «Администатор» вы сможете изменить PIN-код Пользователя только при введении администраторского пароля. Одновременно теряется возможность изменения ПИН Администратора с использованием встроенного сервиса Microsoft Base Smart Card Crypto Provider.
Если вы установите переключатель в положение «Пользователь и Администратор», то появится возможность изменить пользовательский PIN-код при знании любого из действующих.
Способы установки PIN-кода Администратора и Пользователя
Для выполнения действия предварительно снимите флажок с позиции «Использовать PIN-код по умолчанию» (иначе для доступа достаточно будет ввести 12345678 или 87654321). Затем в соответствующих полях введите новые значения. Также обратим внимание на возможность выбора минимальной и максимальной длины паролей. Оптимальным с точки зрения безопасности и удобства при использовании вариантом будет установка на уровне в 6 и 10 символов соответственно.
Способы защиты от указания слабого PIN-кода
Все виды паролей делят на 3 группы: надежные, средние и слабые. Для предотвращения использования последних и повышения общей безопасности достаточно настроить индивидуальную политику для задания PIN-кодов, которая будет действовать при их смене. Для этого в ЭЦП Рутокен есть несколько ключей инсталляторов (отдельно они будут рассмотрены чуть ниже):
DEFPIN (параметр, установленный в рамках базовых настроек, – NO) задает политику по выводу специального сообщения при сохранении установленного ранее по умолчанию ПИН с предложением его изменить.
PPACCEPTBLEBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность применения PIN-кода со «слабой» надежностью. При установлении параметра на уровне 0 это допускается, а на уровне два подобное запрещено. При значении 1 появляется предупреждающее окно, что требует дополнительного подтверждения для использования слабого по уровню защиты пароля.
PPACCEPTABLEPINBEHAVIOR (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования пароля со «средним» уровнем безопасности. При значении 0 это допускается, а если значение 1, то будет выведено соответствующее сообщение с предупреждением.
PPONLYNUBERALS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в пароле только цифр. Если значение 0, то это допустимо, а если 1, то запрещено.
PPONLYLETERS (параметр, установленный в рамках базовых настроек, – 0) определяет возможность использования в новом пароле для доступа исключительно букв. Если значение 0, то это допустимо, а если 1, то запрещено.
PPONESYMBOLPIN (параметр, установленный в рамках базовых настроек, – 0) политика определяет возможность указания PIN-кода, включающего только один повторяющийся символ. При установлении параметра в значение 0 это допустимо, а если 1, то запрещено.
PPCURRENTPIN (параметр, установленный в рамках базовых настроек, – 0) политика предусматривает возможность установки PIN-кода, который полностью совпадает с прежним. При значении 0 это допустимо, а если 1, то запрещено.
DEFPIN (параметр, установленный в рамках базовых настроек, – NO) определяет вывод сообщения при применении заводского пароля. Если выбрано положение YES, то после ввода будет появляться на экране каждый раз окно с предупреждением: «Вы используете PIN-код по умолчанию для этого токена. Хотите его сейчас поменять?» Если выбрано положение NO, то окно не выводится.
PPBADPINBORDER (параметр, установленный в рамках базовых настроек, – 0) определяет границу, которая отделят «средние» пароли от «слабых». Может составлять от 0 до 100.
(параметр, установленный в рамках базовых настроек, – 100) политика определяет границу, которая отделяет «надежные» PIN-коды от «средних». Значение это обязательно должно оставаться выше PPBADPINBORDER.
PPPINLENGHTWEIGHT (параметр, установленный в рамках базовых настроек, – 73) значение определяет суммарное значение длины пароля в общей оценки его сложности. Может составлять от 0 до 100.
Как изменить политики
Для корректировки необходимо ввести команду следующего типа: \rtDrivers.exe конкретный ключ меняемой политики = новое значение. Например: C:\Users\user\Downloads\Rutoken\rtDrivers.exe PPMINPINLENGTH=6 PPONLYNUMERALS=0 PPCURRENTPIN = 1. В данном примере мы устанавливаем минимальную длину нового пароля на уровне в 6 символов и одновременно при смене он должен отличаться от предыдущего, допускается использование пароля, состоящего из ряда цифр.
Вторым вариантом изменения конкретных политик будет использование Панели управления Рутокен. Здесь необходим пароль Администратора и понимание, что изменения касаются только конкретного компьютера. Для учета конкретных, которые понадобятся для оценки актуальной степени безопасности установленного, выполните следующие действия:
Как разблокировать PIN-код?
Для предотвращения возможности подбора в Рутоке предусмотрено ограничение на количество попыток неверного ввода пользовательского или администраторского пароля (по умолчанию показатель установлен на уровне в 10 и может быть изменен во время форматирования). По умолчанию действуют следующие правила:
Работа с PIN-кодами через утилиту rtAdmin
Для упрощения администрирования устройства, смены меток, кодов, управлением разделами можно использовать специальную утилиту rtAdmin 2.0. Существуют версии для работы на компьютерах под управлением операционных систем Windows, Mac OS, Linux (соответствующую версию надо скачать с сайта разработчика токена). После установки ее можно запустить из командной строки, где в зависимости от вводимых параметров можно выполнить следующие действия:
Конкретные команды можно подать из командной строки, введя наименование исполняемого файла (rtadmin.exe) и набор нужных параметров.
Специфика работы с PIN-кодами смарт-карты Рутокен
В последнее время все более популярными стали смарт-карты Рутокен, которые по техническим возможностям схожи с традиционными USB-накопителями. Они имеют одинаковые функции, но для работы непосредственно с PIN-кодами есть несколько моментов. Речь в необходимости иметь при работе с компьютером считыватель для смарт-карт. Если же в планах использование мобильного устройства, то на последнем должен быть активирован NFC-модуль (последний по умолчанию есть во всех смартфонах за исключением моделей бюджетной категории).
По умолчанию подобные смарт-карты имеют стандартные PIN-коды для работы в режиме Пользователя и Администратора (12345678 и 87654321).
Как изменить пароль смарт-карты Рутокен с помощью компьютера
При использовании ноутбука или ПК под управлением Windows сначала понадобится загрузка и установка полного комплекта драйверов Рутокен, что можно сделать с помощью официального сайта разработчика либо УЦ, где вы оформили ЭЦП. Теперь подключите смарт-карту следующим образом:
Если действия выполнены корректно, то загорится индикатор, а при последних он будет либо неактивен, либо начнет мигать (конкретное зависит от модели считывателя).
Для изменения пароля выполните следующие действия:
Дополнительно через Панель управления вашего ЭЦП Рутокен можно узнать всю ключевую информацию о смарт-карте. Речь про идентификатор, прошивку, флаг состояния, суммарный объем доступной и свободной памяти, возможность работы по каналу ФКН и так далее.