База знаний Рутокен. FAQ. Часть 2. Управление PIN-кодами устройств Рутокен

Мы продолжаем рубрику, в которой отвечаем на часто задаваемые вопросы о работе устройств и ПО Рутокен. Важно помнить, что ключевые носители (USB-токены или смарт-карты) — это устройства для хранения ключей электронной подписи. Электронная подпись используется для электронного документооборота, взаимодействия с госорганами, обмена файлами и подписания транзакций в системах дистанционного банковского обслуживания. Физические лица ключевые носители применяют для пользования сервисами на портале Госуслуг, сдачи налоговой отчетности и других задач. Сегодня поговорим о неотъемлемом факторе защиты, которую обеспечивает ваш токен или смарт-карта – о PIN-кодах.

Для доступа к защищенным данным вам необходимо подключить к своему компьютеру ключевой носитель (USB-токен или смарт-карту) и ввести PIN-код. Владение устройством является первым фактором аутентификации, а знание PIN-кода — вторым. Более подробно о двухфакторной аутентификации мы писали в нашей статье «Зачем нужна двухфакторная аутентификация»

Знание PIN-кодов необходимо для работы с устройством Рутокен. Для каждого устройства Рутокен задано два PIN-кода:

• PIN-код Пользователя;
• PIN-код Администратора.

PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам). Если при работе со сторонним приложением запрашивается PIN-код устройства Рутокен, то вам надо ввести PIN-код Пользователя.

PIN-код Администратора используется для администрирования устройства и управления PIN-кодами только в Панели управления Рутокен.

• Не храните PIN-коды и физическое устройство Рутокен в одном месте.
• Не передавайте PIN-коды другим людям (в том числе коллегам и администраторам).
• PIN-коды можно записать в надежном месте, главное, чтобы ни у кого, кроме вас, не было доступа к ним.

Если вам не сообщили PIN-код Пользователя, вероятнее всего, он задан по умолчанию (12345678).

Если вы купили ключевой носитель Рутокен в удостоверяющем центре, PIN-код Администратора вам должен сообщить сотрудник удостоверяющего центра.

Если устройство Рутокен вам выдали на работе — PIN-код Администратора, скорее всего, знает системный администратор, IT-служба или HelpDesk.

Если ключевой носитель вам выдали в банке — PIN-код Администратора вам должен сообщить сотрудник банка.

Если вы самостоятельно приобрели Рутокен для личных целей, то на нем установлены PIN-коды по умолчанию.

Панель управления Рутокен предназначена для обслуживания устройств Рутокен в операционных системах семейства Microsoft Windows. В Панели управления Рутокен можно изменить и разблокировать PIN-коды.

Установить ее можно вместе с комплектом драйверов Рутокен для Windows. Актуальная версия комплекта драйверов доступна по ссылке: https://www.rutoken.ru/support/download/drivers-for-windows/

PIN-код Пользователя используется для доступа к электронной подписи и объектам на устройстве (сертификатам, ключевым парам).

PIN-код Пользователя необходимо хранить в безопасном месте. Главное, чтобы ни у кого кроме Пользователя не было к нему доступа.

На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Пользователя.

Обычно задано 10 попыток неправильного ввода PIN-кода Пользователя.

Когда Пользователь вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого Пользователь вводит правильный PIN-код, то значение счетчика становится изначальным.

Допустимое количество неправильных попыток ввода PIN-кода указано в окне с ошибкой "Неудачная аутентификация" после слов "осталось попыток".

Если там указано значение "1", то после следующей неудачной попытки ввода PIN-кода он заблокируется.

1. Подключите устройство Рутокен к компьютеру.
2. Запустите Панель управления Рутокен.
3. Нажмите «Ввести PIN-код».

4. Укажите PIN-код Пользователя и нажмите ОК.

5. Если введен верный PIN-код Пользователя, то вместо кнопки Ввести PIN-код отобразится кнопка Выйти.

7. Нажмите ОК и повторите ввод PIN-кода.

• Откройте Панель управления Рутокен.
• На вкладке Администрирование нажмите Информация.
• В окне Информация о Рутокен в строке Попыток ввода PIN-кода Пользователя отображается количество оставшихся попыток.
• 
  

Если пользователь несколько раз ввел неправильный PIN-код Пользователя, то он блокируется.

При попытке ввода уже заблокированного PIN-кода Пользователя в Панели управления Рутокен отобразится следующее сообщение:

Для того чтобы разблокировать PIN-код Пользователя необходимо обратиться к администратору устройства Рутокен.

Использовать PIN-код, который был задан по умолчанию — небезопасно. Рекомендуется его изменить. При этом стоит учитывать некоторые рекомендации:

• Необходимо составить PIN-код из 6-10 символов. Использование короткого PIN-кода (1-5 символов) заметно снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.
• Лучше составить PIN-код из: цифр, латинских букв, пробелов и специальных символов (точек, запятых, восклицательных знаков и т.п).
• PIN-код будет надежнее, если вы составите его из смешанного набора цифровых и буквенных символов.
• PIN-код будет ненадежным, если вы при его составлении будете использовать общеупотребляемые слова и устойчивые словосочетания.
• Не стоит использовать наборы символов, представляющие собой комбинации клавиш, расположенных подряд на клавиатуре, такие как: qwerty, 123456789, wazwsx и т.п.
• Не стоит использовать персональные данные: имена и фамилии, адреса, номера паспортов, страховых свидетельств и т.п.
• Лучше всего использовать разные PIN-коды для разных устройств Рутокен.

Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?

1. Подключите устройство Рутокен к компьютеру.
2. Запустите Панель управления Рутокен.
3. Введите PIN-код Пользователя.
4. В секции Управление PIN-кодами нажмите Изменить. Если эта кнопка не активна, то для изменения PIN-кода необходимо обратиться к администратору устройства Рутокен.

5. В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является "слабым", если желтым — то "средним", а если зеленым — то "надежным".

6. Нажмите ОК. В результате PIN-код Пользователя изменится.

PIN-код Администратора используется в Панели управления Рутокен для администрирования устройства и управления PIN-кодами.

PIN-код Администратора необходимо хранить в безопасном месте. Главное чтобы ни у кого кроме администратора не было доступа к нему.

PIN-код Администратора по умолчанию — 87654321.

На устройстве Рутокен существует счетчик неправильных попыток ввода PIN-кода Администратора.

По умолчанию задано 10 попыток неправильного ввода PIN-кода Администратора.

Когда администратор вводит неправильный PIN-код, значение этого счетчика уменьшается на единицу. Если после этого администратор вводит правильный PIN-код, то значение счетчика становится изначальным.

1. Подключите устройство Рутокен к компьютеру.
2. Запустите Панель управления Рутокен.
3. Нажмите Ввести PIN-код.

4. Установите переключатель в положение Администратор.

5. Укажите PIN-код Администратора и нажмите ОК.

6. Если введен верный PIN-код Администратора, то вместо кнопки Ввести PIN-код отобразится кнопка Выйти.

7. Если введен неверный PIN-код, то на экране отобразится сообщение об этом. В поле осталось попыток указано максимальное количество попыток ввода PIN-кода.

8. Нажмите ОК и повторите ввод PIN-кода.

1. Откройте Панель управления Рутокен.
2. На вкладке Администрирование нажмите Информация.
3. В окне Информация о Рутокен в строке Попыток ввода PIN-кода Администратора отображается количество оставшихся попыток.

Если PIN-код Администратора заблокирован, то для того чтобы продолжить работу с устройством Рутокен, его необходимо вернуть к заводским настройкам, но при этом будут безвозвратно удалены все данные, хранящиеся на нем.

Как в Панели управления Рутокен изменить PIN-код Администратора?

Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?

1. Подключите устройство Рутокен к компьютеру.
2. Запустите Панель управления Рутокен.
3. Введите PIN-код Администратора.
4. В секции Управление PIN-кодами нажмите Изменить.

5. В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является "слабым", если желтым — то "средним", а если зеленым — то "надежным".

6. Нажмите ОК. В результате PIN-код Пользователя будет разблокирован.

1. Подключите устройство Рутокен к компьютеру.
2. Запустите Панель управления Рутокен.
3. Введите PIN-код Администратора.
4. В секции Управление PIN-кодами нажмите Разблокировать. На экране отобразится сообщение о том, что PIN-код разблокирован.

5. В полях Введите новый PIN-код и Подтвердите новый PIN-код введите новый PIN-код. Если индикатор безопасности PIN-кода, расположенный рядом с полем Введите новый PIN-код подсвечен красным цветом, то PIN-код является "слабым", если желтым — то "средним", а если зеленым — то "надежным".

6. Нажмите ОК. В результате PIN-код Пользователя будет разблокирован.

Все PIN-коды по качеству делятся на три категории:

• слабый;
• средний;
• надежный.

Можно выбрать политики, которые будут учитываться при оценке качества PIN-кода. Они выглядят следующим образом:

1. Минимальная длина PIN-кода.
2. Политика использования PIN-кода, заданного по умолчанию.
3. Политика использования PIN-кода, состоящего из одного повторяющегося символа.
4. Политика использования PIN-кода, состоящего только из цифр.
5. Политика использования PIN-кода, состоящего только из букв.
6. Политика использования PIN-кода, совпадающего с предыдущим PIN-кодом.

Чтобы пользователь не смог задать слабый PIN-код необходимо настроить политики для PIN-кодов. Это реализуется через групповые политики домена.

Для настройки политик для PIN-кодов существуют следующие ключи инсталлятора:

Чтобы установить (обновить) Панель управления Рутокен с определенными ключами введите команду:

<путь к файлу rtDrivers.exe>\rt.Drivers.exe ключ инстраллятора = значение

Пример команды:

C:\Users\user\Downloads\rtDrivers.exe PPMINPINLENGTH=6 PPONLYNUMERALS=1

(минимальную длину PIN-кода — 6 символов; запрещается использовать PIN-коды, состоящие только из цифр).

Для наглядности в Панели управления Рутокен реализована возможность настройки политик для PIN-кодов.

По умолчанию выбраны все политики, а пароль считается "слабым", если его длина равна одному символу.

Политики для PIN-кодов может изменить пользователь с правами администратора операционной системы или администратора домена.

Политики для PIN-кодов устанавливаются в Панели управления Рутокен для конкретного компьютера.

Для того чтобы выбрать политики, которые будут учитываться при оценке уровня безопасности PIN-кода:

1. Запустите Панель управления Рутокен.
2. Перейдите на вкладку Настройки.
3. В секции Политики качества PIN-кода нажмите Настройка.

4. В раскрывающемся списке Считать PIN-код "слабым" при длине меньше, чем выберите необходимое число (рекомендуемое число для выбора — 6).

5. В секции Политики установите флажки рядом с названиями политик.

6. Чтобы запретить возможность задания слабого PIN-кода, в раскрывающемся списке Если задан "слабый" PIN-код выберите значение "Запретить использование".

7. Чтобы при задании среднего PIN-кода отображалось сообщение с предупреждением о том, что PIN-код не является безопасным, в раскрывающемся списке Если задан "средний" PIN-код выберите значение "Предупреждать".

8. Для подтверждения изменений нажмите ОК.

9. Для применения изменений и продолжения работы с политиками нажмите Применить.

10. В окне с запросом на разрешение вносить изменения на компьютере нажмите Да.

Возврат устройства к заводским настройкам возможен только тогда, когда PIN-код Администратора заблокирован.

Сообщение о том, что PIN-код Администратора заблокирован:

Если пользователь исчерпал все попытки ввода PIN-кода Администратора, то существует возможность вернуть устройство к заводским настройкам. Для этого не надо знать PIN-код Администратора.

Для запуска процесса возврата устройства Рутокен к заводским настройкам:

1. Подключите устройство Рутокен к компьютеру.
2. Запустите Панель управления Рутокен. В секции Форматирование токена отобразится кнопка Форматировать.

3. Нажмите Форматировать. Откроется окно Форматирование токена.

4. Укажите имя устройства.

5. Измените политику смены PIN-кода Пользователя.

6. Укажите новый PIN-код Пользователя (Администратора).

7. Укажите минимальную длину PIN-кода Пользователя (Администратора).

8. Укажите максимальное количество попыток ввода PIN-кода Пользователя (Администратора).

9. Нажмите Начать.

10. В окне с предупреждением об удалении всех данных на устройстве Рутокен нажмите ОК.

11. Дождитесь окончания процесса форматирования.

12. В окне с сообщением об успешном форматировании устройства Рутокен нажмите ОК. В результате устройство вернется к заводским настройкам.

Для указания имени устройства Рутокен в поле Имя токена укажите новое имя устройства.

В зависимости от выбранной при форматировании устройства Рутокен политики, PIN-код Пользователя может быть изменен:

• только пользователем (если установлен переключатель "Пользователь");
• пользователем и администратором (если установлен переключатель "Пользователь и Администратор");
• только администратором (если установлен переключатель "Администратор").

Если вы установите переключатель в положение "Пользователь", то сможете изменить PIN-код Пользователя только, если знаете его.

Если вы установите переключатель в положение "Администратор", то сможете изменить PIN-код Пользователя только, если знаете PIN-код Администратора.

Если вы установите переключатель в положение "Пользователь и Администратор", то сможете изменить PIN-код Пользователя, если знаете или PIN-код Администратора, или PIN-код Пользователя.

Для изменения политики в секции PIN-код Пользователя может менять установите переключатель в необходимое положение.

Требования к новому PIN-коду описаны в разделе Как придумать безопасный PIN-код?

Для того чтобы задать новый PIN-код Пользователя (Администратора), который будет доступен только после возврата устройства к заводским настройкам:

• В секции Пользователь (Администратор) снимите флажок Использовать PIN-код по умолчанию.
• В полях Новый PIN-код и Подтверждение введите новый PIN-код Пользователя (Администратора).

Рекомендуемая длина PIN-кода — 6-10 символов. Использование короткого PIN-кода (1-5 символов) снижает уровень безопасности, а длинного PIN-кода (более 10 символов) может привести к увеличению количества ошибок при его вводе.

Для того чтобы задать минимальную длину PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Минимальная длина PIN-кода выберите необходимое значение.

Для повышения уровня безопасности следует изменить максимальное количество попыток ввода PIN-кода Пользователя (Администратора), заданное в Панели управления Рутокен по умолчанию.

Небольшое количество попыток (1-4) может привести к случайной блокировке PIN-кода, большое количество (более 5) — снизит уровень информационной безопасности.

Для того чтобы задать максимальное количество попыток ввода PIN-кода Пользователя (Администратора), в секции Пользователь (Администратор) из раскрывающегося списка Попытки ввода PIN-кода выберите необходимое значение (рекомендуется выбрать значение — 5).