Знание PIN-кодов необходимо для работы с устройством Рутокен.
Для каждого устройства Рутокен задано два PIN-кода:
PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам).
Если при работе с сторонним приложением запрашивается PIN-код устройства Рутокен, то вам надо ввести PIN-код Пользователя.
PIN-код Администратора используется для администрирования устройства и управления PIN-кодами.
PIN-код Администратора используется только в Панели управления Рутокен.
Правила хранения PIN-кодов:
Если вам не сообщили PIN-код Пользователя, вероятнее всего, он задан по умолчанию (12345678).
Если вы купили Рутокен в удостоверяющем центре — PIN-код Администратора вам должен сообщить сотрудник удостоверяющего центра.
Если Рутокен вам выдали на работе — PIN-код Администратора, скорее всего, знает системный администратор, IT-служба или HelpDesk.
Если Рутокен вам выдали в банке — PIN-код Администратора вам должен сообщить сотрудник банка.
Если вы приобрели Рутокен для личных целей, то на нем установлены PIN-коды по умолчанию.
Панель управления Рутокен предназначена для обслуживания устройств Рутокен в операционных системах семейства Microsoft Windows. В Панели управления Рутокен можно изменить и разблокировать PIN-коды.
Установить ее можно вместе с комплектом драйверов Рутокен для Windows. Актуальная версия комплекта драйверов доступна по ссылке:
https://www.rutoken.ru/support/download/drivers-for-windows/
PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам).
PIN-код Пользователя необходимо хранить в безопасном месте. Главное чтобы ни у кого кроме пользователя не было доступа к нему.
PIN-код Пользователя по умолчанию — 12345678.
На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Пользователя.
Обычно задано 10 попыток неправильного ввода PIN-кода Пользователя.
Когда пользователь вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого пользователь вводит правильный PIN-код, то значение счетчика становится изначальным.
Допустимое количество неправильных попыток ввода PIN-кода указано в окне с ошибкой "Неудачная аутентификация" после слов "осталось попыток".
Если там указано значение "1", то после следующей неудачной попытке ввода PIN-кода он заблокируется.
После ввода неправильного PIN-кода Пользователя несколько раз устройство Рутокен блокируется. Разблокировать его может только Администратор устройства. |
Если пользователь несколько раз ввел неправильный PIN-код Пользователя, то он блокируется.
При попытке ввода уже заблокированного PIN-кода Пользователя в Панели управления Рутокен отобразится следующее сообщение:
Для того чтобы разблокировать PIN-код Пользователя необходимо обратиться к администратору устройства Рутокен.
PIN-код не должен быть очень сложным, так как у него есть ограниченное количество попыток ввода. |
Использовать PIN-код, который был задан по умолчанию — небезопасно. Рекомендуется его изменить. При этом стоит учитывать некоторые рекомендации:
Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?
PIN-код Администратора используется в Панели управления Рутокен для администрирования устройства и управления PIN-кодами.
PIN-код Администратора необходимо хранить в безопасном месте. Главное чтобы ни у кого кроме администратора не было доступа к нему.
PIN-код Администратора по умолчанию — 87654321.
На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Администратора.
По умолчанию задано 10 попыток неправильного ввода PIN-кода Администратора.
Когда администратор вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого администратор вводит правильный PIN-код, то значение счетчика становится изначальным.
Важная информация
Допустимое количество неправильных попыток ввода PIN-кода указано в окне с ошибкой "Неудачная аутентификация" после слов "осталось попыток".
Если там указано значение "1", то при следующей неудачной попытке ввода PIN-кода он заблокируется.
Важная информация
После ввода неправильного PIN-кода Администратора несколько раз, он блокируется. В этом случае необходимо вернуть устройство Рутокен к заводскому состоянию, но при этом будут безвозвратно удалены все данные, хранящиеся на нем.
Важная информация
После ввода неправильного PIN-кода Администратора несколько раз он блокируется.
Если PIN-код Администратора заблокирован, то для того чтобы продолжить работу с устройством Рутокен, его необходимо вернуть к заводскому состоянию, но при этом будут безвозвратно удалены все данные, хранящиеся на нем.
Процесс возврата устройства к заводскому состоянию описан в Дополнительном разделе — Возврат устройства к заводскому состоянию.
Требования к новому PIN-коду описаны в разделе Какой PIN-код лучше использовать?
Требования к новому PIN-коду описаны в разделе Какой PIN-код лучше использовать?
Все PIN-коды по качеству делятся на три категории:
Можно выбрать политики, которые будут учитываться при оценке качества PIN-кода. Они выглядят следующим образом:
Чтобы пользователь не смог задать слабый PIN-код необходимо настроить политики для PIN-кодов. Это реализуется через групповые политики домена.
Для настройки политик для PIN-кодов существуют следующие ключи инсталлятора:
Параметр | Описание | Значение по умолчанию (строка символов) |
---|---|---|
DEFPIN | Задает политику вывода сообщения при использовании PIN- | NO |
PINENCODING | Задает политику использования символов UTF-8 в PIN-коде и | ANSI |
PPMINPINLENGTH | Задает минимальную длину PIN-кода в символах. Может | 1 |
PPDEFAULTPIN | Задает политику использования PIN-кода по умолчанию. Может принимать значения 0 или 1. Если значение параметра 0, то разрешается использовать PIN-код по умолчанию; если 1 — запрещается | 0 |
PPONESYMBOLPIN | Задает политику использования PIN-кода, состоящего из | 0 |
PPONLYNUMERALS | Задает политику использования PIN-кода, состоящего только | 0 |
PPONLYLETTERS | Задает политику использования PIN-кода, состоящего только | 0 |
PPCURRENTPIN | Задает политику использования PIN-кода, совпадающего с | 0 |
PPBADPINBEHAVIOR | Задает политику использования «слабого» PIN-кода. Может | 0 |
PPACCEPTABLEPINBEHAVIOR | Задает политику использования «среднего» PIN-кода. Может | 0 |
PPPINLENGTHWEIGHT | Задает вес политики длины PIN-кода в общей (интегральной) | 73 |
PPBADPINBORDER | Задает границу, разделяющую «слабые» и «средние» PIN- | 0 |
PPGOODPINBORDER | Задает границу, разделяющую «средние» и «надежные» PIN- | 100 |
Чтобы установить (обновить) Панель управления Рутокен с определенными ключами введите команду:
<путь к файлу rtDrivers.exe>\rt.Drivers.exe ключ инстраллятора = значение
Пример команды:
C:\Users\user\Downloads\rtDrivers.exe PPMINPINLENGTH=6 PPONLYNUMERALS=1
(минимальную длину PIN-кода — 6 символов; запрещается использовать PIN-коды, состоящие только из цифр).
Для наглядности в Панели управления Рутокен реализована возможность настройки политик для PIN-кодов.
По умолчанию выбраны все политики, а пароль считается "слабым", если его длина равна одному символу.
Политики для PIN-кодов может изменить пользователь с правами администратора операционной системы или администратора домена.
Политики для PIN-кодов устанавливаются в Панели управления Рутокен для конкретного компьютера.
Для того чтобы выбрать политики, которые будут учитываться при оценке уровня безопасности PIN-кода:
Возврат устройства к заводскому состоянию возможен только тогда, когда PIN-код Администратора заблокирован.
Сообщение о том, что PIN-код Администратора заблокирован:
Если пользователь исчерпал все попытки ввода PIN-кода Администратора, то существует возможность вернуть устройство к заводскому состоянию. Для этого не надо знать PIN-код Администратора.
Важная информация
При возврате устройства Рутокен к заводскому состоянию все данные на нем, в том числе ключи и сертификаты, будут удалены безвозвратно.
Важная информация
При возврате устройства Рутокен ЭЦП Flash к заводскому состоянию содержимое Flash-памяти тоже очистится, а информация, записанная в ней будет удалена безвозвратно.
Важная информация
В процессе возврата устройства к заводскому состоянию не следует отключать Рутокен от компьютера, так как это может привести к его поломке.
Для запуска процесса возврата устройства Рутокен к заводскому состоянию:
В окне с предупреждением об удалении всех данных на устройстве Рутокен
нажмите на кнопку [ОК].
В окне с сообщением об успешном форматировании устройства Рутокен нажмите на кнопку [ОК]. В результате устройство вернется к заводскому состоянию.
Для указания имени устройства Рутокен в поле Имя токена укажите новое имя устройства.
В зависимости от выбранной при форматировании устройства Рутокен политики, PIN-код Пользователя может быть изменен:
Если вы установите переключатель в положение "Пользователь", то сможете изменить PIN-код Пользователя только, если знаете его.
Важная информация
При установке переключателя в положение "Пользователь" становятся невозможны следующие операции:
- инициализация токена через PKCS#11 посредством C_InitToken()
- смена PIN-кода Администратора при использовании Microsoft Base Smart Card Crypto Provider
Если вы установите переключатель в положение "Администратор", то сможете изменить PIN-код Пользователя только, если знаете PIN-код Администратора.
Важная информация
При установке переключателя в положение "Администратор" становится невозможна операция смены PIN-кода Администратора при использовании Microsoft Base Smart Card Provider.
Если вы установите переключатель в положение "Пользователь и Администратор", то сможете изменить PIN-код Пользователя, если знаете или PIN-код Администратора, или PIN-код Пользователя.
Для изменения политики в секции PIN-код Пользователя может менять установите переключатель в необходимое положение.
Требования к новому PIN-коду описаны в разделе Какой PIN-код лучше использовать?
Для того чтобы задать новый PIN-код Пользователя (Администратора), который будет доступен только после возврата устройства к заводскому состоянию:
Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
Для того чтобы задать минимальную длину PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Минимальная длина PIN-кода выберите необходимое значение.
Для повышения уровня безопасности следует изменить максимальное количество попыток ввода PIN-кода Пользователя (Администратора), заданное в Панели управления Рутокен по умолчанию.
Небольшое количество попыток (1-4) может привести к случайной блокировке PIN-кода, большое количество (более 5) — снизит уровень информационной безопасности.
Для того чтобы задать максимальное количество попыток ввода PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Попытки ввода PIN-кода выберите необходимое значение (рекомендуется выбрать значение — 5).